ME60WEB認證頁面無法彈出問題案例分析

1、ME60 WEB認證頁面無法彈出問題案例分析摘要：在新業(yè)務(wù)添加調(diào)試時發(fā)現(xiàn)故障，有效的避免了業(yè)務(wù)上線后對WEB用戶的影響。WEB認證頁面無法彈出，可能是WEB頁面本身異常造成，也可能是DNS的問題，亦或是設(shè)備配置等問題造成，需要進一步排查分析來確定故障原因。本文以某地市運營商WEB認證頁面無法彈出為例，介紹了分析和處理該類故障的方法，總結(jié)了常見Web認證頁面故障的處理方法。關(guān)鍵詞：Portal認證、Request報文、配置沖突、報文交互1、 引言C國某地市運營商的兩臺ME60新添加Wlan業(yè)務(wù)，其客戶按照集團規(guī)范配置完數(shù)據(jù)，經(jīng)過專業(yè)人員現(xiàn)場測試后發(fā)現(xiàn)，存在終端能夠獲取IP，認證頁面無法彈出的問題

2、，于是，運營商組織專業(yè)人員進行故障排查工作。2、 故障現(xiàn)象分析WEB用戶的認證頁面階段主要在認證前域進行，根據(jù)故障現(xiàn)象及WEB認證的原理可知，需要在ME60配置、鏈路連通性及portal服務(wù)器故障的方面進行排查分析。網(wǎng)絡(luò)拓撲如圖1所示：圖13、 故障定位（一）檢查portal服務(wù)器是否有故障，可以直接在瀏覽器中輸入PORTAL服務(wù)器地址，同時在終端CMD窗口ping測portal服務(wù)器和DNS地址，頁面能打開并且地址能ping通，排除了用戶與服務(wù)器之間的路由不通及服務(wù)器故障，需要對ME60上面的配置進行檢查。（二）檢查認證前域下的配置，portal服務(wù)器url及地址參數(shù)正確，流量管理策略配置也

3、都正確，依照集團規(guī)范，再仔細查看認證前域配置發(fā)現(xiàn)有異常：domain wlan_user_portal  authentication-scheme none  accounting-scheme none  ip-pool pppoe__24  user-group wlan_user_portal  idle-cut 5 50  web-server X.X.X.X  web-server url http:/X.X.X.X/bpss/index.jsp  web-server u

4、rl-parameter  web-server redirect-key mscg-ip wlanacip認證前域認證和計費方案設(shè)置為不認證不計費，以上面的配置來看，前域用的方案也看似沒有問題，然而在3a視圖下計費和認證方案設(shè)置有異常：aaaauthentication-scheme noneaccounting-scheme none可以看出在不認證和不計費的方案下沒有配置認證和計費模式，那么在缺省情況下，模式都會被設(shè)置成radius，這樣用戶顯然無法通過驗證，后面強推流程也無法進行，導(dǎo)致頁面無法彈出。4、 故障處理集團規(guī)范要求認證前域設(shè)置成不認證不計費，由于認證以及計費模板設(shè)置

5、錯誤導(dǎo)致后續(xù)的強推流程無法進行，頁面也不能夠彈出，解決方法是在3A模式重新修改認證及計費的模式，具體配置如下：aaaauthentication-scheme noneauthentication-mode noneaccounting-scheme noneaccounting-mode none5、 常見Web認證的故障處理方法Web認證的故障一定要分解為WEB頁面無法彈出、頁面正常彈出但認證失敗兩個方面來處理。因為這兩個問題對應(yīng)的故障原因、處理流程、定位辦法是完全不同的。（一）Web頁面無法彈出出現(xiàn)Web頁面無法彈出的問題，可能是如下5個問題造成：（1） Web頁面本身異?？梢酝ㄟ^直接在

6、客戶端IE瀏覽器輸入WEB頁面的域名或IP地址來測試頁面能否正常訪問。如正常，則排除WEB頁面服務(wù)器的問題；如不正常，則說明WEB頁面服務(wù)器本身有問題，或者是到WEB頁面服務(wù)器的路由問題，可以通過ping和tracert來判斷（不排除服務(wù)器本身禁ping，需要和客戶確認）。（2） DNS問題在客戶端IE瀏覽器輸入網(wǎng)站域名（即http:/www.XXX.com格式）無法強推頁面時，可以通過在瀏覽器輸入任意IP地址來測試，如果可以強推出頁面，說明問題和DNS有關(guān)，首先要檢查ACL中是否允許了DNS的地址、測試到DNS路由是否可達，如確認無問題，再測試DNS解析域名是否正常，通過將DNS地址配置在其

