ME60WEB認(rèn)證頁面無法彈出問題案例分析

1、ME60 WEB認(rèn)證頁面無法彈出問題案例分析摘要：在新業(yè)務(wù)添加調(diào)試時(shí)發(fā)現(xiàn)故障，有效的避免了業(yè)務(wù)上線后對WEB用戶的影響。WEB認(rèn)證頁面無法彈出，可能是WEB頁面本身異常造成，也可能是DNS的問題，亦或是設(shè)備配置等問題造成，需要進(jìn)一步排查分析來確定故障原因。本文以某地市運(yùn)營商WEB認(rèn)證頁面無法彈出為例，介紹了分析和處理該類故障的方法，總結(jié)了常見Web認(rèn)證頁面故障的處理方法。關(guān)鍵詞：Portal認(rèn)證、Request報(bào)文、配置沖突、報(bào)文交互1、 引言C國某地市運(yùn)營商的兩臺(tái)ME60新添加Wlan業(yè)務(wù)，其客戶按照集團(tuán)規(guī)范配置完數(shù)據(jù)，經(jīng)過專業(yè)人員現(xiàn)場測試后發(fā)現(xiàn)，存在終端能夠獲取IP，認(rèn)證頁面無法彈出的問題

2、，于是，運(yùn)營商組織專業(yè)人員進(jìn)行故障排查工作。2、 故障現(xiàn)象分析WEB用戶的認(rèn)證頁面階段主要在認(rèn)證前域進(jìn)行，根據(jù)故障現(xiàn)象及WEB認(rèn)證的原理可知，需要在ME60配置、鏈路連通性及portal服務(wù)器故障的方面進(jìn)行排查分析。網(wǎng)絡(luò)拓?fù)淙鐖D1所示：圖13、 故障定位（一）檢查portal服務(wù)器是否有故障，可以直接在瀏覽器中輸入PORTAL服務(wù)器地址，同時(shí)在終端CMD窗口ping測portal服務(wù)器和DNS地址，頁面能打開并且地址能ping通，排除了用戶與服務(wù)器之間的路由不通及服務(wù)器故障，需要對ME60上面的配置進(jìn)行檢查。（二）檢查認(rèn)證前域下的配置，portal服務(wù)器url及地址參數(shù)正確，流量管理策略配置也

3、都正確，依照集團(tuán)規(guī)范，再仔細(xì)查看認(rèn)證前域配置發(fā)現(xiàn)有異常：domain wlan_user_portal  authentication-scheme none  accounting-scheme none  ip-pool pppoe__24  user-group wlan_user_portal  idle-cut 5 50  web-server X.X.X.X  web-server url http:/X.X.X.X/bpss/index.jsp  web-server u

4、rl-parameter  web-server redirect-key mscg-ip wlanacip認(rèn)證前域認(rèn)證和計(jì)費(fèi)方案設(shè)置為不認(rèn)證不計(jì)費(fèi)，以上面的配置來看，前域用的方案也看似沒有問題，然而在3a視圖下計(jì)費(fèi)和認(rèn)證方案設(shè)置有異常：aaaauthentication-scheme noneaccounting-scheme none可以看出在不認(rèn)證和不計(jì)費(fèi)的方案下沒有配置認(rèn)證和計(jì)費(fèi)模式，那么在缺省情況下，模式都會(huì)被設(shè)置成radius，這樣用戶顯然無法通過驗(yàn)證，后面強(qiáng)推流程也無法進(jìn)行，導(dǎo)致頁面無法彈出。4、 故障處理集團(tuán)規(guī)范要求認(rèn)證前域設(shè)置成不認(rèn)證不計(jì)費(fèi)，由于認(rèn)證以及計(jì)費(fèi)模板設(shè)置

5、錯(cuò)誤導(dǎo)致后續(xù)的強(qiáng)推流程無法進(jìn)行，頁面也不能夠彈出，解決方法是在3A模式重新修改認(rèn)證及計(jì)費(fèi)的模式，具體配置如下：aaaauthentication-scheme noneauthentication-mode noneaccounting-scheme noneaccounting-mode none5、 常見Web認(rèn)證的故障處理方法Web認(rèn)證的故障一定要分解為WEB頁面無法彈出、頁面正常彈出但認(rèn)證失敗兩個(gè)方面來處理。因?yàn)檫@兩個(gè)問題對應(yīng)的故障原因、處理流程、定位辦法是完全不同的。（一）Web頁面無法彈出出現(xiàn)Web頁面無法彈出的問題，可能是如下5個(gè)問題造成：（1） Web頁面本身異常可以通過直接在

6、客戶端IE瀏覽器輸入WEB頁面的域名或IP地址來測試頁面能否正常訪問。如正常，則排除WEB頁面服務(wù)器的問題；如不正常，則說明WEB頁面服務(wù)器本身有問題，或者是到WEB頁面服務(wù)器的路由問題，可以通過ping和tracert來判斷（不排除服務(wù)器本身禁ping，需要和客戶確認(rèn)）。（2） DNS問題在客戶端IE瀏覽器輸入網(wǎng)站域名（即http:/www.XXX.com格式）無法強(qiáng)推頁面時(shí)，可以通過在瀏覽器輸入任意IP地址來測試，如果可以強(qiáng)推出頁面，說明問題和DNS有關(guān)，首先要檢查ACL中是否允許了DNS的地址、測試到DNS路由是否可達(dá)，如確認(rèn)無問題，再測試DNS解析域名是否正常，通過將DNS地址配置在其

