ME60WEB认证页面无法弹出问题案例分析

1、ME60 WEB认证页面无法弹出问题案例分析摘要：在新业务添加调试时发现故障，有效的避免了业务上线后对WEB用户的影响。WEB认证页面无法弹出，可能是WEB页面本身异常造成，也可能是DNS的问题，亦或是设备配置等问题造成，需要进一步排查分析来确定故障原因。本文以某地市运营商WEB认证页面无法弹出为例，介绍了分析和处理该类故障的方法，总结了常见Web认证页面故障的处理方法。关键词：Portal认证、Request报文、配置冲突、报文交互1、 引言C国某地市运营商的两台ME60新添加Wlan业务，其客户按照集团规范配置完数据，经过专业人员现场测试后发现，存在终端能够获取IP，认证页面无法弹出的问题

2、，于是，运营商组织专业人员进行故障排查工作。2、 故障现象分析WEB用户的认证页面阶段主要在认证前域进行，根据故障现象及WEB认证的原理可知，需要在ME60配置、链路连通性及portal服务器故障的方面进行排查分析。网络拓扑如图1所示：图13、 故障定位（一）检查portal服务器是否有故障，可以直接在浏览器中输入PORTAL服务器地址，同时在终端CMD窗口ping测portal服务器和DNS地址，页面能打开并且地址能ping通，排除了用户与服务器之间的路由不通及服务器故障，需要对ME60上面的配置进行检查。（二）检查认证前域下的配置，portal服务器url及地址参数正确，流量管理策略配置也

3、都正确，依照集团规范，再仔细查看认证前域配置发现有异常：domain wlan_user_portal  authentication-scheme none  accounting-scheme none  ip-pool pppoe__24  user-group wlan_user_portal  idle-cut 5 50  web-server X.X.X.X  web-server url http:/X.X.X.X/bpss/index.jsp  web-server u

4、rl-parameter  web-server redirect-key mscg-ip wlanacip认证前域认证和计费方案设置为不认证不计费，以上面的配置来看，前域用的方案也看似没有问题，然而在3a视图下计费和认证方案设置有异常：aaaauthentication-scheme noneaccounting-scheme none可以看出在不认证和不计费的方案下没有配置认证和计费模式，那么在缺省情况下，模式都会被设置成radius，这样用户显然无法通过验证，后面强推流程也无法进行，导致页面无法弹出。4、 故障处理集团规范要求认证前域设置成不认证不计费，由于认证以及计费模板设置

5、错误导致后续的强推流程无法进行，页面也不能够弹出，解决方法是在3A模式重新修改认证及计费的模式，具体配置如下：aaaauthentication-scheme noneauthentication-mode noneaccounting-scheme noneaccounting-mode none5、 常见Web认证的故障处理方法Web认证的故障一定要分解为WEB页面无法弹出、页面正常弹出但认证失败两个方面来处理。因为这两个问题对应的故障原因、处理流程、定位办法是完全不同的。（一）Web页面无法弹出出现Web页面无法弹出的问题，可能是如下5个问题造成：（1） Web页面本身异常可以通过直接在

6、客户端IE浏览器输入WEB页面的域名或IP地址来测试页面能否正常访问。如正常，则排除WEB页面服务器的问题；如不正常，则说明WEB页面服务器本身有问题，或者是到WEB页面服务器的路由问题，可以通过ping和tracert来判断（不排除服务器本身禁ping，需要和客户确认）。（2） DNS问题在客户端IE浏览器输入网站域名（即http:/www.XXX.com格式）无法强推页面时，可以通过在浏览器输入任意IP地址来测试，如果可以强推出页面，说明问题和DNS有关，首先要检查ACL中是否允许了DNS的地址、测试到DNS路由是否可达，如确认无问题，再测试DNS解析域名是否正常，通过将DNS地址配置在其

7、他正常用户的网卡上测试，或者客户端近端镜像都可以判断。（3） 访问控制中缺少允许到网关地址的rule正常的Portal流程，是由BRAS模拟目标地址完成与PC机的TCP三次握手，继而PC机发送http get报文，BRAS回应http move报文，将WEB页面推送给PC机，如果在ACL中没有允许本机的本地地址，则BRAS与客户端之间的报文无法交互。（4） 配置冲突WEB用户所在的物理端口下配置了端口镜像会导致重定向报文异常，如果有，取消后再测试。（5） 客户端本身的原因以上问题均排除的情况下，则需要在客户端镜像确认重定向报文是否收到，如果已收到重定向报文，则可以排除BRAS

8、的问题，说明是客户端本身的原因导致页面强推不出，可以卸载PC机安装的防火墙、杀毒等软件或者更换PC再测试。（二）Web认证无法通过如果WEB页面正常弹出，输入用户名密码后提示认证超时、用户名密码非法等错误提示时，需要在隐藏视图（V6R5版本在诊断视图）下debugging web packet报文来分析；在隐藏或诊断视图下debugging的报文会给出明确的报错信息，方便定位问题。在以CHAP认证为前提下，Web认证无法通过也要分为两个层面处理：（1） 收不到WEB服务器发送的request报文导致认证超时。开启debugging web packet、debugging terminatio