7、他正常用戶的網(wǎng)卡上測試，或者客戶端近端鏡像都可以判斷。（3） 訪問控制中缺少允許到網(wǎng)關(guān)地址的rule正常的Portal流程，是由BRAS模擬目標地址完成與PC機的TCP三次握手，繼而PC機發(fā)送http get報文，BRAS回應(yīng)http move報文，將WEB頁面推送給PC機，如果在ACL中沒有允許本機的本地地址，則BRAS與客戶端之間的報文無法交互。（4） 配置沖突WEB用戶所在的物理端口下配置了端口鏡像會導(dǎo)致重定向報文異常，如果有，取消后再測試。（5） 客戶端本身的原因以上問題均排除的情況下，則需要在客戶端鏡像確認重定向報文是否收到，如果已收到重定向報文，則可以排除BRAS

8、的問題，說明是客戶端本身的原因?qū)е马撁鎻娡撇怀?，可以卸載PC機安裝的防火墻、殺毒等軟件或者更換PC再測試。（二）Web認證無法通過如果WEB頁面正常彈出，輸入用戶名密碼后提示認證超時、用戶名密碼非法等錯誤提示時，需要在隱藏視圖（V6R5版本在診斷視圖）下debugging web packet報文來分析；在隱藏或診斷視圖下debugging的報文會給出明確的報錯信息，方便定位問題。在以CHAP認證為前提下，Web認證無法通過也要分為兩個層面處理：（1） 收不到WEB服務(wù)器發(fā)送的request報文導(dǎo)致認證超時。開啟debugging web packet、debugging terminatio

9、n、monitor debugging后，客戶端在WEB頁面輸入用戶名密碼測試，如果一直到客戶端認證提示失敗，也沒有任何信息輸出，說明WEB服務(wù)器沒有主動發(fā)送Req_Challenge報文。有以下幾種情況可能導(dǎo)致該問題：1、BRAS和WEB認證服務(wù)器路由不可達；可以通過ping和tracert WEB認證服務(wù)器進行判斷。2、WEB認證服務(wù)器沒有做配置或配置錯誤；需要聯(lián)系WEB服務(wù)器側(cè)確認。3、BRAS或上行設(shè)備配置了相關(guān)的訪問控制；默認情況下BRAS的web-auth-server listening-port接收報文端口號為UDP 2000，因此當BRAS通往WEB服務(wù)器的這條路徑上有設(shè)備配

10、置了訪問控制拒絕了該端口就會導(dǎo)致WEB服務(wù)器發(fā)送的Req_Challenge報文無法被接收到。（2）收到request報文后報文交互異常導(dǎo)致認證超時。該類故障可能包含以下多種場景：1、 BRAS收到了Req_Challenge報文，但不響應(yīng)Challenge Ack報文。1）WEB服務(wù)器和BRAS上配置的協(xié)議版本號不一致可以通過BRAS上web-auth-server配置來查看WEB服務(wù)器和BRAS上配置的協(xié)議版本號是否一致，如果兩端版本不一致，BRAS則不會響應(yīng)請求報文。 2） WEB服務(wù)器的發(fā)包源地址和本地配置的web-auth-server地址不一致。如以下debugging信息所示：

11、Web-Err Fail to process packet for portal server 53 not config此時debugging信息中會報錯，發(fā)包的WEB服務(wù)器的地址在本地未配置，即發(fā)包的地址和本地web-auth-server配置的52地址不一致。有可能是WEB服務(wù)器側(cè)發(fā)包源地址設(shè)置錯誤，也有可能是本地配置的地址錯誤，調(diào)整成一致即可。3）WEB服務(wù)器和BRAS配置的密鑰不一致。Portal V2.0版本是必須要配置共享密鑰的，如果兩端配置的密鑰不一致，在debugging報文中會有如下報錯：Web-Err Fail to proc

