Portal认证页面无法弹出优化专题李晓峰Word格式.docx
《Portal认证页面无法弹出优化专题李晓峰Word格式.docx》由会员分享,可在线阅读,更多相关《Portal认证页面无法弹出优化专题李晓峰Word格式.docx(14页珍藏版)》请在冰点文库上搜索。
tcp连接建立成功之后,用户开始获取认证页面;
一.2.2获取页面流程
从下面的报文可以看出,重定向完成之后,
1.portal服务器向AC传送segment信息时,出现TCPOut-of-order的情况;
一般出现TCPOut-of-order的原因多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失。
2.portal服务器向AC发送了报文Continuationornon-HTTPtraffic;
一般出现这个报文,说明请求的是一个数据量比较大的服务。
这个包的意思是:
我只包含一些数据,不包含http消息头,我是某一个http消息的一部分。
比如你请求的数据有2M左右,而网络数据包最大允许是20KB,那你收到的回复消息可能就是由50个左右的网络数据包组成的。
第一个包含了http消息头,最后一个包含了结束标识什么的,中间就是这种数据包。
3.用户向服务器发送了ACK报文,确认收到了segment报文信息,但是portal服务器没有发送200OK的报文来确认此过程成功完成;
一.2.3Continuationornon-HTTPtraffic报文
抓包过程中存在大量的Continuationornon-HTTPtraffic报文,说明请求的服务数据量比较大;
一.2.4用户发出GET请求,服务器相应ACK后才开始发送segment报文
二STA弹不出Portal故障分析
二.1STA正常弹Portal和弹不出Portal故障对比分析
二.1.1以下是弹不出portal时故障现象分析:
1.重定向过程
报文67-69,71:
报文70:
由于不可达,转入重定向,重定向完成;
报文72,74-75:
报文78,79:
用户建立与portal服务器之间的tcp连接,等待portal服务器给与响应
2.弹portal失败
在18:
22:
32.328440,用户再次发送TCPSYN,但服务器最终没有响应,弹portal失败。
3.此时用户端第一时间截图
二.1.2正常弹portal流程:
1.重定向过程
报文182-188:
报文185:
报文190、192、195:
报文189、197-200:
报文201:
2.获取页面信息流程
(1)
用户请求portal服务器下发标签信息
报文203-204:
portal服务器发起续传tcp报文;
报文205:
portal服务器下发标签信息;
报文206:
portal向用户发送200OK的报文确认此过程成功完成;
(2)
推送页面过程
报文228-229:
用户请求加载portal页面信息;
报文230-271:
portal服务器向用户推送portal页面信息,
报文271:
二.1.3排查思路总结
1.问题出现时,用户发起的TCP链接SYN报文,很多没有得到响应,没响应的原因可能是网络原因和PORTAL原因导致,根据现场PINGPORTALIP的情况来看,用户到PORTAL没有丢包或是延时过大问题,所以PORTAL没响应SYN的可能性更大;
2.问题出现时,用户发送了Get请求,服务器响应了ack报文,但是没有发送segment报文,而是直接回复了304报文,然后主动关闭tcp连接;
3.排查Portal慢问题主要在于跟踪用户端到AC上行侧之间报文完整性以及portal服务器回应用户及时性。
二.2STA无法弹出portal页面的处理
二.2.1问题现象
用户获取到正常的业务IP地址后,在浏览器中随便输入网址,没有强制推出portal认证界面,当然也无法实现上网业务。
二.2.2问题分析
主要检查AC配置,重点是隧道以及portal相关的配置。
二.2.3典型处理流程
二.2.4排查过程
1.如果走的是二层隧道,用户业务不在AC上管理,如果能获取外置BRAS分配的地址,但弹不出正确的portal页面,则和外置BRAS有直接关系,需联系BRAS厂家排查故障。
2.STA侧在windowsdos窗口下输入命令pingportal服务器地址(例如221.176.1.140),如果能pint通,再在dos窗口下输入nslookup命令,根据提示输入或者其他网站域名,看是否能解析成IP地址,如果提示timeout无法正确解析,则肯定是DNS域名服务器出现故障了,可以尝试在IE浏览器页面直接输入1.1.1.1回车,正常情况应该是能打开portal页面;
3.如果STA无法ping通portal服务器地址,则重点放在AC上。
通过串口或者telnet方式登陆AC接入板,在AC上pingportal地址,如果不通,排查AC的出口路由,主要是定位AC与portal服务器间网络是否正常。
如果在AC上可以ping通,检查AC配置,例如过滤策略和服务策略配置,用户地址池内引用的策略是否允许用户不经过认证就访问portal服务器。
4.如果无线用户通过浏览器无法重定向portal的URL,重点检查AC上的认证策略(用户地址池认证前只允许访问portal地址、自服务地址和国漫服务器地址)以及AC负荷情况(查看CPU利用率等,看是否遭到了TCP同步攻击等现象)。
5.如果打开portal页面时提示非热点区域,或者获取不到AC地址等错误提示,则表示portal服务器侧未注册ac和用户地址段相关信息。
6.江苏具有集团的portal和省内portal两套系统,对重定向的url后携带的字段要求不一致,集团也为CMCC和CMCC-EDU用户定制了个性化的portal页面都需要携带ssid字段,这些字段如果上报不正确也无法弹出正确的相应的portal页面。
