DNS解析异常也会导致web认证界面无法弹出,在浏览器地址栏输入1.1.1.1看下是否有跳转,能否弹出认证界面。如果pc上nslookup不能解析IP地址或者浏览器输入1.1.1.1可以弹出认证界面
解决方法:检查电脑DNS是否正确,更换成当地运营商或者114.114.114.114的DNS
修改DNS位置:【网络】-【DHCP配置】-【服务器端配置】选择对应DHCP点击【编辑】,更换DNS后点击【完成编辑】
检查内网用户是否在免认证用户里
解决方法:
第二代NBR的web调试:【用户管理】-【上网实名策略】-【内置web认证服务器】-【高级设置】-【免认证用户IP】删除
第四代NBR的web调试:【用户】-【WEB认证】-【WEB认证免认证】删除
检查浏览器触发的网站是否https,如果是则,
解决方法:
1) 更换成http网站测试,比如www.qq.com
2) 重定向HTTP端口添加443
在【内置web认证服务器】-【高级配置】-【重定向HTTP端口】添加443后再保存
如果出现手工在浏览器输入认证页面url,可以打开;关闭防攻击就正常,否则重定向失效
原因分析:以下命令会影响重定向的过程,但是客户需求是既要不影响重定向认证,同时又要开启防攻击,CPU不能太高
control-plane protocol
scpp list 119 bw-rate 500 bw-burst-rate 600
no acpp
ip access-list extended 119
10 deny icmp any any
20 deny ip host 172.16.0.1 any
30 permit ip any any
解决方法:
1)调整control-plane防攻击策略
ip access-list extended 119
10 deny icmp any any
20 deny ip host 172.16.0.1 any
21 deny tcp any any eq www
30 permit ip any any
ef-rnfp enable
security web permit 172.16.0.1
anti-arp-spoof scan 20
attack threshold 500
!
control-plane protocol
scpp list 119 bw-rate 500 bw-burst-rate 600
no acpp
!
control-plane manage
port-filter
arp-car 10 log
scpp list 119 bw-rate 500 bw-burst-rate 600
!
control-plane data
no glean-car
scpp list 119 bw-rate 500 bw-burst-rate 600
no acpp
!
2)增加web认证模块的防攻击:解决web认证无法重定向问题
http redirect session-limit 30 port 1000
为了防止一个未认证的用户发起过多的HTTP连接请求,设备可限制未认证用户的最大HTTP会话数,当这个数值设置太小时,将无法弹出认证页面。
比如:修改最大HTTP会话数为默认值255.
另外日志如果有如下提示,也说明达到了上限。
解决方法:将http会话数设置大些
第二代NBR设置http会话数位置:
【用户管理】-【上网实名策略】-【高级设置】
第四代NBR设置http会话数位置:
【用户】-【WEB认证】-【WEB认证】-【高级设置】
我们默认的会话数限制是:每ip 255 每port 300,建议改成每ip50,port2000尝试。
http redirect session 50 port 2000
开启禁止内网web登录的功能后,该功能将会禁止内网用户通过http方式访问设备管理地址,因此web认证的认证页面http://x.x.x.x:8081也将会被禁止,所以会导致认证页面无法弹出。因此在使用web认证时,不可同时开启禁止内网web功能。
解决方法:关闭禁止内网web功能的方法如下
第二代NBR关闭方式:【流控/行为/安全】-【防攻击/ACL】-【防ARP攻击】-【禁止内网登录设备web系统】的勾去掉
第四代NBR关闭方式:【安全】-【本地防攻击】-【本地防攻击】-【禁止内网登录设备web系统】的勾去掉
7、web-auth enable没开启或其他问题
通过在命令行debug scc portinfo查看受控口是否被打开,如下图,端口显示状态为w,且全局Global也为w,则web认证生效,如果确实web开启了web认证后,这里显示为非w状态,则查看cli命令是否存在web-auth enable命令,如果存在建议收集故障信息联系400
