portal是什么意思

Portal认证页⾯⽆法弹出优化专题

Portal认证页⾯⽆法弹出优化专题

南通移动⽹优中⼼Portal认证页⾯⽆法弹出优化专题1STA弹Portal原理概述STA弹Portal正常流程简介STA弹Portal报⽂分析

截图报⽂为AC侧抓包，包括AC上下⾏报⽂专业进取协作共享南通移动⽹优中⼼建⽴连接报⽂189—192：⽤户建⽴和baidu之

间的tcp连接，获取页⾯；报⽂193：转⼊重定向，即AC回给⽤户的PORTALURL;报⽂194—196：关闭⽤户与baidu之间的

tcp连接；报⽂197—203：⽤户建⽴与portal服务器之间的tcp连接，连接建⽴成功；报⽂204：tcp连接建⽴成功之后，⽤户开

始获取认证页⾯；获取页⾯流程从下⾯的报⽂可以看出，重定向完成之后，服务器向AC传送gment信息时，出现

TCPOut-of-order的情况；⼀般出现TCPOut-of-order的原因多半是⽹络拥塞，导致顺序包抵达时间不同，延时太长，或者包

丢失。服务器向AC发送了报⽂Continuationornon-HTTPtraffic；⼀般出现这专业进取协作共享南通移动⽹优中⼼个

报⽂，说明请求的是⼀个数据量⽐较⼤的服务。这个包的意思是：我只包含⼀些数据，不包含http消息头，我是某⼀个http消

息的⼀部分。⽐如你请求的数据有2M左右，⽽⽹络数据包最⼤允许是20KB，那你收到的回复消息可能就是50个左右的⽹络数

据包组成的。第⼀个包含了http消息头，最后⼀个包含了结束标识什么的，中间就是这种数据包。

3.⽤户向服务器发送了ACK报⽂，确认收到了gment报⽂信息，但是portal服务器没有发送200OK的报⽂来确认此过程成

功完成；Continuationornon-HTTPtraffic报⽂抓包过程中存在⼤量的Continuationornon-HTTP

traffic报⽂，说明请求的服务数据量⽐较⼤；⽤户发出GET请求,服务器相应ACK后才开始发送gment报⽂专业进取协作共享

南通移动⽹优中⼼2STA弹不出Portal故障分析STA正常弹Portal和弹不出Portal故障对⽐分析以下是弹不出portal时故障现象

分析：截图报⽂为AC侧抓包，包括AC上下⾏报⽂1.重定向过程报⽂67-69,71：⽤户建⽴和baidu之间的tcp连接，获取页⾯；

报⽂70：于不可达，转⼊重定向，重定向完成；报⽂72，74-75：关闭⽤户与baidu之间的tcp连接；报⽂78，79：⽤户建⽴与

portal服务器之间的tcp连接，等待portal服务器给与响应2.弹portal失败在18:22:，⽤户再次发送TCPSYN,但服务器最终没有

响应，弹portal失败。3.此时⽤户端第⼀时间截图专业进取协作共享南通移动⽹优中⼼正常弹portal流程：截图报⽂为

AC侧抓包，包括AC上下⾏报⽂1．重定向过程报⽂182-188：⽤户建⽴和baidu之间的tcp连接，获取页⾯；报⽂185：于不可

达，转⼊重定向，重定向完成；报⽂190、192、195：关闭⽤户与baidu之间的tcp连接；报⽂189、197-200：⽤户建⽴与

portal服务器之间的tcp连接，连接建⽴成功；报⽂201：tcp连接建⽴成功之后，⽤户开始获取认证页⾯；2．获取页⾯信息流

程⽤户请求portal服务器下发标签信息报⽂203-204：portal服务器发起续传tcp报⽂；专业进取协作共享

南通移动⽹优中⼼报⽂205：portal服务器下发标签信息；报⽂206：portal向⽤户发送200OK的报⽂确认此过程成功完成；推

送页⾯过程报⽂228-229：⽤户请求加载portal页⾯信息；报⽂230-271：portal服务器向⽤户推送portal页⾯信息，报⽂271：

portal

向⽤户发送200OK的报⽂确认此过程成功完成；排查思路总结1.问题出现时,⽤户发起的TCP链接SYN报⽂，很多没有得到

响应，没响应的原因可能是⽹络原因和PORTAL原因导致，根据现场PINGPORTALIP的情况来看，⽤户到PORTAL没有丢

