• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

无线portal过程中,流量到达设备后被异常放通/deny/重定向异常问题

2024-06-20 发表
  • 0关注
  • 0收藏 82浏览
林东良
林东良 四段
粉丝:0人 关注:0人

组网及说明

STA---云AP or  STA---AP---AC

告警信息

问题描述

无线终端(安卓)接入无线后,无法自动弹出portal页面。如果手动打开浏览器,或手动输入ip或域名,可以弹出portal页面。

 

过程分析

电脑手机等终端在接入网络后,会发出大量的探测报文,有的是探测微软服务,有的是探测谷歌服务。这些探测报文按理说可以触发portal重定向动作。

客户的终端在手动打开浏览器时,可以弹出portal页面,也可以正常登录。因此可判断不是DNS问题或者portal服务器问题,猜测是portal过程处理问题。

 

在设备(云AP或者AC)上debug  portal all,有如下log。

 

[Outbound] permit the packet on the outbound {MatchRes = [Rule2-Permit]}.

IfName = WLAN-BSS1/0/3, PortName = WLAN-BSS1/0/3, Vlan = 1, DstMAC = 725e-3250-4ca6,

SrcIP = 23.192.223.165, DstIP = 192.168.1.8

L4Protocol = 6, SrcPort = 443, DstPort = 54776, VrfIndex = 0

 

*Apr 30 08:24:47:705 2024 PRUEBAS POLANCO PORTAL/7/RULE:

 [Outbound] permit the packet on the outbound {MatchRes = [Rule1-Permit]}.

 IfName = WLAN-BSS1/0/3, PortName = WLAN-BSS1/0/3, Vlan = 1, DstMAC = 725e-3250-4ca6,

 SrcIP = 192.178.52.138, DstIP = 192.168.1.8

 L4Protocol = 6, SrcPort = 443, DstPort = 42102, VrfIndex = 0

 

*Apr 30 08:24:47:705 2024 PRUEBAS POLANCO PORTAL/7/RULE:

 [Outbound] permit the packet on the outbound {MatchRes = [Rule2-Permit ]}.

 IfName = WLAN-BSS1/0/3, PortName = WLAN-BSS1/0/3, Vlan = 1, DstMAC = 725e-3250-4ca6,

 SrcIP = 192.178.57.14, DstIP = 192.168.1.8

 L4Protocol = 6, SrcPort = 443, DstPort = 34588, VrfIndex = 0

 

*Apr 30 08:24:47:705 2024 PRUEBAS POLANCO PORTAL/7/RULE:

[Outbound] permit the packet on the outbound {MatchRes = [Rule1-Permit]}.

IfName = WLAN-BSS1/0/3, PortName = WLAN-BSS1/0/3, Vlan = 1, DstMAC = 725e-3250-4ca6,

SrcIP = 192.178.52.170, DstIP = 192.168.1.8

 L4Protocol = 6, SrcPort = 443, DstPort = 36446, VrfIndex = 0

 

*Apr 30 08:24:47:705 2024 PRUEBAS POLANCO PORTAL/7/RULE:

 [Outbound] permit the packet on the outbound {MatchRes = [Rule2-Permit]}.

 IfName = WLAN-BSS1/0/3, PortName = WLAN-BSS1/0/3, Vlan = 1, DstMAC = 725e-3250-4ca6,

 SrcIP = 192.168.1.1, DstIP = 192.168.1.8

 L4Protocol = 1, SrcPort = 0, DstPort = 0, VrfIndex = 0

 

可以看到一些访问https的流量匹配上 Rule1-Permit。

汇总一下portal debug中遇到的各种rule

 

  [Outbound] permit the packet on the outbound {MatchRes = [Rule4-Deny]}.

 [Inbound] execute full rule match, { MatchRes = [Rule1-Permit] }

 [Outbound] execute full rule match, { MatchRes = Pre-Rule1-Permit }

 [Outbound] permit the packet on the outbound {MatchRes = [Rule2-Permit]}.

 [Inbound] execute full rule match, { MatchRes = [Rule3-Redirect] }

各个rule的意义:

Rule1   free rule放行,free rule放行的IP都可以从配置看到

Rule2   用户已经通过认证,或者触发临时放行.

