问
无线portal认证终端无法正常认证
5天前提问
- 0关注
- 0收藏,102浏览
问题描述:
WX2540X-LI Version 7.1.064 Release 5480
无线控制器对接深信服上网行为远程portal认证,有三个问题
1.苹果手机上网认证,连接wifi手机自动弹出的认证界面,钉钉认证后,认证页面显示正常登录,认证服务器也显示正常上线,但是无线控制器dis portal user all显示没有该用户。在浏览器访问网页跳转的认证界面认证后,是可以正常上线的。安卓手机、windows电脑、MAC电脑测试没有苹果手机这种情况。
2.终端点击认证注销按钮,没有正确跳转到portal认证页面。
3.终端点击钉钉认证页面,还没有进行账号登录,无线控制器这边dis portal user all已经显示用户上线,认证服务器这边显示没有上线。
组网及组网描述:
深信服上网行串联在核心和防火墙之间
无线控制器旁挂在核心交换机
zhiliao_Gixe
六段
排查步骤&关键命令
1. 问题1(苹果自动弹Portal认证后控制器无用户):
排查控制器Portal重定向规则适配性:dis portal rule、dis portal redirect-url,确认是否适配苹果CNA( captive网络助手)及钉钉UA;抓包对比苹果自动跳转与浏览器手动跳转的请求参数(UA、ticket差异),补充配置portal captive-portal enable适配苹果自动认证。
2. 问题2(注销未跳转Portal页):
检查控制器Portal注销重定向配置:dis portal logout-url,确认深信服侧注销回调地址配置正确;排查终端UA是否被控制器过滤,补充配置portal logout redirect-url <深信服注销页地址>。
3. 问题3(钉钉点认证未登录控制器即显示上线):
调整控制器认证超时:portal timer auth 30(延长超时);排查深信服侧上线判断逻辑,仅接受带有效ticket的上线请求;控制器侧配置portal auth-method ticket,避免预认证请求误判为上线。
关键命令:dis portal user、debugging portal all(抓包认证交互)。
1. 问题1(苹果自动弹Portal认证后控制器无用户):
排查控制器Portal重定向规则适配性:dis portal rule、dis portal redirect-url,确认是否适配苹果CNA( captive网络助手)及钉钉UA;抓包对比苹果自动跳转与浏览器手动跳转的请求参数(UA、ticket差异),补充配置portal captive-portal enable适配苹果自动认证。
2. 问题2(注销未跳转Portal页):
检查控制器Portal注销重定向配置:dis portal logout-url,确认深信服侧注销回调地址配置正确;排查终端UA是否被控制器过滤,补充配置portal logout redirect-url <深信服注销页地址>。
3. 问题3(钉钉点认证未登录控制器即显示上线):
调整控制器认证超时:portal timer auth 30(延长超时);排查深信服侧上线判断逻辑,仅接受带有效ticket的上线请求;控制器侧配置portal auth-method ticket,避免预认证请求误判为上线。
关键命令:dis portal user、debugging portal all(抓包认证交互)。
针对你在 H3C WX2540X-LI 无线控制器对接深信服上网行为管理(AC)进行远程 Portal 认证时遇到的三个问题,这属于典型的跨厂商 Portal 联动兼容性问题。
结合你的组网环境(AC串联在核心和防火墙之间,无线控制器旁挂)以及 H3C 和深信服的技术特性,以下是针对性的排查与解决方案:
问题一:苹果手机自动弹出的认证界面(CNA)认证后,AC上无用户
原因分析:
这是苹果 iOS 系统的“强制门户(Captive Network Assistant, CNA)”机制导致的。苹果手机连接 Wi-Fi 后自动弹出的并不是真正的 Safari 浏览器,而是一个功能受限的简化浏览器窗口。在这个窗口内进行钉钉等第三方认证时,容易出现 HTTP 重定向丢失、COOKIE 传递异常或认证后的跳转指令无法被 iOS 正确识别,导致虽然深信服认证服务器显示成功,但 H3C AC 没有收到最终的上线确认报文。
