Print

F1070透明部署做跨三层portal认证成功后无法ping通上连路由器经验案例

2019-06-17 发表

组网及说明



问题描述

F1070透明部署在核心交换机和出口路由器之间。相关配置完成后,在PC上输入域名或者ip地址后,无法正常弹出portal界面。   

过程分析

1、检查portal的相关配置,无异常:

#

interface Vlan-interface10

 ip address 192.168.10.10 255.255.255.0

 portal enable method layer3

 portal domain imc

 portal apply web-server imc

#

portal free-rule 0 destination 172.16.10.250

#

portal web-server imc

 url http://172.16.10.250/

 url-parameter wlanacname value FW

 url-parameter wlanuserip source-address

 url-parameter wlanusermac source-mac

#

portal server imc

 ip 172.16.10.250 key cipher $c$4On05VZ3xbtHRWHhuUGlPV

#

2、在设备上debugging portal alldebugging radius all有如下提示:

*Mar 19 15:31:43:880 2019 F1070 PORTAL/7/HTTP_REDIRECT-EVENT: -COntext=1;  create the redirect node successfully.

*Mar 19 15:31:43:880 2019 F1070 PORTAL/7/HTTP_REDIRECT-EVENT: -COntext=1; Append tcp reply mbuf, mss=1200 len=24 seq=22b1 ack=cccbea6a.

*Mar 19 15:31:43:880 2019 F1070 PORTAL/7/HTTP_REDIRECT-EVENT: -COntext=1; The interface is trunk.

*Mar 19 15:31:43:881 2019 F1070 PORTAL/7/HTTP_REDIRECT-EVENT: -COntext=1; The trunk interface"s pvid is 1, but input vlan is 10.


修改防火墙接口的pvid后可以正常重定向并可以认证成功,PC可以ping通防火墙的192.168.10.10但是无法ping通上连的路由器192.168.10.2地址。

经检查,由于防火墙是二层透明部署,配置的Vlan-interface10地址和核心交换机以及路由器互连地址为同网段。由于在Vlan-interface10下调用了portalPC ping路由器的192.168.10.2地址时,路由器回包也会触发portal,导致无法正常ping通。

解决方法

在F1070上放通连接路由器的接口,PC可以正常ping路由器:

[H3C]portal free-rule 10 source interface GigabitEthernet 1/0/2