苹果终端Portal弹出空白认证页面或captive.apple.com页面

IRF堆叠AC—旁挂—核心交换机—第三方服务器（172.17.254.101），交换机接PoE—接AP

本地转发，AC型号：WX3508H，版本：R5430P04

Portal认证环境，安卓和Windows PC终端连接Wi-Fi后能正常跳转到Portal认证页面，但苹果终端（iphone/ipad，不涉及型号及ios软件版本特殊性）。

(1) 在两个星期前，现场的苹果终端连接SSID后大部分时间能够正常弹出Portal界面，少数情况下会弹出异常页面（参考图1）；

(2) 最近两个星期，现场的苹果终端连接SSID后大部分时间弹出异常页面（参考图1），仅在少数情况下能弹出正常页面；

(3) 苹果终端弹出的异常页面主要存在以下两种情况，没有规律性，如图1所示：

① 弹出captive apple.com空白页面；② 弹出认证服务器IP地址的空白页面。

(4) 在对应的Portal web-server中输入captive-bypass ios enable，禁止苹果连接Wi-Fi后自动弹窗，而是打开苹果终端的浏览器，手动输入：“1.1.1.1”，仍然可能跳转到如图1所示页面；

(5) 在苹果终端手动输入完整的Portal web-server的url地址（不会触发重定向），需要3~4 s后才能达到正确的认证页面；

(6) 苹果终端连接SSID时不存在WiFi图标点亮慢的情况；

(7) 现场不涉及网络延时高、卡顿或丢包等链路故障。

图1 苹果终端连接Wi-Fi后弹出异常页面照片：(1) iPad终端弹出captive.apple.com异常空白页面；(2) iphone终端弹出认证服务器地址异常空白页面；(3) ipad终端弹出认证服务器地址异常空白页面.

1. 首先，按照如图1显示的问题故障现象，参考案例^[1-4]进行了配置优化，通过优化首先排除苹果终端自身特殊嗅探机制[1-3]引发的弹窗页面异常问题，增加并放通了DNS地址[4]，同时排除了案例[5]所述的原因。

主要添加的配置包括：

#

portal web-server xxx

if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url 【portal服务器 url】

if-match original-url http://captive.apple.com/hotspot-detect.html user-agent Mozilla temp-pass redirect-url 【portal服务器 url】

captive-bypass ios optimize enable

#

在对应服务模板中添加：portal temp-pass period 20 enable

Portal free-rule放通apple终端相关的UDP和TCP端口

结果：优化配置后，故障现象没有任何改变

2. 由于手动输入“1.1.1.1”后终端仍然会弹出异常空白页面，怀疑AP对苹果终端访问页面的重定向（本地转发）产生了问题，但由于现场没有空口抓包环境，因此在AP的上行接口进行了镜像双向抓包，通过判断终端是否与认证服务器（172.17.254.101）进行了HTTP和TCP报文交互判断终端是否被成功重定向到服务器的Web-server地址。

(1) 首先，现场在苹果终端弹出异常空白页面的情况下对AP上行口进行了抓包，现场大概重复了终端连接SSID四次。如图2展示了终端连接SSID后弹出空白页面过程，苹果终端与服务器之间的HTTP报文交互。从抓包结果中可以看出，苹果终端与服务器之间产生了双向的HTTP报文交互。这说明重定向过程是成功的，AP向终端发送了认证服务器的url，终端尝试向服务器发起请求，认证服务器回复并尝试向终端推送web页面所需信息。

但值得注意的是：终端与服务器的交互次数每次都并不相同。服务器通过HTTP报文将认证页面相关的图片/文本/CSS等信息推送给终端，使终端的浏览器上能显示出Portal认证的Web界面，于是这里产生了两点疑问：① 如果认证服务器向终端信息推送不全是否会导致苹果终端显示空白Web页面？② 根据抓取的HTTP报文，最后一次服务器向终端发送HTTP回复后终端不再回复报文，那么是否是终端侧的问题？

首先针对第二个疑问，分析了苹果终端和认证服务器之间的TCP报文，如图3所示，在认证服务器最后一次向终端发送HTTP报文后，终端向认证服务器发送TCP握手请求，认证服务器没有回复，终端再次重传多次TCP请求后认证服务器仍然没有回复，导致终端和认证服务器之间的会话超时，可能是造成终端因为获取web-server的信息不全导致显示空白页面的原因。

图2 苹果终端弹出异常空白页面：在四次连接SSID之后终端与服务器的HTTP交互

图3 苹果终端与认证服务器的第一次和第三次TCP报文交互

(2) 为了进一步验证这一推测，再次抓取了苹果终端连接SSID时顺利弹窗到正确的Portal认证页面时，终端与服务器之间的HTTP交互报文，如图4所示。现场共尝试连接SSID三次，都正确重定向到了认证页面，交互过程终端与服务器之间HTTP交互报文数量和报文大小都完全相同，且完成最后一个HTTP交互后没有再发生终端再向服务器发送TCP请求但未收到回复的情况。与(1)对比之后，可以判定故障原因应当是服务器侧由于某种因素，未完成向终端推送认证web页面所需的全部信息，导致终端显示的web页面是空白的，对于显示captive.apple.com的情况，则有可能是AP给终端重定向后，终端向认证服务器发送请求，服务器完全没有回复，导致苹果终端停留在captive.apple.com页面而无法跳转。

图4 苹果终端3次连接SSID正常弹出Portal认证Web页面时：终端与认证服务器的HTTP报文交互

请第三方认证服务器工程师协助排查发现，认证服务器的内存满导致丢弃了与苹果终端的交互报文，重启服务器后故障完全消除。

对于安卓和PC终端跳转认证页面没有问题的原因，推测与安卓和PC的网页缓存机制有关。

总结：苹果终端Portal认证弹出空白页面或者captive.apple.com页面，在排查设备侧重定向问题的前提下，可以考虑终端与服务器的交互过程，服务器向终端推送portal认证页面信息不全，导致终端浏览器上显示空白页面或停留在captive.apple.com页面无法跳转。

参考资料：

[1] https://zhiliao.h3c.com/Theme/details/65330

[2] https://zhiliao.h3c.com/Theme/details/127005

[3] https://zhiliao.h3c.com/TechDoc/details/822

[4] https://zhiliao.h3c.com/Theme/details/30565

[5] https://zhiliao.h3c.com/Theme/details/19694