传统一般组网
设备型号为WX3520H,版本为Release 5432P01,两台AC组成IRF堆叠环境,集中转发。主要的故障现象为:新增加portal认证,终端通过portal认证后无法ping通某个内网服务器ipv4地址,仅无法ping通这个地址,其他内网外网地址均能ping通,同时AC上起相同业务vlan地址测试,可与该地址ping通。删除portal认证测试,终端关联无线之后,可以正常ping通该地址。
1、我们先从portal认证原理上对故障现象进行初步分析,现场配置portal free-rule已经放通了该地址。正常来说,即使终端不通过认证,也是可以访问该地址的。然而,现场的测试结果显示,不论终端是否通过认证,都无法访问。
2、同时现场删除portal认证,只保留普通的PSK加密进行测试,终端关联无线之后,可以正常ping通该地址。从上面的两个测试可以看出问题基本上可以判定是portal导致的。
3、经过现场排查也排除了中间设备的嫌疑。
4、故障时期从AC出口抓包,终端 在ping 该地址过程中,抓包信息显示,只有icmp request报文,并没有reply报文,同时还存在重定向报文,例如序号为39754和39755报文为重定向报文。打开重定向报文之后,我们可以看到,终端 ping 这个地址的流量被重定向到portal web-server 中配置的URL。
5、为什么会重定向呢?而且终端只针对这一个内网服务器地址ping不通且会出现这个重定向的情况,其他地址并没有故障,即使是和该内网服务器同网段的地址也是可以ping通的。
6、那我们回归问题本质,为什么会重定向?我们回过头在仔细看下配置,发现了现场设备有配置
portal redirect-rule destination host 10.xx.xx.xx 正好是内网服务器的ip地址。至此问题定位。这个命令就是用来配置基于目的的Portal强制重定向规则,只针对portal认证存在的情况下,无论portal认证是否通过,无论是否配置free-rule,都会被强制重定向。
删除特殊命令,undo portal redirect-rule destination host 10.xx.xx.xx
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作