包或是延时过⼤问题，所以PORTAL没响应SYN的可能性更⼤；2.问题出现时，⽤户发送了Get请求，服务器响应了ack报

⽂，但是没有发送gment报⽂，⽽是直接回复了304报⽂，然后主动关闭tcp连接；

3.排查Portal慢问题主要在于跟踪⽤户端到AC上⾏侧之间报⽂完整性以及portal服务器回应⽤户及时性。STA⽆法弹出portal

页⾯的处理问题现象⽤户获取到正常的业务IP地址后，在浏览器中随便输⼊⽹址，没有强制推出portal认证界⾯，当然也⽆法

实现上⽹业务。专业进取协作共享南通移动⽹优中⼼问题分析主要检查AC配置，重点是隧

道以及portal相关的配置。典型处理流程排查过程1.如果⾛的是⼆层隧道，⽤户业务不在AC上管理，如果能获取外置BRAS

分配的地址，但弹不出正确的portal页⾯，则和外置BRAS有直接关系，需联系BRAS⼚家排查故障。侧在windows

dos窗⼝下输⼊命令pingportal服务器地址,如果能pint通，再在dos窗⼝下输⼊nslookup命令，根据提⽰输⼊:///或者其他⽹站域

名，看是否能解析成IP地址，如果提⽰timeout⽆法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页

⾯直接输⼊回车，正常情况应该是能打开portal页⾯；3.如果STA⽆法ping通portal服务器地址，则重点放在AC上。通过串⼝

或者telnet⽅式登陆AC接⼊板，在AC上pingportal地址，如果不通，排查AC的出⼝路，主要是定位AC与portal服务器间⽹络

是否正常。如果在AC上可以ping通，检查AC配置，例如过滤策略和服务策略

配置，⽤户地址池内引⽤的策略是否允许⽤专业进取协作共享南通移动⽹优中⼼户不经过认证就访问portal服务器。4.如果⽆

线⽤户通过浏览器⽆法重定向portal的URL，重点检查AC上的认证策略以及AC负荷情况。5.如果打开portal页⾯时提⽰⾮热点

区域，或者获取不到AC地址等错误提⽰，则表⽰portal服务器侧未注册ac和⽤户地址段相关信息。

6.江苏具有集团的portal和省内portal两套系统，对重定向的url后携带的字段要求不⼀致，集团也为CMCC和CMCC-EDU⽤

户定制了个性化的portal页⾯都需要携带ssid字段，这些字段如果上报不正确也⽆法弹出正确的相应的portal页⾯。列出⼏个

常⽤的在全局模式配置携带字段的语句：配置AC推送的portal-url中ac-name值和wlanacip的值，其中wlanacip为可选参数，

不配置则推送的portal-url不会携带wlanacip。ex-portalac-namestring

wlanacipipaddress开启星巴克功能，如果重定向url中需要携带ssid字段，通过不同的ssid推送不同的portal页⾯，需开启此

功能。wirelessstar-bucknable如果热点开启了多SSID多PORTAL功能，需要查看showwirelessstation表，看sta是否连

接的对应的ssid，对应正确才能弹出相对应的portal页⾯。

3故障案例STA获取到地址后，推送portal页⾯⾮常慢，在该设备下的其他站点推送正常问题描述某WLAN⽤户，通过中兴

W908+W815⽆线WIFI上⽹，获取到地址后，打开⽹页推送portal页⾯⾮常慢，在该设备下的其他站点推送正常。组⽹环境该

WLAN系统架构为：AP-2826ps供电交换机-PTN-OTN-AC-NE40-外⽹问题原因分析针对⽤户获取地址后，推送portal页⾯慢

的问题⼀般从如下⼏个⽅⾯进⾏查看：1.⽤户所在点的信号覆盖情况，是否处于弱覆盖区域与AP之间的⽹络是否有丢

包

专业进取协作共享南通移动⽹优中⼼与portal之间的⽹络是否有丢包⾸先通过信号扫频软件，查看⽤户所在点位的信号

强度，信号正常；其次从AC上pingAP的管理地址，发现丢包⽐较严重，在5%以上，如下：:56databytes64bytesfrom:

