portal认证故障排查

1、 3/3portal认证故障排查 版权所有:杭州华三通信技术有限公司 portal认证故障排查 一、开始 定位故障的思路是：以Portal认证流程为排查方向，先确保终端正常获取IP地址及DNS解析正常，然后查看终端Web页面是否可以重定向成 功，再查看设备侧Portal、Portal Server相关状态是否正常，最后查看客户端、Server上记录的下线原因及设备上的相关Log。 1、检查Portal、AAA、Domain等配置 检查Portal、AAA、Domain等配置，各部分注意事项如下： Portal 部分： 在全局配置Portal Server且在三层接口下使能Portal认证。 例

2、如：通过当前配置可确认在全局配置的Portal 1中使能了Portal认证。 Server为且在vlan 配置Radius Scheme认证方案，指定认证、计费服务器。配置Nas- Ip且保证Nas-Ip到 认证、计费服务器可达。同时保证User-Name-Format和Server-Type与Radius Server 匹配。 例如：通过当前配置可知Radius Scheme的Server- Type为Extended，User-Name-Format为Without- Domain。认证计费Server都为。 版权所有:杭州华三通信技术有限公司 Domain部分： 在Domain视图下引用

3、相应的Radius Scheme方案，认证授权方案必须同时指定。 例如：通过当前配置可知，Domain下引用的Radius Scheme方案为h3c 。 2、确保终端正常获取IP地址且DNS解析成功 Portal 根据终端发送的HTTP报文来进行重定向，必须确保终端在认证前通过D HCP或者 静态配置的方式获取到正确的IP地址且DNS解析成功，这样浏览器才可以正常发送HTTP 版权所有:杭州华三通信技术有限公司 报文。 3、推送认证页面是否成功 在浏览器中访问任意网站，设备都会将其重定向至认证页面。 4、Portal状态是否为Running 正常情况下下Portal的运行状态为Running。

4、 命令：display portal interface Vlan-interface vlan_id 例如：通过命令查看，可以确认Vlan 1 接口下的Portal 功能是正常运行的。 5、查看设备ACL资源使用情况 查看设备是否有充足的ACL资源（IFP ACL）。如果设备ACL资源不足会导致在接口下使能portal时提示Porta l 已经Enable但没有Running。 命令：display acl resource 例如：通过命令查看，可以确认目前设备上ACL剩余：2816条。 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 6、Portal Sever状态

5、是否正常 正常情况下Portal Perver的状态应该为Up或N/A 。 设备上Portal Server如果是处于Down状态，此时对Http报文不会进行重定向操作。命令：display portal server servername 例如：通过命令查看，可以确认Portal Server处于正常的Up状态。 7、查看设备与Portal Server间路由，确保设备可以收到心跳报文 设备上Portal Server如果是处于Down状态，说明Portal设备无法收到Portal Server的心跳报文，需要排查设备与Portal Server间路由且确保Portal Server使能逃生

6、心跳且确保设备上配置的逃生心跳时间间隔应大于IMC 上配置的时间间隔。 例如，从下图可知Portal Server上使能了逃生及用户心跳，时间分别为20秒。 8、确保终端与Portal Server之间的联通性 设备将页面重定向到Portal Server的页面后，后期终端与Portal Server之间交互的HTTP报文在设备是透明传输的。因此终端重定向成功的前提条件是必须保证终端与Portal Server之间的联通性。 9、查看AAA Server状态为Active 确保AAA Server服务器的状态是Active的。 命令：display radius scheme scheme-n

7、ame 例如：通过命令查看，可以确认Scheme方案中的主认证及计费服务器处于Active状态。 版权所有:杭州华三通信技术有限公司 10、查看客户端、Server上记录的下线原因 根据客户端及Server上常见的下线原因初步判断故障点。 例如，下线原因为User Request，表示用户主动下线。如启用策略服务器的情况下，若iNode 客户端与策略服务器通信的端口（Udp 9019）不通，iNode会给出类似“未收到服务器回应，即将强行下线”的提示。 例如，如下是iNode客户端与策略服务器通信的端口不通导致的下线。 版权所有:杭州华三通信技术有限公司 11、查看认证过程中设备上打印的Log 如果用户认证失败会有一些简单的原因提示。 （1）下面的Log显示该用户的下线原因为User Request，一般由客户端原因导致。 （2）下面的Log显示该用户的下线原因为Admin Reset，一般是由于人为操作强制用户下线的，或者设备上配置了在线用户同步功能，但是IMC上未使能该功能，导致设备收不到相关用户的在