1、故障现象

   WEB认证无法正常弹出认证页面,页面空白或者提示设备未注册


2、故障可能原因

1)PC无法获取IP地址,导致无法正常发起http报文

2)PC获取到DNS服务器不可用,导致无法正确解析域名

318K上重定向配置、portal key source interfaceeportal上设置不一致

(4)接口是开启了WEB认证防私设功能,用户使用静态配置的IP地址,导致无法重定向

(5http报文未到达18K上,中途丢包,导致18K无法重定向

(6)报文未送到WEB进程,导致18K无法重定向

(7PCportal服务器通路异常,导致报文无法正常交互,比如路由不可达,安全设备过滤

(8eportal服务器异常,导致没有回应报文

(9)如果是非sam服务器(如城市热点),可能因为url不符合服务器要求,造成web认证界面无法弹出

(10) 静态 IP ,但是配置了 Web防私设命令:web-auth dhcp-check 或者web-auth dhcp-check vlan xxx
 (11)B3P3版本,静态IP地址配置在 静态无感知认证地址范围 web 认证页面不弹出也不跳转


 3 、处理步骤

1)查看PC是否有获取到正确的IP地址


2)打开浏览器分别输入http://ww.ruijie.com.cn  http://183.1.1.1(该IP必须为一个内网中不存在的IP地址),观察URL有没有跳转变化。

         如果输入网址无法跳转,输入IP地址以后能够跳转,则请检查DNS是否正常。

         如果两者都无法跳转或者跳转以后无法弹出页面,请走下一个步骤


3确定18K和eportal上相关配置是否正确

        检查18K上重定向相关配置是否正确、检查18K上web-auth portal key、ip portal source interface配置是否和eportal上一致

         web-auth template eportalv2       //创建web认证模板

            ip 202.204.193.32                 //portal服务器的IP

            url http://202.204.193.32/eportal/index.jsp    //portal服务器的url地址

            web-auth portal key ruijie    //用于加密URL,注意后面不要有空格

            ip portal source-interface GigabitEthernet 1/24  //该接口的IP地址为eportal上添加的35.0.0.1,要确保路由可达

         检查接口下是否正确配置了WEB认证(防止相应VLAN只开启了DOT1X认证,未开启WEB认证)

        interface range GigabitEthernet 0/1  //接口启用web认证  

        web-auth enable eportalv2              //接口使能

        web-auth vlan-control 2000-3000     //可基于vlan开启web认证受控


       检查eportal上对应配置是否和18K上一致,如下:

         


(4)确定接口是否开启了WEB认证防私设功能,确认是否开启ip dhcp snooping功能,并且IP地址是否通过动态获取的,web防私设要跟dhcp snooping表项联动,如果查找不到snooping表,web认证重定向不出来;

Web防私设命令:web-auth dhcp-check 或者web-auth dhcp-check vlan xxx

(5)show version 检查18K版本是否为B3P3版本,如果是检查是否开启静态地址无感知认证; 静态 ip 若在 dot1x mac-auth-bypass static-ip-segment  配置的 ip 段范围 ,web 认证页面不弹出也不跳转。


(6)如以上3步排查以后URL还是没有跳转,则检查报文是否有送达18K

    show mac-address-table | include ***(用户的MAC地址)

    show arp | include ****(用户的MAC地址)

    如果以上两条命令show 没有相应结果,说明报文没有到达N18K,如果有看到相应条目 可通过ACL计数或者抓包方式确认;

     ip access-list extended YYY

       10 permit ip host 192.168.1.1 any    //其中192.168.1.1位用户IP

       20 permit ip any any 

     interface gigabitEthernet    1/1 

        ip access-group YYY in  //将访问控制列表用于出问题的端口

     ip access-list counter YYY    //查看后面数字

     show access-list     //查看是否统计到报文

     示例如下:

     

 

 

(7)正常来说,通过以上4个步骤如果URL还是不能能够跳转,则根据故障信息收集收集18K上相关调试信息,联系设备研发排查


(8)如果URL有跳转了,认证页面依旧无法弹出则检查PCeportal服务器的连通性。

         如使用ping检查记得关闭eportal服务器上的防火墙,并且要确保中间的防火墙是允许访问的


(9)如果PC和eportal连通性正常,则通过同时在PCeportal上开启抓包,并且记录下PC上跳转的URL,以及eportal服务器上的log信息,找相应的eportal研发处理


4、故障信息收集

18K上相关信息收集如下:

terminal length 0

show ver detail

show run

show mac-address-table | include ***(用户的MAC地址)

show arp | include ****(用户的MAC地址)

show ip dhcp snooping

show ip dhcp snooping binding | in H.H.H

debug web-auth cli  

show web-auth user name ***  

debug web show  

debug web stat 

debug scc stat

undebug all

show log

terminal no length



eportal服务器上相关信息收集如下:


5、故障总结及注意事项

  WEB认证页面弹出主要分为两个步骤:

  步骤 1、PC和18K交互HTTP报文,18K负责将重定向后的URL推给终端,PC浏览器上的URL会跳转成重定向后的URL

  步骤 2、PC访问重定向后的URL,和eportal服务器进行报文交互

  所以,如果PC上的URL无法正常跳转,则问题主要出在PC和18K这段;如果PC上URL跳转了但是无法弹出页面,则问题主要出在PC和eportal这段