云简短信认证不了

报什么错？看不清楚

能弹出页面并收到验证码，说明Portal重定向和短信网关通信这两大关键环节是正常的。问题出在最后一步“验证”，很可能就是硬盘更换后，一些配置没有恢复导致的。

你可以按照下面的步骤来排查，大概率是第二步提到的免认证规则（Free Rule）没配好。

 第一步：前置确认

1. 确认硬盘挂载：执行display disk-mount命令，确认新硬盘已被系统正常识别和挂载。如果没有，请尝试disk mount命令手动挂载。

2. 确认Portal服务状态：执行display web-auth service status命令，确保Portal服务处于running状态。如果不是，用restart web-auth命令重启服务。

 第二步：关键问题排查

如果前置步骤没问题，请重点检查以下配置，尤其是第1点，这是最常见的原因：

• 检查“免认证规则”（Free Rule）
  这是导致“验证卡住”的最常见原因。认证过程中，设备必须放行与oasis-auth.h3c.com（云简平台）和短信网关的通信。请务必确认以下地址的放行规则配置正确：

  • oasis-auth.h3c.com (公网IP: 101.36.161.146)

  • 你的短信网关服务器地址

  • 首选DNS服务器地址
    配置示例：

  web-auth free-rule 1 destination ip 101.36.161.146 255.255.255.255

  web-auth free-rule 2 destination ip [你的短信网关IP] 255.255.255.255 web-auth free-rule 3 destination ip [你的DNS服务器IP] 255.255.255.255

• 检查网络连通性与DNS
  确保ACG设备本身能正常访问外网：

  • 连通性测试：在ACG上执行ping oasis-auth.h3c.com和ping [你的短信网关]，确认能通。

  • DNS测试：如果域名解析失败，检查DNS配置是否正确（system-view → dns server x.x.x.x）。

• 检查安全策略
  确保防火墙或ACG的安全策略没有拦截必要的流量，包括Portal服务和短信网关通信。如果使用HTTPS重定向，需要额外放行443端口。

• 检查设备时间与证书

  • 系统时间：通过display clock检查。若时间不准，用clock datetime手动校准或配置NTP服务，防止因时间偏差导致HTTPS证书验证失败。

  • HTTPS证书：如果使用HTTPS重定向，通过display pki certificate检查证书是否有效，且与重定向的域名匹配。

 第三步：服务与日志确认

如果上述步骤都未能解决，请进行更深度的检查：

• 重启Portal服务：作为最后的尝试，可以执行restart web-auth命令重启服务。

• 检查短信网关配置：确认服务商参数（URL、密钥等）无误。如果使用了非原厂短信服务，请重点关注这一步。

• 检查云简平台：确保云简侧的短信认证功能已开启且模板审核通过。也有可能是云简平台服务侧的问题，可稍等重试。

• 检查日志：通过display logbuffer查看设备日志，寻找与web-auth、sms或portal相关的错误信息。

 第四步：快速验证

你可以用一台测试终端，配置静态路由，只允许它访问101.36.161.146（云简平台）和你的短信网关IP。如果此时认证成功，就可以基本确定是免认证规则（Free Rule）放行的目的地址不全导致的。

