ACG本地web认证异常

问题描述：

ACG配置本地web认证后，用户认证失败或无需经过认证也可以正常访问外网。

解决方法：

1、检查在线用户中是否有测试终端的IP。

若无在线用户，检查该终端IP对象是否在识别范围内，需要在【用户管理】-【全局配置】-【识别配置】对识别范围和识别模式进行配置。保证认证用户的地址可以被识别成用户，否则无法触发本地web认证。

如图，识别范围建议配置为内网用户网段或any：

若内网用户网段与ACG跨三层，则需要在内网用户网关设备上配置SNMP跨三层MAC地址学习功能：

2、检查认证策略

ACG1000系列设备上做本地portal认证，用户只能先通过设备认证之后才能上网，所以先要配置相应的认证策略，限制网络中需要认证的用户进行认证，其他用户无需认证。ACG1000设备配置Web认证时，允许用户的TCP三次握手报文通过，当检测到用户HTTP报文时拦截并弹出认证页面。所以，在使用Web认证功能时，需要保证终端可以进行正常的HTTP访问。如果需要实现访问某些资源时免Web认证，请在对应用户策略的目的地址对象中配置排除地址，将需要免认证访问的IP地址排除。目前仅支持排除IP地址，不支持排除域名。

认证策略包括对认证终端源目地址、出入接口、时间段的限制，如果限制的因素不包含想要做本地认证的终端的条件，那么本地认证就会失败。查看认证策略的路径为：【用户管理】-【认证策略】。

3、修改认证策略

认证策略主要是从源接口、源地址、目的接口、目的地址、时间这五个方面来对认证终端进行限制，如果认证终端的源目地址不在认证策略限制范围内，会导致认证失败，其他因素同理。另外需要强调的一点是，桥模式部署时，出入接口写桥接口或者桥接口下的物理口均可。五个因素具体的设置方式如下：

确认需要进行本地认证的网段在源地址范围内，如果所有网段均需要认证的话，可以下拉选择“any”，也可以针对现网客户的需求对目的网段进行设置。配置认证策略点击【用户管理】-【认证策略】

确认需要认证的终端与设备通信的出入接口是正确的，如果全部接口的流量都需要进行认证的话可以下拉选择“any”，现场ACG1000设备如果是二层部署，接口为桥接口的话，这个地方的源目接口可以填实际的物理接口也可以填bvi口。

确认现场认证的时间段在当前时间段内，如果没有特殊要求可以选择“always”。

4、检查识别配置

本地认证用户的地址必须是能够被设备识别成用户，如果设备上不能将这个流量识别成用户的话，那么相当于是设备将这些流量进行了三层转发，也就不会触发本地认证的机制了，客户现场如果配置的识别范围包括认证的网段或者配置成“any”，那么识别模式配置成启发模式或者强制模式均可。如果现场配置的识别范围不包括认证的终端设备的网段，那么识别模式就必须配置成启发模式。

识别模式：

识别模式分为“启发模式”和“强制模式”两种，默认配置为强制模式，识别范围默认配置均为private私网地址段。

“启发模式”指的是，优先将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。

“启发模式”使用场景：对用户识别要求不严格的情况下使用启发模式，在线用户中会出现非识别范围内的用户（如：同时出现私网IP和公网IP的用户），所以统计到的在线用户数量会比较多，在此模式下需要将识别范围修改成内网实际使用的地址网段，否则会导致用户识别不精确。

“强制模式”指的是，只将属于识别范围的IP地址识别为在线用户，并且根据流量发起方先识别源IP，再识别目的IP，只有源IP或目的IP地址中的一个属于识别范围时，才会被识别为在线用户；否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制，如：用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。

“强制模式”使用场景：对用户识别要求严格的情况下使用强制模式，在线用户中只会存在识别范围内的用户，过滤掉了不属于内网地址段的用户，精简了在线用户列表，只显示用户真正关心的数据，同时提升了设备性能，不在识别范围内的IP流量不走用户认证流程，避免了对用户不关心数据的处理，在此模式下务必将识别范围修改成内网实际使用的地址网段，避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。

5、检查是否是HTTPS跳转

终端在跳转认证界面时，经常性的操作方法就是打开浏览器，随意点开一个网站，例如1.1.1.1.（https://1.1.1.1）或者百度（https://www.baidu.com）等,此时，浏览器页面无法正常跳转到web登录页面；如果客户打开的是新华三集团首页（http://www.h3c.com）,此时页面可以正常跳转到portal登录界面，如果随意点开的URL是HTTPS的，设备上默认无法解析加密的URL链接导致跳转失败，此时需要进入设备的命令行使能HTTPS跳转功能。

异常跳转界面：

正常跳转界面：

6、开启HTTPS跳转

设备默认是没有使能HTTPS跳转功能的，需要登录设备的命令行（console、Telnet、SSH等），进入命令行配置界面开启如下命令，即可实现HTTPS链接跳转portal的功能。

