《2020网络portal认证故障排查.docx》由会员分享,可在线阅读,更多相关《2020网络portal认证故障排查.docx(8页珍藏版)》请在第壹文秘上搜索。
1、Portal认证故障排查一、开始定位故障的思路是:以POrtaI认证流程为排查方向,先确保终端正常获取IP地址及DNS解析正常,然后查看终端Web页面是否可以重定向成功,再查看设备侧Porta1、PortalSerVer相关状态是否正常,最后查看客户端、SerVer上记录的下线原因及设备上的相关LOgo1、检查Portal、AAA、Domain等配置检查POrta1、AAADOmain等配置,各部分注意事项如下:Portal部分:在全局配置POrtalSerVer且在三层接口下使能PortaI认证。例如:通过当前配置可确认在全局配置的PortalSerVer为6.6.6.6且在VIan1中使能
2、了PortaI认证。#portalserverimc6.6.6.6keycipher$c$3$191SGVbZEGTHeILSVl41bB611fj4wQurlhttp:/6.6.6.6/portal#interfaceVlan-interfacelioaddress1.1.1.1255.255.255.0wvportalserverirocmethoddirect#AA部分:配置RadiUSSCheme认证方案,指定认证、计费服务器。配置Nas-IP且保证NaSTP到认证、计费服务器可达。同时保证USeLName-Format和Server-Type-RadiusServer匹配。例如:通过
3、当前配置可知RadiUSSCheme的Server-TyPe为EXtended,User-Name-Format为Without-Domaino认证计费SerVer都为LLLlo#radiusschemeh3cserver-typeextendedprimaryauthentication1.1.1.1primaryaccounting1.1.1.1keyauthenticationcipher$c$3$|mc/dsendG8XM8FKqsWbR7wj00vF4A=keyaccountingcipher$c$3jPXWZGLZ4d64iZDVzNn5nL2yJrvuA=user-name-fo
4、rmatwithout-domain#DonIairl部分:在Dolnain视图下引用相应的RadiUSSCheme方案,认证授权方案必须同时指定。例如:通过当前配置可知,Domain下引用的RadiUSSCheme方案为h3cO#domainh3cauthenticationaccessradius-schemeh3cauthorization1an-accessradius-schemeh3caccounting1an-accessradius-schemeh3caccess-limitdisablestateactiveidle-cutdisableseif-service-ur1dis
5、ableWWW#2、确保终端正常获取IP地址且DNS解析成功Portal根据终端发送的HTTP报文来进行重定向,必须确保终端在认证前通过DHCP或者静态配置的方式获取到正确的IP地址且DNS解析成功,这样浏览器才可以正常发送HTTP报文。3、推送认证页面是否成功在浏览器中访问任意网站,设备都会将其重定向至认证页面。4、Portal状态是否为RUnning正常情况下下Portal的运行状态为RUnning。命令:displayportalinterfaceVlan-interfacevlan_id例如:通过命令查看,可以确认VIan1接口下的Portal功能是正常运行的。displayporta
6、linterfaceVlan-interface1Interfaceportalconfiguration:VJjp-interfacel:PortalrunningPortalserver:l务Portalbackp-groi:NoneAuthenticationtype:DirectAuthenticationdomain:Authenticationnetwork:address:O.O.O.Oask:O.O.O.O5、查看设备ACL资源使用情况查看设备是否有充足的AeL资源(IFPACL)o如果设备ACL资源不足会导致在接口下使能Portal时提示POrta1已经Enable但没有RU
7、nning。命令:displayaclresource例如:通过命令查看,可以确认目前设备上ACL剩余:2816条。displayaclzresourceInterface:GEO/O/1toGE0028TypeTotalReservedConfiguredRemainingVFPACL1024001024IFPACL409610242562816IFPMeter204851201536IFPCounter204851201536EFPACL51200512EFPMeter25600256EFPCounter512005126PortalSeVer状态是否正常正常情况下POrtalPerVer
