• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

无线portal认证ipv4+ipv6

22小时前提问
  • 0关注
  • 0收藏,59浏览
粉丝:0人 关注:0人

问题描述:

无线portal认证,电脑终端ipv4获取到地址之后,能够正常弹出portal认证界面。电脑获取ipv6地址(电脑网卡ipv4协议关闭),无法与ipv4那样自动弹出portal认证界面,需要手动输入域名,才能够正常弹出。认证软件是IMC+EIA。

3 个回答
粉丝:3人 关注:0人

可以配置ipv6 portal free dns看下

已经配置了,放通了ipv6的DNS地址

zhiliao_cCrdEt 发表时间:22小时前 更多>>

已经配置了,放通了ipv6的DNS地址

zhiliao_cCrdEt 发表时间:22小时前
粉丝:11人 关注:9人

排查步骤及关键配置:
1. 检查AC的IPv6 Portal配置
确认AC是否开启IPv6 Portal功能:
display portal ipv6 configuration
若未开启,需配置IPv6 Portal模板并绑定到无线服务模板:
portal ipv6 template <模板名>
portal ipv6 apply template <模板名> service-template <服务模板名>
2. 检查IPv6 DNS配置
终端需获取IPv6 DNS服务器地址(通过RA或DHCPv6),确保能解析Portal域名。
AC上配置IPv6 DNS:
ipv6 dns server
3. 检查IMC EIA的IPv6 Portal支持
确认EIA版本支持IPv6 Portal(需EIA V7.3及以上),且在EIA中配置IPv6 Portal参数:
登录EIA→接入管理→Portal配置→IPv6 Portal设置,启用IPv6 Portal并关联AC。
4. 检查AC与EIA的IPv6通信
AC和EIA之间需IPv6可达,测试AC ping EIA的IPv6地址:
ping ipv6
5. 检查终端IPv6地址状态
终端需获取全局单播IPv6地址(非链路本地),且默认网关(AC的IPv6地址)可达。
补充信息:
AC型号及软件版本、EIA版本;
AC的IPv6 Portal模板具体配置;
终端获取的IPv6地址类型(是否全局单播)。

粉丝:18人 关注:2人

IPv4 自动弹窗、纯 IPv6 无自动 Portal 弹窗故障完整分析(iMC EIA + H3C AC Fit AP)

一、核心故障根因(一句话总结)

Windows/macOS/ 安卓 /iOS 系统IPv6 网络探测逻辑和 IPv4 完全独立,AC 仅配置 IPv4 Portal 拦截规则、缺少完整 IPv6 Portal 配套配置、HTTPS 重定向、IPv6 免认证放行、iMC EIA IPv6 服务未开启,导致纯 IPv6 网卡无法触发 302 重定向;手动输入域名能打开,说明 Portal 页面本身可达,仅缺少自动探测拦截能力

二、分 4 层定位缺失配置(按优先级修复)

(一)AC 无线侧:IPv6 Portal 基础功能不全(最高概率)

1. 未全局 / 业务 VLAN 开启 IPv6 Portal 双栈

仅配置了portal enable(IPv4),缺少 IPv6 Portal 使能、独立 IPv6 Web 服务器、BAS-IPv6 地址、双栈开关
标准完整配置(业务 VLANIF 视图):
h3c
# 全局基础 ipv6 enable portal dual-stack enable # 开启IPv4+IPv6双栈Portal,必配 portal https-redirect enable # 拦截HTTPS探测报文,解决系统默认HTTPS探测不弹窗 portal hsts disable # 关闭HSTS强制HTTPS,避免重定向死循环 # 业务VLAN接口(无线用户网关) interface Vlan-interface XX ipv6 address 2001:xxx::1/64 undo ipv6 nd ra halt ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag # IPv4 Portal原有配置 portal enable method direct portal bas-ip 10.x.x.1 portal apply web-server imc-v4 # IPv6 Portal配套缺失项(你大概率没配) portal ipv6 enable method direct portal bas-ipv6 2001:xxx::1 # IPv6 BAS地址,与iMC设备配置一致 portal ipv6 apply web-server imc-v6

2. 缺少独立 IPv6 Web 服务器、IPv6 Portal 服务器

1)创建 IPv6 Portal 服务器,填写EIA 服务器 IPv6 地址 + 和 iMC 一致的共享密钥
h3c
portal server imc-v6 ipv6 2001:xxx::xxx key simple 123456
2)创建 IPv6 Web 页面服务器,URL 使用 EIA IPv6 地址(必须用 IPv6 格式[2001:xxx::xxx]
h3c
portal web-server imc-v6 url http://[2001:xxx::xxx]:8080/portal/
故障点:只用 IPv4 Web 地址,IPv6 流量无匹配跳转页面,探测报文直接放行不弹窗。

