【Eportal】Web认证环境下，用户在PC浏览器地址栏内输入URL网址，未跳转到认证登录页面

1、故障现象
    Web认证环境下，用户在PC浏览器地址栏内输入URL网址，未跳转到认证登录页面。

2、故障可能原因
1) ePortal服务器未启动
2) 接入设备的WEB认证配置错误
3) 接入设备未登记到ePortal服务器
4) 接入设备是否支持降噪配置

3、故障处理流程

4、故障处理步骤

步骤1 排查ePortal服务是否正常运行
1.    点击ePortal服务器桌面的程序图标 ，弹出ePortal服务管理器的控制台界面，v1.41版本服务管理器界面如下：

v1.40及之前版本的服务管理器界面如下：

2.    排查ePortal服务是否启动成功，ePortal服务正常运行有如下特征：
² 查看“服务控制”的服务状态，“启动服务”按钮置灰，“停住服务”按钮可点击
² 查看服务管理器控制台输出的日志，提示“ePortal系统启动成功!”
3.    若ePortal服务器未正常启动，点击“启动服务”按钮，重新启动ePortal服务器，待服务器出现上述启动成功特征，说明ePortal服务已启动成功。

排除ePortal服务器启动的问题后，若依然跳转不成功，则进入下一步骤的排查。

步骤2 排查接入设备配置是否正确
1.     在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“http://www.baidu.com”，提交请求；
2.     观察浏览器地址栏是否出现跳转地址，若没有URL没有跳转，且页面无法访问，如下：
 

或者URL跳转了，但不是以“http://xxx.xxx.xxx.xxx/eportal/index.jsp”开头的URL地址，如下图：
 

若出现以上现象，说明PC所在的接入设备的Web认证配置不正确，需要重新配置，继续排查接入设备的配置；
3.     根据现场的网络规划，确认PC所在接入设备的类型，目前Web认证接入设备主要是我司的有线交换机、无线交换机以及ACE网关设备等。
4.     若Web认证接入设备为有线交换机，通过交换机的Console口登录设备，检查Web认证的配置信息是否正确。
  ² 典型的有线交换机web认证模板（以S26系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 未认证用户访问直通地址，用于学习网关arp，通常设置网关（如192.168.33.1）为直通地址 */
Ruijie(config)# http redirect direct-site 192.168.33.1 arp
/* 设置重定向页面的主页，实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 
/* 设置直通地址，即ePortal服务器地址，如“192.168.51.180” */
Ruijie(config)# http redirect 192.168.51.180
Ruijie(config)# interface FastEthernet 0/1
/* 端口必须开启web认证受控，否则该端口下接设备web认证不生效  */
Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 
/* 启用snmp community配置，其中团体名为public，可根据实际情况修改  */
Ruijie(config)# snmp-server community public rw
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（192.168.51.180），团体名为public，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth
Ruijie(config)# snmp-server enable traps web-auth

注意： 本例中http redirect direct-site 192.168.33.1 arp 是重要配置，若没有将网关地址配置为直通地址，可能出现重定向页面后找不到ePortal服务器的问题。

5.     若Web认证接入设备为无线交换机，通过交换机的Console口登录设备，检查Web认证的配置信息是否正确。
 注意：无线交换机有两种Web认证配置方案，第一种配置方案与有线交换机类似，简称一代Portal认证；第二种配置方案与有线交换机差别较大，配置内容相对更加简单，简称二代Portal认证。两种配置方案在网络拓扑连线上没有区别，仅配置内容有所差别。
² 典型的无线一代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 设置直通地址，即ePortal服务器地址，如“172.20.1.100” */
Ruijie(config)# http redirect 172.20.1.100
/* 设置重定向页面的主页，实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp
/* 启用snmp community配置，其中团体名为web-auth，可根据实际情况修改  */
Ruijie(config)# snmp-server community web-auth rw
Ruijie(config)# snmp-server enable traps web-auth
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（172.20.1.100），团体名为web-auth，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth
Ruijie(config)# wlansec 100
/* 必须启用基于WLAN的web认证受控，否则web认证不生效 */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

