本地portal认证无线网页跳转问题

AC旁挂，是集中转发还是本地转发？集中跳不了，本地可以。
确认下配置对不对，配置无误看看302重定向报文有没有发给终端

在核心网关部署本地Portal认证，无线网络是完全可以实现网页自动跳转的。有线网络环境下的不跳转现象，恰恰是排查这个问题的关键线索。

 为什么不自动跳转？与“探测”机制有关

网页自动跳转并非由网络设备“主动推送”，而是一个由终端发起的“触发-重定向”过程：

1. 终端发起“网络探测”：手机或电脑连接Wi-Fi后，会自动用HTTP协议访问一个特定的网址，来检测网络连通性。

2. 设备进行“劫持重定向”：网关（认证设备）截获这个HTTP请求，并伪装成目标网站，向终端回复一个“重定向”指令（HTTP 302）。

3. 终端“拉起页面”：手机或电脑收到重定向指令后，会自动拉起浏览器，并跳转到你设定的Portal认证页面。

整个流程依赖于终端设备发送的网络探测请求。因此，问题的核心在于为这个探测机制扫清障碍，让终端能够成功发送HTTP请求。你遇到的有线网络不跳转的情况，很可能是因为电脑浏览器的默认主页或书签使用了HTTPS协议，而设备无法对HTTPS请求进行重定向。

 核心解决方案与命令

以下是需要重点检查的几个方向，并附带了H3C设备的相关命令。

1. 放通DNS流量

终端在探测前必须先进行DNS解析。如果DNS请求被阻断，后续流程将全部中断。你需要在AC上配置一条Portal免认证规则（Portal Free-Rule），允许未经认证的用户进行DNS查询：

2. 适配苹果iOS系统

苹果设备使用名为“Captive Network Assistant (CNA)”的独家探测机制，这是造成iOS设备不弹窗的最常见原因。

• 放通苹果探测流量：添加免认证规则，允许未经认证的iOS设备访问特定的探测页面。

  # 放通苹果设备探测页面的流量

  [AC] portal free-rule 3 destination ip any tcp 5223

• 启用被动Web认证优化：进入你的Portal Web服务器视图，为iOS设备专门开启优化功能。

  [AC] portal web-server <你的Portal服务器名>

  [AC-portal-websvr-xxx] captive-bypass ios optimize enable此命令专门用于处理苹果设备的CNA流程，让认证体验更顺畅。

3. 处理HTTPS重定向（关键步骤）

现代浏览器（Chrome, Edge等）和一些应用默认使用加密的HTTPS协议访问网络。由于安全限制，设备和浏览器无法对HTTPS请求进行重定向，这解释了为什么部分设备无法跳转。

• 推荐方案：提示用户访问HTTP页面。 这是最稳定、最兼容的方法。

• 进阶方案（需谨慎评估）：在某些支持且允许的H3C设备上，可以尝试开启HTTPS重定向功能。这需要生成并安装证书，配置较为复杂，且浏览器仍可能因证书不受信任而弹出安全警。

4. 关于调整建议的说明

你之前对ACL的担心非常有道理。按照上述建议调整后，如果网络中新增了2.x、3.x等子网，需要在核心网关的ACL里，为这些新网段也添加对应的permit规则，例如把之前的rule 5 permit ip source 192.168.1.0 0.0.0.255 扩展成三条，确保新网段不被默认规则拒绝。

 排错检查清单

如果调整后问题依旧，可以对照下表进行排查：

一、为什么有线不自动弹，无线能自动弹？

1. 有线终端：Windows/macOS 默认不会主动探测 captive portal，所以必须手动打开浏览器访问 http 网站，才会被重定向到 Portal 页。
2. 无线终端（手机）：iOS/Android 在连接 WiFi 时，会自动发送一个轻量级的 HTTP 探测请求（比如http://captive.apple.com），如果你的设备正确拦截并重定向，就能触发自动弹窗。
   你现在无线不自动弹，说明这个探测请求的重定向流程没走通。

二、你这个架构，低成本实现本地 Portal 自动跳转的关键配置（核心步骤）

1. 放行 Portal 相关的预认证流量（最容易漏）

注意：如果你的 Portal 服务器部署在腾讯云，还必须放行公网 IP 的访问，避免被防火墙拦截。

2. 强制重定向 HTTP 请求（核心配置）

• 只对 HTTP 80 端口 做重定向，不要拦截 HTTPS 443；
• 重定向的 URL 必须是 HTTP 开头（比如***.***），HTTPS 会导致部分手机无法弹窗。

3. 确保无线用户的 VLAN/IP 段正确应用 Portal 策略

• 无线用户的业务 VLAN（比如 VLAN 10）已经在核心网关上绑定了 Portal 认证；
• 有线用户的 VLAN（比如 VLAN 20）如果不需要认证，就不要绑定，避免互相影响。

4. 关闭无线 VLAN 的 ARP 防欺骗 / IP 源防护

• 临时测试：在无线业务 VLAN 下关闭 IP Source Guard，看是否能自动弹窗。

5. 检查 Portal 页面本身的兼容性

• 确保 Portal 页面是 HTTP 协议，HTTPS 页面在部分安卓 / 旧 iOS 上无法触发自动弹窗；
• 页面不要有复杂的 JS 或重定向，避免手机的探测请求超时；
• 测试时不要用浏览器无痕模式，部分手机的无痕模式会跳过 captive portal 检测。

三、低成本方案优化建议（无 IMC 也能稳定用）

方案 1：直接用核心网关自带的本地 Portal（推荐）

1. 在核心网关上开启本地 Portal，上传认证页面；
2. 给无线业务 VLAN 绑定 Portal 认证；
3. 按上面的步骤放行预认证流量；
4. 用手机连接 WiFi，看是否自动弹窗。

方案 2：用轻量级开源 Portal 替代（零成本）

1. 核心网关将所有 HTTP 请求重定向到云服务器上的 Portal 页面；
2. 云服务器负责认证逻辑，认证通过后通知核心网关放行用户 IP；
3. 这种方式对核心网关性能要求极低，且支持微信 / 短信认证。

四、快速排障步骤（你现在就能做）

1. 手机连 WiFi 后，用浏览器访问http://captive.apple.com，看是否能跳转到 Portal 页。如果能手动跳转，说明重定向配置没问题，问题出在手机的自动探测；如果不能跳转，说明重定向规则没生效。
2. 关闭手机的移动数据，再连 WiFi，看是否弹窗。部分手机会优先用移动数据，跳过 WiFi 的 captive portal 检测。
3. 检查无线用户的 IP 地址、网关、DNS 是否正常获取。如果 DNS 解析失败，也会导致无法触发自动弹窗。