命令：user-policy https-portal enable

如示例在设备的命令行分别开启HTTPS跳转portal。

7、检查路由配置

ACG1000做本地web认证的话，必须保证设备是用三层口与上下行设备进行通信的，桥模式部署情况下必须给桥接口配置地址，然后用这个地址与上下行设备进行通信，这样才能拦截终端的HTTP的get请求。

串联部署：ACG1000设备可以二层部署在链路当中，也可以三层部署在链路当中。如果是二层部署的话，ACG1000与终端和外网之间的访问都是通过桥接口进行访问的，那么设备上的缺省路由的出接口应该走的是桥接口，注意桥接口一定要配置地址。如果ACG1000设备是三层部署，那么设备上的缺省路由应该是由指定得到三层口出去，如果路由有问题，就会导致portal弹出异常。

旁路部署：在某些特殊组网情况下，ACG1000设备也会旁挂部署在组网当中，此时设备上开启本地web认证时，需要保证来回的三次握手交互报文都要上到ACG1000设备上，可以在设备上指定旁挂的那个接口上进行抓包，若抓包当中有来回的报文，则证明来回报文都上到了设备上。抓包路径：【系统管理】-【系统维护】-【抓包工具】

8、修改设备路由配置

如果设备上三层口是客户端的网关，但是与外网通信的又是桥接口，这样会导致设备弹出认证界面异常，无法正常进行本地web认证，这种情况下就要梳理清楚现网的组网情况，确认现场是二层组网还是三层组网，如果组网有问题，需要现场修改现场配置。查看设备上路由的方式【网络接口】-【路由】-【路由表】，查看现场路由配置是否正常。

9、确认是否提供web环境

ACG1000设备的本地web认证功能并不是拦截终端的第一个报文然后直接给终端重定向到认证界面（http://10.0.0.2:8000/portal/）,而是要与访问的目的设备或者服务进行三层握手交互之后，终端发出的HTTP的get请求才会被ACG1000拦截，ACG1000会回应一个request将浏览器的页面重定向到认证界面。根据实验室抓包分析如下：

实验室搭建环境测试，发现TCP的三次握手报文均是被访问端与客户端直接进行访问的，而ACG1000只是在收到客户端的HTTP的get请求包的时候就将这个报文拦截下来，然后用被访问端的源地址给客户端回应一个重定向的报文将客户端的浏览器界面重定向到认证界面。所以，如果现场只是将一台PC接到ACG1000上面，开启了本地web认证，是无法弹出本地web认证页面的，因为这种情况下，无法完成三次握手的过程，也就无法拦截get请求对web界面进行重定向。所以，如果遇到ACG1000本地web认证异常时，查看配置均无问题的时候，需要确认现场的部署环境，是否有能够完成三次握手并发送get请求的环境。

10、本地认证环境举例

客户现场进行设备部署或是业务测试的时候，可以按如下方式搭建：

现场有公网环境，可以将ACG串在内网终端到公网之间，正常配置本地认证策略，在终端浏览器上输入HTTP（不加密，加密的要开启HTTPS跳转的命令）的链接，例如http://www.h3c.com，有公网环境的话，就可以先与公网上的服务器进行三次握手之后然后跳转本地web认证界面，如果现在在设备上开启了上个步骤当中的HTTPS网页跳转的命令（user-policy https-portal enable），那么就能在浏览器当中随意点开一个网页，无论是HTTP还是HTTPS的链接，均会正常跳转认证界面。组网图如下：

现场没有公网环境，进行功能测试。（一般是在测试的情况下可能不具备公网环境）

有时候现场情况比较特殊，或者并不具备公网测试的环境，可以在局域网内搭建一个测试环境，在终端路由可达的的另外一台PC上面安装一个HFS软件，使得这个PC可以充当一个小型的HTTP服务器。

HFS（Http File Server）是一种上传文件的软件。 专为个人用户所设计的 HTTP 档案系统，下载后无须安装，只要执行 hfs.exe，直接将文件或者文件夹拖拽至Virtual File System（虚拟档案系统）窗格下，即可新增/移除虚拟档案资料夹，这种方法可以简单可架设完成一个 HTTP 虚拟档案服务器。

认证终端的地址为10.0.0.1，PC-server的地址为10.0.0.2，要保证两台PC之间是互通的，在PC2上安装HFS软件，可以直接在HFS官网上进行下载：http://www.rejetto.com/hfs/?f=dl，并上传一个任意的文件到HFS软件上。HFS的安装使用方式可以自行百度，安装完成之后，直接点开下载的hfs.exe启动 该软件会自动使用设备的网卡地址（1.1.1.2）作为host字段，如下图所示：

在PC1上打开浏览器，输入HFS软件上产生的URL，即可在PC1上用浏览器打开这个文件服务器。

在认证终端上访问这个服务器http://10.0.0.2，就会正常跳转如下认证页面，即可测试本地web认证功能是正常的。