交换机配置完portal认证,认证通过无法上网
- 0关注
- 0收藏,86浏览
故障整体分析:Portal 弹窗正常、认证成功、在线用户可见,但无法访问外网
一、先梳理拓扑与关键地址
用户网关:核心交换机 Vlanif100 192.168.100.4
出口路由器内网口:192.168.200.1
Portal 服务器:192.168.200.2
核心交换机互联地址:192.168.200.3
现象:认证弹窗正常、认证成功、display portal user能看到在线终端,ACL 有匹配计数,外网不通。
二、按概率从高到低排查根因
1. 核心交换机缺外网路由(最高概率)
核心交换机仅知道内网 192.168.100.0/24,没有指向出口路由器的默认路由。
用户认证后流量发到核心,交换机不知道外网怎么走,直接丢弃。
验证命令:
plaintext
display ip routing-table 0.0.0.0 0
无默认路由则新增:
plaintext
ip route-static 0.0.0.0 0 192.168.200.1
save force
2. 出口路由器回程无内网用户网段路由
出口路由器内网地址 192.168.200.1,没有 192.168.100.0/24 回指路由,外网回程报文无法到达用户。
路由器配置:
plaintext
ip route-static 192.168.100.0 255.255.255.0 192.168.200.3
3. Portal 认证下发的授权 ACL 阻断外网流量
你提到 ACL 有命中,大概率是 Portal 授权 ACL 只放行 Portal 服务器,未开放 0.0.0.0/0 外网。
1)查看在线用户授权 ACL:
plaintext
display portal user verbose
找到ACL number字段;
2)查看该 ACL 规则:
plaintext
display acl number XXXX
修复方案:ACL 末尾放行所有外网流量
plaintext
acl number XXXX
rule permit ip source any destination any
4. captive-bypass 放行范围不足,或安全策略拦截
配置存在captive-bypass enable,仅放行 Portal 免认证地址;
认证后正常流量如果被全局 ACL、包过滤、安全域阻断也会上不了网。
排查全局包过滤:
plaintext
display packet-filter interface Vlan-interface 100 inbound
display packet-filter interface Vlan-interface 100 outbound
如果有 deny 规则,调整放行内网访问外网。
5. 网段互通性问题:核心 ↔ 出口路由器不通
在核心交换机测试连通性:
plaintext
ping 192.168.200.1
不通则检查互联 VLAN、接口 UP 状态、中间链路 ACL。
6. 出口路由器 NAT 未配置(内网无法转换公网地址)
内网 192.168.100.0 属于私网,出口路由器缺少源 NAT,报文无法转发互联网。
路由器需配置 NAT 地址池 + ACL 私网转换。
7. Portal 用户同步 / 在线表异常(次要)
虽然能看到在线用户,但 user-sync 同步异常导致转发权限未完全下发,临时测试:
plaintext
reset portal user all
重新认证测试。
三、最简排查操作顺序(快速定位)
核心交换机查默认路由:display ip routing-table 0.0.0.0 0,无路由则添加指向 192.168.200.1;
出口路由器添加回程静态路由指向 192.168.100.0/24;
查看在线用户绑定的 ACL,确认允许访问外网;
核心 ping 出口内网口 192.168.200.1,确认三层互通;
出口路由器检查源 NAT 配置是否覆盖 192.168.100.0 网段;
检查全局 packet-filter、安全策略是否拦截用户流量。
四、补充配置说明
你的 Portal 基础配置(web-server、url 参数、portal server 密钥)格式无明显错误,认证弹窗正常说明 Portal 交互流程没问题,故障集中在三层路由、ACL 授权、出口 NAT三类转发环节。
默认路由有的到200.3,免认证也配了,只有一条acl2000,放行所有流量,用户也在线获取的到IP地址
1. 旁挂场景下的“回程流量黑洞”(最常见陷阱)
用户 -> 核心交换机 -> 出口路由器 -> 外网。- 排查建议:需要在核心交换机上配置一条 Portal 免认证规则,专门放行发往出口方向的流量。bash
放行所有经过核心交换机去往外网的流量(不触发Portal拦截)
portal free-rule 1 source any destination any
2. 核心交换机缺少 NAT 配置(地址不可达)
192.168.100.4)是内网用户的网关。用户认证通过后,发出的数据包源 IP 是私网地址(如 192.168.100.x)。192.168.100.100)时,路由器需要把这些私网 IP 转换为公网 IP 才能访问互联网。- 排查建议:登录核心交换机,检查是否配置了去往外网的 NAT 转换规则(通常在
acl number 2000或nat outbound中配置)。bash示例:确保配置了包含 192.168.100.0/24 网段的 NAT
acl basic 2000description for_natrule 5 permit source 192.168.100.0 0.0.0.255在连接出口路由器的接口(假设是 Vlan-interface100 或物理口)下应用 NAT
interface Vlan-interface100nat outbound 2000
3. 上行口 ACL 下发方向或规则不匹配
- 排查建议:在核心交换机上查看具体的 ACL 命中情况,确认是“允许”规则命中还是“拒绝”规则命中:bashdisplay acl all如果发现匹配了默认的
deny ip规则,说明放行规则没写对。可以尝试在核心交换机上添加一个兜底放行规则,测试是否能上网:bashacl advanced 3001rule 0 permit ip source any destination any将这个 ACL 应用到用户 VLAN 的出方向 (outbound)
interface Vlan-interface100packet-filter 3001 outbound
tracert 114.114.114.114。观察数据包是在第几跳丢包的:
- 如果在
192.168.100.x(核心交换机)之后就没有下一跳了,说明问题在核心交换机内部(大概率是第 1 点的回程拦截)。 - 如果能走到
192.168.100.100(出口路由器)但没有回包,说明问题在出口路由器或 NAT 配置上(第 2 点)。
默认路由有的到200.3,免认证也配了,只有一条acl2000,放行所有流量,用户也在线获取的到IP地址
默认路由有的到200.3,免认证也配了,只有一条acl2000,放行所有流量,用户也在线获取的到IP地址
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
默认路由有的到200.3,免认证也配了,只有一条acl2000,放行所有流量,用户也在线获取的到IP地址