重复认证/未关注公众号做认证也可以上网/连上 wifi 就能上网

发布时间：2023-03-29

点击量：147

1、问题现象

过一会访问网页又需要认证/但未关注公众号做认证也能上网/连上 wifi直接就能上网

2、影响面

MACC-auth/MCP/RCP 内置MCP

3、解决方案

1、确认服务器和设备配置无误
2、确认服务器和设备、无线用户所在网段三者通信正常
3、若需要重复认证，请确认是否为微信认证，再确认用户的操作步骤，是否走完完整认证：
连上 wifi 触发弹广告页面，点免费上网后弹出引导页面，点击【打开微信】后需要手动搜索公众号并关注，再点击公众号里设置的菜单或者根据自动回复做微信认证并提示认证成功才可以
注意：微信认证必须放行微信流量，点击” 点此免费上网“和” 打开微信“后默认会临时放行 90s 全网上网时间，用来和微信通信以便做认证，所以这时候就算没有继续认证也可以上网 90s，会让用户误以为认证成功了
4、若是微信认证，请再是否开了获取手机号功能，但是没有同意授权获取手机号导致认证不成功
5、若是短信/固定账号认证，请确认协议是否为 wifidog 协议，但是却放行了微信流量
1） NBR/EG：请确认商业营销认证里，微信放行是否设置为不放行，若是，请忽略，若不是，请修改
2） AC：请确认是否配置了 free-url weixin 或 web-auth acl white-url api.weixin.qq.com 等相关微信流量放行命令
注意：若设置了微信放行，点击” 点此免费上网“后，默认会临时放行 90s 全网上网时间，本意是微信认证用来和微信服务器通信以便做认证，所以这时候就算没有继续认证也可以上网 90s，会让用户误以为认证成功了
以下为连上 wifi 直接就能上网的排查思路（具体文档也可搜索闪电兔”MACC-auth/online/WMC/MCP/RCP 终端连上 wifi 无需认证就能上网“下载获取）
6、请确认无线用户的 IP 地址是否在允许认证接入网段内允许认证接入网段：配置后，只有该网段内的用户会进行商业营销认证，其他网段直接放行
7、请确认用户是否为免认证用户
8、请确认用户是否已认证成功
1） MCP：可在“当前在线来宾”查看在线用户是否存在当前故障终端的 IP 地址或 MAC 地址
2） MACC：可在”监控“，左边导航栏”用户“里的”认证管理“查看所有认证用户里否存在当前故障终端的 IP 地址或 MAC 地址
3） NBR/EG：可在商业营销认证模块查看在线用户是否存在当前故障终端的 IP 地址或 MAC 地址
4） AC：可在命令行输入 show web-auth user ip/mac X.X.X.X 查看是否存在当前故障终端的认证记录（不同型号版本命令可能有所不同）
注意：若是用户之前认证成功过，但未达到下线检测时长又再次连上 wifi，此时由于设备底层仍保留该用户终端的在线表项，因为将直接认证成功
9、请确认是否开启了完全无感知导致之前认证过的用户直接连上 WiFi 就能上网
1） NBR/EG：确认商业营销认证是否开启 mac by pass
2） AC：确认是否配置 web-auth sta-perception enable
注意：若是开启了完全无感知，用户首次认证成功，后续再次连上 wifi 将自动完成认证， MACC 无感知有效时长为 30 天， MCP 无感知有效时长依据实际认证模板配置而定
10、请确认网络拓扑是否为纯二层/伪二层网络（仅针对 EG/NBR-E 设备）商业营销认证只支持二层网络（网关和 DHCP 都做在 EG/NBR-E 设备上）或三层网络做 DHCP 中继（网关在核心，核心做 DHCP 中继，把认证用户的 DHCP 移到 EG/NBR-E 设备上），若是三层做中继， EG/NBR
在商业营销认证高级设备里面网络类型需要勾选三层网络，并且勾选获取 mac 功能。
11、请确认设备是否开启了逃生功能
1） NBR/EG：确认商业营销认证是否开启用户逃生功能
2） AC：确认是否配置 web-auth portal-escape，若配置，请 no 掉
12、请确认是否私接小路由私接小路由下联用户不用认证可以直接上网。小路由为 NAT 模式时，认证设备认为小路由是一个终端，小
路由下面一个用户认证成功，其他用户都会被认证设备识别为小路由，导致第二个之后用户都不需要认证。