3. IPv6 免认证放行规则缺失(DNS、ICMPv6、DHCPv6)

终端拿到 IPv6 地址后,DNS 解析失败会终止网络探测,不会触发重定向;必须配置portal free-rule放行 IPv6 基础报文:
h3c
# IPv6 DNS免认证(UDP 53) portal free-rule 10 destination ipv6 2001:xxx::xxx 128 udp eq domain # DHCPv6报文放行 portal free-rule 11 destination any udp eq dhcpv6-client portal free-rule 12 destination any udp eq dhcpv6-server # ICMPv6 RA/NS/NA基础地址解析报文 portal free-rule 13 destination any icmpv6 # 放行iMC EIA IPv6认证地址 portal free-rule 14 destination ipv6 2001:xxx::xxx 128

(二)iMC EIA 平台侧:未启用 IPv6 Portal 能力(关键后台配置)

  1. 接入设备管理补充 IPv6 参数
    登录 iMC → 接入策略管理 → 接入设备管理,编辑 AC 设备:
  • 填写设备IPv6 管理地址、Portal IPv6 共享密钥(和 AC portal server 密钥完全一致)
  • 勾选「支持 IPv6 认证」,否则 AC 发送的 IPv6 Portal 报文 EIA 丢弃,无法下发重定向 URL
  1. Portal 页面 URL 不能只写域名,必须补充 IPv6 直连地址
    EIA Portal Web 服务器配置:
  • IPv4 页面 URL:http://10.x.x.x:8080/portal
  • IPv6 页面 URL:http://[2001:xxx::xxx]:8080/portal
    仅域名配置时,纯 IPv6 终端无 IPv4 DNS,域名解析失败,无法自动跳转
  1. 接入服务模板开启 IPv6 授权
    编辑无线 Portal 业务模板:勾选「支持 IPv6 地址下发、IPv6 在线用户管理」,否则认证成功后 IPv6 流量无权限放行。

(三)终端系统探测机制问题(纯 IPv4 正常、纯 IPv6 失效)

  1. Windows/macOS 系统网络探测逻辑差异
  • IPv4:系统自动发送***.*** HTTP 探测,AC 拦截后直接弹窗;
  • IPv6:新版系统优先发送 HTTPS 探测,AC 未开启portal https-redirect enable时,443 报文不拦截、直接放行,无重定向弹窗;手动输入 HTTP 域名才会触发跳转。
  1. SLAAC 无状态地址干扰
    终端自动生成临时 IPv6 隐私地址,AC IPv6 snooping 未学习地址,Portal 无法识别在线用户,增加配置:
h3c
wlan service-template XX client ipv6-snooping nd-learning enable client ipv6-snooping dhcpv6-learning enable

(四)WLAN 服务模板未绑定 IPv6 Portal

SSID 服务模板仅绑定 IPv4 Portal 域,未关联 IPv6 域:
h3c
wlan service-template wifi portal domain v4-domain portal ipv6 domain v6-domain # 缺失此行,纯IPv6无认证域

三、快速验证排查命令(AC 执行)

  1. 查看双栈 Portal 全局状态
    display portal summary 确认Dual stack portal: Enabled
  2. 查看 IPv6 Portal 接口配置
    display portal interface Vlan-interface XX 检查IPv6 portal status: Enabled、BAS-IPv6 地址存在
  3. 查看 IPv6 免认证规则
    display portal free-rule 确认 DNS、ICMPv6、EIA 服务器 IPv6 放行
  4. 查看 IPv6 在线用户(纯 IPv6 终端连接后)
    display portal user ipv6 无输出 = IPv6 Portal 未正常拦截流量

四、最简修复操作顺序

  1. AC 全局开启portal dual-stack enableportal https-redirect enableportal hsts disable
  2. 创建 IPv6 portal server、ipv6 web-server,使用 EIA IPv6 地址配置 URL;
  3. 无线业务 VLANIF 完整配置portal ipv6 enableportal bas-ipv6
  4. 新增 IPv6 free-rule 放行 DNS/ICMPv6/EIA 服务器;
  5. iMC 接入设备补充 IPv6 地址、密钥,开启 IPv6 认证支持;
  6. WLAN 服务模板绑定 IPv6 Portal 域,开启 ipv6-snooping 地址学习;
  7. 终端关闭网卡 IPv4 仅保留 IPv6,重连 Wi-Fi 测试自动弹窗。

五、补充:手动输入域名能打开的原因

手动输入域名 = 用户主动发起 HTTP 请求,不管是否配置完整 IPv6 Portal,AC 都会对主动访问的 HTTP 报文做重定向;
系统自动弹窗依赖后台静默探测报文拦截,缺少 IPv6 全套配置时,系统后台探测包直接放行,不会推送认证页。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明