Portal认证页面无法弹出优化专题李晓峰.docx

《Portal认证页面无法弹出优化专题李晓峰.docx》由会员分享，可在线阅读，更多相关《Portal认证页面无法弹出优化专题李晓峰.docx（11页珍藏版）》请在三一办公上搜索。

1、Portal认证页面无法弹出优化专题李晓峰 南通移动网优中心 Portal认证页面无法弹出优化专题 1 STA弹Portal原理概述 1.1 STA弹Portal正常流程简介 1.2 STA弹Portal报文分析 截图报文为AC侧抓包，包括AC上下行报文 专业 进取 协作 共享 南通移动网优中心 1.2.1 建立连接 报文189192：用户建立和baidu之间的tcp连接，获取页面； 报文193：转入重定向，即AC回给用户的PORTAL URL; 报文194196：关闭用户与baidu之间的tcp连接； 报文197203：用户建立与portal服务器之间的tcp连接，连接建立成功； 报文204

2、：tcp连接建立成功之后，用户开始获取认证页面； 1.2.2 获取页面流程 从下面的报文可以看出，重定向完成之后， 1. portal服务器向AC传送segment信息时，出现 TCP Out-of-order的情况；一般出现TCP Out-of-order的原因多半是网络拥塞，导致顺序包抵达时间不同，延时太长，或者包丢失。 2. portal服务器向AC发送了报文Continuation or non-HTTP traffic；一般出现这专业 进取 协作 共享 南通移动网优中心 个报文，说明请求的是一个数据量比较大的服务。这个包的意思是：我只包含一些数据，不包含http消息头，我是某一个ht

3、tp消息的一部分。比如你请求的数据有2M左右，而网络数据包最大允许是20KB，那你收到的回复消息可能就是由50个左右的网络数据包组成的。第一个包含了http消息头，最后一个包含了结束标识什么的，中间就是这种数据包。 3. 用户向服务器发送了ACK报文，确认收到了segment报文信息，但是portal服务器没有发送200 OK的报文来确认此过程成功完成； 1.2.3 Continuation or non-HTTP traffic报文 抓包过程中存在大量的Continuation or non-HTTP traffic报文，说明请求的服务数据量比较大； 1.2.4 用户发出GET请求,服务器相

4、应ACK后才开始发送segment报文 专业 进取 协作 共享 南通移动网优中心 2 STA弹不出Portal故障分析 2.1 STA正常弹Portal和弹不出Portal故障对比分析 2.1.1 以下是弹不出portal时故障现象分析： 截图报文为AC侧抓包，包括AC上下行报文 1. 重定向过程 报文67-69,71：用户建立和baidu之间的tcp连接，获取页面； 报文70：由于不可达，转入重定向，重定向完成； 报文72，74-75：关闭用户与baidu之间的tcp连接； 报文78，79：用户建立与portal服务器之间的tcp连接，等待portal服务器给与响应 2. 弹portal失败

5、 在18:22:32.328440，用户再次发送TCP SYN,但服务器最终没有响应，弹portal失败。 3. 此时用户端第一时间截图 专业 进取 协作 共享 南通移动网优中心 2.1.2 正常弹portal流程： 截图报文为AC侧抓包，包括AC上下行报文 1重定向过程 报文182-188：用户建立和baidu之间的tcp连接，获取页面； 报文185：由于不可达，转入重定向，重定向完成； 报文190、192、195：关闭用户与baidu之间的tcp连接； 报文189、197-200：用户建立与portal服务器之间的tcp连接，连接建立成功； 报文201：tcp连接建立成功之后，用户开始获取

6、认证页面； 2获取页面信息流程 用户请求portal服务器下发标签信息 报文203-204：portal服务器发起续传tcp报文； 专业 进取 协作 共享 南通移动网优中心 报文205：portal服务器下发标签信息； 报文206：portal向用户发送200 OK的报文确认此过程成功完成； 推送页面过程 报文228-229：用户请求加载portal页面信息； 报文230-271：portal服务器向用户推送portal页面信息， 报文271：portal向用户发送200 OK的报文确认此过程成功完成； 2.1.3 排查思路总结 1. 问题出现时,用户发起的TCP链接SYN报文，很多没有得到响

7、应，没响应的原因可能是网络原因和PORTAL原因导致，根据现场PING PORTAL IP的情况来看，用户到PORTAL没有丢包或是延时过大问题，所以PORTAL没响应SYN的可能性更大； 2. 问题出现时，用户发送了Get请求，服务器响应了ack报文，但是没有发送segment报文，而是直接回复了304报文，然后主动关闭tcp连接； 3. 排查Portal慢问题主要在于跟踪用户端到AC上行侧之间报文完整性以及portal服务器回应用户及时性。 2.2 STA无法弹出portal页面的处理 2.2.1 问题现象 用户获取到正常的业务IP地址后，在浏览器中随便输入网址，没有强制推出portal认