🛠️ ACG1000 云简短信认证验证失败（换硬盘后）根因排查与修复方案
一、先明确故障核心特征
你遇到的问题：
能正常弹出认证页面、能收到验证码 → 说明短信发送链路、云简平台侧、ACG 到云的网络是通的
点击验证时卡住 / 报错 → 问题出在验证阶段的本地存储、数据同步、权限或配置完整性
故障触发点：更换硬盘后 → 根因高度集中在硬盘分区、系统权限、本地缓存 / 数据库、配置恢复
二、按优先级从高到低排查（直接落地操作）
🔴 优先级 1：硬盘分区与挂载权限问题（最高概率根因）
你提到硬盘分区为 MBR ext4，ACG1000 对存储目录有严格的权限要求，换盘后最容易出问题：
1. 检查关键目录挂载与权限
ACG1000 的认证日志、用户会话、云简缓存都存储在 /var、/tmp、/data 等目录，需执行以下命令排查：
bash
运行
# 1. 查看分区挂载情况，确认ext4分区正常挂载
df -h
# 重点检查：/var、/data 目录是否正常挂载，无只读挂载
# 2. 检查目录权限（核心！）
ls -ld /var /var/log /data /tmp
# 正常权限应为：drwxr-xr-x root:root 或 对应业务用户（如h3c）
# 3. 检查是否为只读挂载
mount | grep -E "(var|data)"
# 若输出含 "ro"（只读），说明挂载异常，需重新挂载为读写
# 4. 修复ext4文件系统（换盘后可能存在文件系统损坏）
umount /dev/sdXn # 替换为你的ext4分区，如/dev/sda3
fsck.ext4 -y /dev/sdXn
mount /dev/sdXn /var # 按实际挂载点恢复
2. 修复方案
若目录权限错误：执行 chmod 755 /var /var/log /data、chown root:root /var /var/log /data 恢复权限
若为只读挂载：重新挂载为读写 mount -o rw,remount /var
若文件系统损坏：执行 fsck.ext4 修复后重启设备
🟠 优先级 2：云简平台与 ACG 的会话 / 密钥同步异常
换盘后 ACG 的本地缓存、会话数据库、连云密钥丢失，导致验证阶段校验失败：
1. 排查步骤
ACG 侧：检查云简连接状态
Web 界面：【系统】→【云简网络】→ 查看设备在线状态，确认 ACG 正常在线、无离线 / 异常
命令行：display cloudnet status，确认 Status: Online
云简平台侧：检查设备绑定与认证配置
登录云简绿洲平台，找到对应 ACG1000 设备，确认：
设备 SN 绑定正确，无解绑 / 重复绑定
短信认证模板配置完整（模板 ID、回调地址、密钥无变更）
短信网关服务正常，无欠费 / 接口变更
强制同步与重置
ACG 侧：先执行 undo cloudnet enable 关闭云简，再重新配置 cloudnet enable，触发重新上云同步
云简平台侧：删除该设备的短信认证配置，重新下发一次认证模板
清除 ACG 本地认证缓存：reset authentication session all、reset cloudnet cache
🟡 优先级 3：系统时间与 NTP 同步异常（验证超时根因）
短信验证码有严格的时间校验，换盘后 ACG 系统时间丢失，导致验证码超时失效：
1. 排查步骤
bash
运行
# 查看当前系统时间
display clock
# 若时间与当前实际时间偏差>5分钟，直接导致验证失败
# 检查NTP同步状态
display ntp-service status
2. 修复方案
手动校准时间：clock datetime HH:MM:SS YYYY-MM-DD
配置 NTP 服务器，确保时间自动同步：
bash
运行
ntp-service enable
ntp-service unicast-server ***.***
重启 ACG 后再次验证短信认证
🟢 优先级 4：认证服务进程异常（换盘后服务未正常启动）
ACG 的短信认证依赖 authd、cloudnetd 等本地服务，换盘后可能出现进程启动失败：
1. 排查步骤
bash
运行
# 查看认证服务进程状态
display process | include authd
display process | include cloudnetd
# 若进程不存在或状态异常，说明服务未启动
# 查看系统日志，定位服务启动失败原因
display logbuffer
# 重点搜索：authd、cloudnet、permission、mount 相关报错
2. 修复方案
手动重启认证服务：reset authd process
重启云简服务：reset cloudnet process
若进程持续异常，备份配置后执行 restore default 恢复出厂，重新配置云简与认证
🔵 优先级 5：配置恢复不完整（换盘后配置丢失 / 损坏）
若你是通过备份配置恢复，可能存在部分云简 / 认证相关配置缺失：
1. 关键配置核查
bash
运行
# 查看云简核心配置
display current-configuration | include cloudnet
# 确认包含：cloudnet enable、云平台地址、设备密钥等完整配置
# 查看短信认证配置
display current-configuration | include sms-auth
# 确认认证模板、回调地址、云简关联配置完整
# 查看ACG与云简的接口配置
display current-configuration interface | include cloudnet
# 确认出接口（如G0/0）正常，无路由/策略阻断
2. 修复方案
对比换盘前的完整配置，补全缺失的云简、认证相关配置
重新配置短信认证模板，确保与云简平台侧完全一致
检查 ACG 的安全策略，确保 ACG 到云简平台的 HTTPS（443 端口）流量无阻断
三、快速定位根因的日志排查命令（直接执行）
bash
运行
# 1. 查看认证失败日志（最直接）
display logbuffer | include sms
display logbuffer | include auth
# 2. 查看云简通信日志
display logbuffer | include cloudnet
display cloudnet log
# 3. 查看系统错误日志
display logbuffer | include error
display diagnostic-information # 导出完整诊断信息给H3C技术支持
四、补充：常见坑点避坑
ext4 分区格式问题：ACG1000 对 ext4 分区的块大小、inode 数量有要求，换盘时需使用设备默认分区方案，不要手动自定义分区
硬盘热插拔问题：若未执行 umount 就拔盘，会导致文件系统损坏，必须执行 fsck 修复
云简平台侧缓存：换盘后 ACG 的设备密钥会变更，需在云简平台重新同步设备信息，否则验证阶段密钥校验失败
浏览器缓存问题：终端浏览器缓存旧的认证页面，导致验证失败，可清除缓存 / 更换浏览器测试
五、终极解决方案（若以上排查无效）
备份 ACG 当前完整配置
执行 restore default 恢复出厂设置
重新对硬盘进行分区（使用 ACG1000 默认分区方案，不要手动修改）
重新配置云简上云、短信认证模板
测试短信认证，确认正常后恢复其他业务配置