9、n、monitor debugging后，客户端在WEB页面输入用户名密码测试，如果一直到客户端认证提示失败，也没有任何信息输出，说明WEB服务器没有主动发送Req_Challenge报文。有以下几种情况可能导致该问题：1、BRAS和WEB认证服务器路由不可达；可以通过ping和tracert WEB认证服务器进行判断。2、WEB认证服务器没有做配置或配置错误；需要联系WEB服务器侧确认。3、BRAS或上行设备配置了相关的访问控制；默认情况下BRAS的web-auth-server listening-port接收报文端口号为UDP 2000，因此当BRAS通往WEB服务器的这条路径上有设备配

10、置了访问控制拒绝了该端口就会导致WEB服务器发送的Req_Challenge报文无法被接收到。（2）收到request报文后报文交互异常导致认证超时。该类故障可能包含以下多种场景：1、 BRAS收到了Req_Challenge报文，但不响应Challenge Ack报文。1）WEB服务器和BRAS上配置的协议版本号不一致可以通过BRAS上web-auth-server配置来查看WEB服务器和BRAS上配置的协议版本号是否一致，如果两端版本不一致，BRAS则不会响应请求报文。 2） WEB服务器的发包源地址和本地配置的web-auth-server地址不一致。如以下debugging信息所示：

11、Web-Err Fail to process packet for portal server 53 not config此时debugging信息中会报错，发包的WEB服务器的地址在本地未配置，即发包的地址和本地web-auth-server配置的52地址不一致。有可能是WEB服务器侧发包源地址设置错误，也有可能是本地配置的地址错误，调整成一致即可。3）WEB服务器和BRAS配置的密钥不一致。Portal V2.0版本是必须要配置共享密钥的，如果两端配置的密钥不一致，在debugging报文中会有如下报错：Web-Err Fail to proc

12、ess packet for version (2) not support or authenticator error4） 配置冲突认证前域下配置cops-server group也会导致认证异常；建议取消后再测试。2、BRAS收到了Req_Challenge报文，并正常响应了Challenge Ack报文，但WEB服务器重复发送Req_Challenge报文。1） BRAS和WEB服务器之间路由单通WEB服务器发送给BRAS的报文可以收到，但BRAS回应的报文WEB服务器没有收到，需要从BRAS侧反查路由是否正常。2）BRAS端口被封堵BRAS 发送报文的端口号为UDP 50100，如果

13、该端口被封堵，会导致报文不能到达WEB服务器，需要排除该路径上各设备的访问控制。3) BRAS上指定的web-auth-server发包源地址和WEB服务器侧绑定的BRAS地址不一致BRAS向WEB服务器发送报文时，源IP优先选web-auth-server source配置的发包源地址，如果没有配置源接口，以出接口IP作为源IP，需要根据实际配置确认BRAS侧的发包源地址和WEB服务器侧绑定的BRAS地址是否一致。3、 BRAS发送给WEB服务器的Challenge Ack（type 2）报文中，ErrCode参数非0如以下配置信息所示，BRAS和WEB服务器交互的确认类报文中都包含一个错误

14、码，即ErrCode，只有ErrCode为0时才表示协商正常；如果非0，则说明有各种问题导致协商失败。packet received from socket( len = 16 Vrf = 0): ver : 2 type : challenge req Method : chap SerialNo: 7465 ReqID : 0 UserIP : x.x.x.x ErrCode : 1 AttrNum : 0 可对照Challenge Ack（type 2）中ErrCode参数非0代表的含义对故障进行处理：1） ErrCode0，表示BRAS通知WEB服务器请求Challenge成功；2）

15、ErrCode1，表示BRAS通知WEB服务器请求Challenge被拒绝；3） ErrCode2，表示BRAS通知WEB服务器此链接已建立；4） ErrCode3，表示BRAS通知WEB服务器有一个用户正在认证过程中，请稍后再试；5） ErrCode4，表示BRAS通知WEB服务器此用户请求Challenge失败（发生错误）；4、 BRAS发送给WEB服务器的Ack_Auth（type 4）报文中，ErrCode参数非0packet sent to socket( len = 16 Vrf = 0):ver : 2type : auth ackMethod :chapSerialNo: 16

16、84ReqID : 525UserIP : x.x.x.xErrCode : 1AttrNum : 0可对照Ack_Auth（type 4）中ErrCode参数非0代表的含义对故障进行处理：1） ErrCode0，表示BRAS通知WEB服务器此用户认证成功；2） ErrCode1，表示BRAS通知WEB服务器此用户认证请求被拒绝；3） ErrCode2，表示BRAS通知WEB服务器此链接已建立；4） ErrCode3，表示BRAS通知WEB服务器有一个用户正在认证过程中，请稍后再试；5） ErrCode4 ，表示BRAS通知WEB服务器此用户认证失败（发生错误）；需要注意的是，当ErrCode

17、1时需要结合流程图分析，该报文是在BRAS和radius交互后才给WEB服务器发出的通知报文，如果该账号在radius上被拒绝，则BRAS就会通知WEB服务器请求被拒绝；因此这种情况下需要debugging radius packet确认是否是radius拒绝了该账号的认证请求。当WEB服务器发送的authentication request报文中UserIP在BRAS上不在线。如以下配置信息所示：Received packet from socket (length = 55 Vrf = 0):Version : 2Type : authentication requestMethod : papSerialNo : 117RequestID : 0UserIP : 11ErrorCode : 0AttributeNumber : 2如果11这个用户IP在本地不存在，debug报文中会给出提示Web-Err The user does not exist 6、 结语在众多的公共场所为解决客户的上网问题，往往配置无线接入点提供给广大客户上网使用，而传统的输入密码方式给管理带来了极大的不便，同时也具有一定的不安全性，因此，我们往往是用