华三上网行为管理设备

一、最常见：你用域名访问，DNS 解析失败

• “无法解析服务器的域名地址”
• “ERR_NAME_NOT_RESOLVED”
• “商户网络配置原因，连网失败”

• 你输入了 ***.*** 之类域名，但：
  1. 内网 DNS 没这条记录；
  2. 设备没配置 DNS，无法解析自己的域名；
  3. 电脑本地 hosts 错误。

1. 直接用设备管理 IP访问：
   plaintext

   https://192.168.1.1 （换成你设备实际管理IP）
2. 能进后，再检查：
   • 设备全局是否配置 DNS：
     plaintext

     dns server 223.5.5.5
   • 系统→管理→Web 服务，是否绑定了错误域名 / 证书H3C。

二、设备开启了 Portal 重定向，却配了无效域名

• 随便开网页，弹出一个域名错误的认证页，不是设备登录页。

• ACG / 防火墙开启了 Portal，重定向地址写了一个不存在 / 解析不了的域名。

1. 用 IP 登录设备（同上）；
2. 进入：用户→Portal 认证→服务器配置；
3. 把 “Portal 服务器域名” 改为设备 IP，或删掉无效域名；
4. 保存后测试。

三、HTTPS 证书与域名不匹配（浏览器弹窗报域名 / 证书错误）

• 能连通，但浏览器弹窗：证书与域名不匹配 / 不安全，不让进。

• 设备导入的 HTTPS 证书，绑定的域名和你访问的不一致；
• 或用了默认自签名证书，浏览器不信任H3C。

1. 先用 Chrome，访问时点 “高级→继续访问（不安全）”，强行进入；
2. 进入后：系统→证书管理；
3. 上传与访问域名一致的正式证书，或清空证书恢复默认，用 IP 访问H3C。

四、浏览器 / 代理 / 缓存问题

• 开了代理 / VPN，导致域名解析乱了 → 关掉代理；
• 缓存旧 DNS → 清理浏览器缓存，或换无痕模式；
• 浏览器版本太旧 → 用 Chrome/Edge 最新版。

一句话快速处理

问题原因分析

1. HTTPS重定向证书问题：设备使用自签名证书进行HTTPS重定向时，浏览器检测到证书不受信任或域名不匹配，会弹出安全警告。
2. DNS解析故障：设备或客户端无法正确解析Portal服务器的域名，导致重定向失败。
3. HTTPS网站HSTS功能：某些HTTPS网站开启了HSTS（HTTP严格传输安全）功能，强制要求使用合法证书，而设备的自签名证书无法满足此要求。
4. Portal服务器配置错误：Portal服务器的IP地址组配置不正确，或终端IP不在允许范围内。

详细排查步骤

1. 登录设备命令行，执行 ping www.h3c.com测试域名解析是否正常。
2. 检查设备DNS配置：system-view→ dns server x.x.x.x，确认DNS服务器地址正确且网络可达。
3. 确保安全策略放通了DNS查询流量。

1. 检查HTTPS重定向是否启用：执行 display web-auth redirect policy查看重定向策略。
2. 确认重定向策略中的源/目的地址范围包含您的终端IP段。
3. 检查SSL服务器端策略是否存在：display ssl server-policy。

1. 查看设备默认证书：display pki certificate domain default。
2. 确认证书是否过期或不受信任。如果证书有问题，需要替换为有效证书或调整浏览器设置。

1. 确认Portal服务器上配置的IP地址组是否正确。
2. 检查终端IP地址是否在Portal服务器配置的IP地址组范围内。

1. 尝试使用HTTP方式访问（如 http://设备IP而非 https://设备IP）。
2. 在浏览器中手动输入Portal服务器URL地址测试。
3. 如果是因为证书不受信任，可以在浏览器中添加安全例外（仅限测试环境，生产环境不推荐）。

