行为管理AC，上网管理认证失败，排障思路？

行为管理AC，上网管理认证失败，排障思路？

您好，针对AC上网管理认证失败的情况，建议您按照以下排查思路进行处理：

确保终端设备的网关配置正确且DNS解析正常。
确保终端上网流量双向经过AC设备，且上网流量经过AC时不存在NAT地址转换。
确保内网路由及AC设备的网口配置正确，且和内网终端可正常通信。
确保内网第三方设备没有拦截终端和AC交互流量。
确保AC设备密码认证策略、认证高级选项及认证重定向方式配置正确。
网桥部署虚拟地址是否跟内网冲突，可在【系统管理】-【系统配置】-【高级配置】-【使用重定向和代理高级配置】-【虚拟IP地址】更改虚拟IP测试。
需要在【认证选项】-启用【未通过认证的用户允许访问DNS服务】。
如果访问的是HTTPS网站，则需要在【认证选项】-启用【HTTPS请求未通过认证时，重定向到认证页面（代理时除外）】。
注意：AC/SG12.0.46及之前版本，旁路模式部署不支持https重定向认证页面；AC/SG12.0.47及13.X版本开始旁路模式部署支持https重定向认证页面。
确保AC设备防DOS、防火墙规则、认证前权限的端口控制等策略未拦截终端上网的流量。
确保终端浏览器未阻止弹窗，WiFi万能钥匙等软件未篡改数据流量，且终端正常发起了HTTP/HTTPS访问网站请求。
确保AC设备未将异常终端的IP地址加入全局排除或直通，检查用户是否已经上线。
通过抓包基于密码认证原理分析数据流走向，确定具体原因。
确保设备正常运行（检查设备负载是否正常，认证进程异常运行正常），且策略正常生效

建议请按照以下可能原因情况及排查思路处理：此排障思路适用于以下场景：1、AC密码认证弹不出认证界面（包含本地账号密码认证，外部密码认证、短信认证） 排查思路确保终端设备的网关配置正确且DNS解析正常确保终端上网流量双向经过AC设备，且上网流量经过AC时不存在NAT地址转换确保内网路由及AC设备的网口配置正确，且和内网终端可正常通信确保内网第三方设备没有拦截终端和AC交互流量确保AC设备密码认证策略、认证高级选项及认证重定向方式配置正确网桥部署虚拟地址是否跟内网冲突，可在【系统管理】-【系统配置】-【高级配置】-【使用重定向和代理高级配置】-【虚拟IP地址】更改虚拟IP测试需要在【认证选项】-启用【未通过认证的用户允许访问DNS服务】访问的是HTTPS网站，则需要在【认证选项】-启用【HTTPS请求未通过认证时，重定向到认证页面（代理时除外）】，其中：①AC/SG12.0.46及之前版本，旁路模式部署不支持https重定向认证页面;②AC/SG12.0.47及13.X版本开始旁路模式部署支持https重定向认证页面;③代理时除外含义：不管是内网的代理服务器做代理还是SG设备本身做代理，均不支持。确保AC设备防DOS、防火墙规则、认证前权限的端口控制等策略未拦截终端上网的流量确保终端浏览器未阻止弹窗，WiFi万能钥匙等软件未篡改数据流量，且终端正常发起了HTTP/HTTPS访问网站请求确保AC设备未将异常终端的IP地址加入全局排除或直通，检查用户是否已经上线通过抓包基于密码认证原理分析数据流走向，确定具体原因确保设备正常运行(检查设备负载是否正常，认证进程异常运行正常)，且策略正常生效

