5560H 终端不弹portal以及获取不到地址

portal无法弹出认证页面问题， portal原理先了解，首先是由三个模块组成（仿冒模块、认证模块和本地的Protal server），仿冒模块主要负责TCP仿冒连接管理，这也是后面portal交互、认证环节的前提，否则所有报文都会被丢弃。

所以portal无法弹出认证页面问题有这么几种可能性：

1.     仿冒模块限速，仿冒模块为了避免攻击，每秒只能送上cpu256个报文，超过部分将会被丢弃；

2.     仿冒模块存在当前用户的一个老的连接（判断依据可能为mac网卡地址）而由于老连接一直未被释放，所以不能接受新的tcp连接。（主要怀疑的原因）；

3.     设备上未放通DNS，Portal页面无法弹出

终端在浏览器上输入网址域名后，浏览器必须先完成DNS解析才能向目标IP发起TCP连接请求，从而触发重定向。如果终端未配置DNS或DNS不可用，则无法发起TCP连接和触发重定向。这种错误可以通过直接在浏览器地址栏输入任意IP而不是域名来测试；

4.     终端浏览器缓存认证页面，导致认证失败

在中国移动的WLAN网络中，一种常见的错误是终端将Portal认证页面保存起来，从一个热点走到另一个热点再次关联WiFi，然后用之前保存的Portal页面输入用户名密码登录。这常常会导致认证失败。原因在于终端切换热点后，所获取的IP地址可能会变化，而且新热点和老热点还可能是由不同的AC管理。这就要求新热点下的重定向url中携带的用户IP和AC标识信息同步刷新，如果用保存的老页面url登陆，会导致Portal服务器向错误的AC设备发起认证，或者AC上找不到指定UserIP的终端，总之，这都会导致认证最终失败。

处理建议：

 （1） 需要启动下面的调试信息进行收集：

 debug portal acl interface xxx (xxx为VLAN接口)；

 debug portal tcp-cheat

 debug portal server

 如果出现“Failed to process HTTP packet:under-attack”，则说明为问题1。

（2） 如果出现长时间无法推出页面的现象，则可以使用display portal tcp-cheat

statistics察看是否已经存在有网卡IP地址相关的表项。如果有，则说明为问题2。

 定位Portal问题常用的一些调试命令：

 维护命令/ 命令说明

debugging portal rule acl          

用户上线后转发有问题可以开

debugging portal connection

 用户上下线有问题可以开

debug portal packet

 用户上下线有问题可以开

debug portal server

 本地portal认证用户上下线有问题可以开

debug portal tcp-cheat

 http重定向有问题可以开

debug portal all

 一般遇到问题可以都打开，只关闭acl（避免信息过多）

debugging radius packet

 AAA的radius开关，用户上下线有问题可以开

display portal connection statistics

 显示portal用户连接统计信息

display portal tcp-cheat statistics

 显示portal仿冒模块统计信息