Rule3   默认配置,HTTP/HTTPS流量被重定向

Rule4   默认配置,流量默认deny。或者通过配置portal deny 配置下发的

上面看到443端口的流量Rule1放通,因此怀疑安卓终端探测流量匹配到free-rule而导致被放通,所以未能触发portal重定向而自动弹出portal页面。

portal free-rule配置如下,但是放通的是域名,无法和被放通的流量对应上。

#

 portal user log enable

 portal client-gateway interface Vlan-interface1

 portal free-rule 501 destination ip 114.114.114.114 255.255.255.255

 portal free-rule 502 destination ip any udp 53

 portal free-rule 503 destination ip any tcp 53

 portal free-rule 504 destination ip any tcp 5223

 portal free-rule 520 destination oasisauth.h3c.com

 portal free-rule 521 destination short.weixin.qq.com

 portal free-rule 522 destination mp.weixin.qq.com

 portal free-rule 523 destination long.weixin.qq.com

 portal free-rule 524 destination dns.weixin.qq.com

 portal free-rule 525 destination minorshort.weixin.qq.com

 portal free-rule 526 destination extshort.weixin.qq.com

 portal free-rule 527 destination szshort.weixin.qq.com

 portal free-rule 528 destination szlong.weixin.qq.com

 portal free-rule 529 destination szextshort.weixin.qq.com

 portal free-rule 530 destination isdspeed.qq.com

 portal free-rule 531 destination ***.***

 portal free-rule 532 destination wifi.weixin.qq.com

 portal free-rule 533 destination ***.***

 portal free-rule 534 destination ***.***

 portal free-rule 535 destination ***.***

 portal free-rule 536 destination ***.***

 portal free-rule 537 destination ***.***

 portal free-rule 538 destination ***.***

 portal free-rule 539 destination ***.***

 portal free-rule 540 destination ***.***

 portal free-rule 541 destination ***.***

 portal free-rule 542 destination ***.***

 portal free-rule 543 destination ***.***

 portal free-rule 544 destination *.***.***

 portal free-rule 545 destination scontent-lax3-2.***.***

 portal free-rule 546 destination scontent-hkg3-1.***.***

 portal free-rule 547 destination *.***.***

 portal free-rule 548 destination *.***.***

 portal free-rule 549 destination ***.***

 portal free-rule 550 destination ***.***

 portal free-rule 551 destination ***.***

 portal free-rule 552 destination ***.***

 portal free-rule 553 destination ***.***

 portal free-rule 554 destination ***.***

 portal free-rule 555 destination ***.***

 portal free-rule 556 destination ***.***

 portal free-rule 557 destination ***.***

 portal free-rule 558 destination ***.***.sg

 portal free-rule 559 destination ***.***

 portal free-rule 560 destination ***.***

 portal free-rule 561 destination ***.***

 portal free-rule 562 destination ***.***

 portal free-rule 563 destination ***.***

 portal free-rule 564 destination ***.***

 portal free-rule 565 destination ***.***

 portal free-rule 566 destination ***.***

 portal safe-redirect enable

 portal safe-redirect method get post

 portal safe-redirect user-agent Android

 portal safe-redirect user-agent CFNetwork

 portal safe-redirect user-agent CaptiveNetworkSupport

 portal safe-redirect user-agent Chrome

 portal safe-redirect user-agent Firefox

 portal safe-redirect user-agent MicroMessenger

 portal safe-redirect user-agent MicrosoftNCSI

 portal safe-redirect user-agent Mosilla

 portal safe-redirect user-agent Safari

 portal safe-redirect user-agent WeChat

 portal safe-redirect user-agent android

 portal safe-redirect user-agent iPhone

 portal safe-redirect user-agent micromessenger

 

#

如果free-rule是域名的,可以从display portal dns free-rule-host 查看域名和IP对应关系。

最后证实,该https流量匹配上了***.***的free-rule,导致被放通。

解决方法

删除多余的free-rule后,问题解决,终端可以在接入WIFI后自动弹出portal页面。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作