2020网络portal认证故障排查

portal认证故障排查一、开始定位故障的思路是：以Portal认证流程为排查方向，先确保终端正常获取IP地址及DNS解析正常，然后查看终端Web页面是否可以重定向成功，再查看设备侧Portal、PortalServer相关状态是否正常，最后查看客户端、Server因及设备上的相关Log。1、检查Portal、AAA、Domain等配置检查Portal、AAA、Domain等配置，各部分注意事项如下：Portal部分：在全局配置PortalServer且在三层接口下使能Portal认证。例如：通过当前配置可确认在全局配置的PortalServer为且在vlan1中使能了Portal认证。AAA部分：配置RadiusScheme认证方案，指定认证、计费服务器。配置Nas-Ip且保证Nas-Ip到认证、计费服务器可达。同时保证User-Name-Format和Server-Type与RadiusServer匹配。例如：通过当前配置可知RadiusScheme的Server-Type为Extended，User-Name-Format为Without-Domain。认证计费Server都为。Domain部分：在Domain视图下引用相应的RadiusScheme例如：通过当前配置可知，Domain下引用的RadiusScheme方案为h3c。2、确保终端正常获取IP地址且DNS解析成功Portal根据终端发送的HTTP报文来进行重定向，必须确保终端在认证前通过HCP或者静态配置的方式获取到正确的IP地址且DNS解析成功，这样浏览器才可以正常发送HTTP报文。3、推送认证页面是否成功在浏览器中访问任意网站，设备都会将其重定向至认证页面。4、Portal状态是否为Running正常情况下下Portal的运行状态为Running。命令：displayportalinterfaceVlan-interfacevlan_id例如：通过命令查看，可以确认Vlan1接口下的Portal功能是正常运行的。5、查看设备ACL资源使用情况查看设备是否有充足的ACL资源（IFPACL）。如果设备ACL资源不足会导致在接口下使能portal时提示l已经Enable但没有Running。命令：displayaclresource例如：通过命令查看，可以确认目前设备上ACL剩余：2816条。6、PortalSever状态是否正常正常情况下PortalPerver的状态应该为Up或N/A。设备上PortalServer如果是处于Down状态，此时对Http命令：displayportalserverservername例如：通过命令查看，可以确认PortalServer处于正常的Up状态。7、查看设备与PortalServer间路由，确保设备可以收到心跳报文设备上PortalServer如果是处于Down状态，说明Portal设备无法收到PortalServer的心跳报文，需要排查设备与PortalServer间路由且确保PortalServer使能逃生心跳且确保设备上配置的逃生心跳时间间隔应大于上配置的时间间隔。例如，从下图可知PortalServer上使能了逃生及用户心跳，时间分别为208、确保终端与PortalServer之间的联通性设备将页面重定向到PortalServer的页面后，后期终端与PortalServer之间交互的HTTP报文在设备是透明传输的。因此终端重定向成功的前提条件是必须保证终端与PortalServer之间的联通性。9、查看AAAServer状态为Active确保AAAServer服务器的状态是Active的。命令：displayradiusschemescheme-name例如：通过命令查看，可以确认Scheme方案中的主认证及计费服务器处于Active状态。10、查看客户端、Server上记录的下线原因根据客户端及Server上常见的下线原因初步判断故障点。例如，下线原因为UserRequest，表示用户主动下线。如启用策略服务器的情况下，若iNode客户端与策略服务器通信的端口（Udp9019）不通，iNode的提示。例如，如下是iNode客户端与策略服务器通信的端口不通导致的下线。Administrator2015-12-1309:04:35Administrator2015-12-1309:04:35--------------------------------------------设备上存在以下log说明该用下线原因一般是客户端的手动正常下线。%Apr1119:13:11:074201310504-UserName=[yuguanchenghome@sushe]-IPAddr=[6]-IfName=[Vlan-interface110]-VlanID=[110]-MACAddr-[ec88-8f7b-ae87]-Reason=[Userloggedoff.如果用户认证失败会有一些简单的原因提示。下面的Log显示该用户的下线原因为Request，一般由客户端原因导致。下面的Log显示该用户的下线原因为AdminReset