Print

某局点无线portal 认证弹页面异常问题

2021-01-06 发表

组网及说明


问题描述

某局点使用WX2560H结合云简网络进行固定账号的portal认证,主要故障现象是现场不定时出现无法弹出正常的portal页面。


过程分析

  1. 首先查看报错URL,发现明显不是云简网络的URL,云简网络的URL都是http://oasisauth.h3c.com/portal/protocol 。从这个报错怀疑现场有两个服务模板使能portal,并且使用相同vlan

  2. 检查现场配置,发现果然如此,两个服务模板都使能portal,而且都是使用的vlan 103。在这种情况下,如果终端首先接入的是SSID 1 ,正常portal认证上网,之后切换到SSID 2,此时由于AC上还存在这个终端的portal表象,而且vlanIP也没有变化,正常来说此时就不会弹页面,无法正常在SSID 2认证了。

    wlan service-template 1

     ssid HHXX-EDU

     vlan 103

     client vlan-alloc static

     portal enable method direct

     portal domain cloud

     portal apply web-server cloud

     portal temp-pass period 20 enable

     service-template enable

    #

    wlan service-template qyqjyj

     ssid QYEDU

     vlan 103

     portal enable method direct

     portal domain sangfor

     portal bas-ip 10.18.103.6

     portal apply web-server sangfor

     service-template enable

    portal web-server cloud

     url http://oasisauth.h3c.com/portal/protocol

     captive-bypass ios optimize enable

     server-type oauth

     if-match user-agent CaptiveNetworkSupport redirect-url http://wifi.weixin.qq.com

     if-match user-agent Dalvik/2.1.0(Linux;U;Android7.0;HUAWEI redirect-url http://oasisauth.h3c.com/generate_404

     if-match user-agent micromessenger temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

     if-match original-url http://10.168.168.168 temp-pass

     if-match original-url http://captive.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

     if-match original-url http://captive.apple.com/hotspot-detect.html user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

     if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url http://oasisauth.h3c.com/portal/protocol

    #

    portal web-server sangfor

     url http://192.168.2.82/cid/7327/portal.html

     url-parameter bssid ssid

     url-parameter redirect original-url

     url-parameter staip source-address

     url-parameter stamac source-mac

     url-parameter vlan1 vlan

 

3、让现场配置portal user-logoff ssid-switch enable命令之后,故障消失。该命令的意思是:开启无线Portal用户SSID切换后的强制下线功能。若用户创建2个无线服务模板,且都开启Portal认证,用户VLAN相同。用户先从一个无线服务模板的SSID上线,通过Portal认证;当用户切换到另一个无线服务模板的SSID且进行Portal认证时无法通过认证。执行本命令后,当无线Portal用户从原SSID切换到新SSID后,设备会强制用户下线,并自动删除用户信息,用户再进行Portal认证时便可通过认证。


解决方法

portal user-logoff ssid-switch enable开启无线Portal用户SSID切换后的强制下线功能