protal未认证，DNS服务器被攻击

WX2580X-LI Portal+LDAP 未认证断网 + 内网 DNS 53 端口攻击 完整故障处置方案
一、故障现象梳理
无线终端连上 WiFi，Portal 弹窗弹出，未输入账号密码（未完成认证） 时：
仅能 Ping 通 AC 管理 IP；
无法访问 DHCP 网关、防火墙、LDAP、DNS、内网所有业务设备；
内网存在 DNS 53 端口恶意攻击，大量 53 报文冲击网络，叠加 Portal 放行策略异常，双重导致终端未认证阶段全网不通。
二、根因拆解
1）Portal 默认隔离机制（基础现象）
H3C V7 AC Portal 认证逻辑：终端未认证前，仅放行 Portal 跳转所需资源，默认阻断所有内网 / 互联网流量，只能和 AC 互通，这是正常安全机制。
正常设计：未认证时仅放通 DNS、LDAP、Portal 服务器 IP，供终端解析域名、跳转登录页；当前你未配置放行规则，同时叠加 DNS 攻击拥塞链路，直接完全断流。
2）DNS 53 端口攻击放大故障
内网 DNS 泛洪攻击占用上行 / 核心交换机带宽、CPU，即便配置了放行 DNS，大量恶意 53 报文导致合法 DNS 请求被丢弃，终端无法解析 Portal 页面域名，登录弹窗加载失败，进一步卡死认证流程。
三、分步处置流程（先应急恢复无线，再处置 DNS 攻击）
阶段 1：临时放开未认证终端通行（快速恢复用户使用，应急方案）
方式 A：临时关闭 Portal 认证（紧急业务恢复）
plaintext
system-view
wlan service-template 1
undo portal enable
save

执行后无线无需认证直接上网，先保障业务，后续再排查 DNS 攻击。
方式 B：配置 Portal 免认证放行规则（标准根治，推荐，不用关认证）
未认证阶段必须放行：DNS 服务器、集团 LDAP 服务器、网关、核心业务网段，否则终端解析、认证交互全部阻断。
1. 创建免放行 IP 对象
plaintext
# 1. 新建免认证地址组
portal free-rule ip-group DNS-LDAP-GW
ip 集团DNS服务器IP 255.255.255.255
ip 集团LDAP服务器IP 255.255.255.255
ip 网关IP 255.255.255.255
ip 核心业务网段 掩码
# 2. 全局绑定免放行规则，未认证终端可直接访问上述地址
portal free-rule 1 destination ip-group DNS-LDAP-GW
# 3. 放行全局DNS 53端口（防止攻击下合法DNS被拦截）
portal free-rule 2 destination any udp-port 53
portal free-rule 3 destination any tcp-port 53

2. 绑定到无线服务模板生效
plaintext
wlan service-template WLAN-PORTAL
portal apply free-rule

配置完成后：连上 WiFi 无需登录即可解析 DNS、访问 LDAP，正常弹出 Portal 登录页面，不会出现未认证全网断网。
阶段 2：内网 DNS 53 端口攻击抑制（核心安全处置）
1. AC 侧无线终端出口抑制（防止无线终端发起 DNS 攻击）
plaintext
# 全局CPU防护，限制DNS报文速率
cpu-defend policy WLAN-DNS-LIMIT
permit udp destination-port 53 rate-limit 100
cpu-defend apply policy WLAN-DNS-LIMIT
# 无线用户限速单终端DNS报文，单用户每秒最多20个DNS请求
wlan access-control
rate-limit client udp destination-port 53 per-user 20

2. 上联交换机 / 核心交换机全局阻断泛洪（最关键）
攻击源头大概率在内网有线 PC / 服务器，在 AC 上联交换机配置广播 / 单播抑制，封堵 53 泛洪：
plaintext
# 上联端口下配置DNS报文限速
interface GigabitEthernet 1/0/1
# 抑制UDP53端口大流量，单端口每秒最多300个DNS包
packet-filter rate-limit udp destination-port eq 53 bandwidth 5000
broadcast-suppression bandwidth 10000
multicast-suppression bandwidth 10000
# 全局ACL拉黑异常攻击源IP（抓到攻击IP后添加）
acl number 4000
rule deny udp source 攻击源IP 0 destination-port eq 53
interface Vlanif 业务VLAN
packet-filter inbound acl 4000

3. 定位 DNS 攻击源（快速溯源）
AC 查看无线终端 DNS 流量：
plaintext
display wlan client traffic-statistic udp-port 53

看哪个无线终端 53 报文流量异常高；
2. 核心交换机查看流量统计：
plaintext
display qos policy interface all
display acl hit-count

匹配大量 UDP53 命中的源 IP 即为攻击主机；
3. 防火墙查看安全日志，检索DNS flood日志定位攻击 IP。
阶段 3：LDAP 认证配套优化（避免认证交互失败）
Portal 免放行规则必须包含 LDAP 服务器 389 端口，否则未认证时 AC 阻断 LDAP 报文，账号校验超时，登录页面卡住；
plaintext
portal free-rule 4 destination ip LDAP_IP 255.255.255.255 tcp-port 389
portal free-rule 5 destination ip LDAP_IP 255.255.255.255 udp-port 389

检查 AC 与 LDAP 连通性：
plaintext
ping ldap服务器IP
telnet ldapIP 389

不通优先核对免放行规则、核心交换机 ACL 是否拦截 389 端口。
四、故障验证命令
查看 Portal 免放行规则是否生效
plaintext
display portal free-rule

查看无线终端认证状态
plaintext
display portal user all

查看 CPU 防护、DNS 限速配置
plaintext
display cpu-defend policy
display wlan access-control rate-limit

查看攻击流量统计
plaintext
display interface traffic

五、极简处置顺序总结
临时方案：关闭 Portal 认证，快速恢复无线全网通行；
标准方案：配置 Portal free-rule 免放行 DNS、LDAP、网关，解决 “未认证全网不通”；
安全处置：全网设备（AC + 核心交换机）限制 UDP53 报文速率，溯源拉黑 DNS 攻击源 IP；
校验 LDAP 389 端口放行，保证账号认证交互正常。