ME60 WEB认证页面无法弹出问题案例分析.docx

ME60 WEB认证页面无法弹出问题案例分析摘要：在新业务添加调试时发现故障，有效的避免了业务上线后对WEB用户的影响。WEB认证页面无法弹出，可能是WEB页面本身异常造成，也可能是DNS的问题，亦或是设备配置等问题造成，需要进一步排查分析来确定故障原因。本文以某地市运营商WEB认证页面无法弹出为例，介绍了分析和处理该类故障的方法，总结了常见Web认证页面故障的处理方法。关键词：Portal认证、Request报文、配置冲突、报文交互引言C国某地市运营商的两台ME60新添加Wlan业务，其客户按照集团规范配置完数据，经过专业人员现场测试后发现，存在终端能够获取IP，认证页面无法弹出的问题，于是，运营商组织专业人员进行故障排查工作。故障现象分析WEB用户的认证页面阶段主要在认证前域进行，根据故障现象及WEB认证的原理可知，需要在ME60配置、链路连通性及portal服务器故障的方面进行排查分析。网络拓扑如图1所示：图1故障定位（一）检查portal服务器是否有故障，可以直接在浏览器中输入PORTAL服务器地址，同时在终端CMD窗口ping测portal服务器和DNS地址，页面能打开并且地址能ping通，排除了用户与服务器之间的路由不通及服务器故障，需要对ME60上面的配置进行检查。（二）检查认证前域下的配置，portal服务器url及地址参数正确，流量管理策略配置也都正确，依照集团规范，再仔细查看认证前域配置发现有异常：domain wlan_user_portal authentication-scheme none accounting-scheme none ip-pool pppoe__24 user-group wlan_user_portal idle-cut 5 50 web-server X.X.X.X web-server url?http://X.X.X.X/bpss/index.jsphttp://X.X.X.X/bpss/index.jsp web-server url-parameter web-server redirect-key mscg-ip wlanacip认证前域认证和计费方案设置为不认证不计费，以上面的配置来看，前域用的方案也看似没有问题，然而在3a视图下计费和认证方案设置有异常：aaaauthentication-scheme noneaccounting-scheme none可以看出在不认证和不计费的方案下没有配置认证和计费模式，那么在缺省情况下，模式都会被设置成radius，这样用户显然无法通过验证，后面强推流程也无法进行，导致页面无法弹出。故障处理集团规范要求认证前域设置成不认证不计费，由于认证以及计费模板设置错误导致后续的强推流程无法进行，页面也不能够弹出，解决方法是在3A模式重新修改认证及计费的模式，具体配置如下：aaaauthentication-scheme noneauthentication-mode noneaccounting-scheme noneaccounting-mode none常见Web认证的故障处理方法Web认证的故障一定要分解为WEB页面无法弹出、页面正常弹出但认证失败两个方面来处理。因为这两个问题对应的故障原因、处理流程、定位办法是完全不同的。（一）Web页面无法弹出出现Web页面无法弹出的问题，可能是如下5个问题造成：Web页面本身异常可以通过直接在客户端IE浏览器输入WEB页面的域名或IP地址来测试页面能否正常访问。如正常，则排除WEB页面服务器的问题；如不正常，则说明WEB页面服务器本身有问题，或者是到WEB页面服务器的路由问题，可以通过ping和tracert来判断（不排除服务器本身禁ping，需要和客户确认）。DNS问题在客户端IE浏览器输入网站域名（即http://www.XXX.com格式）无法强推页面时，可以通过在浏览器输入任意IP地址来测试，如果可以强推出页面，说明问题和DNS有关，首先要检查ACL中是否允许了DNS的地址、测试到DNS路由是否可达，如确认无问题，再测试DNS解析域名是否正常，通过将DNS地址配置在其他正常用户的网卡上测试，或者客户端近端镜像都可以判断。访问控制中缺少允许到网关地址的rule正常的Portal流程，是由BRAS模拟目标地址完成与PC机的TCP三次握手，继而PC机发送http get报文，BRAS回应http move报文，将WEB页面推送给PC机，如果在ACL中没有允许本机的本地地址，则BRAS与客户端之间的报文无法交互。配置冲突WEB用户所在的物理端口下配置了端口镜像会导致重定向报文异常，如果有，取消后再测试。客户端本身的原因以上问题均排除的情况下，则需要在客户端镜像确认重定向报文是否收到，如果