7、他正常用戶的網(wǎng)卡上測試，或者客戶端近端鏡像都可以判斷。（3） 訪問控制中缺少允許到網(wǎng)關(guān)地址的rule正常的Portal流程，是由BRAS模擬目標(biāo)地址完成與PC機(jī)的TCP三次握手，繼而PC機(jī)發(fā)送http get報(bào)文，BRAS回應(yīng)http move報(bào)文，將WEB頁面推送給PC機(jī)，如果在ACL中沒有允許本機(jī)的本地地址，則BRAS與客戶端之間的報(bào)文無法交互。（4） 配置沖突WEB用戶所在的物理端口下配置了端口鏡像會(huì)導(dǎo)致重定向報(bào)文異常，如果有，取消后再測試。（5） 客戶端本身的原因以上問題均排除的情況下，則需要在客戶端鏡像確認(rèn)重定向報(bào)文是否收到，如果已收到重定向報(bào)文，則可以排除BRAS

8、的問題，說明是客戶端本身的原因?qū)е马撁鎻?qiáng)推不出，可以卸載PC機(jī)安裝的防火墻、殺毒等軟件或者更換PC再測試。（二）Web認(rèn)證無法通過如果WEB頁面正常彈出，輸入用戶名密碼后提示認(rèn)證超時(shí)、用戶名密碼非法等錯(cuò)誤提示時(shí)，需要在隱藏視圖（V6R5版本在診斷視圖）下debugging web packet報(bào)文來分析；在隱藏或診斷視圖下debugging的報(bào)文會(huì)給出明確的報(bào)錯(cuò)信息，方便定位問題。在以CHAP認(rèn)證為前提下，Web認(rèn)證無法通過也要分為兩個(gè)層面處理：（1） 收不到WEB服務(wù)器發(fā)送的request報(bào)文導(dǎo)致認(rèn)證超時(shí)。開啟debugging web packet、debugging terminatio

9、n、monitor debugging后，客戶端在WEB頁面輸入用戶名密碼測試，如果一直到客戶端認(rèn)證提示失敗，也沒有任何信息輸出，說明WEB服務(wù)器沒有主動(dòng)發(fā)送Req_Challenge報(bào)文。有以下幾種情況可能導(dǎo)致該問題：1、BRAS和WEB認(rèn)證服務(wù)器路由不可達(dá)；可以通過ping和tracert WEB認(rèn)證服務(wù)器進(jìn)行判斷。2、WEB認(rèn)證服務(wù)器沒有做配置或配置錯(cuò)誤；需要聯(lián)系WEB服務(wù)器側(cè)確認(rèn)。3、BRAS或上行設(shè)備配置了相關(guān)的訪問控制；默認(rèn)情況下BRAS的web-auth-server listening-port接收報(bào)文端口號(hào)為UDP 2000，因此當(dāng)BRAS通往WEB服務(wù)器的這條路徑上有設(shè)備配

10、置了訪問控制拒絕了該端口就會(huì)導(dǎo)致WEB服務(wù)器發(fā)送的Req_Challenge報(bào)文無法被接收到。（2）收到request報(bào)文后報(bào)文交互異常導(dǎo)致認(rèn)證超時(shí)。該類故障可能包含以下多種場景：1、 BRAS收到了Req_Challenge報(bào)文，但不響應(yīng)Challenge Ack報(bào)文。1）WEB服務(wù)器和BRAS上配置的協(xié)議版本號(hào)不一致可以通過BRAS上web-auth-server配置來查看WEB服務(wù)器和BRAS上配置的協(xié)議版本號(hào)是否一致，如果兩端版本不一致，BRAS則不會(huì)響應(yīng)請求報(bào)文。 2） WEB服務(wù)器的發(fā)包源地址和本地配置的web-auth-server地址不一致。如以下debugging信息所示：

11、Web-Err Fail to process packet for portal server 53 not config此時(shí)debugging信息中會(huì)報(bào)錯(cuò)，發(fā)包的WEB服務(wù)器的地址在本地未配置，即發(fā)包的地址和本地web-auth-server配置的52地址不一致。有可能是WEB服務(wù)器側(cè)發(fā)包源地址設(shè)置錯(cuò)誤，也有可能是本地配置的地址錯(cuò)誤，調(diào)整成一致即可。3）WEB服務(wù)器和BRAS配置的密鑰不一致。Portal V2.0版本是必須要配置共享密鑰的，如果兩端配置的密鑰不一致，在debugging報(bào)文中會(huì)有如下報(bào)錯(cuò)：Web-Err Fail to proc

