ME60WEB认证页面无法弹出问题案例分析讲述.docx

ME60 WEB认证页面无法弹出问题案例分析 摘要：在新业务添加调试时发现故障，有效的避免了业务上线后对WEB用户的影响。WEB认证页面无法弹出，可能是WEB页面本身异常造成，也可能是DNS的问题，亦或是设备配置等问题造成，需要进一步排查分析来确定故障原因。 本文以某地市运营商WEB认证页面无法弹出为例，介绍了分析和处理该类故障的方法，总结了常见Web认证页面故障的处理方法。 关键词：Portal认证、Request报文、配置冲突、报文交互 引言 C国某地市运营商的两台ME60新添加Wlan业务，其客户按照集团规范配置完数据，经过专业人员现场测试后发现，存在终端能够获取IP，认证页面无法弹出的问题，于是，运营商组织专业人员进行故障排查工作。 故障现象分析 WEB用户的认证页面阶段主要在认证前域进行，根据故障现象及WEB认证的原理可知，需要在ME60配置、链路连通性及portal服务器故障的方面进行排查分析。 网络拓扑如图1所示： 图1 故障定位 （一）检查portal服务器是否有故障，可以直接在浏览器中输入PORTAL服务器地址，同时在终端CMD窗口ping测portal服务器和DNS地址，页面能打开并且地址能ping通，排除了用户与服务器之间的路由不通及服务器故障，需要对ME60上面的配置进行检查。 （二）检查认证前域下的配置，portal服务器url及地址参数正确，流量管理策略配置也都正确，依照集团规范，再仔细查看认证前域配置发现有异常： domain wlan_user_portal ? authentication-scheme none ? accounting-scheme none ? ip-pool pppoe__24 ? user-group wlan_user_portal ? idle-cut 5 50 ? web-server X.X.X.X ? web-server url? HYPERLINK http://X.X.X.X/bpss/index.jsp http://X.X.X.X/bpss/index.jsp ? web-server url-parameter ? web-server redirect-key mscg-ip wlanacip 认证前域认证和计费方案设置为不认证不计费，以上面的配置来看，前域用的方案也看似没有问题，然而在3a视图下计费和认证方案设置有异常： aaa authentication-scheme none accounting-scheme none 可以看出在不认证和不计费的方案下没有配置认证和计费模式，那么在缺省情况下，模式都会被设置成radius，这样用户显然无法通过验证，后面强推流程也无法进行，导致页面无法弹出。 故障处理 集团规范要求认证前域设置成不认证不计费，由于认证以及计费模板设置错误导致后续的强推流程无法进行，页面也不能够弹出，解决方法是在3A模式重新修改认证及计费的模式，具体配置如下： aaa authentication-scheme none authentication-mode none accounting-scheme none accounting-mode none 常见Web认证的故障处理方法 Web认证的故障一定要分解为WEB页面无法弹出、页面正常弹出但认证失败两个方面来处理。因为这两个问题对应的故障原因、处理流程、定位办法是完全不同的。 （一）Web页面无法弹出 出现Web页面无法弹出的问题，可能是如下5个问题造成： Web页面本身异常 可以通过直接在客户端IE浏览器输入WEB页面的域名或IP地址来测试页面能否正常访问。如正常，则排除WEB页面服务器的问题；如不正常，则说明WEB页面服务器本身有问题，或者是到WEB页面服务器的路由问题，可以通过ping和tracert来判断（不排除服务器本身禁ping，需要和客户确认）。 DNS问题 在客户端IE浏览器输入网站域名（即http://www.XXX.com格式）无法强推页面时，可以通过在浏览器输入任意IP地址来测试，如果可以强推出页面，说明问题和DNS有关，首先要检查ACL中是否允许了DNS的地址、测试到DNS路由是否可达，如确认无问题，再测试DNS解析域名是否正常，通过将DNS地址配置在其他正常用户的网卡上测试，或者客户端近端镜像都可以判断。 访问控制中缺少允许到网关地址的rule 正常的Portal流程，是由BRAS模拟目标地址完成与PC机的TCP三次握手，继而PC机发送http get报文，BRAS回应http move报文，将WEB页面推送给PC机，如果在ACL中没有允许本机的本地地址，则BRAS与客户端之间的报文无法交互。 配置冲突 WEB用户所在的物理端口下配置