宽带帐户不支持WEB认证怎么办

2023-04-04

宽带帐户不支持WEB认证怎么办

故障现象:Web认证环境下,用户在Portal登录页输入正确的用户名和密码,认证不成功,提示认证异常的错误信息。

故障可能原因

1、接入设备的WEB认证配置错误

2、接入设备配置、ePortal和SAM配置信息不一致

3、ePortal服务器启动了系统自带SNMP组件

4、接入设备未做降噪配置

故障处理流程

4、故障处理步骤

步骤1 排查接入设备的Web认证配置是否正确

1.   通过Console口登录到接入设备,执行”show run“命令,查看当前设备的配置信息。

2.   若Web认证接入设备为有线交换机,请比对以下典型配置,检查设备的web认证配置是否正确。

² 典型的有线交换机web认证模板(以S26系列设备为例)如下:

Ruijie# configure terminal

/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */

Ruijie(config)# web-auth portal key ruijie

/* 未认证用户访问直通地址,用于学习网关arp,通常设置网关(如192.168.33.1)为直通地址 */

Ruijie(config)# http redirect direct-site 192.168.33.1 arp

/* 设置重定向页面的主页,实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */

Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 

/* 设置直通地址,即ePortal服务器地址,如“192.168.51.180” */

Ruijie(config)# http redirect 192.168.51.180

Ruijie(config)# interface FastEthernet 0/1

/* 端口必须开启web认证受控,否则该端口下接设备web认证不生效  */

Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 

/* 启用snmp community配置,其中团体名为public,可根据实际情况修改  */

Ruijie(config)# snmp-server community public rw

/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(192.168.51.180),团体名为public,均可根据实际情况修改*/

Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth

Ruijie(config)# snmp-server enable traps web-auth

注意: 本例中snmp-server community 是重要配置,Web认证信息验证通过后,会通知设备打开上网通道,若community key没有配置会配置不正确,都会导致打开上网通道失败,web认证不成功。

3.    若Web认证接入设备为无线交换机,存在两种Web认证配置方法,分别称为一代Portal认证和二代Portal认证,请比对以下典型配置,检查设备的web认证配置是否正确。

² 典型的无线一代portal认证模板(以WS57系列设备为例)如下:

Ruijie# configure terminal

/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */

Ruijie(config)# web-auth portal key ruijie

/* 设置直通地址,即ePortal服务器地址,如“172.20.1.100” */

Ruijie(config)# http redirect 172.20.1.100

/* 设置重定向页面的主页,实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */

Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp

/* 启用snmp community配置,其中团体名为web-auth,可根据实际情况修改  */

Ruijie(config)# snmp-server community web-auth rw

Ruijie(config)# snmp-server enable traps web-auth

/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(172.20.1.100),团体名为web-auth,均可根据实际情况修改*/

Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth

Ruijie(config)# wlansec 100

/* 必须启用基于WLAN的web认证受控,否则web认证不生效 */

Ruijie(wlansec)# webauth

Ruijie(wlansec)# exit

注意: 本例AC采用一代Portal配置,认证原理与有线交换机基本一致。同样的,snmp-server community是重要配置,Web认证信息验证通过后,会通知设备打开上网通道,若communitykey没有配置会配置不正确,都会导致打开上网通道失败,web认证不成功。

² 典型的无线二代portal认证模板(以WS57系列设备为例)如下:

Ruijie# configure terminal

/* 创建全局Portal服务器,服务器名为default、IP地址172.20.1.10(可修改ePortal服务IP)、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */

Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp

/* 配置default服务器为全局使用的Portal服务器  */

Ruijie(config)# web-auth portal-type v2 default

/* 启用AAA认证记账功能  */

Ruijie(config)# aaa new-model

/* 配置Radius-server主机地址和通讯口令,host是SAM服务器IP地址,如172.20.1.20(可修改);key为通讯口令,如ruijie(可修改)  */

Ruijie(config)# radius-server host 172.20.1.20 key ruijie

/* 配置AAA的Web认证方法列表,使用默认的RADIUS组 */

Ruijie(config)# aaa authentication web-auth default group radius

/* 配置AAA的记账方法列表,使用默认的RADIUS组 */

Ruijie(config)# aaa accounting network default start-stop group radius

/* 开启radius动态扩展授权,支持强制用户下线(DM)等功能 */

Ruijie(config)# radius dynamic-authorization-extension enable

Ruijie(config)# wlansec 100

/* 启用二代portal认证  */

Ruijie(wlansec)# web-auth portal-type v2 default

/* 基于WLAN开启Web认证功能  */

Ruijie(wlansec)# webauth

Ruijie(wlansec)# exit


注意: 本例AC采用二代Portal认证配置,与一代不同的是,AC还承担Radius认证客户端的角色,因此AAA配置是必须要有的,若是缺少AAA配置,web认证就无法正常进行。

