目录
I.常见故障
ⅰ.内置web认证常见故障
1) STA和AC之间的通信问题:STA需要能够学习到网关的mac地址,通过命令http redirect direct-arp 来配置直通arp
2) 内置portal默认侦听8081端口,在ac上默认配置有http redirect port 8081,不能删除
2、内置portal web认证失败提示连接超时
1)AC与radius服务器未能通讯,检查radius服务器是否设置多个IP地址造成来回路由不一致
2)radius 服务器上未添加AC设备,检查SAM是否添加AC设备
3)radius key配置不匹配,检查SAM是否添加两次以上AC设备(添加AC的上行接口IP)
ⅱ.二代web认证下线原因分析
1、二代web认证下线原因分析
“01”:用户请求下线
“02”:端口连接丢失(无线上指的是stamg通告sta下线,遇到这个问题需要找stamg负责人继续定位下线原因)
“03”:不能提供服务,主要指连接异常中断
“04”:空闲超时(无流量下线)
“05”:会话超时(可用时长到达)
“06”:管理员复位端口或会话(radius服务器踢线、portal恢复之后逃生用户下线、通过clear命令删除用户)
“07”:管理员重启NAS
“08”:端口错误,需要中断会话
“09”:NAS出错,要求中断会话
“10”:NAS因为其他原因要求中断会话
“11”:NAS意外重启
“12”:NAS认为不再需要保留该端口而中断会话
“13”:NAS需要重新优先分配该端口而中断会话
“14”:NAS需要挂起端口而中断当前会话
“15”:NAS不能提供所需服务
“16”:NAS为新会话回调而中断当前会话
“17”:用户输入错误
“18”:主机请求中断
“103”:IP或MAC发生改变(发生地址抢占)
“115”:服务切换
“122”:流量用完
“250”:低流量下线(我司私有的属性,和code4原因一样)
“500”:认证超时,radius认证报文超时未响应。提供给无线wlog模块使用,snc也会关注
“501”:认证拒绝,radius服务器拒绝。提供给无线wlog模块使用,snc也会关注
“502”:设备上用户数达到上限。提供给无线wlog模块使用,snc也会关注
2、portal协议规范中errcode的含义
(1) 当Type值为 2 时,ack_challenge:
ErrCode=0,表示AC设备告诉Portal Server请求Challenge成功;
ErrCode=1,表示AC设备告诉Portal Server请求Challenge被拒绝;---->portal报文错误或是AC上用户不存在
ErrCode=2,表示AC设备告诉Portal Server此链接已建立; ---->这个用户已经通过认证,此时再发认证请求就会返回errcode2
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试; ------>AC已经向radius发起认证请求,但是radius还没回应,在这个过程中portal再发起req_challeage请求就会返回errcode3
ErrCode=4,则表示AC设备告诉Portal Server此用户请求Challenge失败(发生错误); ------>AC内部处理出错,导致请求挑战失败
注:ErrCode非0时,具体错误原因以ErrID属性值为准。
(2) 当Type值为 4 时:ack_auth
ErrCode=0,表示AC设备告诉Portal Server此用户认证成功;
ErrCode=1,表示AC设备告诉Portal Server此用户认证请求被拒绝; ---->portal报文错误(req_id不对,或是portal属性错误)或是radius服务器返回认证拒绝
ErrCode=2,表示AC设备告诉Portal Server此链接已建立;
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试;
ErrCode=4 ,表示AC设备告诉Portal Server此用户认证失败(发生错误);
注:ErrCode非0时,具体错误原因以ErrID属性值为准。
iii.其他web认证常见故障
1、URL不能跳转
常见的原因有以下几个:
1)、sta 本身上不了网或者通信有问题 ,可以添加免认证测试( 终端是否正确获取了IP地址,能正常学习到网关arp信息)
2)、终端能否正常解析域名或者输入IP地址能否跳转(比如输入的某一个访问的域名或者IP地址不能在AC的直通列表中,输入的域名要是正确可以解析的域名)
3)用户不能是免认证用户,否则用户报文达到AC后,AC肯定不会拦截
4)、AC 没有配置用户vlan,导致报文转发到ac后被丢弃
5)、输入的网址是https 没有配置https跳转
