Portal认证失败解决方案

小乔

Portal认证失败
问题现象确认
确认是新部署网络还是已有网络出现问题；是单个终端无法认证，还是所有终端都无法正常认证。

信息收集
AC和AP的一键式诊断信息以及对应时间点的AC/AP的日志和诊断日志文件。
对故障终端MAC和IP地址的trace和station-trace信息，需同时采集。
关键配置检查
检查监听接口配置，V200R021C00及之后版本增加了全零监听接口配置，如果没有预先配置监听接口，会导致AC侧无法处理portal认证请求：
<HUAWEI> system-view
[HUAWEI] portal local-server server-source all-interface
HTTP/HTTPS协议的Portal认证（如Aruba ClearPass、Cisco的ISE服务器），配置外置Portal服务器的监听接口：
<HUAWEI> system-view
[HUAWEI] portal web-authen-server server-source all-interface
Portal认证协议的外置Portal服务器的监听接口配置：
<HUAWEI> system-view
[HUAWEI] web-auth-server server-source all-interface
检查DNS放通配置。查看系统视图，有没有配置portal pass dns enable（默认不使能），如果没有配置，需要通过free rule的方式将DNS服务器地址放通，如下示例，将DNS服务器地址8.8.8.8通过free rule放通。
[HUAWEI] free-rule-template name default
[HUAWEI-free-rule-default] display this
#
free-rule-template name default_free_rule
free-rule 1 destination ip 8.8.8.8 mask 255.255.255.0 source ip any
#
[HUAWEI-free-rule-default] quit
[HUAWEI] authentication-profile name authen_portal
[HUAWEI-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
portal-access-profile access_portal
access-domain domain_test
free-rule-template default_free_rule
#
终端在Portal认证成功之前无法访问DNS服务器，出现无法重定向到Portal页面的情况，有如下三个可能原因：
网络中没有DNS服务器（一般是测试阶段，还没有部署DNS服务器）。
AC和AP没有通过free-rule放通DNS服务器IP地址。
终端与DNS服务器网络不通。
可以按如下步骤检查网络相关配置：

检查网络中是否有DNS服务器，DHCP Server是否给终端分配了DNS服务器；如果网络中没有DNS服务器，则访问域名无法触发重定向。
检查free-rule是否放通DNS服务器IP地址，如果没有放通，在free-rule模板下放通DNS服务器IP地址，再将free-rule模板绑定到认证模板。
在终端网关上以网关地址作为源IP地址ping DNS服务器，看路由是否可达，如果路由不可达，需要排查中间网络。
在终端上通过nslookup命令测试DNS服务器是否能正确解析访问的域名，如果不能解析，请排查DNS服务器。
常规处理建议
收集现网trace、station-trace、AC/AP日志、MAC地址等必要信息，根据日志内容对终端掉线行为进行具体分析。

mawr1985