关键命令参考

• display web-auth redirect policy- 查看重定向策略
• display pki certificate domain default- 查看默认证书状态
• ping www.h3c.com- 测试DNS解析
• display portal server- 查看Portal服务器配置

“弹窗显示域名”这个现象，通常不是设备本身故障，而是浏览器安全机制、DNS解析或设备认证配置引发的问题。

 故障现象解读：为何提示“域名”？

你遇到的情况很可能是以下三种原因之一：

• HTTPS证书与域名不匹配 (最常见)：你使用IP地址访问设备，但浏览器仍要求通过域名验证设备HTTPS证书，导致安全弹窗。浏览器会严格检查证书中的“域名”是否和你输入的地址一致，不匹配就会报错。你可以尝试通过域名来访问设备（如设备预设的xxx.h3c.com），并确保电脑能正确解析该域名。

• DNS解析错误：你的电脑或设备本身无法正确解析所需的域名，导致登录或跳转流程中断。在浏览器弹窗上仔细查看，是“无法解析域名”，还是显示了一个陌生的、不正确的域名。

• Portal认证弹窗异常：如果设备配置了Portal认证，你访问任何网页时都应被强制跳转到认证页面。如果这个跳转失败，就可能出现“弹窗显示域名”报错。

 第一步：快速诊断HTTP/HTTPS访问问题

先来一组快速测试，判断问题出在哪个层面。

1. 直接使用IP地址访问：在浏览器地址栏输入 http://<设备管理IP> （注意是 http 不是 https）。如果HTTP能打开，说明问题大概率就在HTTPS证书上。

   小提示：设备出厂时通常已设置默认管理IP、用户名和密码，如果不确定，可以查阅设备底部的标签。

2. 添加安全例外（临时方案）：使用 https://<设备管理IP> 访问时，浏览器如提示“您的连接不是私密连接”，点击“高级” -> “继续前往... (不安全)”，可临时绕过证书验证。

   • 重要：这仅用于临时排查，不建议长期使用。如果无法接受此风险，请采用下方的永久方案。

3. 检查域名解析：如果弹窗提示“域名无法解析”，请确认你的设备是否已正确配置DNS服务器。在电脑上Ping设备使用的域名，看是否能返回正确的IP地址。

 第二步：正确配置DNS (治本方案)

若要使用域名访问，或启用HTTPS认证，必须配备正确的DNS。

• 电脑侧DNS：确保电脑的DNS服务器地址正确，能解析外网域名。

• 设备侧DNS：登录设备命令行，为设备本身配置正确的DNS服务器。设备解析不了域名会导致许多功能异常。

 第三步：HTTPS证书问题解决方案

如果确认是证书问题，提供三种解决方案：

• 方案一：使用HTTP访问 (最简单)：如果只是需要进入管理后台进行配置，最简单的办法就是用 http://IP地址 访问。

• 方案二：上传可信证书 (登录后操作)：登录Web界面后，在“系统管理”->“证书管理”等菜单，上传由正式CA机构颁发的、与设备管理IP或域名匹配的证书，可永久解决。

• 方案三：配置认证告警消除 (特定场景)：如果设备用于Portal认证，在命令行中配置相关命令取消告警，使HTTPS跳转Portal更顺畅。

 第四步：Portal认证排查

如果你在未登录时访问外网，被强制跳转到一个包含“域名”的地址并报错，请按此排查。

1. 检查Portal URL配置：登录设备，检查“用户管理”->“Portal认证”中配置的“认证页面URL”是否完全正确。检查域名是否拼写错误，如果使用域名，设备必须能解析到对应的IP地址。

2. 放通DNS流量：Portal认证前，用户必须先完成DNS解析。需要配置认证免认证规则，放通到DNS服务器的UDP 53端口流量

 第五步：检查授权状态

某些情况下，设备授权过期或异常也会导致Web访问受限，并在页面上弹窗提示。登录设备后，第一时间查看右上角或“系统管理”->“授权管理”，确认所有功能授权均正常。