列出几个常用的在全局模式配置携带字段的语句:
配置AC推送的portal-url中ac-name值和wlanacip的值,其中wlanacip为可选参数,不配置则推送的portal-url不会携带wlanacip。
ex-portalac-namestringwlanacipipaddress
开启星巴克功能,如果重定向url中需要携带ssid字段,通过不同的ssid推送不同的portal页面,需开启此功能。
wirelessstar-bucksenable
如果热点开启了多SSID多PORTAL功能,需要查看showwirelessstation表,看sta是否连接的对应的ssid,对应正确才能弹出相对应的portal页面。
三故障案例
三.1STA获取到地址后,推送portal页面非常慢,在该设备下的其他站点推送正常
三.1.1问题描述
某WLAN用户,通过中兴W908+W815(WLAN系统)无线WIFI上网,获取到地址后,打开网页推送portal页面非常慢,在该设备下的其他站点推送正常。
三.1.2组网环境
该WLAN系统架构为:
AP-2826ps供电交换机-PTN-OTN-AC-NE40-外网
三.1.3问题原因分析
针对用户获取地址后,推送portal页面慢的问题一般从如下几个方面进行查看:
1.用户所在点的信号覆盖情况,是否处于弱覆盖区域
2.AC与AP之间的网络是否有丢包
3.AC与portal之间的网络是否有丢包
首先通过信号扫频软件,查看用户所在点位的信号强度,信号正常;
其次从AC上pingAP的管理地址,发现丢包比较严重,在5%以上,如下:
PING172.30.1.95:
56databytes
64bytesfrom172.30.1.95:
icmp_seq=1.time=10.ms
icmp_seq=2.time=10.ms
icmp_seq=4.time=10.ms
icmp_seq=5.time=10.ms
icmp_seq=6.time=0.ms
----172.30.1.95PINGStatistics----
7packetstransmitted,5packetsreceived,28%packetloss
round-trip(ms)min/avg/max=0/8/10
因此怀疑传输存在很大的问题,遂联系传输人员,告知问题现象,传输人员查看传输网络后告知,OTN上误码比较大,还需要进行调整。
故等待传输人员调整后继续测试。
三.1.4问题解决方案
由于AC与AP之间采用二层网络,同时用户业务走的是三层隧道,因此对传输层丢包比较敏感。
二层网络的丢包率应该低于1%。
经过传输人员对传输设备的调整,第二天早上到现场测试,问题解决,portal推送页面正常。
咨询传输人员,告知解决了传输上误码的问题。
三.2ZXV10W908AC-Name配置问题导致无法推出portal页面故障
三.2.1问题描述
AC使用三层隧道模式,开通后,用户可以正常关联AP,但打开浏览器上网,如在地址栏中输入网址回车,弹出的界面提示“获取ACIP地址失败”,无法推出portal页面。
三.2.2组网环境
AC起三层隧道,旁挂BRAS,BRAS到用户的链路为:
BRAS-汇聚交换机-POE交换机-AP
portal服务器使用移动集团服务器221.176.1.140
三.2.3问题原因分析
怀疑是AC或者portal服务器上配置的AC-NAME和NAS-IP
有问题导致的。
首先检查AC配置,确认无误后在AC抓包分析,最后经局方确认,是因为移动集团公司的portal服务器上没有做相关数据导致故障发生。
三.2.4问题解决方案
首先检查AC配置,配置无误,完全按照移动规划配置。
然后,在AC上抓包,通过对现象以及报文的分析,可知当用户首次发出上网请求的时候,AC拦截了这个请求,并重定向到portal服务器(221.176.1.140),portal服务器检测请求中携带的ac-name信息,portal服务器根据此ac-name信息查找对应的Nas-ip(即ACIP),因为没有找,到对应的Nas-ip所以portal服务器回复“获取ACIP地址失败”。
三.3用户获取公网地址能推出portal,获取私网地址不行问题处理案例
三.3.1关键术语
W812V3W812V2W908A10000portal
三.3.2故障现象描述
某移动局点用户反映sta有时获取公网地址,有时获取私网地址,在获取公网地址时可以推出portal页面,业务正常,获取私网地址时不能推出portal页面;
三.3.3处理方法
1.接口板给用户配置了一个公网地址池,私网地址池,所以用户有时能获取公网有时能获取私网地址;
2.获取公网时能推出portal而获取私网就推不出portal,初步推断是私网启NAT时出现错误造成私网地址时推不出portal,检查配置:
ipnatrouter
ipnatpoolin-110.1.0.1255.255.252.0
ipnatpoolout-1120.207.131.5255.255.255.255
ipnatinsidein-1out-1overload
interfaceGigabitEthernet1/0.0
noshutdown
duplexfull
ipaddress120.207.255.2255.255.255.252
ipnatoutside
发现未在AC上行口设置ipnatoutside,配置此数据后,用户获取私网地址时能够推出portal业务正常;
三.3.4故障小结
如果用户地址池启了NAT后用户反映私网地址下推不出portal,要检查接口板关于NAT的配置是否正确;
四总结
升级会员 