8、证界面，当然也无法实现上网业务。 专业 进取 协作 共享 南通移动网优中心 2.2.2 问题分析 主要检查AC配置，重点是隧道以及portal相关的配置。 2.2.3 典型处理流程 2.2.4 排查过程 1. 如果走的是二层隧道，用户业务不在AC上管理，如果能获取外置BRAS分配的地址，但弹不出正确的portal页面，则和外置BRAS有直接关系，需联系BRAS厂家排查故障。 2. STA侧在windows dos窗口下输入命令ping portal服务器地址,如果能pint通，再在dos窗口下输入nslookup命令，根据提示输入或者其他网站域名，看是否能解析成IP地址，如果提示time ou

9、t无法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页面直接输入1.1.1.1回车，正常情况应该是能打开portal页面； 3. 如果STA无法ping通portal服务器地址，则重点放在AC上。通过串口或者telnet方式登陆AC接入板，在AC上ping portal地址，如果不通，排查AC的出口路由，主要是定位AC与portal服务器间网络是否正常。如果在AC上可以ping通，检查AC配置，例如过滤策略和服务策略配置，用户地址池内引用的策略是否允许用专业 进取 协作 共享 南通移动网优中心 户不经过认证就访问portal服务器。 4. 如果无线用户通过浏览器无法重定向p

10、ortal的URL，重点检查AC上的认证策略以及AC负荷情况。 5. 如果打开portal页面时提示非热点区域，或者获取不到AC地址等错误提示，则表示portal服务器侧未注册ac和用户地址段相关信息。 6. 江苏具有集团的portal和省内portal两套系统，对重定向的url后携带的字段要求不一致，集团也为CMCC和CMCC-EDU用户定制了个性化的portal页面都需要携带ssid字段，这些字段如果上报不正确也无法弹出正确的相应的portal页面。列出几个常用的在全局模式配置携带字段的语句： 配置AC推送的portal-url中ac-name 值和wlanacip的值，其中wlanaci

11、p为可选参数，不配置则推送的portal-url不会携带wlanacip。 ex-portal ac-name string wlanacip ipaddress 开启星巴克功能，如果重定向url中需要携带ssid字段，通过不同的ssid推送不同的portal页面，需开启此功能。 wireless star-bucks enable 如果热点开启了多SSID多PORTAL功能，需要查看show wireless station表，看sta是否连接的对应的ssid，对应正确才能弹出相对应的portal页面。 3 故障案例 3.1 STA获取到地址后，推送portal页面非常慢，在该设备下的其他站

12、点推送正常 3.1.1 问题描述 某WLAN用户，通过中兴W908+W815无线WIFI上网，获取到地址后，打开网页推送portal页面非常慢，在该设备下的其他站点推送正常。 3.1.2 组网环境 该WLAN系统架构为：AP-2826ps供电交换机-PTN-OTN-AC-NE40-外网 3.1.3 问题原因分析 针对用户获取地址后，推送portal页面慢的问题一般从如下几个方面进行查看： 1. 用户所在点的信号覆盖情况，是否处于弱覆盖区域 2. AC与AP之间的网络是否有丢包 专业 进取 协作 共享 南通移动网优中心 3. AC与portal之间的网络是否有丢包 首先通过信号扫频软件，查看用户

13、所在点位的信号强度，信号正常；其次从AC上pingAP的管理地址，发现丢包比较严重，在5%以上，如下： PING172.30.1.95: 56 data bytes 64 bytes from 172.30.1.95: icmp_seq=1. time=10. ms 64 bytes from 172.30.1.95: icmp_seq=2. time=10. ms 64 bytes from 172.30.1.95: icmp_seq=4. time=10. ms 64 bytes from 172.30.1.95: icmp_seq=5. time=10. ms 64 bytes from

14、 172.30.1.95: icmp_seq=6. time=0. ms -172.30.1.95PINGStatistics- 7 packets transmitted, 5 packets received, 28% packet loss round-trip (ms) min/avg/max =0/8/10 因此怀疑传输存在很大的问题，遂联系传输人员，告知问题现象，传输人员查看传输网络后告知，OTN上误码比较大，还需要进行调整。故等待传输人员调整后继续测试。 3.1.4 问题解决方案 由于AC与AP之间采用二层网络，同时用户业务走的是三层隧道，因此对传输层丢包比较敏感。二层网络的丢包

15、率应该低于1%。经过传输人员对传输设备的调整，第二天早上到现场测试，问题解决，portal推送页面正常。 咨询传输人员，告知解决了传输上误码的问题。 3.2 ZXV10 W908 AC-Name 配置问题导致无法推出portal页面故障 3.2.1 问题描述 AC使用三层隧道模式，开通后，用户可以正常关联AP，但打开浏览器上网，如在地址栏中输入网址回车，弹出的界面提示“获取AC IP 地址失败”，无法推出portal页面。 3.2.2 组网环境 AC起三层隧道，旁挂BRAS，BRAS到用户的链路为：BRAS汇聚交换机POE交换机AP portal服务器使用移动集团服务器221.176.1.14

16、0 3.2.3 问题原因分析 怀疑是AC或者portal服务器上配置的AC-NAME 和 NAS-IP 有问题导致的。首先检查AC配置，确认无误后在AC抓包分析，最后经局方确认，是因为移动集团公司的portal服务器上没有做相关数据导致故障发生。 专业 进取 协作 共享 南通移动网优中心 3.2.4 问题解决方案 首先检查AC配置，配置无误，完全按照移动规划配置。 然后，在AC上抓包，通过对现象以及报文的分析，可知当用户首次发出上网请求的时候，AC拦截了这个请求，并重定向到portal服务器，portal服务器检测请求中携带的ac-name信息，portal服务器根据此ac-name信息查找对

17、应的Nas-ip(即AC IP),因为没有找,到对应的Nas-ip所以portal服务器回复“获取AC IP地址失败”。 3.3 用户获取公网地址能推出portal,获取私网地址不行问题处理案例 3.3.1 关键术语 W812V3 W812V2 W908 A10000 portal 3.3.2 故障现象描述 某移动局点用户反映sta有时获取公网地址，有时获取私网地址，在获取公网地址时可以推出portal页面，业务正常，获取私网地址时不能推出portal页面； 3.3.3 处理方法 1. 接口板给用户配置了一个公网地址池，私网地址池，所以用户有时能获取公网有时能获取私网地址； 2. 获取公网时能

18、推出portal而获取私网就推不出portal，初步推断是私网启NAT时出现错误造成私网地址时推不出portal，检查配置： ip nat router ip nat pool in-1 10.1.0.1 255.255.252.0 ip nat pool out-1 120.207.131.5 255.255.255.255 ip nat inside in-1 out-1 overload interface GigabitEthernet 1/0.0 no shutdown duplex full ip address 120.207.255.2 255.255.255.252 ip n

19、at outside 发现未在AC上行口设置ip nat outside，配置此数据后，用户获取私网地址时能够推出portal业务正常； 专业 进取 协作 共享 南通移动网优中心 3.3.4 故障小结 如果用户地址池启了NAT后用户反映私网地址下推不出portal，要检查接口板关于NAT的配置是否正确； 4 总结 1. 如果走的是二层隧道，用户业务不在AC上管理，如果能获取外置BRAS分配的地址，但弹不出正确的portal页面，则和外置BRAS有直接关系，需联系BRAS厂家排查故障。 2. STA侧在windows dos窗口下输入命令ping portal服务器地址,如果能pint通，再在d

20、os窗口下输入nslookup命令，根据提示输入或者其他网站域名，看是否能解析成IP地址，如果提示time out无法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页面直接输入1.1.1.1回车，正常情况应该是能打开portal页面； 3. 如果STA无法ping通portal服务器地址，则重点放在AC上。通过串口或者telnet方式登陆AC接入板，在AC上ping portal地址，如果不通，排查AC的出口路由，主要是定位AC与portal服务器间网络是否正常。如果在AC上可以ping通，检查AC配置，例如过滤策略和服务策略配置，用户地址池内引用的策略是否允许用户不经过认

21、证就访问portal服务器。 4. 如果无线用户通过浏览器无法重定向portal的URL，重点检查AC上的认证策略以及AC负荷情况。 5. 如果打开portal页面时提示非热点区域，或者获取不到AC地址等错误提示，则表示portal服务器侧未注册ac和用户地址段相关信息。 6. 江苏具有集团的portal和省内portal两套系统，对重定向的url后携带的字段要求不一致，集团也为CMCC和CMCC-EDU用户定制了个性化的portal页面都需要携带ssid字段，这些字段如果上报不正确也无法弹出正确的相应的portal页面。列出几个常用的在全局模式配置携带字段的语句： 配置AC推送的portal

22、-url中ac-name 值和wlanacip的值，其中wlanacip为可选参数，不配置则推送的portal-url不会携带wlanacip。 ex-portal ac-name string wlanacip ipaddress 开启星巴克功能，如果重定向url中需要携带ssid字段，通过不同的ssid推送不同的portal页面，需开启此功能。 wireless star-bucks enable 如果热点开启了多SSID多PORTAL功能，需要查看show wireless station表，看sta是否连接的对应的ssid，对应正确才能弹出相对应的portal页面。 专业 进取 协作 共享