某局点做云简固定账号认证不需要认证直接上网问题分析

AP直接注册到云简上，做固定账号认证

无

在云简上做固定账号认证，终端不需要认证，就可以访问部分网络资源

 【问题分析】 

1、云简上做认证属于轻量级Portal，查看Portal user没有表像，只有client表象，说明还没有进行portal认证或者说没有portal 认证成功。

 2、怀疑是freerule里面有放通地址，检查后发现都是一些常见地址，并没有故障现象里面能访问的网站。 

# portal user log enable portal client-gateway interface Vlan-interface1

 portal free-rule 501 destination ip 114.114.114.114 255.255.255.255 

portal free-rule 502 destination ip any udp 53 

portal free-rule 503 destination ip any tcp 53 

portal free-rule 504 destination ip any tcp 5223 

portal free-rule 520 destination oasisauth.h3c.com 

portal free-rule 521 destination short.weixin.qq.com 

portal free-rule 522 destination mp.weixin.qq.com 

portal free-rule 523 destination long.weixin.qq.com 

portal free-rule 524 destination dns.weixin.qq.com 

portal free-rule 525 destination minorshort.weixin.qq.com 

portal free-rule 526 destination extshort.weixin.qq.com 

portal free-rule 527 destination szshort.weixin.qq.com 

portal free-rule 528 destination szlong.weixin.qq.com 

portal free-rule 529 destination szextshort.weixin.qq.com

 portal free-rule 530 destination isdspeed.qq.com 

portal free-rule 531 destination ***.*** 

portal free-rule 532 destination wifi.weixin.qq.com # 

3、检查是否配置了无感知，命令行虽然配置有无感知但是云简上没有配置开关，无感知是不生效的，所以跟无感知没有关系。 

# wlan service-template 1 

ssid Eventpass_FL10 

gtk-rekey enable 

portal enable method direct 

portal domain cloud 

portal apply web-server 1

 portal apply mac-trigger-server cloud

 service-template enable #

 4、检查是否配置了临时放行，如果配置了临时放行，在临时放行时间内是可以正常访问网络资源。

 5、检查是否是有配置逃生，如果服务器不可达可能也会触发逃生导致不需要认证也可以上网。

 上面检查都没有问题，最后通过分析终端报文流量走的是ipv6，而云简上暂不支持做ipv6的认证。

删除ipv6的配置，终端只获取ipv4的地址后就需要认证以后才能访问网络。