6)、地址冲突:相同ip不同mac已经在线的话,mac地址不同、ip相同的终端就不能重定向了,通过web-auth sta-preemption enable 解决
7)、配置了web-auth dhcp-check,但是AC没有开启 ip dhcp snooping
8)、AC上wlansec下未调用portal
9)、AC版本过低,请升级至锐捷官网最新版本。
2、PORTAL界面打不开
1)终端获取了AC重定向的URL后,会直接用该URL发起访问。如果portal界面无法弹出,那么需要检查终端与portal服务器之间的连通性。
比如:终端ping portal服务器是否通信正常,排除中间设备是否可能将http报文过滤等。
2)由于url携带的参数或者格式符合portal服务器的要求出现报错。 特别是与第三方服务器对接,需要特别注意。
有的服务器会强制检查或者指定某些参数是特定的某个值,需要确认AC是否支持并且做了配置。
3、用户下线
2)不同的终端使用相同的用户名抢占了
3)流量保活时间阀值
4)用户离开无线网络5分钟,默认就会将web认证表项删除
5)记账更新没开启或者AC与服务器配置不一致。
6)被服务器强制下线(radius 扩展属性)
4、Web认证失败,服务器抓包收不到设备对Auth_req的响应报文
故障可能原因:
Portal发的认证请求报文没有到AC,被中间设备丢弃
故障排除方法:
1).在有条件抓包的情况下,镜像AC上联口报文,确认认证请求是否有达到AC,如果有达到AC,Portal服务器重传Auth_req时会响应ack_auth,errorcode为正在认证;
2).这种问题一般是在刚部署出现,AC与服务器之间的防火墙没有放通对应端口的portal报文。
具体例子:
某银行部署802.1x+web双重认证,802.1x认证成功后进行Web认证,但是web认证失败,在服务器端抓包,所有Auth_req报文都没收到响应,但是有收到portal检测报文,说明部分Portal报文是可以通过AC与服务器之间的防火墙的。后通过抓包和AC统计值确认是认证请求没到AC,经排查是中间防火墙设置问题,过滤了portal报文。
5、一代web认证,用户异常下线之后,在线用户表项无法删除
问题定位:检查设备的配置,是否配置了如下命令,并且确认Portal服务器上的配置和设备配置的秘钥一致。
snmp-server host 172.18.105.9 informs version 2c public
snmp-server community public
snmp-server enable traps web-auth
6、
web认证终端超时下线,AC发送到服务器的code值错误,服务器显示:上网时长用完
终端经过一小时的低流量检测下线,在radius服务器上查看下线原因:用户上网时间已用完,并未显示对应的低流量下线。
原因:目前设备的实现是在没有关闭链路检测功能的时候,如果设备发现终端解关联,Web认证用户会下线,同时给Radius服务器传的下线原因是code 2,表示用户是由于无线链路断开下线;在关闭链路检测功能的时候,由于这个功能关闭之后,就算终端解关联,Web认证用户的表项也会存在,在这种情况下当前设备的实现是会根据设备低流量下线的配置时间,让Web认证的表项继续存在一段时间,等这个时间到达之后,Web认证的表项就会删除,同时通告Radius服务器用户下线,下线原因是code 5,表示用户可用时长到达下线。
解决方案:开启链路检查功能。
7、
AP在nat内网,通过AC映射的公网地址上线,终端连接web认证信号出现掉线
故障排查:
1)、AC和AP的版本和AC配置没有问题
2)、由于AP在分支,无法通过登入AP查看相关的日志,则可以通过sh wlan diag sta sta-mac 终端mac 进行查看下线的原因代码(环境中出现以下两种原因代码)
(1)reason-code = 103 :针对同一种web认证方式,不同mac终端在连接相同web认证方式的无线信号时获取相同ip地址会出现抢占导致下线,可通过关闭抢占功能解决(默认关闭),开启抢占功能命令:web-auth sta-preemption enable
(2)reason-code = 13 :针对不同web认证方式(如一代web认证和微信连WiFi),不同mac终端获取在连接不同web认证方式的无线信号时获取相同ip地址会出现抢占导致下线,只能通过保证ip地址不冲突解决
注: 以上代码均是不同的终端获取相同的ip地址导致,由于web认证都是ip索引,所以相同IP地址抢占导致下线(若开启dhcp snooping 也可通过sh ip dhcp snooping | 离线终端的ip地址可以查看到是否存在两个项)