这是苹果 iOS 系统的“强制门户(Captive Network Assistant, CNA)”机制导致的。苹果手机连接 Wi-Fi 后自动弹出的并不是真正的 Safari 浏览器,而是一个功能受限的简化浏览器窗口。在这个窗口内进行钉钉等第三方认证时,容易出现 HTTP 重定向丢失、COOKIE 传递异常或认证后的跳转指令无法被 iOS 正确识别,导致虽然深信服认证服务器显示成功,但 H3C AC 没有收到最终的上线确认报文。
解决方案:
- 引导用户手动认证(最推荐):建议苹果手机连接 Wi-Fi 后,不要点击自动弹出的登录框。直接取消该弹窗,然后手动打开手机自带的 Safari 浏览器,随意访问一个 HTTP 网站(如
***.***)或手动输入深信服 AC 的认证页面地址。通过 Safari 浏览器发起的认证流程是最稳定、兼容性最好的。 - 开启 H3C 侧的 iOS 优化:在 H3C AC 的 Portal Web 服务器视图下,尝试开启针对 iOS 的被动 Web 认证优化功能。这可以改善设备与苹果 CNA 机制的交互。
- 配置命令参考:
1portal web-server <你的Portal服务器名> 2captive-bypass ios optimize enable
- 配置命令参考:
问题二:终端点击注销后,没有正确跳转到 Portal 认证页面
原因分析:
这通常与深信服 AC 的 Portal 重定向配置有关。当用户点击注销后,AC 需要主动向终端发送一个 HTTP 302 重定向报文,将其再次拉回认证页面。如果终端浏览器缓存了旧的认证状态,或者深信服 AC 的重定向出口配置不当,就会导致跳转失败。
这通常与深信服 AC 的 Portal 重定向配置有关。当用户点击注销后,AC 需要主动向终端发送一个 HTTP 302 重定向报文,将其再次拉回认证页面。如果终端浏览器缓存了旧的认证状态,或者深信服 AC 的重定向出口配置不当,就会导致跳转失败。
解决方案:
- 检查深信服 AC 的重定向配置:登录深信服 AC 的管理后台,检查【认证高级选项】中的重定向设置。确认是否勾选了“强制根据目的地址路由,选择重定向包发送网口”或“启用 DMZ 重定向”。确保 AC 有正确的路由和 IP 地址能够与内网终端通信,从而成功推送重定向报文。
- 清理终端缓存:部分浏览器会缓存注销前的页面状态,尝试清除浏览器缓存或使用无痕模式测试。
问题三:点击钉钉认证页面未登录,AC上已显示用户上线
原因分析:
这极有可能是深信服 AC 开启了“MAC 快速认证(无感知认证)”或“MAC 优先认证”功能。当终端第一次连接时,深信服 AC 记住了该终端的 MAC 地址。在后续的交互中(即使你只是在钉钉页面点击了一下,触发了部分网络流量),深信服 AC 识别到该 MAC 地址后,直接绕过 Portal 页面在后台自动完成了认证上线,并同步给了 H3C AC。这就导致了“页面还没输密码,AC 却显示已上线”的假象。
这极有可能是深信服 AC 开启了“MAC 快速认证(无感知认证)”或“MAC 优先认证”功能。当终端第一次连接时,深信服 AC 记住了该终端的 MAC 地址。在后续的交互中(即使你只是在钉钉页面点击了一下,触发了部分网络流量),深信服 AC 识别到该 MAC 地址后,直接绕过 Portal 页面在后台自动完成了认证上线,并同步给了 H3C AC。这就导致了“页面还没输密码,AC 却显示已上线”的假象。
解决方案:
- 关闭快速认证进行测试:登录深信服 AC 的管理后台,找到【用户认证】或【准入策略】相关配置,暂时关闭“MAC 快速认证”、“无感知认证”或“MAC 优先认证”功能。
- 清除历史绑定:在深信服 AC 的在线用户列表或 MAC 绑定列表中,找到该测试终端的 MAC 地址记录,将其删除或强制下线,然后重新测试认证流程,观察是否还会提前上线。
暂无评论
先把结论说清楚:
你这三个问题,本质都是 iOS captive 检测特殊处理、Portal 注销回调配置缺失、钉钉认证前端先放行导致 AC 假上线。下面按问题给你根因 + 可直接用的配置 / 排查步骤(适配 WX2540X-LI + 深信服 AC 远程 Portal)。
问题 1:苹果手机自动弹窗认证后,AC 不显示用户;浏览器手动认证正常
根因
- iOS 的 Captive Portal 机制(探测
captive.apple.com)和安卓 / Windows 不一样: iOS 弹窗走的是 系统原生检测请求,不是标准浏览器请求; H3C AC 默认对 iOS 这种请求 不会完整触发 Portal 上线流程,导致:- 深信服 AC 显示上线(前端认证过了)
