【Eportal】Web认证环境下，用户在Portal登录页输入正确的用户名和密码，认证不成功，提示认证异常的错误信息

1、故障现象
Web认证环境下，用户在Portal登录页输入正确的用户名和密码，认证不成功，提示认证异常的错误信息。

2、故障可能原因
1)  接入设备的WEB认证配置错误
2)  接入设备配置、ePortal和SAM配置信息不一致
3)  ePortal服务器启动了系统自带SNMP组件
4)  接入设备未做降噪配置

3、故障处理流程

4、故障处理步骤

步骤1 排查接入设备的Web认证配置是否正确
1.   通过Console口登录到接入设备，执行”show run“命令，查看当前设备的配置信息。
2.   若Web认证接入设备为有线交换机，请比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的有线交换机web认证模板（以S26系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 未认证用户访问直通地址，用于学习网关arp，通常设置网关（如192.168.33.1）为直通地址 */
Ruijie(config)# http redirect direct-site 192.168.33.1 arp
/* 设置重定向页面的主页，实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 
/* 设置直通地址，即ePortal服务器地址，如“192.168.51.180” */
Ruijie(config)# http redirect 192.168.51.180
Ruijie(config)# interface FastEthernet 0/1
/* 端口必须开启web认证受控，否则该端口下接设备web认证不生效  */
Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 
/* 启用snmp community配置，其中团体名为public，可根据实际情况修改  */
Ruijie(config)# snmp-server community public rw
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（192.168.51.180），团体名为public，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth
Ruijie(config)# snmp-server enable traps web-auth

注意： 本例中snmp-server community 是重要配置，Web认证信息验证通过后，会通知设备打开上网通道，若community key没有配置会配置不正确，都会导致打开上网通道失败，web认证不成功。

3.    若Web认证接入设备为无线交换机，存在两种Web认证配置方法，分别称为一代Portal认证和二代Portal认证，请比对以下典型配置，检查设备的web认证配置是否正确。
² 典型的无线一代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 配置通信密钥，对ePortal服务器返回的链接加密，实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 设置直通地址，即ePortal服务器地址，如“172.20.1.100” */
Ruijie(config)# http redirect 172.20.1.100
/* 设置重定向页面的主页，实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址，其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp
/* 启用snmp community配置，其中团体名为web-auth，可根据实际情况修改  */
Ruijie(config)# snmp-server community web-auth rw
Ruijie(config)# snmp-server enable traps web-auth
/* 配置web认证下线使用的snmp报文参数 ，其中主机地址为eportal服务器IP（172.20.1.100），团体名为web-auth，均可根据实际情况修改*/
Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth
Ruijie(config)# wlansec 100
/* 必须启用基于WLAN的web认证受控，否则web认证不生效 */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意： 本例AC采用一代Portal配置，认证原理与有线交换机基本一致。同样的，snmp-server community 是重要配置，Web认证信息验证通过后，会通知设备打开上网通道，若community key没有配置会配置不正确，都会导致打开上网通道失败，web认证不成功。

² 典型的无线二代portal认证模板（以WS57系列设备为例）如下：
Ruijie# configure terminal
/* 创建全局Portal服务器，服务器名为default、IP地址172.20.1.10（可修改ePortal服务IP）、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */
Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp
/* 配置default服务器为全局使用的Portal服务器  */
Ruijie(config)# web-auth portal-type v2 default
/* 启用AAA认证记账功能  */
Ruijie(config)# aaa new-model
/* 配置Radius-server主机地址和通讯口令，host是SAM服务器IP地址，如172.20.1.20（可修改）；key为通讯口令，如ruijie（可修改）  */
Ruijie(config)# radius-server host 172.20.1.20 key ruijie
/* 配置AAA的Web认证方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa authentication web-auth default group radius
/* 配置AAA的记账方法列表，使用默认的RADIUS组 */
Ruijie(config)# aaa accounting network default start-stop group radius
/* 开启radius动态扩展授权，支持强制用户下线（DM）等功能 */
Ruijie(config)# radius dynamic-authorization-extension enable
Ruijie(config)# wlansec 100
/* 启用二代portal认证  */
Ruijie(wlansec)# web-auth portal-type v2 default
/* 基于WLAN开启Web认证功能  */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意： 本例AC采用二代Portal认证配置，与一代不同的是，AC还承担Radius认证客户端的角色，因此AAA配置是必须要有的，若是缺少AAA配置，web认证就无法正常进行。

检查设备Web认证配置，排除配置错误导致认证失败的问题，若依然认证不成功，则进入下一步骤的排查。
      

步骤2 排查接入设备与ePortal和SAM配置信息是否一致
1.    在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“http://www.baidu.com”，提交请求，页面跳转到认证登录页面，如下图：（以ePortal1.41认证页面为例，其他版本认证页面大体也是这样的。）
 

2.    在认证登录页面，输入用户名密码，点击“登录”按钮，页面顶部出现“认证失败！"的提示，如下图：

3.    首先登录ePortal系统，查看日志管理下的日志信息，如下图：

4.    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,原因：设备community配置错误导致设备不通,打开设备(xxx.xxx.xxx.xxx)上网通道失败”的提示，说明接入设备的community key不正确，如下图示：
 

4.    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,Radius服务器没有响应”的提示，说明Web认证过程中，在进行Radius 认证的环节出现了问题。

