Topologie de réseau physique
l Les AP fonctionnent normalement.
l Les téléphones peuvent être authentifiés par portail .
Figure 1-1 Échec de l'authentification du portail
Description du défaut
Le téléphone ne peut pas être authentifié par le portail.
Fichiers de configuration
#
sysname CA02H2AC01-I2
#
portal local-server ip 192.168.10.1
portal local-server authentication-method pap
portal local-server https ssl-policy default_policy port 8443
#
vlan batch 100 200 900
#
dot1x quiet-period
dot1x quiet-times 5
dot1x timer quiet-period 300
dot1x timer tx-period 120
#
wlan ac-global country-code CA
wlan ac-global carrier id other ac id 1
#
portal free-rule 0 destination ip 192.168.10.1 mask 255.255.255.255
portal captive-bypass enable
#
radius-server template ICBCCAOTP
radius-server shared-key cipher %^%#x:Dr$rxl{#!*&z;n3;}R(6%;-}r-NUt'GuT_!mjB%^%#
radius-server authentication 123.80.3.6 1812 weight 80
radius-server accounting 123.80.3.6 1813 weight 80
undo radius-server user-name domain-included
radius-attribute nas-ip 10.123.163.33
#
pki realm default
enrollment self-signed
#
ssl policy default_policy type server
pki-realm default
#
acl name wifiuser 3000
step 10
rule 10 permit icmp
rule 20 permit tcp source 192.168.100.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq 8443
rule 30 permit tcp source 192.168.200.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq 8443
#
aaa
authentication-scheme default
authentication-scheme ICBCWIFI
authentication-mode radius
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
domain icbccawifi
authentication-scheme ICBCWIFI
radius-server ICBCCAOTP
local-user admin password irreversible-cipher %^%#g+|*2NT:s#><s~7JA<#"TYIWGaqCXRnG-Q6otKeBy>TL=4YA#'dOL&X.UKIR%^%#
local-user admin privilege level 15
local-user admin service-type terminal ssh http
local-user localadmin password irreversible-cipher %^%#k#cR%gR:1UFuhj#E>,89zCWD@|r1[.]D-g9)X<hGWiQQ~bw[DX\*)MAK}+;$%^%#
local-user localadmin privilege level 15
local-user localadmin service-type terminal ssh http
#
firewall zone wifiuser
priority 3
#
firewall zone Local
priority 16
#
firewall interzone Local wifiuser
firewall enable
packet-filter 3000 inbound
#
Procédure de dépannage
Étape 1 Vérifiez si ap fonctionne normalement en utilisant la commande display ap all . Si l'état n'est pas, indiquez que l'ap est normal.
Étape 2 Si le point d'accès est normal, vérifiez si le téléphone peut connecter le WIFI avec succès.
Nous pouvons le vérifier sur le point d'accès. L'exemple ci-dessous indique que le téléphone est connecté au WIFI.
Étape 3 Entrez une URL http pour déclencher l'authentification du serveur de portail. Normalement, le portail sera déclenché par tout paquet http contenant 80 ports de destination. Tels que http://1.1.1.1 , mais dans ce cas, cela ne fonctionnera pas.
Étape 4 Vérification de la configuration sous l'interface du portail. Une zone de pare-feu est configurée. Nous devrions vérifier si cette zone a refusé le paquet http.
Étape 5 Après avoir vérifié la configuration du pare-feu, nous remarquons que le client n’autorisait le trafic que sous le trafic à se rendre au dispositif AR.
Il existe deux méthodes pour résoudre le problème:
l Autoriser n'importe quel paquet http dans l'ACL 3000
rule 40 permit tcp source any destination-port 80
l Utilisation de l'URL https://192.168.10.1:8443/index.html pour déclencher le portail.
----Fin
Cause première
Le téléphone doit entrer l’URL du serveur de portail correcte pour obtenir la page d’authentification car il existe une configuration de pare-feu sous l’interface .