认证获取不到页面 日志里只有PORTAL_FAST_AUTH_QUERY
- 0关注
- 0收藏,30浏览
问题描述:
2026-04-24 08:49:51.796[Portal服务器][调试(0)][33][ProxyRequestHandler::run]10.40.98.3 ; PORTAL_FAST_AUTH_QUERY(48) ; 36953 ; 172.16.140.1:40058 ; MAC地址绑定查询报文处理成功。(0)
<Content>
<Head>
Packet Type:PORTAL_FAST_AUTH_QUERY(48)
SerialNo:36953
Address:172.16.1.250
Port:50908
RemoteIp:172.16.140.1
RemotePort:40058
Version:portal 1.0
Auth Type:CHAP
ErrorID:0
UserIP:10.40.98.3
UserPort:0
ReqID:0
Rsvd:0
attriNum:4
1. 网络连通性验证
终端ping网关(AC/BRAS接口IP),确认可达;
AC/BRAS侧执行ping 172.16.1.250验证与Portal服务器连通性;执行telnet -u 172.16.1.250 50908测试UDP端口连通性,或dis firewall session table destination ip 172.16.1.250 destination port 50908查看会话。
2. 设备Portal配置检查
查看Portal模板:dis portal template name <模板名>,确认服务器IP、端口与日志匹配,模板状态正常;
查看认证域:dis domain name <认证域名>,确认绑定正确的Portal模板;
查看接口配置:dis interface <用户接口>,确认开启Portal认证(portal enable domain <域名>)及重定向(portal redirect enable);
检查快速认证:dis portal fast-auth,若无需快速认证,执行undo portal fast-auth enable关闭;
查看免认证规则:dis portal free-rule,确认终端IP不在免认证列表(否则不触发重定向)。
3. 日志与报文分析
你遇到的现象很典型:日志里的 PORTAL_FAST_AUTH_QUERY 报文处理成功,而且 ErrorID:0,说明 MAC 地址绑定快速认证已经生效,终端被直接放行了,因此不会弹出 Portal 认证页面。
1. 日志含义解读
PORTAL_FAST_AUTH_QUERY 是 Portal 快速认证查询报文,由接入设备(BAS,这里是
RemoteIp:172.16.140.1)发给 Portal 服务器(Address:172.16.1.250)。ErrorID:0 表示查询成功,即 Portal 服务器查到
10.40.98.3这个用户的 MAC 已经绑定,允许其直接认证通过。随后接入设备会直接对该用户完成认证,不会再触发 HTTP 重定向,自然也就不会推送 Portal 登录页面。
你看到“页面获取不到”,恰恰就是因为快速认证跳过了页面流程。
2. 为什么正常预期要有页面,现在却没了?
华三的 Portal 快速认证(MAC 绑定无感知认证)适用于“一次认证后长期免弹窗”的场景。如果 该终端 MAC 已经在 Portal 服务器上绑定了一个账号,那么每次接入都会走这个 FAST_AUTH_QUERY 直接上线,不显示网页。
可能的原因:
该终端之前用某个账号登录过,Portal 服务器自动或手动绑定了它的 MAC。
管理员误将大量 MAC 加入了“快速认证”或“无感知认证”白名单。
准入策略中开启了“MAC 优先认证”且匹配到了该终端的 MAC。
3. 快速定位和解决
3.1 验证是否确实已经认证成功
在接入设备上查看该用户的在线状态,如:
如果看到该 IP 已上线且分配了正确的授权(如 VLAN、ACL),说明其已被直接认证,无需页面。
3.2 检查 Portal 服务器上该 MAC 的绑定情况
登录 iMC(或其他 Portal 服务器管理界面):
进入 用户 > 接入用户 > MAC 绑定 或 无感知认证 页面。
查找 IP
10.40.98.3对应的 MAC 地址是否已绑定账号。如果希望该终端弹出页面,删除该绑定,或将其账号从“快速认证”策略中移除。
3.3 临时测试:用一台从未认证过的终端
找一台 从未在此网络认证过、MAC 也未绑定的设备,连接后看是否弹出 Portal 页面。
如果能弹出,验证了上面的结论;如果仍然不弹,可能是重定向或 Portal 服务器配置有误,需进一步排查 HTTP 重定向和 Portal server 可达性。
3.4 如果业务上仍需对绑定了 MAC 的用户显示页面
需要在 Portal 服务器配置中关闭该用户的“无感知认证”功能,或调整接入策略,让即使 MAC 绑定也先弹出页面(通常不推荐,会破坏无感知体验)。具体操作因版本而异,一般位置在:
iMC:用户 > 接入策略管理 > 业务参数配置 > 无感知认证 中修改规则。
或者在接入设备上调整认证顺序,将 MAC 认证优先改为 Portal 认证优先,但这会改变整体流程,需谨慎。
4. 额外排查方向(如果以上都不符合)
如果你 确认该终端 MAC 并未绑定,但仍然不弹页面且日志只有 FAST_AUTH_QUERY,可以检查以下几点:
Portal 服务器是否配置了“默认启用 MAC 快速认证”,对所有未绑定设备也尝试用 MAC 作为账号进行认证(部分版本有类似行为)。
用户 IP 和接入设备配置:确认
10.40.98.3确实匹配到正确的 Portal 策略,没有被其他免认证策略命中。HTTP 重定向问题:如果 FAST_AUTH 失败(ErrorID 非 0)才可能触发重定向,而你的 ErrorID=0 说明快速认证已经成功,因此不再有重定向。
一句话总结:
你看到的日志表明该用户的 MAC 已经通过快速认证直接上线了,所以 没有认证页面属于正常行为。如果需要弹出页面,请清除该用户在 Portal 服务器上的 MAC 绑定或关闭无感知认证功能。
暂无评论
一、先看懂你这条日志(关键)
PORTAL_FAST_AUTH_QUERY(48)
MAC地址绑定查询报文处理成功
现象解释
- 用户终端打开浏览器
- 交换机先给 iMC 发:我要做快速认证(MAC 免认证)
- iMC 返回:成功(允许通过)
- 结果:流程直接结束,根本不会弹出 Portal 页面
你现在的状态
二、100% 根因
你在 AC / 交换机 上开启了 Portal 快速认证(Fast Auth)
iMC 里配置了 MAC 绑定 / MAC 优先认证
三、最有效、最直接的解决方法(2 选 1 即可恢复)
方法 1:交换机 / AC 关闭 Portal 快速认证(最有效)
undo portal fast-authentication enable
undo portal fast-auth enable
方法 2:iMC EIA 关闭 “MAC 优先认证 / 快速认证”
- MAC 地址认证优先
- 快速认证优先
- 无感认证优先
四、为什么会这样?(通俗解释)
- 快速认证(Fast Auth) 优先级 高于 网页认证
- 设备先问 iMC:这个 MAC 能免认证吗?
- iMC 说:能!
- 于是设备直接放行,不再推送 Portal 页面
- 终端:没页面 → 以为坏了
五、你只需要做一步
在交换机或 AC 上执行:
undo portal fast-authentication enable
六、我可以 10 秒帮你确认
display current-configuration | include portal
fast-authentication。最终结论
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论