【Eportal】Web认证环境下,用户在PC浏览器地址栏内输入URL网址,未跳转到认证登录页面

发布时间: 2013-11-23 点击量:8059 打印 字体:

1、故障现象
    Web认证环境下,用户在PC浏览器地址栏内输入URL网址,未跳转到认证登录页面。

2、故障可能原因
1) ePortal服务器未启动
2) 接入设备的WEB认证配置错误
3) 接入设备未登记到ePortal服务器
4) 接入设备是否支持降噪配置

3、故障处理流程

4、故障处理步骤

步骤1 排查ePortal服务是否正常运行
1.    点击ePortal服务器桌面的程序图标 ,弹出ePortal服务管理器的控制台界面,v1.41版本服务管理器界面如下:

v1.40及之前版本的服务管理器界面如下:

2.    排查ePortal服务是否启动成功,ePortal服务正常运行有如下特征:
² 查看“服务控制”的服务状态,“启动服务”按钮置灰,“停住服务”按钮可点击
² 查看服务管理器控制台输出的日志,提示“ePortal系统启动成功!”
3.    若ePortal服务器未正常启动,点击“启动服务”按钮,重新启动ePortal服务器,待服务器出现上述启动成功特征,说明ePortal服务已启动成功。

排除ePortal服务器启动的问题后,若依然跳转不成功,则进入下一步骤的排查。

 

步骤2 排查接入设备配置是否正确
1.     在认证PC机的浏览器地址栏内输入访问网站的URL地址,如“http://www.baidu.com”,提交请求;
2.     观察浏览器地址栏是否出现跳转地址,若没有URL没有跳转,且页面无法访问,如下:
 

或者URL跳转了,但不是以“http://xxx.xxx.xxx.xxx/eportal/index.jsp”开头的URL地址,如下图:
 

若出现以上现象,说明PC所在的接入设备的Web认证配置不正确,需要重新配置,继续排查接入设备的配置;
3.     根据现场的网络规划,确认PC所在接入设备的类型,目前Web认证接入设备主要是我司的有线交换机、无线交换机以及ACE网关设备等。
4.     若Web认证接入设备为有线交换机,通过交换机的Console口登录设备,检查Web认证的配置信息是否正确。
  ² 典型的有线交换机web认证模板(以S26系列设备为例)如下:
Ruijie# configure terminal
/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 未认证用户访问直通地址,用于学习网关arp,通常设置网关(如192.168.33.1)为直通地址 */
Ruijie(config)# http redirect direct-site 192.168.33.1 arp
/* 设置重定向页面的主页,实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 
/* 设置直通地址,即ePortal服务器地址,如“192.168.51.180” */
Ruijie(config)# http redirect 192.168.51.180
Ruijie(config)# interface FastEthernet 0/1
/* 端口必须开启web认证受控,否则该端口下接设备web认证不生效  */
Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 
/* 启用snmp community配置,其中团体名为public,可根据实际情况修改  */
Ruijie(config)# snmp-server community public rw
/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(192.168.51.180),团体名为public,均可根据实际情况修改*/
Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth
Ruijie(config)# snmp-server enable traps web-auth

注意: 本例中http redirect direct-site 192.168.33.1 arp 是重要配置,若没有将网关地址配置为直通地址,可能出现重定向页面后找不到ePortal服务器的问题。

5.     若Web认证接入设备为无线交换机,通过交换机的Console口登录设备,检查Web认证的配置信息是否正确。
 注意:无线交换机有两种Web认证配置方案,第一种配置方案与有线交换机类似,简称一代Portal认证;第二种配置方案与有线交换机差别较大,配置内容相对更加简单,简称二代Portal认证。两种配置方案在网络拓扑连线上没有区别,仅配置内容有所差别。
² 典型的无线一代portal认证模板(以WS57系列设备为例)如下:
Ruijie# configure terminal
/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 设置直通地址,即ePortal服务器地址,如“172.20.1.100” */
Ruijie(config)# http redirect 172.20.1.100
/* 设置重定向页面的主页,实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp
/* 启用snmp community配置,其中团体名为web-auth,可根据实际情况修改  */
Ruijie(config)# snmp-server community web-auth rw
Ruijie(config)# snmp-server enable traps web-auth
/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(172.20.1.100),团体名为web-auth,均可根据实际情况修改*/
Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth
Ruijie(config)# wlansec 100
/* 必须启用基于WLAN的web认证受控,否则web认证不生效 */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