(3) reason-code = 15 :AC到portal服务不通或者是丢包,即AC认为portal服务down了,如果没有开启逃生功能,AC也会踢终端下线
问题解决: 确认客户在不同的分支中无线用户均使用相同网段的dhcp地址池,导致不同的分支用户获取到相同的ip地址,将网段修改解决。
8、
web认证,终端通过软件跳过认证,不用认证即可上网
一、现象:
安装软件后可以跳过认证直接上网
二、排查:
1、核对过配置正常,如果用户不用软件是需要进行的认证
2、确定是首次认证的 不是走无感知上网的
3、抓包定位:
正常进行重定向了,但是手机页面是不显示的。 在ap上联口抓包(本地转发):
定位发现所有的上网数据都是通过dns协议报文发送出去的,而且是固定这两个地址,初步怀疑是伪造成dns报文上网导致的。
三、解决方案:
1、通过禁止这两个dns解决
2、放通本地的dns,拒接除本地外的所有dns
9、WS SMP服务器修改ip地址后,web认证失败,返回4101报错
故障排查:
客户那边记账和认证方法调用的是默认的radius,但是radius-server host配置了两条,最开始正常的时候smp的地址在第一条,但是后来将smp的地址删除了,又添加了一条smp地址的配置,添加后第一条的ip地址是10.10.10.100不是smp的地址,第二条是10.10.10.200(真实的smp服务器地址),导致ac向第一个服务器发radius报文了,一段时间ac没有收到认证成功报文,设备就给portal发起认证失败的回应。
问题解决:
客户已经将smp的服务器地址建立了服务器组,smp为组名,将认证和记账方法里面的服务器不用默认的radius,修改为smp后,ac就向smp这个服务器发起radius报文了,问题解决。(或者将radius-server host都删除掉,将smp对应地址的那一条先配置,但是这样的话对于另外一个已经再用的认证会影响一段时间,慎用。)
终端经过一小时的低流量检测下线,在radius服务器上查看下线原因:用户上网时间已用完,并未显示对应的低流量下线。
原因:目前设备的实现是在没有关闭链路检测功能的时候,如果设备发现终端解关联,Web认证用户会下线,同时给Radius服务器传的下线原因是code 2,表示用户是由于无线链路断开下线;在关闭链路检测功能的时候,由于这个功能关闭之后,就算终端解关联,Web认证用户的表项也会存在,在这种情况下当前设备的实现是会根据设备低流量下线的配置时间,让Web认证的表项继续存在一段时间,等这个时间到达之后,Web认证的表项就会删除,同时通告Radius服务器用户下线,下线原因是code 5,表示用户可用时长到达下线。
解决方案:开启链路检查功能。
故障排查:
1)、AC和AP的版本和AC配置没有问题
2)、由于AP在分支,无法通过登入AP查看相关的日志,则可以通过sh wlan diag sta sta-mac 终端mac 进行查看下线的原因代码(环境中出现以下两种原因代码)
(1)reason-code = 103 :针对同一种web认证方式,不同mac终端在连接相同web认证方式的无线信号时获取相同ip地址会出现抢占导致下线,可通过关闭抢占功能解决(默认关闭),开启抢占功能命令:web-auth sta-preemption enable
(2)reason-code = 13 :针对不同web认证方式(如一代web认证和微信连WiFi),不同mac终端获取在连接不同web认证方式的无线信号时获取相同ip地址会出现抢占导致下线,只能通过保证ip地址不冲突解决
注: 以上代码均是不同的终端获取相同的ip地址导致,由于web认证都是ip索引,所以相同IP地址抢占导致下线(若开启dhcp snooping 也可通过sh ip dhcp snooping | 离线终端的ip地址可以查看到是否存在两个项)
(3) reason-code = 15 :AC到portal服务不通或者是丢包,即AC认为portal服务down了,如果没有开启逃生功能,AC也会踢终端下线
问题解决: 确认客户在不同的分支中无线用户均使用相同网段的dhcp地址池,导致不同的分支用户获取到相同的ip地址,将网段修改解决。
一、现象:
安装软件后可以跳过认证直接上网
二、排查:
1、核对过配置正常,如果用户不用软件是需要进行的认证
2、确定是首次认证的 不是走无感知上网的
3、抓包定位:
正常进行重定向了,但是手机页面是不显示的。 在ap上联口抓包(本地转发):
定位发现所有的上网数据都是通过dns协议报文发送出去的,而且是固定这两个地址,初步怀疑是伪造成dns报文上网导致的。
三、解决方案:
1、通过禁止这两个dns解决
2、放通本地的dns,拒接除本地外的所有dns
9、WS SMP服务器修改ip地址后,web认证失败,返回4101报错
问题解决: