问
云简进微信公众号认证,认证失败,且报错:90011
9小时前提问
- 0关注
- 0收藏,56浏览
zhiliao_Gixe
五段
该报错90011零段的核心根因是:云简平台未识别到终端接入的业务网段,平台侧没有该网段的认证授权映射,和设备侧是否配置portal client-gateway无直接关联,可按以下步骤排查修复:
1. 设备侧校验:登录AC/核心网关执行display portal client all,确认终端实际获取的IP所属网段,已经被设备上的portal client-gateway配置放行。
2. 云简平台校验:登录云简业管平台进入对应站点,打开「认证配置>Portal认证>微信公众号认证」页面,在「允许认证的网段」列表中,准确添加终端所属的完整业务私网网段,绝大多数该报错都是漏加终端业务网段、仅加了AC自身源网段导致。
3. 配置完成后点击站点的「同步配置」下发到设备,等待3~5分钟后重新触发微信认证即可恢复。
1. 设备侧校验:登录AC/核心网关执行display portal client all,确认终端实际获取的IP所属网段,已经被设备上的portal client-gateway配置放行。
2. 云简平台校验:登录云简业管平台进入对应站点,打开「认证配置>Portal认证>微信公众号认证」页面,在「允许认证的网段」列表中,准确添加终端所属的完整业务私网网段,绝大多数该报错都是漏加终端业务网段、仅加了AC自身源网段导致。
3. 配置完成后点击站点的「同步配置」下发到设备,等待3~5分钟后重新触发微信认证即可恢复。
某局点反馈WSG1840X(R5629)结合公有云简进行一键认证,认证失败,且报错:90011。
过程分析
1、 首先根据研发确认,90011的报错原因是AC给云简发送认证报文之后,没有收到云简的回复超时了。也就是如下图第8个报文,AC发出了没有收到回复。
2、 根据以上分析,故障时候云简侧在后台查看发现没有收到8号报文。因此,在AC侧debug和在AC的上行口进行抓包分析。
在AC侧debug发现,AC也是正常发出8号报文,但是抓包一直没有找到AC发出的报文,连AC和云简建立tcp连接的请求都没有。通过再次确认,发现是现场抓包接口错误,导致没有抓AC与云简交互的报文。
3、AC上删除业务vlan地址,修改portal client-gateway为AP管理vlan后发现认证成功,因此基本可以确认时AC和云简中间的防火墙对业务vlan没有放通,导致AC给云简发送的认证报文被拦截导致认证失败。
解决方法
中间防火墙放通AC的业务vlan地址,使AC与云简正常通信。
暂无评论
微信公众号认证报错 90011,这是一个非常典型的网络通信超时问题。
它的具体含义是:你的AC(无线控制器)在向云简平台的认证服务器发送认证报文后,没有收到云简服务器的回复,导致请求超时。
虽然你已经配置了
portal client-gateway,但这只能解决终端(手机)找AC的问题,无法解决AC找云简服务器的问题。报错90011说明AC发出的报文在半路“迷路”了。请按照以下步骤,重点排查AC到云简服务器之间的网络链路:
1. 检查中间防火墙或路由器的放行策略(最常见原因)
如果你的AC和出口防火墙(比如你之前提到的H3C NS-F1000或Fortigate)之间还存在其他安全设备,或者AC本身没有配置好到云简服务器的路由,报文就会被拦截。
- 排查重点:检查AC与云简服务器(
oasisauth.h3c.com)通信路径上的所有防火墙。确保防火墙放通了AC的业务VLAN地址(即AC发送报文的源IP)与云简服务器之间的双向通信。很多时候,防火墙只放通了终端的网段,却忽略了AC设备自身的业务地址。
2. 确认AC能否正常访问互联网及DNS解析
云简是公有云平台,AC必须能正常访问互联网才能完成认证交互。
- 测试方法:在AC的命令行界面(CLI)下,尝试
ping oasisauth.h3c.com或ping 1.1.1.1。- 如果
ping域名不通但pingIP通,说明AC的DNS配置有问题,请给AC配置正确的DNS服务器(如114.114.114.114或8.8.8.8)。 - 如果都
ping不通,说明AC缺少默认路由或NAT转换失败,导致AC无法出网。
- 如果
3. 复核 portal client-gateway 配置
你提到已经配置了该命令,但需要确保配置绝对正确:
- 配置位置:该命令需要在AC的系统视图(
system-view)下配置,而不是在接口视图下。 - 接口选择:你指定的接口(例如
vlan-interface 10)必须是AC上配置了IP地址且能与终端互通的三层接口。 - 配置命令示例:
1system-view 2portal client-gateway interface vlan-interface <你的业务VLAN接口编号>
4. 检查云简平台的公众号基础配置
如果网络层面完全正常,还需要确认云简平台上的微信公众号配置没有变动或错误:
- IP白名单:登录微信公众平台,检查“开发 > 基本配置”中的IP白名单,是否包含了你公司网络的公网出口IP地址。
- AppID与AppSecret:确认云简平台上填写的AppID和AppSecret与微信公众平台上的一致,且没有因为重置密码而失效。
暂无评论
报错 90011 的直接原因:AC 发给云简的认证请求,云简没收到或超时无应答,和你是否配了
portal client-gateway 关系不大,核心是网段白名单 / 路由 / 防火墙拦截三方面。一、先看根本原因(90011)
- 云简平台:未添加终端业务网段到 “允许认证的网段”,只加了 AC/AP 管理网段。
- 网络通路:AC 到云简(公网)不通 / 被拦截(443 端口)。
- 微信回调:微信出口 IP 变更,白名单没更新。
二、一步步排查(按顺序)
1)确认终端网段 & 设备侧放行
在 AC / 核心网关查看在线客户端:
bash
运行
display portal client all
记下终端的 IP 网段(如 10.10.0.0/24),确认已配置:
bash
运行
portal client-gateway 10.10.0.0 255.255.255.0
2)云简平台加 “允许认证的网段”(最关键)
- 登录云简 → 进入对应站点
- 认证配置 → Portal 认证 → 微信公众号认证
- 允许认证的网段:添加上面的终端业务网段(不要只加管理段)
- 保存 → 同步配置到设备,等待 3–5 分钟。
3)同步微信官方白名单
同一页面:
- 点击 同步微信官方白名单(自动更新微信出口 IP,下发到 AC/AP)。
4)检查 AC 到云简公网连通性
在 AC 上测试:
bash
运行
ping cloudnet.h3c.com
telnet cloudnet.h3c.com 443
- 不通:检查默认路由、出口防火墙 / ACL 是否拦截 443。
5)出口防火墙 / 第三方网关放通
如果有第三方防火墙 / 网关:
- 放通:微信服务器 IP + 云简认证 IP(云简帮助中心可查最新段)。
三、常见误区
- ❌ 只配
portal client-gateway,云简平台没加终端网段(90% 案例)。 - ❌ 只加管理网段,业务网段漏加。
- ❌ 微信白名单长期不更新,IP 变更后拦截。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论