portal认证时无法推送portal认证页面问题的解决办法

admin管理员组

文章数量:1530829

2024年7月25日发(作者：)

文档名称 文档密级

问题描述：

Portal网页认证时认证页面无法弹出;

解决方案：

1. 页面提示“portal server获取不到设备信息或者没有回应req_info报文”时，请参考百度

文库“portal server获取不到设备信息或者没有回应req_info报文时的解决办法”；

2. 浏览器的HTTP报文头不符合规范时会导致portal页面无法弹出，表现为部分终端正常，

部分终端弹出空白页面，对于v7版本iMC需要将如下选项改成“否”

对于V5版本iMC需要修改配置文件ties解决，将如下参数修

改为“false”即可；

3. 使用IE8有问题，使用其他浏览器没有问题；IE8浏览器本身有些问题，建议更换浏览器

使用；

4. 确认认证终端是否可以ping通portal server服务器的IP地址；portal认证时，确认认证终端

可以ping通服务器地址，否则页面无法弹出；

5. 确认jserver（plat与eia集中式部署）或者webserver（分布式部署）进程是否正常；

6. 确认中间网络防火墙有无放开对应的端口，portal页面认证时需要放通终端到iMC服务器

的8080或者80端口；

7. 输入IP地址可以弹出，输入域名无法弹出portal页面，这是由于认证终端不能访问DNS

2021-04-25

H3C机密，未经许可不得扩散 第1页, 共14页

文档名称 文档密级

服务器导致，在设备侧增加一条到NDS server的free-rule即可；

8. 确认设备侧配置的重定向URL是否正确，正确配置为：

Portal server xx key xxx url :8080/portal

附：portal认证典型配置

iMC UAM结合WX 3010做无线portal认证并基于不

同SSID/操作系统推送不同认证页面的典型配置

一、 组网需求：

Portal网页认证方式简单，无需客户端，且适用于各种终端如PC、手机、

pad等。本案例介绍了无线AC结合iMC进行portal网页的认证方式，并且能够

实现根据不同的SSID或者操作系统推送不同的认证页面，从而满足客户多样化

的需求。

二、 组网图：

说明：

AC型号：WX3010；

iMC、接入交换机、AC同处于vlan 10里面，IP为172.16.100.0/24

2021-04-25

H3C机密，未经许可不得扩散 第2页, 共14页

文档名称 文档密级

图中红色区域内为一台AC设备，为了便于理解，虚拟出AC自带的无线交换机

AP属于VLAN 4，网关为172.16.4.1，在AC上；

PC属于VLAN 8，网关为172.16.8.1，在AC上；

无线SW与AC相连的接口分布为G1/0/11和G1/0/1，端口类型为trunk类型，

只需放通VLAN 4、10即可（PC的报文在经过AP时会被打上VLAN 4的包头）。

三、 配置步骤：

1.接入交换机配置

[1234-vlan10]vlan 10

[1234-vlan10]port g2/0/42 g2/0/10

[1234-Vlan-interface10]ip add 172.16.100.1 24

添加静态路由，指向PC网关

[1234]ip route-static 172.16.8.0 24 172.16.100.144

2.无线交换机配置：

[SW]vlan 10

[SW-vlan10]port g1/0/4

[SW-Vlan-interface10]ip add 172.16.100.144 24

[SW]vlan 4

[SW-vlan4]port g1/0/7

G1/0/11为与AC互联端口，需要保证vlan 4和10的报文经过，所以需将链路类

型改为trunk

[SW]inter g1/0/11

[SW-GigabitEthernet1/0/11] port link-type trunk

2021-04-25

H3C机密，未经许可不得扩散 第3页, 共14页

文档名称 文档密级

[SW-GigabitEthernet1/0/11]port trunk permit vlan 4 10

[SW-GigabitEthernet1/0/11]port trunk pvid vlan 10

添加静态路由，保证路由可达：

ip route-static 0.0.0.0 0.0.0.0 172.16.100.1 preference 60

ip route-static 172.16.8.0 255.255.255.0 172.16.100.166 preference 60

配置：

[H3C]vlan 10

[H3C-vlan10]port g1/0/1

[H3C]inter vlan 10

[H3C-Vlan-interface10]ip add 172.16.100.166 24

进入互联端口视图：

[H3C-Vlan-interface10]inter g1/0/1

[H3C-GigabitEthernet1/0/1] port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 4 10