检查设备Web认证配置,排除配置错误导致认证失败的问题,若依然认证不成功,则进入下一步骤的排查。


步骤2 排查接入设备与ePortal和SAM配置信息是否一致

1.    在认证PC机的浏览器地址栏内输入访问网站的URL地址,如“http://www.baidu.com”,提交请求,页面跳转到认证登录页面,(以ePortal1.41认证页面为例,其他版本认证页面大体也是这样的。)

2.    在认证登录页面,输入用户名密码,点击“登录”按钮,页面顶部出现“认证失败!"的提示。

3.    首先登录ePortal系统,查看日志管理下的日志信息。

4.    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,原因:设备community配置错误导致设备不通,打开设备(xxx.xxx.xxx.xxx)上网通道失败”的提示,说明接入设备的community key不正确


5.    若页面认证失败且ePortal日志出现类似“用户(xxx)认证失败,Radius服务器没有响应”的提示,说明Web认证过程中,在进行Radius 认证的环节出现了问题。

按以下步骤检查ePortal和SAM配置的Radius Key值是否一致。

1)  若接入设备是有线交换机或一代Portal认证的AC设备,ePortal作为认证客户端发起Radius认证,需要检查ePortal系统配置和SAM系统的设备配置。

首先,查看ePortal系统配置的Radius Key,


其次,查看SAM登记的RG-ePortal的设备Key,

检查ePortal系统配置的Radius Key和SAM登记的RG-ePortal的设备Key的值,若两者的值不一致,则需要修改成相同的值。

2)  若接入设备是一代Portal认证的AC设备,AC设备作为认证客户端发起Radius认证,因此需要检查AC设备和SAM系统的设备配置。

首先,查看AC设备的配置信息,通过Console口登录设备,进入特权模式,执行“show run”命令,找到radius-server信息,查看key值

其次,查看SAM登记的AC设备的Key

检查AC设备的Radius Key和SAM系统登记的AC设备Key的值,若两者的值不一致,则需要修改成相同的值。

5.    检查接入设备配置、ePortal和SAM的相关配置,排除配置错误导致认证失败的问题,若依然认证不成功,则进入下一步骤的排查。

步骤3 排查ePortal服务器是否启用系统自带SNMP组件

1.    在认证PC机的浏览器地址栏内输入访问网站的URL地址,如“http://www.baidu.com”,提交请求,页面跳转到认证登录页面(以ePortal1.41认证页面为例,其他版本认证页面大体也是这样的。)

2.    在认证登录页面,输入用户名密码,点击“登录”按钮,页面顶部出现“认证失败!"的提示

需要注意的是,虽然页面提示“认证失败”,但实际上已经可以正常连通网络,说明上网通道已经被打开了。

3.    登录ePortal系统,查看日志管理下的日志信息,发现“用户(xxx)上线失败,由于出现异常情况”的提示

4.    登录SAM系统,查看在线用户表,发现该用户已在线

若出现类似情况,判断原因是认证成功后,通过SNMP服务打开上网通道出现异常了。


5.    查看当前ePortal服务器的系统服务是否异常,通过“开始”-- “运行”,执行“services.msc“命令

 打开服务列表窗口,查找是否存在“SNMP Service”的服务,且已经被启动

若系统的SNMP Service服务被启动,则与ePortal的SNMP服务冲突了,导致SNMP功能失效。

6.    依照以下步骤关闭系统SNMP服务

       1) 双击“SNMP Service”

       2) 启动类型修改为“手动”

       3) 手动停止SNMP Service

       4) 点击“确定”,使当前配置生效


7.    关闭系统SNMP服务后,重启ePortal服务。


排除SNMP服务冲突的问题后,若依然认证不成功,则进入下一步骤的排查。


步骤4 排查接入设备是否支持降噪配置

在网络环境没有变化的情况下,若认证业务高峰期出现Web认证失败问题,而在平时都可以正常认证,需要检查web认证的接入设备是否支持降噪。

降噪是指接入设备屏蔽非浏览器发起的http请求,需要接入设备更新到特定软件版本才能支持。按照以下步骤确认接入设备是否支持降噪配置:

1.    首先查看接入设备的软件版本信息,通过Console口登录接入设备,查看设备软件版本信息;

2.     若接入设备为交换机设备,进入特权模式,输入“show version”

查看software version信息,若软件版本低于RGOS 10.3版本,则交换机版本不支持web认证降噪,需要升级到最新版本,请联系4008111000索取最新版本信息。

3.     若接入设备为AC设备,进入特权模式,输入“show version”,

查看software version信息,若软件版本低于RGOS 10.4(1T17)版本,则AC交换机版本不支持web认证降噪,需要升级到最新版本,联系4008111000协助处理。

