ACG1000仅配置短信认证弹出本地认证界面

短线认证就是要弹页面

ACG1000 只配置短信认证，弹窗却是本地账号密码页 故障根治方案
故障根因：认证策略匹配错乱、遗留旧本地认证策略、用户识别范围异常、全局默认认证优先本地，导致命中旧本地 Web 认证而非短信认证。


认证策略配置页


短信策略页面
一、五步排查（按顺序操作）
1、删除全部遗留本地 Web 认证策略（最常见）
路径：用户管理→认证管理→认证策略
把所有认证方式 = 本地 Web 认证的策略全部禁用 / 删除；
只保留 1 条生效策略：认证方式：短信认证、源地址 / 源接口对应访客网段、启用状态；
多条认证策略自上而下匹配，终端优先命中排在上方的本地认证策略。
2、核对【用户识别范围】（必查项）
路径：用户管理→认证管理→高级选项→用户识别范围
访客认证网段必须加入识别范围；不在范围会跳过短信、自动切本地认证；
不要勾选「全部地址」，防止管理 IP 误触发认证。
3、短信基础配置校验（缺配置会降级本地）
系统管理→服务器管理→短信服务：短信服务商参数填写正确，点【测试发送】能收到短信（接口地址、账号、密钥、报文模板不能错）；
用户管理→认证管理→认证方式→短信认证：勾选启用短信认证，下拉绑定建好的短信服务对象，保存生效。


短信服务配置


短信认证启用
4、放行免认证白名单（短信接口放通）
白名单添加：短信服务商域名 / IP、ACG 自身管理 IP、DNS 服务器 IP；
不通外网 DNS 会导致短信页面加载失败，设备自动回退本地登录页；
系统→DNS 配置：填写公共 DNS（223.5.5.5/114.114.114.114）。
5、关闭全局遗留本地认证开关
CLI 命令（web 找不到时用）
plaintext
system-view
undo web-auth server-type local
undo web-auth enable
二、特殊场景：旁挂 / 透明部署补充
透明组网：BVI 网桥接口必须配置和认证终端同网段 IP，无同网段管理 IP 无法推送短信页、降级本地认证；
三层旁挂：核心交换机配置终端网段→ACG 的回程路由，终端网关不能跨设备跳转。
三、验证
清空浏览器缓存，手机连访客 WiFi 访问网页，正常弹出手机号 + 验证码短信页面。

一、 核心原因分析

二、 具体排查与解决步骤

1. 检查认证策略中的认证方式选择

• 导航至：用户管理 > 认证管理 > 认证策略。
• 找到您正在使用的这条短信认证策略，点击编辑。
• 重点检查 “认证方式” 下拉框，确认是否准确选择了 “短信认证”，而不是误选成了“本地WEB认证”。