问题描述:
1、设备:AC WX3024H,固件版本 R5480;AP WA4320-H20,云简 Cloudnet 云端管控。
2、需求:部署云简 OAuth 短信 Portal 上网认证。
3、SSID:text,认证模板 ID=674202,云端已绑定对应 SSID,开启移动端短信登录,Portal Web 参数配置完成。
4、AC portal-web 完整配置见图
5、故障:终端接入 WiFi 弹窗提示网页不存在,无法跳转认证页;核对模板 ID、URL 无误,云端配置已发布、AC 配置保存,替换老域名
6、致电 H3C 400 售后,设备已过保,官方不予任何技术支持,叫到知了社区寻求大佬帮忙排查。
https://cloudnet.h3c.com/portal等几个链接测试故障不变。
附件:截图
这是一个非常典型的 H3C 云简网络(Cloudnet)Portal 认证故障。根据您描述的现象——“弹窗提示网页不存在”且“替换老域名测试故障不变”,问题通常不在于 AC 的基础配置(如模板 ID 或 URL),而在于 AC 与云简云端的连接状态 或 AC 的系统时间。
以下是详细的排查思路和解决方案:
1. 核心原因分析:AC 与云端连接异常
云简网络的 OAuth Portal 认证机制与传统本地 Portal 不同。WX3024H 在此场景下主要充当一个“网关”或“代理”,它负责重定向用户的请求,但实际的认证页面是由云端下发的。
- 故障逻辑:如果 AC 无法连接到云简的云端服务器,或者云端没有正确识别到这台 AC 的状态,云端就不会生成有效的认证会话。此时用户尝试访问网络,AC 无法从云端获取有效的重定向链接,导致浏览器跳转到一个“空”或“无效”的地址,从而报错“网页不存在”。
- 证据:您提到“替换老域名测试故障不变”,这说明问题出在域名解析或连接建立的底层环节,而不是某个特定的 URL 配置错误。
2. 解决方案步骤
第一步:检查 AC 的系统时间(极高概率原因)
H3C 的 OAuth 认证依赖 HTTPS 加密协议,而 HTTPS 对系统时间极其敏感。如果 AC 的系统时间与标准时间相差超过 1 小时(通常默认阈值是 90 秒),HTTPS 握手会失败,导致 AC 无法连接云端,进而无法拉取认证页面。
- 操作:登录 WX3024H 的命令行(Console 口或 Telnet/SSH)。
- 检查命令:
display clock - 修复:
- 如果时间错误,请配置 NTP 同步:
1# 进入系统视图 2<H3C> system-view 3# 配置 NTP 服务器(例如使用阿里云 NTP) 4[H3C] ntp-service unicast-server ***.*** 5# 再次查看时间是否已同步 6<H3C> display clock - 重启 AC:时间同步后,建议重启 AC (
reboot),以确保所有服务(特别是 Portal 相关进程)重新加载正确的时间环境。
- 如果时间错误,请配置 NTP 同步:
第二步:检查云端 AC 状态
登录云简网络(Cloudnet)云端管理平台,检查 WX3024H 的状态。
- 检查点:
- 在线状态:确认 AC 是否显示为“在线”。
- 版本兼容性:R5480 版本虽然较老,但通常支持云简。请确认云端是否提示该设备版本过低或需要升级。
- 配置下发:在云端重新执行一次“配置下发”或“重启服务”,确保 Portal 模板 ID 674202 确实已成功推送到 AC。
第三步:检查 AC 的 Portal 配置逻辑
虽然您说配置无误,但针对 WX3024H + 云简的组合,请特别注意以下配置点:
- Portal 模式:在 AC 上,Portal 认证模式必须配置为 CMCC(中国移动)标准模式 或 Cloudnet 模式,而不能是传统的 H3C 本地 Portal 模式。
- 检查命令:
display portal method - 正确输出应包含:
Portal method: cmcc或cloudnet。
- 检查命令:
- URL 配置:云简 Portal 的 URL 通常是一个非常长的加密链接,包含
tenantId、templateId等参数。请再次确认 AC 上配置的 URL 是否与云端生成的完全一致(注意大小写和特殊字符)。
第四步:抓包分析(进阶)
如果以上步骤均无效,建议在 AC 的上联口或连接 AP 的端口进行抓包,观察手机连接 WiFi 后的流量:
- 期望看到的流程:DHCP -> DNS -> HTTP GET (被重定向到 Portal URL)。
- 故障现象:如果看到 HTTP GET 请求后,AC 返回了
302重定向,但重定向的地址是http://127.0.0.1或一个无效的 IP,说明 AC 本地的 Portal 服务未启动或配置错误。
还有一个60013的报错,是http://oasisauth.h3c.com/portal/protocol这个URL就会出现。改其他域名就是无法连接.