按以下步骤检查ePortal和SAM配置的Radius Key值是否一致。
          1)  若接入设备是有线交换机或一代Portal认证的AC设备，ePortal作为认证客户端发起Radius认证，需要检查ePortal系统配置和SAM系统的设备配置。
首先，查看ePortal系统配置的Radius Key，如下图示：

  其次，查看SAM登记的RG-ePortal的设备Key，如下图示：
 

检查ePortal系统配置的Radius Key和SAM登记的RG-ePortal的设备Key的值，若两者的值不一致，则需要修改成相同的值。
          2)  若接入设备是一代Portal认证的AC设备，AC设备作为认证客户端发起Radius认证，因此需要检查AC设备和SAM系统的设备配置。
首先，查看AC设备的配置信息，通过Console口登录设备，进入特权模式，执行“show run”命令，找到radius-server信息，查看key值，如下图示：
 

  其次，查看SAM登记的AC设备的Key，如下图示：
 

             检查AC设备的Radius Key和SAM系统登记的AC设备Key的值，若两者的值不一致，则需要修改成相同的值。
5.    检查接入设备配置、ePortal和SAM的相关配置，排除配置错误导致认证失败的问题，若依然认证不成功，则进入下一步骤的排查。
 

步骤3 排查ePortal服务器是否启用系统自带SNMP组件
1.    在认证PC机的浏览器地址栏内输入访问网站的URL地址，如“http://www.baidu.com”，提交请求，页面跳转到认证登录页面，如下图：（以ePortal1.41认证页面为例，其他版本认证页面大体也是这样的。）
 

2.    在认证登录页面，输入用户名密码，点击“登录”按钮，页面顶部出现“认证失败！"的提示，如下图：

需要注意的是，虽然页面提示“认证失败”，但实际上已经可以正常连通网络，说明上网通道已经被打开了。
3.    登录ePortal系统，查看日志管理下的日志信息，发现“用户(xxx)上线失败,由于出现异常情况”的提示，如下图：
 

4.    登录SAM系统，查看在线用户表，发现该用户已在线，如下图：
 

若出现类似情况，判断原因是认证成功后，通过SNMP服务打开上网通道出现异常了。
5.    查看当前ePortal服务器的系统服务是否异常，通过“开始”-- “运行”，执行“services.msc“命令，如下图示：
 

  打开服务列表窗口，查找是否存在“SNMP Service”的服务，且已经被启动，如下图：

若系统的SNMP Service服务被启动，则与ePortal的SNMP服务冲突了，导致SNMP功能失效。
6.    依照以下步骤关闭系统SNMP服务，如下图：
       1) 双击“SNMP Service”
       2) 启动类型修改为“手动”
       3) 手动停止SNMP Service
       4) 点击“确定”，使当前配置生效
 

7.    关闭系统SNMP服务后，重启ePortal服务。

排除SNMP服务冲突的问题后，若依然认证不成功，则进入下一步骤的排查。

步骤4 排查接入设备是否支持降噪配置
在网络环境没有变化的情况下，若认证业务高峰期出现Web认证失败问题，而在平时都可以正常认证，需要检查web认证的接入设备是否支持降噪。
降噪是指接入设备屏蔽非浏览器发起的http请求，需要接入设备更新到特定软件版本才能支持。按照以下步骤确认接入设备是否支持降噪配置：
1.    首先查看接入设备的软件版本信息，通过Console口登录接入设备，查看设备软件版本信息；
2.     若接入设备为交换机设备，进入特权模式，输入“show version”，如下；
 

查看software version信息，若软件版本低于RGOS 10.3版本，则交换机版本不支持web认证降噪，需要升级到最新版本，请联系4008111000索取最新版本信息。
3.     若接入设备为AC设备，进入特权模式，输入“show version”，如下；
 

查看software version信息，若软件版本低于RGOS 10.4(1T17)版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本，联系4008111000协助处理。
4.     若接入设备为ACE设备，首先识别ACE硬件版本，若是ACEv5.0设备直接输入“show version”，如下；
 

查看version信息，若软件版本低于3.4.0版本，则AC交换机版本不支持web认证降噪，需要升级到最新版本。ACEv3.0不支持降噪功能，请先升级到ACEv5.0版本。具体ACE升级版本和操作步骤，请联系4008111000协助处理。

检查接入设备版本符合降噪配置的要求，若依然认证不成功，则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1.  ePortal和SAM的软件版本号
登录ePortal系统，点击“关于系统”图标，弹出版本信息。如下图例：

登录SAM系统，点击右下角“关于”图标，弹出版本信息。如下图例：
 

2.  接入设备的配置信息
若接入设备为交换机或AC无线设备，登录设备进入特权模式，执行“show run”命令，将输出结果保存成文件。
若接入设备为ACE设备，请将“认证服务器配置”的配置内容截图。
3.  ePortal服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，弹出设备详细信息。请截图说明，示例如下：
 

4.  SAM服务器填写的接入设备信息
进入“设备管理”菜单，选择查看设备，弹出设备详细信息。请截图说明，示例如下：
 

5.  提供PC端、ePortal服务端、SAM服务端的报文
1)  分别在PC端、ePortal服务端和SAM服务端，打开wireshark工具，并监控网卡，准备开始抓包；
2)  在PC上执行一次完整的web认证操作，输入用户名密码，直至出现认证失败提示；
3)  完成web认证操作后，停止wireshark抓包，将抓取的报文保存成pcap文件；
4)  提交pcap报文时，请附带说明报文文件的来源（PC端、ePortal端、SAM端）以及来源的IP地址。