• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

苹果终端Portal弹出空白认证页面或captive.apple.com页面

2021-12-22 发表
  • 0关注
  • 2收藏 1471浏览
粉丝:5人 关注:1人

组网及说明

IRF堆叠AC—旁挂核心交换机第三方服务器(172.17.254.101),交换机接PoE—AP

本地转发,AC型号:WX3508H,版本:R5430P04

问题描述

Portal认证环境,安卓和Windows PC终端连接Wi-Fi后能正常跳转到Portal认证页面,但苹果终端(iphone/ipad,不涉及型号及ios软件版本特殊性)。

(1) 在两个星期前,现场的苹果终端连接SSID后大部分时间能够正常弹出Portal界面,少数情况下会弹出异常页面(参考图1);

(2) 最近两个星期,现场的苹果终端连接SSID后大部分时间弹出异常页面(参考图1),仅在少数情况下能弹出正常页面;

(3) 苹果终端弹出的异常页面主要存在以下两种情况,没有规律性,如图1所示:

弹出captive apple.com空白页面;② 弹出认证服务器IP地址的空白页面。

(4) 在对应的Portal web-server中输入captive-bypass ios enable,禁止苹果连接Wi-Fi后自动弹窗,而是打开苹果终端的浏览器,手动输入:“1.1.1.1”,仍然可能跳转到如图1所示页面;

(5) 在苹果终端手动输入完整的Portal web-serverurl地址(不会触发重定向),需要3~4 s后才能达到正确的认证页面;

(6) 苹果终端连接SSID时不存在WiFi图标点亮慢的情况;

(7) 现场不涉及网络延时高、卡顿或丢包等链路故障。


1 苹果终端连接Wi-Fi后弹出异常页面照片:(1) iPad终端弹出captive.apple.com异常空白页面;(2) iphone终端弹出认证服务器地址异常空白页面;(3) ipad终端弹出认证服务器地址异常空白页面.


过程分析

1. 首先,按照如图1显示的问题故障现象,参考案例[1-4]进行了配置优化,通过优化首先排除苹果终端自身特殊嗅探机制[1-3]引发的弹窗页面异常问题,增加并放通了DNS地址[4],同时排除了案例[5]所述的原因。

主要添加的配置包括:

#

portal web-server xxx

if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url portal服务器 url

if-match original-url http://captive.apple.com/hotspot-detect.html user-agent Mozilla temp-pass redirect-url portal服务器 url

captive-bypass ios optimize enable

#

在对应服务模板中添加:portal temp-pass period 20 enable

Portal free-rule放通apple终端相关的UDPTCP端口

结果:优化配置后,故障现象没有任何改变

 

2. 由于手动输入“1.1.1.1”后终端仍然会弹出异常空白页面,怀疑AP对苹果终端访问页面的重定向(本地转发)产生了问题,但由于现场没有空口抓包环境,因此在AP的上行接口进行了镜像双向抓包,通过判断终端是否与认证服务器(172.17.254.101)进行了HTTPTCP报文交互判断终端是否被成功重定向到服务器的Web-server地址。

(1) 首先,现场在苹果终端弹出异常空白页面的情况下对AP上行口进行了抓包,现场大概重复了终端连接SSID四次。如图2展示了终端连接SSID后弹出空白页面过程,苹果终端与服务器之间的HTTP报文交互。从抓包结果中可以看出,苹果终端与服务器之间产生了双向的HTTP报文交互。这说明重定向过程是成功的,AP向终端发送了认证服务器的url,终端尝试向服务器发起请求,认证服务器回复并尝试向终端推送web页面所需信息。

但值得注意的是:终端与服务器的交互次数每次都并不相同。服务器通过HTTP报文将认证页面相关的图片/文本/CSS等信息推送给终端,使终端的浏览器上能显示出Portal认证的Web界面,于是这里产生了两点疑问:① 如果认证服务器向终端信息推送不全是否会导致苹果终端显示空白Web页面?② 根据抓取的HTTP报文,最后一次服务器向终端发送HTTP回复后终端不再回复报文,那么是否是终端侧的问题?

首先针对第二个疑问,分析了苹果终端和认证服务器之间的TCP报文,如图3所示,在认证服务器最后一次向终端发送HTTP报文后,终端向认证服务器发送TCP握手请求,认证服务器没有回复,终端再次重传多次TCP请求后认证服务器仍然没有回复,导致终端和认证服务器之间的会话超时,可能是造成终端因为获取web-server的信息不全导致显示空白页面的原因。


2 苹果终端弹出异常空白页面:在四次连接SSID之后终端与服务器的HTTP交互

 


3 苹果终端与认证服务器的第一次和第三次TCP报文交互

 

(2) 为了进一步验证这一推测,再次抓取了苹果终端连接SSID时顺利弹窗到正确的Portal认证页面时,终端与服务器之间的HTTP交互报文,如图4所示。现场共尝试连接SSID三次,都正确重定向到了认证页面,交互过程终端与服务器之间HTTP交互报文数量和报文大小都完全相同,且完成最后一个HTTP交互后没有再发生终端再向服务器发送TCP请求但未收到回复的情况。与(1)对比之后,可以判定故障原因应当是服务器侧由于某种因素,未完成向终端推送认证web页面所需的全部信息,导致终端显示的web页面是空白的,对于显示captive.apple.com的情况,则有可能是AP给终端重定向后,终端向认证服务器发送请求,服务器完全没有回复,导致苹果终端停留在captive.apple.com页面而无法跳转。


4 苹果终端3次连接SSID正常弹出Portal认证Web页面时:终端与认证服务器的HTTP报文交互


解决方法

请第三方认证服务器工程师协助排查发现,认证服务器的内存满导致丢弃了与苹果终端的交互报文,重启服务器后故障完全消除。

对于安卓和PC终端跳转认证页面没有问题的原因,推测与安卓和PC的网页缓存机制有关。

 

总结:苹果终端Portal认证弹出空白页面或者captive.apple.com页面,在排查设备侧重定向问题的前提下,可以考虑终端与服务器的交互过程,服务器向终端推送portal认证页面信息不全,导致终端浏览器上显示空白页面或停留在captive.apple.com页面无法跳转。

 

参考资料:

[1] https://zhiliao.h3c.com/Theme/details/65330

[2] https://zhiliao.h3c.com/Theme/details/127005

[3] https://zhiliao.h3c.com/TechDoc/details/822

[4] https://zhiliao.h3c.com/Theme/details/30565

[5] https://zhiliao.h3c.com/Theme/details/19694

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作