终端无法打开Portal认证页面，但是可以访问“http://Portal服务器-IP:8080/portal”的故障定位方法。

终端无法打开Portal认证页面，但是可以访问“http://Portal服务器-IP:8080/portal”的故障定位方法。

现象描述

终端无法打开Portal认证页面，但是可以正常访问“http://Portal服务器-IP:8080/portal”。

可能原因

通过IP地址能够直接访问Portal服务器，说明终端和Portal服务器之间的网络连接正常，则出现无法打开Portal认证页面的原因可能有：

    接入控制设备上VLANIF接口下未绑定Portal服务器模板。

    接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确，导致交换机/AC无法将终端的http请求重定向至Portal服务器。

    终端在未进行身份认证的情况下访问的是HTTPS网站。

    DNS服务器未配置到认证前域，导致终端认证通过前无法访问DNS服务器，进而无法解析域名。

    终端上没有配置DNS服务器，导致终端无法解析域名，进而无法产生HTTP流量触发Portal认证页面。

定位思路

处理步骤

（1）检查在终端访问“http://x.x.x.x”（x.x.x.x为认证后域的IP地址，不一定是真实环境中的Web服务器IP地址）是否能够打开Portal认证页面，以便确认是不是接入控制设备配置有误导致终端无法打开Portal认证页面。

    接入控制设备是通过检测终端HTTP流量触发Portal页面推送动作。在终端的浏览器访问“http://x.x.x.x”，终端发出的HTTP流量会经过接入控制设备，触发Portal认证页面推送动作。访问URL地址“http://x.x.x.x”而不是“http://www.example.com”，可以排除DNS解析故障。

        如果浏览器无法正常跳转到Portal认证页面，则表明接入控制设备配置有误，请参见2～3检查接入控制设备的配置。

        如果浏览器能够正常跳转到Portal认证页面，则表明终端HTTP流量能够正常触发Portal认证页面推送动作，可能是DNS解析问题导致Portal认证页面无法推送，请参见4～6排查。

（2）检查接入控制设备上用户接入的VLANIF接口下是否绑定Portal服务器模板。

对于AC V200R006C10（不含V200R006C10）以下的版本，直接查看VLANIF接口的配置就能看到。

<HUAWEI> display interface vlanif 101

 ip address 192.168.1.1 255.255.255.0                                          

 web-auth-server portal_huawei direct    //VLANIF接口下绑定Portal服务器模板                                         

 dhcp select interface                                                         

 dhcp server dns-list 172.18.1.2

对于AC V200R006C10（含V200R006C10）及以上版本，需要先通过VAP模板的信息查看用户接入的VLANIF接口关联的认证模板。

<AC6605>  display vap-profile name default

--------------------------------------------------------------------------------

Service mode                     : enable

Type                             : service

Forward mode                     : SoftGRE

mDNS centralized-control         : disable

Offline management               : disable

Service VLAN ID                  : 101          //VAP模板下绑定的VLAN

Service VLAN Pool                : -

SSID profile                     : default

Security profile                 : default

Traffic profile                  : default

Authentication profile           : auth_portal   //VAP模板下绑定的认证模板

SAC profile                      :

Hotspot2.0 profile               :

UCC profile                      :

User profile                     :

SoftGRE profile                  : soft1

--------------------------------------------------------------------------------

再通过查看认证模板的信息，找到认证模板下绑定Portal接入模板。

<AC6605> display authentication-profile configuration name auth_portal

  Profile name               : auth_portal                                          

  Portal access profile name : acc_portal     //认证模板下绑定Portal接入模板                                         

  Free rule template         : default_free_rule                                           

  Authentication-scheme name : auth_scheme                                            

  Accounting-scheme name     : acco_scheme                                            

  Authorization-scheme name  : -                                           

  Service-scheme name        : -                                           

  RADIUS-server template     : radius_template                                           

  HWTACACS-server template   : -                                           

  User-group                 : -                                          

  Flow-statistic             : Disable                                     

  Auth-fail Re-auth Period   : 60s                                         

  Pre-auth Re-auth Period    : 60s                                         

  Bound vap profile          : -

再通过查看Portal接入模板的信息，找到Portal接入模板下绑定的Portal服务器模板。

<AC6605> display portal-access-profile configuration name acc_portal

  Profile name                 : acc_portal                                                                                                

  User-group name              : g1                                                                                                

  Re-auth                      : Enable

  Network IP Num               : 3                                                                                                 

  Network IP List              : 10.1.1.0 255.255.255.0                                                                            

                                 10.10.1.0 255.255.255.0                                                                             

                                 10.1.2.0 255.255.255.0                                                                              

  Web-auth-server Name         : portal_huawei      //Portal接入模板下绑定的Portal服务器模板                                                                                                 

  Layer                        : Layer two portal                                                                                  

  Local-server                 : Disable                                                                                           

  Local-server anonymous       : Enable                                                                                            

  Bound authentication profile : -

如果Portal接入模板下没有绑定Portal服务器模板，请绑定；如果已绑定Portal服务器模板，请参见3检查Portal服务器模板下配置的URL地址是否正确。

（3）检查接入控制设备上URL模板中配置的Portal认证页面的URL地址是否正确。

以AC为例进行说明，交换机的配置可参照AC命令执行。

<AC> display web-auth-server configuration

在输出结果中URL字段右侧检查业务控制器URL地址、端口和路径是否正确。

Portal认证页面的URL地址格式为：

    http://业务控制器IP地址:8080/portal

    http://业务控制器域名:8080/portal

在Web浏览器访问Portal认证页面URL地址，如果能正常显示Portal认证页面则表明正常。

请不要将Portal认证页面URL地址配置为如下几个地址，否则将导致页面无法推送或者推送的页面不正确。

    http://业务控制器IP地址:8084/auth

    http://业务控制器IP地址:8084/newauth

    http://业务控制器IP地址:8080/auth

    http://业务控制器IP地址:8080/newauth

（4）检查终端在未进行身份认证的情况下访问的是否为HTTPS网站。

    对于AC V200R006之前的版本（不含V200R006），不支持HTTPS流量触发Portal认证页面推送动作。

    对于AC V200R006及其以后的版本，需要配置如下命令即可支持HTTPS流量触发Portal认证页面推送动作。

    <AC> system-view

    [AC] portal https-redirect enable

（5）检查是否所有的DNS服务器的IP地址都已经在交换机/AC上通过free-rule予以放行。

咨询网络管理员内部所有DNS服务器的IP地址。

在交换机/AC上查看free-rule的配置。下面的命令以AC V200R006C20版本为例进行说明。

<AC> display free-rule-template configuration name free-rule-name

如果企业内部所有DNS服务器的IP地址不全在放行的地址列表中，请把DNS服务器地址加入放行的地址列表。

<AC> system-view

[AC] free-rule-template name default_free_rule

[AC-free-rule-template-default_free_rule] free-rule 1 destination ip 10.72.55.103 mask 32 source ip any

[AC-free-rule-template-default_free_rule] free-rule 2 destination ip 10.72.255.100 mask 32 source ip any

[AC-free-rule-template-default_free_rule] free-rule 3 destination ip 10.98.48.39 mask 32 source ip any

检查终端的DNS是否已配置。

如果终端的DNS未配置，会导致终端无法解析域名，进而无法产生HTTP流量触发Portal认证页面推送。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html