4.     若接入设备为ACE设备,首先识别ACE硬件版本,若是ACEv5.0设备直接输入“show version”,

查看version信息,若软件版本低于3.4.0版本,则AC交换机版本不支持web认证降噪,需要升级到最新版本。ACEv3.0不支持降噪功能,请先升级到ACEv5.0版本。具体ACE升级版本和操作步骤,请联系4008111000协助处理。


检查接入设备版本符合降噪配置的要求,若依然认证不成功,则进入下一步骤的排查。


步骤5 收集信息并联系4008111000协助处理

拨打4008111000寻求技术支持,收集如下故障信息,进行故障进一步处理。

1.  ePortal和SAM的软件版本号

登录ePortal系统,点击“关于系统”图标,弹出版本信息。

登录SAM系统,点击右下角“关于”图标,弹出版本信息。

2.  接入设备的配置信息

若接入设备为交换机或AC无线设备,登录设备进入特权模式,执行“show run”命令,将输出结果保存成文件。

若接入设备为ACE设备,请将“认证服务器配置”的配置内容截图。

3.  ePortal服务器填写的接入设备信息

进入“设备管理”菜单,选择查看设备,弹出设备详细信息。

4.  SAM服务器填写的接入设备信息

进入“设备管理”菜单,选择查看设备,弹出设备详细信息。

5.  提供PC端、ePortal服务端、SAM服务端的报文

1)  分别在PC端、ePortal服务端和SAM服务端,打开wireshark工具,并监控网卡,准备开始抓包;

2)  在PC上执行一次完整的web认证操作,输入用户名密码,直至出现认证失败提示;

3)  完成web认证操作后,停止wireshark抓包,将抓取的报文保存成pcap文件;

4)  提交pcap报文时,请附带说明报文文件的来源(PC端、ePortal端、SAM端)以及来源的IP地址。

参考知识1 你是在路由器那里看的吧。
如果是,你看下日志文件。看是超时还是帐号错误啥的。
超时的话有可能是服务商那边的问题或是你的网线连接不正常。
相似知识
Web认证与PPPOE认证的区别! 参考知识1  Web认证与PPPOE认证的区别:  1、Web采用认证流和数据流相分离的方式,该方式决定了其对组播支持能力较强,这种方式的带宽利用率均较高,对IPTV等宽带业务非常适用。  2、Web
什么路由器支持web认证登录 多数路由器都支持Web认证登录,只需打开虚拟服务功能(一般在路由器的高级设置里,有的路由器在应用管理中),只是其自带的这项功能缩水,使用起来很不方便。因此许多人采用刷DD-WRT的固件,然后安装WIW
如何让有线用户不需要认证,无线终端用户需要WEB认证 参考知识1有一种可以把有线跟无线分开,有线的端口不需要认证,无线的设置认证就可以了。还有一种的是,网关本身有识别有线上网设备的功能,只有无线才需要认证的开启有线免认证
什么是认证网关 参考知识1许多大中型场所如宾馆酒店、商场、医院、机场、车站、学校等,在向用户提供有线或无线宽带接入时,经常采用*密*或简单密码认证方式,无法满足宽带提供者日益丰富的业务扩展需求,Web认证网关(Web
web认证后怎么下线? 参考知识1这个就是web认证路由或者网关产品使用上的弊端,由于其检测用户异常掉线的机制不同,在用户断开WIFI后会有一定的时间去检测,具体的异常掉线检测时间要咨询厂家了。建议你用支持Portal协议的
WEB认证网关如何设定DHCP服务功能? 参考知识1您好255个用户肯定是不够分的,就只能做VLAN了。如果较多推荐您更换新的设备或者系统,如卓迈很高兴为您解答,愿您有所收获 参考知识B将掩码改一下,比如改成255.255.0.0这样网段就扩
路由器怎么设置web认证 参考知识1路由器怎么设置web认证  路由器WEB认证的功能,主要是为了管理内网用户上网。例如只允许通过认证的内网用户上网,禁止未授权用户访问互联网。路由器怎么设置web认证呢?下面和我一起去看看路由
校园网采用web网页认证的方式,怎样使用路由器共享网络求教程! 您好校园宽带一般是一次一密的,而设置路由器需要固定的用户名和密码,所以一般是不能使用路由器的参考知识1百度一下你就知道追问我百度能知道还用问你啊
大家正在搜
Web认证与PPPOE认证的区别! 什么路由器支持web认证登录 如何让有线用户不需要认证,无线终端用户需要WEB认证 什么是认证网关 web认证后怎么下线? WEB认证网关如何设定DHCP服务功能? 路由器怎么设置web认证 校园网采用web网页认证的方式,怎样使用路由器共享网络求教程!