问
华三认证服务器,wifi连接不弹出认证界面
4天前提问
- 0关注
- 0收藏,81浏览
zhiliao_Gixe
五段
排查步骤(适配你现有组网,60016错误官方定义为AC与Portal认证服务器交互无响应,老环境突发故障优先按以下顺序排查):
1. 排查AC与认证服务器的连通性/端口放通
在AC上执行命令:
ping 认证服务器IP
telnet 认证服务器IP 1812 // 测试RADIUS端口连通
telnet 认证服务器IP 8443 // 测试Portal网页HTTPS端口连通
检查中间防火墙、AC包过滤策略,确认UDP 2000(Portal协议端口)、RADIUS 1812/1813、认证网页端口全部放通,且AC发往认证服务器的报文不能做NAT,最近如果调整过安全策略优先临时回滚测试。
2. 校验AC侧Portal配置一致性
AC执行命令:
display portal server 你的认证服务器名称
display portal web-free rule
比对服务器IP、共享密钥、UDP端口和认证服务器侧的接入设备配置是否完全匹配,确认认证服务器IP已经加入免认证规则,避免终端访问认证页面被拦截。
3. 排查认证服务器侧状态
登录认证服务器后台,查看Portal服务进程是否僵死停止,查看服务器日志是否收到AC发来的Portal请求:
完全没收到请求:说明AC到服务器的报文被拦截,回到步骤1排查路由/安全策略
收到请求但无响应:重启Portal认证服务即可恢复,老环境长时间运行进程僵死是高发问题
4. 终端侧校验
确认终端获取的IP属于规划的认证网段,没有私接非法DHCP分配的异常零段地址,清空浏览器缓存、关闭移动数据后重试跳转。
1. 排查AC与认证服务器的连通性/端口放通
在AC上执行命令:
ping 认证服务器IP
telnet 认证服务器IP 1812 // 测试RADIUS端口连通
telnet 认证服务器IP 8443 // 测试Portal网页HTTPS端口连通
检查中间防火墙、AC包过滤策略,确认UDP 2000(Portal协议端口)、RADIUS 1812/1813、认证网页端口全部放通,且AC发往认证服务器的报文不能做NAT,最近如果调整过安全策略优先临时回滚测试。
2. 校验AC侧Portal配置一致性
AC执行命令:
display portal server 你的认证服务器名称
display portal web-free rule
比对服务器IP、共享密钥、UDP端口和认证服务器侧的接入设备配置是否完全匹配,确认认证服务器IP已经加入免认证规则,避免终端访问认证页面被拦截。
3. 排查认证服务器侧状态
登录认证服务器后台,查看Portal服务进程是否僵死停止,查看服务器日志是否收到AC发来的Portal请求:
完全没收到请求:说明AC到服务器的报文被拦截,回到步骤1排查路由/安全策略
收到请求但无响应:重启Portal认证服务即可恢复,老环境长时间运行进程僵死是高发问题
4. 终端侧校验
确认终端获取的IP属于规划的认证网段,没有私接非法DHCP分配的异常零段地址,清空浏览器缓存、关闭移动数据后重试跳转。
暂无评论
一、先说结论:60016 是什么问题(官方定义)
60016 = AC 与 Portal 认证服务器交互超时 / 无响应就是:
- 手机拿到 IP、网关正常
- 但 AC 发给 HDM2102 的 Portal 请求 没回应 / 被丢包 / 服务挂了
- 所以不弹认证页,电脑直接报 60016
- 老环境用好几年突然出现:大概率是网络 ACL / 端口被封、服务器进程僵死、共享密钥 / IP 被改、证书 / HTTPS 异常
二、你的组网关键端口(必须全放通,不能 NAT)
AC ↔ HDM2102 必须放行:
- UDP 2000(Portal 协议)
- UDP 1812/1813(RADIUS 认证 / 计费)
- TCP 8443/443(Portal 网页 HTTPS)
- TCP 80(HTTP 重定向)
中间任何防火墙、核心 / 汇聚 ACL、AC 包过滤,只要拦了其中一个,直接 60016。
三、排查顺序(从最常见→最隐蔽,你一步步来)
✅ 1)AC 上先测连通性(必做)
登录 WX3540X,执行:
bash
运行
ping 【HDM2102 服务器IP】
telnet 【HDM2102 IP】 2000 # Portal 端口
telnet 【HDM2102 IP】 1812 # RADIUS
telnet 【HDM2102 IP】 8443 # HTTPS 认证页
- 任意一个 telnet 不通 → 中间网络 / ACL 拦截,优先查最近是否改过策略
- 重点:AC 到服务器不能做 NAT! 老环境经常有人误加 NAT 导致突然断认证
✅ 2)核对 AC 上 Portal 配置(和 HDM2102 必须完全一致)
bash
运行
display portal server 【你的Portal服务器名】
检查:
- 服务器 IP = HDM2102 实际 IP
- 共享密钥(shared-key)必须和 HDM2102 上接入设备密钥完全一样(老环境最容易被人改密码)
- 端口:UDP 2000、HTTPS 8443
- 认证域、服务模板绑定正确
再查免认证规则(必须放通服务器 IP,否则终端访问认证页被拦):
bash
运行
display portal web-free rule
必须有:允许所有源 → HDM2102 IP 全端口
✅ 3)HDM2102 认证服务器侧检查(老环境高发)
登录 HDM2102(云简 / 本地后台):
- 看 Portal 服务是否运行:进程是否僵死、是否停止(用几年很常见)
- 看日志:是否收到 AC 的 Portal 请求
- 完全没收到 → 回到步骤 1 查网络
- 收到但报错 → 密钥不匹配、证书过期、数据库异常
- 核对接入设备信息:
- AC 的 IP、密钥、设备名 和 AC 侧完全一致
- 禁止多实例 / 重复配置
- 重启 Portal 服务(临时恢复最快):后台找到 Portal 服务 → 重启
✅ 4)终端侧不弹窗补充排查(手机能拿 IP 但不弹)
- 手机 / 电脑 关闭代理、VPN、广告拦截插件
- 浏览器清除缓存,或换浏览器
- 手动访问:http:// 任意网址(触发 AC 重定向)
- 若手动输入 https://HDM2102IP:8443 能打开登录页 → AC 重定向问题;打不开 → 服务器页面 / 证书问题
✅ 5)老环境特有:证书 / HTTPS 过期(用几年必中招)
HDM2102 的 HTTPS 证书过期 / 自签名不被信任:
- 手机不弹页(浏览器静默失败)
- 电脑直接报 60016处理:更新证书 / 临时改成 HTTP 80 认证(先恢复业务)
四、最可能的 3 个根因(你这个环境 90% 是这三个)
- 中间 ACL / 防火墙误封 UDP 2000、1812 或 TCP 8443(最近改策略)
- HDM2102 Portal 进程僵死 / 服务停止(长期运行)
- AC 与 HDM2102 共享密钥不一致(有人改密码)
五、紧急恢复步骤(先让用户能用)
- AC 上临时放通所有 Portal/RADIUS 端口
- HDM2102 重启 Portal 服务
- 核对共享密钥一致
- 测试:手机连 Wi-Fi → 打开浏览器 → 自动弹窗
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论