² 典型的无线二代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 创建全局Portal服务器，服务器名为default、IP地址172.20.1.10（可修改ePortal服务IP）、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */
Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp
/* 配置default服务器为全局使用的Portal服务器  */
Ruijie(config)# web-auth portal-type v2 default
/* 启用AAA认证记账功能  */
Ruijie(config)# aaa new-model
/* 配置Radius-server主机地址和通讯口令，host是SAM服务器IP地址，如172.20.1.20（可修改）；key为通讯口令，如ruijie（可修改）  */
Ruijie(config)# radius-server host 172.20.1.20 key ruijie
/* 配置AAA的Web认证方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa authentication web-auth default group radius
/* 配置AAA的记账方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa accounting network default start-stop group radius
/* 开启radius动态扩展授权，支持强制用户下线（DM）等功能 */
Ruijie(config)# radius dynamic-authorization-extension enable
Ruijie(config)# wlansec 100
/* 启用二代portal认证  */
Ruijie(wlansec)# web-auth portal-type v2 default
/* 基于WLAN开启Web认证功能  */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

6.     若Web认证接入设备为ACE设备，可登录ACE管理页面直接配置Web认证信息。
ACE设备的Web认证配置，主要配置信息有，SAM服务器地址，以及重定向URL地址，配置页面如下：
² ACEv5.0及之后的版本

² ACEv3.0及之前的版本

7.     完成接入设备的Web认证配置后，依照步骤1方法，PC机重新发起认证。

        排除接入设备配置的问题后，若依然跳转不成功，则进入下一步骤的排查。

步骤3 排查设备是否登记到ePortal服务器
1.     在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“http://www.baidu.com”，提交请求；
2.     观察浏览器地址栏是否出现跳转地址，如“http://xxx.xxx.xxx.xxx/eportal/index.jsp”等之类的URL地址，如下图：
 

若浏览器出现“设备未注册”的提示，则可以判断当前用户所在的接入设备未登记到ePortal服务器，或者接入设备类型不正确。
3.     按照以下步骤解决“设备未注册”的问题：
访问ePortal服务器，使用管理员帐号登录
 

2）访问ePortal服务器，使用管理员帐号登录后，选择“设备管理”菜单；

3）若接入设备未添加到ePortal服务器，则点击“添加设备”，录入接入设备信息，如下图：
 

4）若接入设备已添加到ePortal服务器，注意检查设备信息是否正确。ePortal登记的设备IP、设备类型若与接入设备实际配置不一致，也会出现设备不存在的提示。
5）修改设备信息，注意设备IP、设备类型以及web-auth portal key是否正确，如下图：

步骤4 排查接入设备是否支持降噪配置
在网络环境没有变化的情况下，若认证业务高峰期出现Web认证无法跳转，而在平时都可以正常认证，需要检查web认证的接入设备是否支持降噪。
降噪是指接入设备屏蔽非浏览器发起的http请求，需要接入设备更新到特定软件版本才能支持。按照以下步骤确认接入设备是否支持降噪配置：
1.     首先查看接入设备的软件版本信息，通过Console口登录接入设备，查看设备软件版本信息；
2.     若接入设备为交换机设备，进入特权模式，输入“show version”，如下；
 

查看software version信息，若软件版本低于RGOS 10.3版本，则交换机版本不支持web认证降噪，需要升级到最新版本，请联系4008111000索取最新版本信息。
3.     若接入设备为AC设备，进入特权模式，输入“show version”，如下；
 

查看software version信息，若软件版本低于RGOS 10.4(1T17)版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本，联系4008111000协助处理。
4.     若接入设备为ACE设备，首先识别ACE硬件版本，若是ACEv5.0设备直接输入“show version”，如下；

查看version信息，若软件版本低于3.4.0版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本。ACEv3.0不支持降噪功能，请先升级到  ACEv5.0版本。具体ACE升级版本和操作步骤，请联系4008111000协助处理。

检查接入设备版本符合降噪配置的要求，若依然认证跳转不成功，则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1.  ePortal软件版本号
登录ePortal系统，点击“关于系统”，弹出版本信息。如下图例：
 

2.  接入设备的配置信息
若接入设备为交换机或AC无线设备，登录设备进入特权模式，执行“show run”命令，将输出结果保存成文件。
若接入设备为ACE设备，请将“认证服务器配置”的配置内容截图。
3.  ePortal服务器填写的设备信息
进入“设备管理”菜单，选择查看设备，弹出设备详细信息。请截图说明，示例如下：

4.  提供PC端和ePortal端的报文
1)  分别在PC端和ePortal服务端，打开wireshark工具，并监控网卡，准备开始抓包；
2)  在PC上执行一次完整的web认证操作；
3)  完成web认证操作后，停止wireshark抓包，将抓取的报文保存成pcap文件；
4)  提交pcap报文时，请附带说明报文文件的来源（PC端、ePortal端）以及来源的IP地址。