某局点portal认证通过之后无法访问某个地址问题处理案例

传统一般组网

设备型号为WX3520H，版本为Release 5432P01，两台AC组成IRF堆叠环境，集中转发。主要的故障现象为：新增加portal认证，终端通过portal认证后无法ping通某个内网服务器ipv4地址，仅无法ping通这个地址，其他内网外网地址均能ping通，同时AC上起相同业务vlan地址测试，可与该地址ping通。删除portal认证测试，终端关联无线之后，可以正常ping通该地址。

1、我们先从portal认证原理上对故障现象进行初步分析，现场配置portal free-rule已经放通了该地址。正常来说，即使终端不通过认证，也是可以访问该地址的。然而，现场的测试结果显示，不论终端是否通过认证，都无法访问。

2、同时现场删除portal认证，只保留普通的PSK加密进行测试，终端关联无线之后，可以正常ping通该地址。从上面的两个测试可以看出问题基本上可以判定是portal导致的。

3、经过现场排查也排除了中间设备的嫌疑。

4、故障时期从AC出口抓包，终端 在ping 该地址过程中，抓包信息显示，只有icmp request报文，并没有reply报文，同时还存在重定向报文，例如序号为39754和39755报文为重定向报文。打开重定向报文之后，我们可以看到，终端 ping 这个地址的流量被重定向到portal web-server 中配置的URL。

5、为什么会重定向呢？而且终端只针对这一个内网服务器地址ping不通且会出现这个重定向的情况，其他地址并没有故障，即使是和该内网服务器同网段的地址也是可以ping通的。

6、那我们回归问题本质，为什么会重定向？我们回过头在仔细看下配置，发现了现场设备有配置

portal redirect-rule destination host  10.xx.xx.xx 正好是内网服务器的ip地址。至此问题定位。这个命令就是用来配置基于目的的Portal强制重定向规则，只针对portal认证存在的情况下，无论portal认证是否通过，无论是否配置free-rule，都会被强制重定向。

删除特殊命令，undo portal redirect-rule destination host  10.xx.xx.xx