12、ess packet for version (2) not support or authenticator error4） 配置沖突認(rèn)證前域下配置cops-server group也會(huì)導(dǎo)致認(rèn)證異常；建議取消后再測試。2、BRAS收到了Req_Challenge報(bào)文，并正常響應(yīng)了Challenge Ack報(bào)文，但WEB服務(wù)器重復(fù)發(fā)送Req_Challenge報(bào)文。1） BRAS和WEB服務(wù)器之間路由單通WEB服務(wù)器發(fā)送給BRAS的報(bào)文可以收到，但BRAS回應(yīng)的報(bào)文WEB服務(wù)器沒有收到，需要從BRAS側(cè)反查路由是否正常。2）BRAS端口被封堵BRAS 發(fā)送報(bào)文的端口號(hào)為UDP 50100，如果

13、該端口被封堵，會(huì)導(dǎo)致報(bào)文不能到達(dá)WEB服務(wù)器，需要排除該路徑上各設(shè)備的訪問控制。3) BRAS上指定的web-auth-server發(fā)包源地址和WEB服務(wù)器側(cè)綁定的BRAS地址不一致BRAS向WEB服務(wù)器發(fā)送報(bào)文時(shí)，源IP優(yōu)先選web-auth-server source配置的發(fā)包源地址，如果沒有配置源接口，以出接口IP作為源IP，需要根據(jù)實(shí)際配置確認(rèn)BRAS側(cè)的發(fā)包源地址和WEB服務(wù)器側(cè)綁定的BRAS地址是否一致。3、 BRAS發(fā)送給WEB服務(wù)器的Challenge Ack（type 2）報(bào)文中，ErrCode參數(shù)非0如以下配置信息所示，BRAS和WEB服務(wù)器交互的確認(rèn)類報(bào)文中都包含一個(gè)錯(cuò)誤

14、碼，即ErrCode，只有ErrCode為0時(shí)才表示協(xié)商正常；如果非0，則說明有各種問題導(dǎo)致協(xié)商失敗。packet received from socket( len = 16 Vrf = 0): ver : 2 type : challenge req Method : chap SerialNo: 7465 ReqID : 0 UserIP : x.x.x.x ErrCode : 1 AttrNum : 0 可對照Challenge Ack（type 2）中ErrCode參數(shù)非0代表的含義對故障進(jìn)行處理：1） ErrCode0，表示BRAS通知WEB服務(wù)器請求Challenge成功；2）

15、ErrCode1，表示BRAS通知WEB服務(wù)器請求Challenge被拒絕；3） ErrCode2，表示BRAS通知WEB服務(wù)器此鏈接已建立；4） ErrCode3，表示BRAS通知WEB服務(wù)器有一個(gè)用戶正在認(rèn)證過程中，請稍后再試；5） ErrCode4，表示BRAS通知WEB服務(wù)器此用戶請求Challenge失?。òl(fā)生錯(cuò)誤）；4、 BRAS發(fā)送給WEB服務(wù)器的Ack_Auth（type 4）報(bào)文中，ErrCode參數(shù)非0packet sent to socket( len = 16 Vrf = 0):ver : 2type : auth ackMethod :chapSerialNo: 16

16、84ReqID : 525UserIP : x.x.x.xErrCode : 1AttrNum : 0可對照Ack_Auth（type 4）中ErrCode參數(shù)非0代表的含義對故障進(jìn)行處理：1） ErrCode0，表示BRAS通知WEB服務(wù)器此用戶認(rèn)證成功；2） ErrCode1，表示BRAS通知WEB服務(wù)器此用戶認(rèn)證請求被拒絕；3） ErrCode2，表示BRAS通知WEB服務(wù)器此鏈接已建立；4） ErrCode3，表示BRAS通知WEB服務(wù)器有一個(gè)用戶正在認(rèn)證過程中，請稍后再試；5） ErrCode4 ，表示BRAS通知WEB服務(wù)器此用戶認(rèn)證失敗（發(fā)生錯(cuò)誤）；需要注意的是，當(dāng)ErrCode

17、1時(shí)需要結(jié)合流程圖分析，該報(bào)文是在BRAS和radius交互后才給WEB服務(wù)器發(fā)出的通知報(bào)文，如果該賬號(hào)在radius上被拒絕，則BRAS就會(huì)通知WEB服務(wù)器請求被拒絕；因此這種情況下需要debugging radius packet確認(rèn)是否是radius拒絕了該賬號(hào)的認(rèn)證請求。當(dāng)WEB服務(wù)器發(fā)送的authentication request報(bào)文中UserIP在BRAS上不在線。如以下配置信息所示：Received packet from socket (length = 55 Vrf = 0):Version : 2Type : authentication requestMethod : papSerialNo : 117RequestID : 0UserIP : 11ErrorCode : 0AttributeNumber : 2如果11這個(gè)用戶IP在本地不存在，debug報(bào)文中會(huì)給出提示W(wǎng)eb-Err The user does not exist 6、 結(jié)語在眾多的公共場所為解決客戶的上網(wǎng)問題，往往配置無線接入點(diǎn)提供給廣大客戶上網(wǎng)使用，而傳統(tǒng)的輸入密碼方式給管理帶來了極大的不便，同時(shí)也具有一定的不安全性，因此，我們往往是用