icmp_q==64bytesfrom:icmp_q==64bytesfrom:icmp_q==64bytesfrom:

icmp_q==64bytesfrom:icmp_q==----7packetstransmitted,5packetsreceived,28%packet

lossround-trip(ms)min/avg/max=0/8/10因此怀疑传输存在很⼤的问题，遂联系传输⼈员，告知问题现象，传输⼈员查看传

输⽹络后告知，OTN上误码⽐较⼤，还需要进⾏调整。故等待传输⼈员调整后继续测试。问题解决⽅案于AC与AP之间采⽤

⼆层⽹络，同时⽤户业务⾛的是三层隧道，因此对传输层丢包⽐较敏

感。⼆层⽹络的丢包率应该低于1%。经过传输⼈员对传输设备的调整，第⼆天早上到现场测试，问题解决，portal推送页⾯正

常。咨询传输⼈员，告知解决了传输上误码的问题。ZXV10W908AC-Name配置问题导致⽆法推出portal页⾯故障问题描述

AC使⽤三层隧道模式，开通后，⽤户可以正常关联AP，但打开浏览器上⽹，如在地址栏中输⼊⽹址回车，弹出的界⾯提

⽰“获取ACIP地址失败”，⽆法推出portal页⾯。组⽹环境AC起三层隧道，旁挂BRAS，BRAS到⽤户的链路为：BRAS－汇聚

交换机－POE交换机－APportal服务器使⽤移动集团服务器问题原因分析怀疑是AC或者portal服务器上配置的AC-NAME和

NAS-IP有问题导致的。⾸先检查AC配置，确认⽆误后在AC抓包分析，最后经局⽅确认，是因为移动集团公司的portal服务器

上没有做相关数据导致故障发⽣。专业进取协作共享

南通移动⽹优中⼼问题解决⽅案⾸先检查AC配置，配置⽆误，完全按照移动规划配置。然后，在AC上抓包，通过对现象以

及报⽂的分析，可知当⽤户⾸次发出上⽹请求的时候，AC拦截了这个请求，并重定向到portal服务器，portal服务器检测请求

中携带的ac-name信息，portal服务器根据此ac-name信息查找对应的Nas-ip(即ACIP),因为没有找,到对应的Nas-ip所以portal

服务器回复“获取ACIP地址失败”。⽤户获取公⽹地址能推出portal,获取私⽹地址不⾏问题处理案例关键术语W812V3W812V2

W908A10000portal故障现象描述某移动局点⽤户反映sta有时获取公⽹地址，有时获取私⽹地址，在获取公⽹地址时可以推

出portal页⾯，业务正常，获取私⽹地址时不能推出portal页⾯；处理⽅法1.接⼝板给⽤户配置了⼀个公⽹地址池，私⽹地址

池，所以⽤户有时能获取公⽹有时能

获取私⽹地址；2.获取公⽹时能推出portal⽽获取私⽹就推不出portal，初步推断是私⽹启NAT时出现错误造成私⽹地址时推

不出portal，检查配置：ipnatrouteripnatpoolin-1ipnatpoolout-1ipnatinsidein-1out-1overloadinterface

GigabitEthernet1/noshutdownduplexfullipaddressipnatoutside发现未在AC上⾏⼝设置ipnatoutside，配置此数据后，

