问题描述
客户要求实现:Portal认证(MAC认证+Portal)。在测试环境中,可以正常弹出Portal认证页面,但切换至正式环境中Portal认证无法弹出认证页面
告警信息
现象:
- 测试环境Portal认证正常,切换至正式环境后页面无法加载。
- 终端抓包显示DNS请求(223.5.5.5)无响应。
处理过程
排查过程:
对比分析:
-
- 测试环境:使用内网DNS(192.168.1.10),AC已放行。
- 正式环境:访客SSID分配公网DNS(223.5.5.5),但AC未放行该DNS流量。协议验证:
-
- Portal认证流程依赖DNS解析认证页域名(如auth.xxxxx.com)。
- 公网DNS被AC认证策略拦截,导致解析失败。
根因
- 环境差异的隐蔽性:
- 测试环境与生产环境的DHCP/DNS策略可能不同(如员工/访客分组配置)。
- 必须核查:
- 各SSID的地址池、DNS、VLAN划分。
- AC/防火墙的放行策略(含DNS、NTP等基础服务)。
解决方案
解决方案:
- 在AC上放行公网DNS流量(2选1):
- 免认证规则放行: free-rule destination ip 223.5.5.5 255.255.255.255
- 开启Portal认证时设备放通DNS报文功能:portal pass dns enable
- 效果:Portal页面正常弹出,认证成功率100%。
