【Eportal】Web认证成功后，用户下线异常，查看系统存在残留的在线用户信息

1、故障现象
Web认证成功后，用户下线异常，查看系统存在残留的在线用户信息。

2、故障可能原因
 1)  系统配置的下线参数不正确
 2)  设备SNMP配置不正确
 3)  浏览器缓存导致下线请求失败

3、故障处理流程

4、故障处理步骤

步骤1 排查有线设备的下线机制是否正确
1.   通过Console口登录到接入设备，执行”show run“命令，查看当前设备的配置信息。
2.   比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的有线交换机web认证模板（以S26系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 未认证用户访问直通地址，用于学习网关arp，通常设置网关（如192.168.33.1）为直通地址 */
Ruijie(config)# http redirect direct-site 192.168.33.1 arp
/* 设置重定向页面的主页，实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 
/* 设置直通地址，即ePortal服务器地址，如“192.168.51.180” */
Ruijie(config)# http redirect 192.168.51.180
Ruijie(config)# interface FastEthernet 0/1
/* 端口必须开启web认证受控，否则该端口下接设备web认证不生效  */
Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 
/* 启用snmp community配置，其中团体名为public，可根据实际情况修改  */
Ruijie(config)# snmp-server community public rw
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（192.168.51.180），团体名为public，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth
Ruijie(config)# snmp-server enable traps web-auth

注意： 本例中“snmp-server host 192.168.51.180 informs”和“snmp-server enable traps”是下线机制的重要配置，ePortal通过SNMP-Inform 消息通知交换机用户下线信息，交换机执行下线操作后，将结果通过SNMP-trap报文回应给ePortal。
3.   查看ePortal系统配置信息，确认“设备通讯设置”和“SNMP设置”的Community与设备配置一致。

排除设备下线机制的配置后，若依然下线异常，则进入下一步骤的排查。

步骤2 排查无线设备的下线机制是否正确
1.   通过Console口登录到接入设备，执行”show run“命令，查看当前设备的配置信息。
2.   无线交换机存在两种Web认证配置方法，分别称为一代Portal认证和二代Portal认证，比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的无线一代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 设置直通地址，即ePortal服务器地址，如“172.20.1.100” */
Ruijie(config)# http redirect 172.20.1.100
/* 设置重定向页面的主页，实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp
/* 启用snmp community配置，其中团体名为web-auth，可根据实际情况修改  */
Ruijie(config)# snmp-server community web-auth rw
Ruijie(config)# snmp-server enable traps web-auth
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（172.20.1.100），团体名为web-auth，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth
Ruijie(config)# wlansec 100
/* 必须启用基于WLAN的web认证受控，否则web认证不生效 */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意： 本例中AC采用一代Portal认证，与有线交换机认证配置基本一致，其中“snmp-server host 172.20.1.100 informs”和“snmp-server enable traps”是下线机制的重要配置，ePortal通过SNMP 报文通知交换机用户下线信息，交换机执行下线操作后，将结果通过SNMP trap报文回应给ePortal。

² 典型的无线二代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 创建全局Portal服务器，服务器名为default、IP地址172.20.1.10（可修改ePortal服务IP）、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */
Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp
/* 配置default服务器为全局使用的Portal服务器  */
Ruijie(config)# web-auth portal-type v2 default
/* 启用AAA认证记账功能  */
Ruijie(config)# aaa new-model
/* 配置Radius-server主机地址和通讯口令，host是SAM服务器IP地址，如172.20.1.20（可修改）；key为通讯口令，如ruijie（可修改）  */
Ruijie(config)# radius-server host 172.20.1.20 key ruijie
/* 配置AAA的Web认证方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa authentication web-auth default group radius
/* 配置AAA的记账方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa accounting network default start-stop group radius
/* 开启radius动态扩展授权，支持强制用户下线（DM）等功能 */
Ruijie(config)# radius dynamic-authorization-extension enable
Ruijie(config)# wlansec 100
/* 启用二代portal认证  */
Ruijie(wlansec)# web-auth portal-type v2 default
/* 基于WLAN开启Web认证功能  */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意： 本例AC采用二代Portal认证配置，与一代不同的是，AC与ePortal之间使用portal协议传递信息（包括下线信息），其中“ radius dynamic-authorization-extension enable ”命令必须配置，否则SAM强制用户下线功能失效。
3.   查看ePortal系统配置信息，确认“设备通讯设置”和“SNMP设置”的Community与设备配置一致。

