1、故障现像

WEB认证用户通过浏览器进行WEB认证无法弹出认证界面。

 

2、故障可能原因

1) 交换机功能配置错误，如：直通地址是否正确、KEY是否正确等等。

2) 服务器问题，如：认证服务器上是否添加交换机IP、是否配置正确的。

3) 网络配置错误或网络不通，如：交换机和认证服务器是否通路正常。

 

3、故障处理步骤

注意：DEBUG信息有风险，需要和客户同步风险后才能收集，最好和抓包一起进行

步骤1、检查交换机配置

确认交换机配置是否正确，具体命令可参考如下：

 

一代web配置如下:

#配置通信密钥，对ePortal服务器返回的链接加密

Ruijie(config)#web-auth portal key ruijie                                                \\配置通信密钥，对ePortal服务器返回的链接加密

#配置直通地址

Ruijie(config)#http redirect direct-site 192.168.33.1 arp                          \\在开启arpcheck时需要配置直通地址，未认证用户要访问直通地址，必须先学习到网关arp，这里设置网关为直通地址并放行arp报文

#配置重定向页面

Ruijie(config)#http redirect homepage http://192.168.51.180/eportal/index.jsp  \\设置重定向页面的主页，未认证用户访问网络将被重定到ePortal上的这个页面

#配置重定向服务器地址

Ruijie(config)#http redirect 192.168.51.180                                                       \\设置重定向服务器地址

#接口开启web认证

Ruijie(config)#interface FastEthernet 0/1

Ruijie(config)#web-auth port-control                                                         \\端口开启web认证

#SNMP及基础配置

Ruijie(config)#snmp-server host 192.168.51.180 informs version 2c public web-auth       \\ web认证下线相关配置，设置允许发送web相关的snmp报文

Ruijie(config)#snmp-server enable traps web-auth

Ruijie(config)#snmp-server community public rw

Ruijie(config)#interface VLAN 1

Ruijie(config)#ip address 192.168.56.26 255.255.255.128

Ruijie(config)#ip default-gateway 192.168.56.254

 

二代web配置：

#配置portal2.0服务器参数

Ruijie(config)#portal-server eportalv2 ip 192.168.30.31 url http://192.168.30.31:8080/eportal/index.jsp  port 50100

#配置全局Portal服务器指定为Portal2.0服务器

Ruijie(config)# web-auth portal eportalv2

#配置直通地址

Ruijie(config)#http redirect direct-site 192.168.33.1 arp                          \\在开启arpcheck时需要配置直通地址，未认证用户要访问直通地址，必须先学习到网关arp，这里设置网关为直通地址并放行arp报文

#端口使能 web 认证

Ruijie(config)# interface range fa0/2-3

Ruijie(config-if-range)# web-auth port-control

#配置 AAA

Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host 172.20.1.20 key aaatest

Ruijie(config)# aaa authentication web-auth default group radius

Ruijie(config)# aaa accounting network default start-stop group radius

 

注：当有开启DM(Disconnect-Messages)功能时，才需要配置SNMP配置，获取NAS设备信息。

Ruijie(config)# radius dynamic-authorization-extension enable

 

步骤2、检查服务器配置

web认证服务器是否添加交换机IP及正确的KEY，检查eportal服务器配置的交换机key及ip是否与交换机一致，如果是三层交换机做web认证，需要在认证服务器上添加交换机出接口IP。

 

步骤3、检查认证用户网络参数

对于开启web认证的端口默认方通DNS及DHCP报文，正常情况下应该能获取到地址（如果有配置dhcp服务器的话）。所以在认证前请先确认客户端的IP、网关地址、DNS等网络参数是否正确获取，同时确认网关arp是否学习正常。

 

步骤4、检查网络连通性

1)检查交换机能否ping通认证服务器，如果不能ping通，请确认路由、网关、IP设置是否正确，排除网络连通性问题。

2) 关闭接口web认证功能，测试无web认证情况下，是否可以正常访问外网web，排除本身的网络问题。

 

步骤5、通过抓包分析定位故障点

在故障出现的时候，进行上下联端口分别进行抓包，查看报文交互是否正常，可通过下图进行分析。

正常的报文交过程互如下：

                                 锐捷一代 Web 认证流程图

 

                                       锐捷二代 Web 认证流程

 

一代和二代对比：

·               一代web认证，用户的认证过程都由portal server完成，设备只负责打开上网通道。

·               Portal2.0，即二代web认证，用户的认证过程由接入设备发起，认证结果由接入设备告知portal server。

·               一代web认证，portal server和设备交互使用snmp协议，只能与我司的portal对接

·               Portal2.0，portal server和设备的交互使用标准的中移动portal协议，目前可以和包括我司eportal的多家portal厂商对接（安腾、深澜、城市热点）

 

 

4、故障信息搜集

收集log信息（注意时间开关和时间的准确性）提供后台分析。

[设备debug信息、配置、软硬件版本、设备log、操作log]

收集基础信息

show ver

show ver slo

show run

show arp

show mac

show int co sum

show log

show ip route

show ip re

 

收集web认证相关信息

show web-auth port-control

show web-auth direct-host

show web-auth user

show http redirect

 

开启debug调试开关

对于S29E交换机10.4（2b12）软件版本，开启web认证debug的命令是debug web-auth http-rd；

其它交换机的调试开关为 debug web-auth

关闭命令是un all