Portal 页面主要适用于开放式+ web 认证,认证前需要弹出网页进行认证才可上网。认
证类型包括:
web 账号认证、web 访客认证(包括短信认证,邮箱认证,微信认证,二维码审核认证,
临时访客认证,免认证等)
接下来根据以下三大类情况分析当接入无线后不能弹出 portal 页面的原因:
1.不自动弹出,需要手动点开浏览器才能弹出
2 不自动弹出,点开浏览器不弹,浏览器输入 2.2.2. 1 能弹出
3.不自动弹出,点开浏览器不弹,输入 2.2.2. 1 也不弹
• 说明:2.2.2. 1 是控制器内置的一个地址,用户接入 Web 认证的无线后,控制器会
将用户的流量重定向到该地址,终端就会弹出认证页面。
解决办法:取消勾选 IOS/安卓不自动弹出认证页面
当全局排除地址加了终端的探测域名(探测域名:终端连接 wifi 后主动发探测域名, 然后进行 DNS 解析域名,触发控制器将其拦截重定向到认证页面),控制器就不会对其(探
测域名触发的流量)进行拦截重定向导致无法弹出认证页面。
解决办法:删除全局排除域名。截图中的是苹果的探测域名,不同厂商手机探测域名不
同。
解决办法:尝试更换默认启动的浏览器或者给浏览器升级测试是否可以自动弹出。
关于判断是否是浏览器问题导致不能自动弹出,需要抓包来查看终端接入无线后是否会
主动触发探测流量。
可以在【无线状态】-【在线用户】根据用户的 mac 地址搜索该用户,查看用户的“认 证类型 ”是否不是开放式,如果不是开放式表示该用户已经是认证后的角色,在认证有效期
内是不会重复弹出认证页面的,需要等认证有效期到了才会弹出认证页面。
解决办法:在控制器的【系统状态】-【在线用户】将用户注销才会重新认证。如果是 访客认证,还需要在访客账号数据库删除用户的认证信息才行,其中包含短信认证,二维码认证,临时访客账号认证,微信认证。
新增一个相同网段的开放式的 SSID ,连接该无线测试是否能上网。因为弹出认证页面 第一步就是终端发起探测流量进行公网 DNS 解析,如果不能上网,DNS 无法解析,认证页
面不会自动弹出来。
解决办法:换一个让无线用户能上网的网段,或者先让当前网段能上网再进行测试。
连接无线后还没认证就可以直接上网,可能是设置了一个可以直接上网的认证前角色
(非 DNS 角色),导致不需要认证就直接上网从而不会弹出 portal 页面。
解决办法:修改认证前角色为 DNS ,点击【帮我创建认证前角色】-【自动创建】-写
DNS 即可
由于弹出认证页面使用的是数据隧道端口 UDP 7077 、 UDP 5246 、UDP 5247 ,所以很
可能是这个端口在现网环境中不通导致的。
如果现网中有其他设备占用了这个端口,也会导致无法弹出 portal 页面。
可以在 AP 端使用诊断工具测试到控制器的 UDP 7077、5246 、5247 端口是否正常 open,
如图显示非 open ,说明端口或连通性不通。
解决办法:找到冲突的设备,让其修改使用端口,避免和控制器冲突。
如果现网中有其他设备拦截了数据隧道端口,也会导致无法弹出 portal 页面。
可以在 AP 端使用诊断工具测试到控制器的 UDP 7077、5246 、5247 端口是否正常 open,
如图显示非 open ,说明端口或连通性不通。
案例场景 1:飞鱼星开启了快速转发导致无法弹出认证页面。
解决办法:在 AP 和控制器两端抓取数据隧道报文发现被拦截。关闭飞鱼星的快速转发
功能后测试。
案例场景 2: 中间经过的交换机开启了 DDOS 功能/vlan 隔离功能导致拦截了数据隧道
报文
解决办法:尝试关闭交换机的 DDOS/vlan 隔离后测试。
案例场景 3: 同一个局域网,AP 到控制器中间经过的安全设备防火墙安全策略拦截了
数据隧道报文
解决办法:尝试在防火墙上放行 AP 和控制器的 IP 地址测试。