排除设备下线机制的配置后，若依然下线异常，则进入下一步骤的排查。
 

步骤3 排查ACE设备的下线机制是否正确
1.   ACE设备作为Web认证接入设备时，用户在主动下线时，ePortal系统不会与ACE设备直接交互，而是通过SAM系统通知ACE设备用户下线信息。
首先，ePortal系统接收到用户下线请求后，向SAM系统发起Radius记账结束请求，记账结束后，SAM通过第三方上下线消息通知ePortal用户下线成功。
因此SAM必须启用“第三方上下线消息通知”功能，否则用户下线不成功。步骤如下：
 登录SAM管理界面，进入“系统配置”，查看“系统对接配置”下的“第三方上下线消息通知”处于启用状态。
 

其次，查看JMS消息服务是否正常。步骤如下：
1)  进入“开始”--“运行”，输入CMD命令，回车并打开命令窗口，如下：
 

2)  在命令窗口执行“netstat –aon”，查看JMS消息服务的进程信息，如下：

注意：若执行命令后，未输出任何信息，则说明8093端口未使用，即SAM系统的JMS服务没有启动，必须重启SAM服务。
3) 打开任务管理器，查看进程名称和进程ID信息，通过对比进程ID，确认占用JMS端口的进程是否SAM服务，如下：
 

注意：若比对进程ID后，占用8093端口的不是SAM进程，则必须结束该进程，并重启SAM服务。

排除设备下线机制的配置后，若依然下线异常，则进入下一步骤的排查。

步骤4 排查浏览器是否正确发送下线请求
 ePortal1.23(p1)及之前版本和ePortal1.40版本存在一个比较特殊的下线异常的故障，具体现象是，在浏览器缓存的情况下，不关闭下线成功页面再次认证，继续点击下线，网页提示“下线成功”；但事实上 ePortal 并未发起记账结束，导致用户仍然在线的情况。
该故障已经在ePortal1.23(p2)和ePortal1.40(p1)版本做了修订，可通过升级解决。
若暂无升级计划，通过以下步骤进行规避解决：
1.   以ePortal1.23版本为例，首先打开ePortal服务管理器，停止ePortal服务；
2.   进入ePortal的安装目录（如C:\RG-ePortal），找到“C:\RG-ePortal\jboss\server\default\deploy”路径下的WebPortal.ear文件，如下：

3.  备份WebPortal.ear到其他分区， 打开压缩包，将“WebPortal.ear\WebPortalWeb.war\logout.jsp”文件拖放到当前目录，如下：
 

4.   编辑logout.jsp文件，找到function logOut的函数方法， 在这个方法中将url地址后面加上一个随机参数 ；
 即：var url = “./user.do?method=logout&rnd=“+Math.random(); 如下：
 

5.   修改logout.jsp后，保存并关闭文件，并将该文件拖回“WebPortal.ear\WebPortalWeb.war”路径，替换旧文件，如下：
 

注意：与ePortal1.23版本不同，ePortal1.40的logout.jsp文件内找不到function logOut函数方法， 该方法路径已经迁移到“WebPortal.ear\WebPortalWeb.war\plugins\js\logout_js.jsp”，对应修改logout_js.jsp文件，其他操作不变。如下图：
 

6.   关闭WebPortal.ear和WebPortalWeb.war文件，重启ePortal服务。

排除浏览器未正确发送下线请求的故障后，若依然下线异常，则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1.  ePortal和SAM的软件版本号
登录ePortal系统，点击“关于系统”图标，弹出版本信息。如下图例：
 

登录SAM系统，点击右下角“关于”图标，弹出版本信息。如下图例：

2.  接入设备的配置信息
若接入设备为交换机或AC无线设备，登录设备进入特权模式，执行“show run”命令，将输出结果保存成文件。
若接入设备为ACE设备，请将“认证服务器配置”的配置内容截图。
3.  ePortal系统配置和SAM的系统配置截图
ePortal系统配置，关注Radius和SNMP配置部分，截图如下：
 

SAM的系统配置，关注系统对接配置部分，截图如下：
 

4.  ePortal服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，弹出设备详细信息。请截图说明，示例如下：
 

5.  SAM服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，弹出设备详细信息。请截图说明，示例如下：
 

6.  提供PC端、ePortal服务端、SAM服务端的报文
1)  分别在PC端、ePortal服务端和SAM服务端，打开wireshark工具，并监控网卡，准备开始抓包；
2)  在PC上执行一次完整的下线操作；
3)  完成web认证操作后，停止wireshark抓包，将抓取的报文保存成pcap文件；
4)  提交pcap报文时，请附带说明报文文件的来源（PC端、ePortal端、SAM端）以及来源的IP地址。