8、的状态应该为UP或N/A。设备上POrtalSerVer如果是处于DOWn状态,此时对HttP报文不会进行重定向操作。命令:displayportalserverservername例如:通过命令查看,可以确认POrtalSerVer处于正常的UP状态。displayportalserverimcPortalserver:0)ic:IPVPN instance Port Key URL Status:192,168.1.254:Notconfigured:50100:h3c:ht92.168.1.254/portal:Up7、查看设备与PortalSerVer间路由,确保设备可以收到心跳报文设
9、备上PortalSerVer如果是处于DoWn状态,说明POrtaI设备无法收到POrtalSerVer的心跳报文,需要排查设备与POrtaISerVer间路由且确保PortalSerVer使能逃生心跳且确保设备上配置的逃生心跳时间间隔应大于IMC上配置的时间间隔。例如,从下图可知PortalSerVer上使能了逃生及用户心跳,时间分别为20秒。吟TiX/awoftuR5灰2。=oRrapJM72100-22o*t3f-*ort*558、确保终端与POrtalSerVer之间的联通性设备将页面重定向到PortalSerVer的页面后,后期终端与POrtalSerVer之间交互的HTTP报文在设
10、备是透明传输的。因此终端重定向成功的前提条件是必须保证终端与PortalSerVer之间的联通性。9、查看AAASerVer状态为ACtiVe确保AAASerVer服务器的状态是ACtiVe的。命令:displayradiusschemescheme-name例如:通过命令查看,可以确认SChelne方案中的主认证及计费服务器处于ACtiVe状态。displayradiusschemeijncSchemeName:imcIndex:0PrimaryAuthServer:Type:standardIP:192,168.1.254EncryptionKey:imcVPNinstance:N/APr
11、imaryAcctServer:Port:1812State:activeIP:192.168.1.254EncryptionKey:imcVPNinstance:N/APort:1813State:active10、查看客户端、SerVer上记录的下线原因根据客户端及SerVer上常见的下线原因初步判断故障点。例如,下线原因为USerRequest,表示用户主动下线。如启用策略服务器的情况下,若iNode客户端与策略服务器通信的端口(Udp9019)不通,iNode会给出类似“未收到服务器回应,即将强行下线”的提不O例如,如下是iNode客户端与策略服务器通信的端口不通导致的下线。认证信息2
12、013-07-0309:29:58开始进行身份聆证.cfw06962013-07-0309:29:59正在上传用户密码2013-07-0309:30:00您的身份验证成功2013-07-0309:30:22未收到服务器回应,即将强行下线,请检查终端能否正常访问网络或者与管理员联系2013-07-0309:30:26用户已下线。认证信息萤11、查看认证过程中设备上打印的Log如果用户认证失败会有一些简单的原因提示。(1)下面的LOg显示该用户的下线原因为USerRequest,一般由客户端原因导致。EIAdministrator11;2015-12-1309:04:35%Apr1119:13:1
13、1:074201310504P0RTAL5P0ETAL.USERJ-0用户_则8曲陪0StaQetaKM8bd-IEA期胃“01】156-L篇线原高L;殳Y,弱端Krell0-VlanID110-HACAddr=ec88-8f7b-ae87】-Reason=Use动正常下线。loggedoff.!%Apr1119:13:11:074201310504;-UserName=yuguanchenghomesush|(2)下面的Log显示该用户的下线原因为Admin网血式血Reset,一般是由于人为操作强制用户下线的,或者设备上配置了在线用户同步功能,但是IMC上未使能该功能,导致设备收不到相关用户
14、的在线信息,在一定的时间(默认30Inin左右)后设备强制该用户下线。%Apr920:45:50:263201310504P0RTAL/5/P0RTAL_USER_L0G0FF:-UserName=YTBTsklZZXojHEMldAspcAwEUA=YIMINGHOMEsuJ-IPAddr=10.11.1.156-IfName=VIa11-interfacell-VlanID=110-MACAddr=f80f-4137-5edl-Reason=adndnReset;Userloggedoff.(3)下面的LOg表示,由于设备ACL资源不足导致用户上线不成功,需查看设备ACL资源使用情况。%Nov1622:09:03:3752011ZG-7503-1P0RTAL/5/P0RTAL_ACL_FAILURE:TheuierofACLsonthedevicehasreachedtheJDaXilnUnL