先确认网络环境,浏览器手动输入AC认证页面地址是否能够打开
1、网桥部署虚拟地址是否跟内网冲突,在【系统管理】-【系统配置】-【高级配置】-【使用重定向和代理高级配置】-【虚拟IP地址】更改虚拟IP测试下
2、需要在【认证选项】-启用【未通过认证的用户允许访问DNS服务】
3、访问的如果是https的网站,则需要在【认证选项】-启用【HTTPS请求未通过认证时,重定向到认证页面(代理时除外)】
其中:
3.1、AC/SG12.0.46及之前版本,旁路模式部署不支持https重定向认证页面
3.2、AC/SG12.0.47及13.X版本开始旁路模式部署支持https重定向认证页面
3.3、代理时除外含义:不管是内网的代理服务器做代理还是SG设备本身做代理,均不支持
4、在【系统管理】-【防火墙】-【LAN-WAN】不能拒绝80和53端口
5、PC的DNS是否能正常解析域名,需要保证PC的DNS能正常解析域名
6、在AC上抓取终端的流量进行分析数据交互情况(如果终端为PC则可在PC上也抓取下流量对比分析)
二、11.x之前的版本:
先确认网络环境,手动打开是否可以打开
1、设备到内网是否路由可达,下一跳确定指向的是核心交换机的上连接口
2、网桥模式下,要正确配置设备的网关地址指向前置设备,并加上到内网的回包路由
3、需要在【用户认证与管理】-【认证选项】-【其他认证选项】-启用【未通过认证的用户允许访问DNS服务】
4、如果内网打开网页通过非80端口,内网通过代理服务器上网,需要在【用户认证与管理】-【认证选项】-【其他认证选项】-启用【未通过认证的用户允许访问根组基本权限】
5、在【防火墙】-【LAN-WAN】中不能拒绝80和53端口
6、确认打开的网站是否是http的网站
7、AC下接的设备是否有做限制
8、PC的DNS是否能正常解析域名,需要保证PC的DNS能正常解析域名
三、注意:
1、如果用户已经认证成功在线,此时在认证策略修改用户为密码认证,也是不会弹出注销窗口的
2、只有网页才会触发弹出认证界面,非网页的流量是触发不了认证界面的,比如登陆微信客户端、登陆QQ、登陆客户端邮箱等
发表于 2022-9-14 09:34