[H3C-GigabitEthernet1/0/1]port trunk pvid vlan 10

创建服务模板1并进入服务模板视图，类型为clear

[H3C]wlan service-template 1

设置服务模板1的SSID为xun-portal

[H3C-wlan-st-1] ssid xun-portal

将无线接口wlan-ess 1绑定到服务模板1，用户终端连接SSID xun-portal后，终

端流量均会经过此无线接口：

2021-04-25

H3C机密，未经许可不得扩散 第4页, 共14页

文档名称 文档密级

[H3C-wlan-st-1] bind WLAN-ESS 1

服务模板默认并未激活，需手动激活

[H3C-wlan-st-1] service-template enable

创建无线接口wlan-ess 1，并进入其视图

[H3C]inter WLAN-ESS 1

连接SSID xun-portal的用户流量均需经过该接口，所以该接口需放行用户所属

vlan8

[H3C-WLAN-ESS1]port access vlan 8

创建AP管理模板，AP名称为ap_xun，型号名称为WA2210-AG

[H3C]wlan ap ap_xun model WA2210-AG id 1

[H3C-wlan-ap-ap_xun] serial-id 210235A29DB095000845

启用AP的radio 1并进入射频视图

[H3C-wlan-ap-ap_xun]radio 1 type dot11g

默认情况下，没有任何服务模板与射频相关联，需将服务模板1映射到射频1

[H3C-wlan-ap-ap_xun-radio-1] service-template 1

启用射频1

[H3C-wlan-ap-ap_xun-radio-1]radio enable

添加静态路由，保证路由可达：

ip route-static 0.0.0.0 0.0.0.0 172.16.100.144

配置radius 方案h3c：

[H3C]radius scheme h3c

[H3C-radius-h3c]radius scheme h3c

2021-04-25

H3C机密，未经许可不得扩散 第5页, 共14页

文档名称 文档密级

[H3C-radius-h3c] server-type extended

[H3C-radius-h3c] primary authentication 172.16.100.122

[H3C-radius-h3c] primary accounting 172.16.100.122

[H3C-radius-h3c] key authentication h3c

[H3C-radius-h3c] key accounting h3c

配置domain portal：

[H3C]domain portal

[H3C-isp-portal] authentication portal radius-scheme h3c

[H3C-isp-portal] authorization portal radius-scheme h3c

[H3C-isp-portal] accounting portal radius-scheme

配置portal服务器：

[H3C]portal server portal ip 172.16.100.122 key h3c url 172.16.100.122/imc

Vlan接口下启用portal：

[H3C-Vlan-interface8]portal server portal method direct

侧配置：

配置接入设备，接入设备IP为AC上vlan 100接口的IP地址

配置portal服务器，保持默认即可：

2021-04-25

H3C机密，未经许可不得扩散 第6页, 共14页

文档名称 文档密级

Portal设备配置，Portal设备IP为用户网关：

指定运行接入的IP地址范围：

配置端口组，调用IP地址组

2021-04-25

H3C机密，未经许可不得扩散 第7页, 共14页

文档名称 文档密级

配置用户引用的服务，配置服务前需配置接入接入规则供服务调用：

配置接入用户调用该服务：

终端用户连接SSID xun-portal后，即可进行portal认证：

2021-04-25

H3C机密，未经许可不得扩散 第8页, 共14页

文档名称 文档密级

要想配置基于SSID或者操作系统推送不同的认证页面还需进行如下配置：

AC配置：

创建服务模板2和SSID xun_portal2

[H3C] wlan service-template 2 clear

[H3C-wlan-st-2] ssid xun_portal2

绑定无线接口wlan-ess 2

[H3C-wlan-st-2] bind WLAN-ESS 2

[H3C-wlan-st-2] service-template enable

创建无线接口wlan-ess 2，并进入其视图

[H3C]inter WLAN-ESS2

由于用户连接不同的SSID时，IP并不会变化，所以无线接口2仍允许vlan8的

流量通过

[H3C-WLAN-ESS2]port access vlan 8

进入AP管理视图：

[H3C]wlan ap ap_xun model WA2210-AG id 1

[H3C-wlan-ap-ap_xun]

进入射频视图：

2021-04-25

H3C机密，未经许可不得扩散 第9页, 共14页

文档名称 文档密级

[H3C-wlan-ap-ap_xun]radio 1 type dot11g

将服务模板2与该射频关联：

[H3C-wlan-ap-ap_xun-radio-1] service-template 2

此时，创建了2个SSID，用户连接这两个SSID时，会获取相同的IP地址；要

想根据SSID弹出不同的认证页面，还需在iMC侧进行如下配置：

由于iMC是根据不同的SSID组推送不同的页面，所以需创建两个SSID组，然

后将不同的SSID放入不同的SSID组即可：

配置Portal的认证页面:下面的配置表示，连接xun-portal时，会推送出

index_，连接xun_portal2时，推送出index_

2021-04-25

H3C机密，未经许可不得扩散 第10页, 共14页

文档名称 文档密级

用户属性值为之前创建的SSID组名；

配置完SSID与认证页面的对应关系后，需在端口组视图下引用这种对应关系：

如上图，用户属性类型选择框需选择无线SSID组，效果如下：

2021-04-25

H3C机密，未经许可不得扩散 第11页, 共14页

文档名称 文档密级

基于操作系统的配置类似如下：操作系统的属性值直接从Portal调试日志获取即

可或者通过抓包获取，常见内核版本：

Windows 2000：Windows NT 5.0

Windows XP：Windows NT 5.1

Windows 2003：Windows NT 5.2

Windows Vista：Windows NT 6.0

Windows 7：Windows NT 6.1

对于其它操作系统，可以通过使用抓包工具查看HTTP报文头中的User-Agent

类型的值来确定操作系统的内核版本。User-Agent类型常见的格式为：浏览器版

本信息（操作系统;浏览器语言;操作系统内核版本号）。例：客户端安装Windows

XP，使用Firefox浏览器时，其User-Agent的值为： Mozilla/5.0 （Windows; U;

2021-04-25

H3C机密，未经许可不得扩散 第12页, 共14页

Windows NT 5.1）。

文档名称 文档密级

四、 配置关键点：

2021-04-25

H3C机密，未经许可不得扩散 第13页, 共14页

文档名称 文档密级

1：无

2021-04-25

H3C机密，未经许可不得扩散 第14页, 共14页

本文标签： 认证配置页面服务设备