² 典型的无线二代portal认证模板(以WS57系列设备为例)如下:
Ruijie# configure terminal
/* 创建全局Portal服务器,服务器名为default、IP地址172.20.1.10(可修改ePortal服务IP)、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */
Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp
/* 配置default服务器为全局使用的Portal服务器  */
Ruijie(config)# web-auth portal-type v2 default
/* 启用AAA认证记账功能  */
Ruijie(config)# aaa new-model
/* 配置Radius-server主机地址和通讯口令,host是SAM服务器IP地址,如172.20.1.20(可修改);key为通讯口令,如ruijie(可修改)  */
Ruijie(config)# radius-server host 172.20.1.20 key ruijie
/* 配置AAA的Web认证方法列表,使用默认的RADIUS组 */
Ruijie(config)# aaa authentication web-auth default group radius
/* 配置AAA的记账方法列表,使用默认的RADIUS组 */
Ruijie(config)# aaa accounting network default start-stop group radius
/* 开启radius动态扩展授权,支持强制用户下线(DM)等功能 */
Ruijie(config)# radius dynamic-authorization-extension enable
Ruijie(config)# wlansec 100
/* 启用二代portal认证  */
Ruijie(wlansec)# web-auth portal-type v2 default
/* 基于WLAN开启Web认证功能  */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

6.     若Web认证接入设备为ACE设备,可登录ACE管理页面直接配置Web认证信息。
ACE设备的Web认证配置,主要配置信息有,SAM服务器地址,以及重定向URL地址,配置页面如下:
² ACEv5.0及之后的版本

 

² ACEv3.0及之前的版本

7.     完成接入设备的Web认证配置后,依照步骤1方法,PC机重新发起认证。

        排除接入设备配置的问题后,若依然跳转不成功,则进入下一步骤的排查。

 

步骤3 排查设备是否登记到ePortal服务器
1.     在认证PC机的浏览器地址栏内输入访问网站的URL地址,如“http://www.baidu.com”,提交请求;
2.     观察浏览器地址栏是否出现跳转地址,如“http://xxx.xxx.xxx.xxx/eportal/index.jsp”等之类的URL地址,如下图:
 

若浏览器出现“设备未注册”的提示,则可以判断当前用户所在的接入设备未登记到ePortal服务器,或者接入设备类型不正确。
3.     按照以下步骤解决“设备未注册”的问题:
访问ePortal服务器,使用管理员帐号登录
 

2)访问ePortal服务器,使用管理员帐号登录后,选择“设备管理”菜单;

3)若接入设备未添加到ePortal服务器,则点击“添加设备”,录入接入设备信息,如下图:
 

4)若接入设备已添加到ePortal服务器,注意检查设备信息是否正确。ePortal登记的设备IP、设备类型若与接入设备实际配置不一致,也会出现设备不存在的提示。
5)修改设备信息,注意设备IP、设备类型以及web-auth portal key是否正确,如下图:

步骤4 排查接入设备是否支持降噪配置
在网络环境没有变化的情况下,若认证业务高峰期出现Web认证无法跳转,而在平时都可以正常认证,需要检查web认证的接入设备是否支持降噪。
降噪是指接入设备屏蔽非浏览器发起的http请求,需要接入设备更新到特定软件版本才能支持。按照以下步骤确认接入设备是否支持降噪配置:
1.     首先查看接入设备的软件版本信息,通过Console口登录接入设备,查看设备软件版本信息;
2.     若接入设备为交换机设备,进入特权模式,输入“show version”,如下;
 

查看software version信息,若软件版本低于RGOS 10.3版本,则交换机版本不支持web认证降噪,需要升级到最新版本,请联系4008111000索取最新版本信息。
3.     若接入设备为AC设备,进入特权模式,输入“show version”,如下;
 

查看software version信息,若软件版本低于RGOS 10.4(1T17)版本,则AC交换机版本不支持web认证降噪,需要升级到最新版本,联系4008111000协助处理。
4.     若接入设备为ACE设备,首先识别ACE硬件版本,若是ACEv5.0设备直接输入“show version”,如下;

查看version信息,若软件版本低于3.4.0版本,则AC交换机版本不支持web认证降噪,需要升级到最新版本。ACEv3.0不支持降噪功能,请先升级到  ACEv5.0版本。具体ACE升级版本和操作步骤,请联系4008111000协助处理。

检查接入设备版本符合降噪配置的要求,若依然认证跳转不成功,则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持,收集如下故障信息,进行故障进一步处理。
1.  ePortal软件版本号
登录ePortal系统,点击“关于系统”,弹出版本信息。如下图例:
 

2.  接入设备的配置信息
若接入设备为交换机或AC无线设备,登录设备进入特权模式,执行“show run”命令,将输出结果保存成文件。
若接入设备为ACE设备,请将“认证服务器配置”的配置内容截图。
3.  ePortal服务器填写的设备信息
进入“设备管理”菜单,选择查看设备,弹出设备详细信息。请截图说明,示例如下:

4.  提供PC端和ePortal端的报文
1)  分别在PC端和ePortal服务端,打开wireshark工具,并监控网卡,准备开始抓包;
2)  在PC上执行一次完整的web认证操作;
3)  完成web认证操作后,停止wireshark抓包,将抓取的报文保存成pcap文件;
4)  提交pcap报文时,请附带说明报文文件的来源(PC端、ePortal端)以及来源的IP地址。

 

00 分享 纠错
相关条目