- 但 AC 上没有生成 portal user 表项(等于没完成 AC 侧的认证记账)
- 你手动开浏览器访问网页,走的是标准 HTTP 重定向,流程完整,所以正常。
必做配置(AC 上)
bash
运行
# 开启 iOS captive-bypass 优化(关键)
captive-bypass ios optimize enable
# 放行 iOS 探测域名(captive.apple.com),避免被拦截
portal free-rule 0 destination ip any destination domain captive.apple.com
# 确保 Portal 是三层远程Portal,且绑定VAP模板
wlan service-template 你的模板
portal enable method layer3
portal server 你的深信服服务器名
portal web-server 你的深信服web名
深信服 AC 侧配合
- 在 AC 认证策略里,放行
captive.apple.com的探测请求,不要做认证拦截; - 认证页面返回时,HTTP 头加上:
防止 iOS 缓存导致二次认证异常。plaintext
Cache-Control: no-store, must-revalidate Pragma: no-cache
验证
iPhone 忽略 WiFi 重连 → 自动弹窗钉钉认证 → 认证后立刻在 AC 上:
bash
运行
dis portal user all
能看到该 IP/MAC,才算正常。
问题 2:终端点注销,不跳回 Portal 认证页
根因
- 远程 Portal 的 注销回调 URL 没配置;
- 用户点注销时,深信服 AC 只做了本地注销,但 没有通知 AC 下线,也没有重定向回认证页。
配置(AC + 深信服两边都要)
1)AC 侧:配置注销回调
bash
运行
# 进入portal web-server
portal web-server 你的web名
# 配置注销后跳转回认证页
logout-redirect url http://深信服AC的认证IP:端口/portal
2)深信服 AC 侧:认证页面注销按钮要正确回调
- 页面上注销按钮的
action必须指向:plaintexthttp://AC的IP:端口/portal/logout - 或在页面 JS 里调用:
让 AC 收到注销请求后,主动踢用户 + 重定向回认证页。Javascript运行
window.location.href="http://ACIP/portal/logout";
问题 3:点钉钉认证页,没输账号,AC 已显示上线;深信服显示未上线
根因(非常典型)
- 深信服 AC 的 钉钉认证前端 “预放行”:
- 用户一打开钉钉认证页,AC 就先放通该 IP,认为 “认证中 = 已上线”;
- 但此时 没把上线结果通知 H3C AC;
- 结果:
- H3C AC:portal user 表项生成(假上线)
- 深信服 AC:用户实际没登录,列表里没有。
解决(深信服 AC 侧为主,AC 侧配合)
1)深信服 AC:关闭 “认证页面预放行”
- 路径:用户认证与管理 → 认证策略 → 高级选项
- 取消勾选:认证页面访问时先放行(或类似 “未登录先放通”)
- 改为:必须完成钉钉 OAuth 授权后,才通知 AC 上线。
2)H3C AC:开启 Portal 状态校验
bash
运行
portal authentication strict enable
作用:只认深信服 AC 发的 “认证成功” 报文,前端预放行不算数,不会生成假上线表项。
你现在可以直接按这个顺序排查
- AC 上开启
captive-bypass ios optimize enable+ 放行captive.apple.com; - AC portal web-server 配置
logout-redirect; - AC 开启
portal authentication strict enable; - 深信服 AC 关闭 “认证页面预放行”,只在钉钉授权成功后通知 AC;
- 测试:iPhone 重连 WiFi → 自动弹窗认证 → AC 能看到用户 → 注销能跳回认证页。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论