12、ess packet for version (2) not support or authenticator error4） 配置沖突認證前域下配置cops-server group也會導(dǎo)致認證異常；建議取消后再測試。2、BRAS收到了Req_Challenge報文，并正常響應(yīng)了Challenge Ack報文，但WEB服務(wù)器重復(fù)發(fā)送Req_Challenge報文。1） BRAS和WEB服務(wù)器之間路由單通WEB服務(wù)器發(fā)送給BRAS的報文可以收到，但BRAS回應(yīng)的報文WEB服務(wù)器沒有收到，需要從BRAS側(cè)反查路由是否正常。2）BRAS端口被封堵BRAS 發(fā)送報文的端口號為UDP 50100，如果

13、該端口被封堵，會導(dǎo)致報文不能到達WEB服務(wù)器，需要排除該路徑上各設(shè)備的訪問控制。3) BRAS上指定的web-auth-server發(fā)包源地址和WEB服務(wù)器側(cè)綁定的BRAS地址不一致BRAS向WEB服務(wù)器發(fā)送報文時，源IP優(yōu)先選web-auth-server source配置的發(fā)包源地址，如果沒有配置源接口，以出接口IP作為源IP，需要根據(jù)實際配置確認BRAS側(cè)的發(fā)包源地址和WEB服務(wù)器側(cè)綁定的BRAS地址是否一致。3、 BRAS發(fā)送給WEB服務(wù)器的Challenge Ack（type 2）報文中，ErrCode參數(shù)非0如以下配置信息所示，BRAS和WEB服務(wù)器交互的確認類報文中都包含一個錯誤

14、碼，即ErrCode，只有ErrCode為0時才表示協(xié)商正常；如果非0，則說明有各種問題導(dǎo)致協(xié)商失敗。packet received from socket( len = 16 Vrf = 0): ver : 2 type : challenge req Method : chap SerialNo: 7465 ReqID : 0 UserIP : x.x.x.x ErrCode : 1 AttrNum : 0 可對照Challenge Ack（type 2）中ErrCode參數(shù)非0代表的含義對故障進行處理：1） ErrCode0，表示BRAS通知WEB服務(wù)器請求Challenge成功；2）

15、ErrCode1，表示BRAS通知WEB服務(wù)器請求Challenge被拒絕；3） ErrCode2，表示BRAS通知WEB服務(wù)器此鏈接已建立；4） ErrCode3，表示BRAS通知WEB服務(wù)器有一個用戶正在認證過程中，請稍后再試；5） ErrCode4，表示BRAS通知WEB服務(wù)器此用戶請求Challenge失?。òl(fā)生錯誤）；4、 BRAS發(fā)送給WEB服務(wù)器的Ack_Auth（type 4）報文中，ErrCode參數(shù)非0packet sent to socket( len = 16 Vrf = 0):ver : 2type : auth ackMethod :chapSerialNo: 16

16、84ReqID : 525UserIP : x.x.x.xErrCode : 1AttrNum : 0可對照Ack_Auth（type 4）中ErrCode參數(shù)非0代表的含義對故障進行處理：1） ErrCode0，表示BRAS通知WEB服務(wù)器此用戶認證成功；2） ErrCode1，表示BRAS通知WEB服務(wù)器此用戶認證請求被拒絕；3） ErrCode2，表示BRAS通知WEB服務(wù)器此鏈接已建立；4） ErrCode3，表示BRAS通知WEB服務(wù)器有一個用戶正在認證過程中，請稍后再試；5） ErrCode4 ，表示BRAS通知WEB服務(wù)器此用戶認證失敗（發(fā)生錯誤）；需要注意的是，當ErrCode

17、1時需要結(jié)合流程圖分析，該報文是在BRAS和radius交互后才給WEB服務(wù)器發(fā)出的通知報文，如果該賬號在radius上被拒絕，則BRAS就會通知WEB服務(wù)器請求被拒絕；因此這種情況下需要debugging radius packet確認是否是radius拒絕了該賬號的認證請求。當WEB服務(wù)器發(fā)送的authentication request報文中UserIP在BRAS上不在線。如以下配置信息所示：Received packet from socket (length = 55 Vrf = 0):Version : 2Type : authentication requestMethod : papSerialNo : 117RequestID : 0UserIP : 11ErrorCode : 0AttributeNumber : 2如果11這個用戶IP在本地不存在，debug報文中會給出提示W(wǎng)eb-Err The user does not exist 6、 結(jié)語在眾多的公共場所為解決客戶的上網(wǎng)問題，往往配置無線接入點提供給廣大客戶上網(wǎng)使用，而傳統(tǒng)的輸入密碼方式給管理帶來了極大的不便，同時也具有一定的不安全性，因此，我們往往是用