⽤户获取私⽹地址时能够推出portal业务正常；专业进取协作共享南通移动⽹优中⼼故障⼩结如果⽤户地址池启了NAT后⽤户

反映私⽹地址下推不出portal，要检查接⼝板关于NAT的配置是否正确；4总结1.如果⾛的是⼆层隧道，⽤户业务不在AC上

管理，如果能获取外置BRAS分配的地址，但弹不出正确的portal页⾯，则和外置BRAS有直接关系，需联系BRAS⼚家排查

故障。侧在windowsdos窗⼝下输⼊命令pingportal

服务器地址,如果能pint通，再在dos窗⼝下输⼊nslookup命令，根据提⽰输⼊:///或者其他⽹站域名，看是否能解析成IP地址，

如果提⽰timeout⽆法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页⾯直接输⼊回车，正常情况应

该是能打开portal页⾯；3.如果STA⽆法ping通portal服务器地址，则重点放在AC上。通过串⼝或者telnet⽅式登陆AC接⼊

板，在AC上pingportal地址，如果不通，排查AC的出⼝路，主要是定位AC与portal服务器间⽹络是否正常。如果在AC上可以

ping通，检查AC配置，例如过滤策略和服务策略配置，⽤户地址池内引⽤的策略是否允许⽤户不经过认证就访问portal服务

器。4.如果⽆线⽤户通过浏览器⽆法重定向portal的URL，重点检查AC上的认证策略以及AC负荷情况。5.如果打开portal页

⾯时提⽰⾮热点区域，或者获取不到AC地址等错误提⽰，则表⽰portal服务器

侧未注册ac和⽤户地址段相关信息。

6.江苏具有集团的portal和省内portal两套系统，对重定向的url后携带的字段要求不⼀致，集团也为CMCC和CMCC-EDU⽤

户定制了个性化的portal页⾯都需要携带ssid字段，这些字段如果上报不正确也⽆法弹出正确的相应的portal页⾯。列出⼏个

常⽤的在全局模式配置携带字段的语句：配置AC推送的portal-url中ac-name值和wlanacip的值，其中wlanacip为可选参数，

不配置则推送的portal-url不会携带wlanacip。ex-portalac-namestringwlanacipipaddress开启星巴克功能，如果重定向url中

需要携带ssid字段，通过不同的ssid推送不同的portal页⾯，需开启此功能。wirelessstar-bucknable如果热点开启了多

SSID多PORTAL功能，需要查看showwirelessstation表，看sta是否连接的对应的ssid，对应正确才能弹出相对应的portal页

⾯。专业进取协作共享

南通移动⽹优中⼼故障⼩结如果⽤户地址池启了NAT后⽤户反映私⽹地址下推不出portal，要检查接⼝板关于NAT的配置是否

正确；4总结1.如果⾛的是⼆层隧道，⽤户业务不在AC上管理，如果能获取外置BRAS分配的地址，但弹不出正确的portal

页⾯，则和外置BRAS有直接关系，需联系BRAS⼚家排查故障。侧在windowsdos窗⼝下输⼊命令pingportal服务器

地址,如果能pint通，再在dos窗⼝下输⼊nslookup命令，根据提⽰输⼊:///或者其他⽹站域名，看是否能解析成IP地址，如果提

⽰timeout⽆法正确解析，则肯定是DNS域名服务器出现故障了，可以尝试在IE浏览器页⾯直接输⼊回车，正常情况应该是能

打开portal页⾯；3.如果STA⽆法ping通portal服务器地址，则重点放在AC上。通过串⼝或者telnet⽅式登陆AC接⼊板，在

AC上pingportal

地址，如果不通，排查AC的出⼝路，主要是定位AC与portal服务器间⽹络是否正常。如果在AC上可以ping通，检查AC配

置，例如过滤策略和服务策略配置，⽤户地址池内引⽤的策略是否允许⽤户不经过认证就访问portal服务器。

4.如果⽆线⽤户通过浏览器⽆法重定向portal的URL，重点检查AC上的认证策略以及AC负荷情况。

5.如果打开portal页⾯时提⽰⾮热点区域，或者获取不到AC地址等错误提⽰，则表⽰portal服务器侧未注册ac和⽤户地址段相

关信息。

6.江苏具有集团的portal和省内portal两套系统，对重定向的url后携带的字段要求不⼀致，集团也为CMCC和CMCC-EDU⽤

户定制了个性化的portal页⾯都需要携带ssid字段，这些字段如果上报不正确也⽆法弹出正确的相应的portal页⾯。列出⼏个常

⽤的在全局模式配置携带字段的语句：配置AC推送的portal-url中ac-name值和wlanacip的值，其中wlanacip为可选参

数，不配置则推送的portal-url不会携带wlanacip。ex-portalac-namestringwlanacipipaddress开启星巴克功能，如果重定向

url中需要携带ssid字段，通过不同的ssid推送不同的portal页⾯，需开启此功能。wirelessstar-bucknable如果热点开启了

多SSID多PORTAL功能，需要查看showwirelessstation表，看sta是否连接的对应的ssid，对应正确才能弹出相对应的portal

页⾯。专业进取协作共享