Diagnostique de la série Case 59: échec de l'authentification du portail des utilisateurs WLAN

24 0 0 0

Topologie de réseau physique

l    Les AP fonctionnent normalement.

l    Les téléphones peuvent être authentifiés par portail .

Figure 1-1 Échec de l'authentification du portail

171628in6hy85nr3vunukq.png

 

Description du défaut

Le téléphone ne peut pas être authentifié par le portail.

Fichiers de configuration


 sysname CA02H2AC01-I2 

portal local-server ip 192.168.10.1 
portal local-server authentication-method pap 
portal local-server https ssl-policy default_policy port 8443 

vlan batch 100 200 900 

dot1x quiet-period 
dot1x quiet-times 5 
dot1x timer quiet-period 300 
dot1x timer tx-period 120 

wlan ac-global country-code CA 
wlan ac-global carrier id other ac id 1 

portal free-rule 0 destination ip 192.168.10.1 mask 255.255.255.255 
portal captive-bypass enable 

radius-server template ICBCCAOTP 
 radius-server shared-key cipher %^%#x:Dr$rxl{#!*&z;n3;}R(6%;-}r-NUt'GuT_!mjB%^%# 
 radius-server authentication 123.80.3.6 1812 weight 80 
 radius-server accounting 123.80.3.6 1813 weight 80 
 undo radius-server user-name domain-included 
 radius-attribute nas-ip 10.123.163.33 

pki realm default 
 enrollment self-signed 

ssl policy default_policy type server 
 pki-realm default 

acl name wifiuser 3000   
 step 10 
 rule 10 permit icmp  
 rule 20 permit tcp source 192.168.100.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq 8443  
 rule 30 permit tcp source 192.168.200.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq 8443  

aaa 
 authentication-scheme default 
 authentication-scheme ICBCWIFI 
  authentication-mode radius 
 authorization-scheme default 
 accounting-scheme default 
 domain default 
 domain default_admin 
 domain icbccawifi 
  authentication-scheme ICBCWIFI 
  radius-server ICBCCAOTP 
 local-user admin password irreversible-cipher %^%#g+|*2NT:s#><s~7JA<#"TYIWGaqCXRnG-Q6otKeBy>TL=4YA#'dOL&X.UKIR%^%# 
 local-user admin privilege level 15 
 local-user admin service-type terminal ssh http 
 local-user localadmin password irreversible-cipher %^%#k#cR%gR:1UFuhj#E>,89zCWD@|r1[.]D-g9)X<hGWiQQ~bw[DX\*)MAK}+;$%^%# 
 local-user localadmin privilege level 15 
 local-user localadmin service-type terminal ssh http 

firewall zone wifiuser 
 priority 3 

firewall zone Local 
 priority 16 

firewall interzone Local wifiuser 
 firewall enable 
 packet-filter 3000 inbound 

Procédure de dépannage

                               Étape 1       Vérifiez si ap fonctionne normalement en utilisant la commande display ap all . Si l'état n'est pas, indiquez que l'ap est normal.

171628vtpk9lzg8dzt8shx.png

                               Étape 2       Si le point d'accès est normal, vérifiez si le téléphone peut connecter le WIFI avec succès.

Nous pouvons le vérifier sur le point d'accès. L'exemple ci-dessous indique que le téléphone est connecté au WIFI.

171629z9bf9i3bvzb9jhej.png

                               Étape 3       Entrez une URL http pour déclencher l'authentification du serveur de portail. Normalement, le portail sera déclenché par tout paquet http contenant 80 ports de destination. Tels que http://1.1.1.1 , mais dans ce cas, cela ne fonctionnera pas.

                               Étape 4       Vérification de la configuration sous l'interface du portail. Une zone de pare-feu est configurée. Nous devrions vérifier si cette zone a refusé le paquet http.

                               Étape 5       Après avoir vérifié la configuration du pare-feu, nous remarquons que le client n’autorisait le trafic que sous le trafic à se rendre au dispositif AR.

171629w4f0jpjxff40y0fg.png Il existe deux méthodes pour résoudre le problème:

l    Autoriser n'importe quel paquet http dans l'ACL 3000

rule 40 permit tcp source any destination-port 80

l    Utilisation de l'URL https://192.168.10.1:8443/index.html pour déclencher le portail.

----Fin

Cause première

Le téléphone doit entrer l’URL du serveur de portail correcte pour obtenir la page d’authentification car il existe une configuration de pare-feu sous l’interface .


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier