基础排查：步骤一、确认终端内网环境及AC设备的网口及认证相关配置是否正确

更新时间：2023-12-05

阅读权限：游客
下载
分享本内容
微博

QQ

QQ 空间

复制链接
分享
收藏

所属模块接入认证 | 密码认证

适用版本通用

确保终端设备的网关配置正确且DNS解析正常
确保终端上网流量双向经过AC设备，且上网流量经过AC时不存在NAT地址转换
确保内网第三方设备没有拦截终端和AC交互流量
确保终端浏览器未阻止弹窗，WiFi万能钥匙等软件未篡改数据流量，且终端正常发起了HTTP/HTTPS访问网站请求
确保部署模式以及网口等配置正确，能够实现终端用户正常访问到AC设备的认证页面
确保AC设备密码认证策略配置正确
确保认证高级选项及认证重定向方式配置正确
确保网桥部署虚拟地址和内网没有冲突
确保AC设备未将异常终端的IP地址加入全局排除或直通，检查用户是否已经上线
确保AC设备防DOS、防火墙规则、认证前权限的端口控制等策略未拦截终端上网的流量

确保终端设备的网关配置正确且DNS解析正常：点击访问
- - PC未配置网关：点击访问
  - PC的DNS解析失败：点击访问、点击访问、点击访问
确保终端上网流量双向经过AC设备，且上网流量经过AC时不存在NAT地址转换

如何判断是否有双向流量经过了AC设备：在【系统管理】-【系统诊断】-【连接监控】中输入弹不出认证页面的终端IP地址，查询是否有LAN-WAN的流量经过了设备
如何判断终端流量经过AC设备时存在NAT：可在终端上开启CMD命令行，ping一个内网基本上不会访问的IP地址（如ping 8.8.8.8），查看连接监控中的源IP是否是终端的IP地址，如果不是，则大概率做了NAT地址转换
- - PC上网流量不经过设备，或内网PC配置了代理服务器：点击访问
  - 代理服务器在AC外网口方向，导致打开网页无法跳转到认证页面：点击访问
  - 内网环境存在NAT源地址转换：点击访问
确保内网第三方设备没有拦截终端和AC交互流量
- - 内网第三方设备拦截了重定向流量、内网AF设备拦截：点击访问、点击访问、点击访问
确保终端浏览器未阻止弹窗，WiFi万能钥匙等软件未篡改数据流量，且终端正常发起了HTTP/HTTPS访问网站请求：Windows电脑指导，Mac电脑指导
- - 浏览器设置了阻止弹出式窗口：点击访问
  - WIFI万能钥匙篡改了数据包的ua字段：点击访问
  - 浏览器机制导致自动跳转到HTTPS页面：点击访问
  - 终端流量没有发起探测流量无法触发弹认证页面，需要访问网页流量才能弹出认证页面（苹果终端需关注）
  - 苹果手机SSL证书未安装，导致使用Safari浏览器打开网页未自动跳转认证页面：点击访问
确保部署模式以及网口等配置正确，能够实现终端用户正常访问到AC设备的认证页面：点击访问

如果手动在终端浏览器输入AC的IP地址（http://xx.xx.xx.xx，将xx更换为内网AC的LAN口实际IP）都无法打开，则需进一步解决PC和AC的通信问题
- - 网口配置了多个VLAN导致通信失败：点击访问
  - DMZ口的IP地址配置错误：点击访问
  - 内网路由环境紊乱：点击访问
  - 旁路部署时，AC设备将终端流量连接识别错误：点击访问
确保AC设备密码认证策略配置正确，所有部署模式都需要确认认证策略是否配置的是密码认证，适用范围是否包含测试用户：点击访问
- - 手动输入设备地址无法打开密码认证页面--配置不允许认证：点击访问
确保认证高级选项及认证重定向方式配置正确：点击访问
1. 确保在【认证选项】-启用了【未通过认证的用户允许访问DNS服务】
2. 如果是HTTP站点可以弹出认证页面，HTTPS弹不出，则需在【认证选项】-启用【HTTPS请求未通过认证时，重定向到认证页面（代理时除外）】
  
  ①AC/SG12.0.46及之前版本，旁路模式部署不支持https重定向认证页面
  ②AC/SG12.0.47及13.X版本开始旁路模式部署支持https重定向认证页面
  ③代理时除外含义：不管是内网的代理服务器做代理还是SG设备本身做代理，均不支持
- - - 未勾选【未认证或被冻结时允许访问DNS服务】配置：点击访问
    - 未勾选【HTTPS请求未通过认证时，重定向到认证页面（代理时除外）】配置：点击访问
    - 无线控制器对接，对接url填写错误：点击访问
确保网桥部署虚拟地址和内网没有冲突，网桥模式一定要检查“重定向配置”是否合理：点击访问
1. 如果勾选了【强制目的地址路由，选择重定向发送网口】，那么必须确认设备是否有IP地址可用，三层环境需要配置回包路由。要确保在AC上ping PC能够通，PC 和 AC的tcp80端口也能够通，才算正常。
2. 如果勾选了【启用DMZ重定向】，那么代表重定向是走DMZ口发出，那么需要确保DMZ有可用IP，并且DMZ口能和内网相互通信，确认方法同上。
3. 如果上述两个都没勾，则重定向是使用的是虚拟IP，需要确保内网访问虚拟IP的数据经过AC才可以。且虚拟IP地址不能和内网网段地址冲突，如果没有冲突，请保持默认配置1.1.1.3，如果有冲突请更改和内网不冲突的IP地址；
- - 网桥模式勾选强制走路由器重定向，网桥路由和内网不可达、或未启用DMZ口：点击访问
  - 网桥模式勾选强制走路由器重定向，管理口未划分到逻辑区域里面，导致重定向不生效：点击访问
  - 配置了错误的重定向地址且PC无法和该地址通信（路由不可达）：点击访问
  - 勾选了代理选项后打开HTTPS网页无法弹出认证页面：点击访问
确保AC设备未将异常终端的IP地址加入全局排除或直通，检查用户是否已经上线：点击访问
- - 异常终端用户已认证成功上线：点击访问
确保AC设备防DOS、防火墙规则、认证前权限的端口控制等策略未拦截终端上网的流量
- - 配置了认证前权限策略拒绝了相关端口（同理如果认证前权限策略，放通了很多流量也会直接被放通）：点击访问、点击访问
  - 配置了认证前使用此组策略但没有勾选“强制对所有HTTP访问进行认证”：点击访问
  - 在【系统管理】-【防火墙】-【LAN-WAN】配置中不能拒绝80和53端口，设备防火墙规则策略拦截：点击访问
  - 防DOS配置不当导致拦截：点击访问
  - 流控限制通过过小导致无法弹出认证页面或者弹认证页面很慢：点击访问
  - 个别网站被自定义应用引用后导致无法自动重定向到认证页面：点击访问