li
发表时间:1小时前
更多>>
还有一个60013的报错,是http://oasisauth.h3c.com/portal/protocol这个URL就会出现。改其他域名就是无法连接.
li
发表时间:1小时前
WX3024H + 云简 Cloudnet OAuth Portal 弹窗 “网页不存在” 分步排障
故障根因总结(核心两点:跳转 URL 错误 + 苹果 Captive 特殊重定向配置异常)
一、先梳理现有配置问题
plaintext
portal web-server cloud
url https://portal.cloudnet.h3c.com/portal/protocol
server-type oauth
url-parameter redirect-uri value https://portal.cloudnet.h3c.com/portal/protocol
url-parameter template-id value 674202
# 问题1:redirect-uri配置错误!OAuth规范下该参数不能填portal/protocol,需要填【云简平台生成的回调地址】
# 问题2:苹果Captive弹窗if-match重定向域名失效,苹果手机 captive检测域名打不开直接报网页不存在
if-match user-agent CaptiveNetworkSupport redirect-url http://oasisauth.h3c.com/oener...
一、修正 Portal-web 服务端配置(必改,最高优先级)
1、修正 redirect-uri(云简 OAuth 硬性要求)
- 登录云简后台→【认证配置→Portal Web 服务器→对应 cloud 条目】,复制平台自动生成的 OAuth 回调地址(redirect_uri)
- AC 命令行修改:
plaintext
system-view
portal web-server cloud
undo url-parameter redirect-uri value https://portal.cloudnet.h3c.com/portal/protocol
#替换成云简后台真实回调链接,示例格式(以你平台实际生成为准):
url-parameter redirect-uri value https://xxx.cloudnet.h3c.com/oauth/callback
OAuth 协议:redirect_uri是认证成功后云简回传给 AC 的地址,填 portal/protocol 会导致云端校验失败、跳转 404 网页不存在。
2、修正主 URL 区分 OAuth 与普通 Portal
- OAuth 类型 portal,主 url 保持:
https://portal.cloudnet.h3c.com/portal/protocol不动; - 不要把 redirect-uri 和主 URL 写同一个地址(当前错误点)。
二、苹果 Captive captive-bypass 异常(安卓弹窗正常、苹果报错网页不存在)
你配置了
captive-bypass ios optimize enable+CaptiveNetworkSupport 重定向,当前oasisauth.h3c.com域名已停用:- 删除失效苹果 captive 重定向规则
plaintext
portal web-server cloud
undo if-match user-agent CaptiveNetworkSupport redirect-url
- 云简最新规范:苹果 Captive 统一重定向到云简 portal 域名,新增:
plaintext
if-match user-agent CaptiveNetworkSupport redirect-url https://portal.cloudnet.h3c.com/portal/protocol
苹果手机弹窗由系统 Captive 探针触发,探针访问apple.com被劫持跳转,旧 oasisauth 域名失效直接提示网页不存在。
三、AC 侧 Portal 应用 & 无线模板绑定核查
plaintext
#1、查看认证模板是否绑定SSID text
display wlan service-template text
#确认里面配置了:portal apply web-server cloud
#没绑定则进入服务模板添加:
wlan service-template text
portal apply web-server cloud
四、网络连通性 & DNS 核查(AC 能解析云简域名吗?)
AC 执行连通测试:
plaintext
ping portal.cloudnet.h3c.com
nslookup portal.cloudnet.h3c.com
- 不通:AC 网关 / DNS 异常,AC 无法访问云简服务器,终端跳转域名解析失败 404;
- 能通→继续下一步。
五、云简平台侧 3 项核对
- 【认证配置→Portal 认证规则】:规则绑定 SSID=text、认证模板 ID=674202,规则状态已启用、配置发布生效;
- OAuth 应用:云简后台 OAuth 回调地址和 AC 配置的 redirect-uri一字不差(大小写、斜杠不能错);
- 模板 674202:云端页面已保存发布,移动端页面预览正常(你截图预览页面正常,说明模板本身没问题,问题在 AC 跳转参数)。
六、快速整改执行顺序
- AC 删除错误 redirect-uri,替换云简后台真实回调地址;
- 删除失效苹果 oasisauth 重定向,替换 portal.cloudnet 域名;
- 保存配置
save,重启 AP / 重连 WiFi 测试; - 仍报错核对 AC DNS 与外网连通。
补充小提示
- 云简新版域名:优先使用
portal.cloudnet.h3c.com,cloudnet.h3c.com老域名逐步下线; - 不要混用普通 Portal 和 OAuth 参数,OAuth 必须严格对齐平台回调地址。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明