AC 上网管理认证失败，优先从终端本地配置→网络连接→AC 设备配置→账号权限四个维度逐层排查，90% 的问题都能定位在前三步。
一、先查终端本地：排除最基础的本地问题
终端是认证的起点，很多时候问题出在本地设置而非 AC 设备。按以下步骤检查：
检查 IP 与 DNS 配置
确认终端 IP 是否在 AC 设备允许的 “认证网段” 内（比如 AC 限定 192.168.1.0/24 网段需认证，而终端获取到 10.0.0.5 就会失败）。
查看 DNS 是否能正常解析（可 ping 8.8.8.8 或本地 DNS 服务器，若不通需先解决 DNS 问题，否则可能无法加载认证页面）。
浏览器与缓存问题
关闭浏览器 “代理服务器”（尤其是自动代理），代理会跳过 AC 的认证拦截，导致无法弹出认证页。
清除浏览器缓存（快捷键 Ctrl+Shift+Del），或用 “无痕模式” 重新访问网页，避免旧认证缓存干扰。
尝试换浏览器（如 Chrome 换 Edge），排除浏览器插件或设置冲突。
本地网络连接
重启电脑和路由器（或交换机），排除临时网络故障。
用网线直连 AC 设备（跳过中间交换机 / 路由器），测试是否为中间网络设备的问题。
二、再查网络通路：确认终端到 AC 的连接正常
AC 需要拦截终端的 HTTP/HTTPS 请求并推送认证页，若网络通路不通，认证会直接失败。
测试终端与 AC 的连通性
打开 CMD，ping AC 设备的 “内网管理 IP”（如 192.168.1.254），若 ping 不通，检查：
AC 设备是否断电或故障（查看 AC 指示灯状态）。
终端与 AC 之间的防火墙是否禁止 ICMP 协议（ping 依赖 ICMP）。
检查 AC 的端口与服务
确认 AC 的 “认证服务端口”（默认 HTTP 80、HTTPS 443，部分场景会自定义）未被占用或禁用。
登录 AC 管理界面（用管理员账号），查看 “认证服务” 是否处于 “启用” 状态（路径：【用户认证】→【认证设置】→【服务状态】）。
排查 DHCP 与网关配置
若终端用 DHCP 自动获取 IP，确认 AC 或 DHCP 服务器是否正确下发 “网关地址”（网关必须指向 AC 的内网 IP，否则终端流量不会经过 AC，无法触发认证）。
三、后查 AC 配置：核心排查认证规则与策略
AC 的配置错误是认证失败的常见原因，重点检查以下内容（需管理员权限登录 AC 管理界面）：
认证策略与范围
确认终端所属的 “IP 组 / 网段” 已添加到 AC 的 “认证范围” 中（路径：【用户认证】→【认证策略】→【适用对象】），若终端 IP 不在范围内，AC 不会要求认证。
检查 “免认证策略” 是否误包含终端 IP（比如设置了 “192.168.1.100-200 免认证”，而故障终端 IP 正好在这个区间）。
认证方式与账号匹配
确认 AC 当前启用的 “认证方式”（如本地账号、AD 域、Radius、微信认证等）与用户使用的账号类型一致。
例：AC 只启用了 “AD 域认证”，但用户用 AC 本地账号登录，必然失败。
若为 “本地账号认证”，检查账号是否存在、密码是否正确（可在【用户管理】→【本地用户】中重置密码测试）。
若为 “AD 域 / Radius 认证”，检查 AC 与 AD 服务器 / Radius 服务器的连接是否正常（路径：【外部认证】→【AD 域】→【测试连接】），若连接失败需排查服务器地址、账号密码、端口（AD 默认 389，Radius 默认 1812）。
认证页面与跳转设置
检查 AC 的 “认证页面推送” 是否正常（路径：【用户认证】→【认证页面】→【页面预览】），若页面丢失或配置错误，可能无法弹出认证页。
确认 “强制认证跳转” 功能已启用（部分场景下关闭后，需用户手动输入 AC 认证页地址才能认证）。
设备负载与日志
查看 AC 的 “系统日志”（路径：【系统维护】→【日志中心】→【认证日志】），搜索故障终端 IP，日志会明确提示失败原因（如 “账号不存在”“密码错误”“IP 不在认证范围”）。
检查 AC 的 CPU、内存使用率（【系统状态】→【资源监控】），若负载过高（CPU>80%），可能导致认证请求无法及时处理。
四、最后查账号与权限：排除账号本身的问题
若上述三步均正常，问题大概率在账号本身。
账号状态与权限
确认账号未被 “禁用” 或 “过期”（本地账号在【本地用户】中查看，AD 账号在 AD 服务器中检查）。
检查账号所属的 “用户组” 是否有上网权限（比如部分组仅允许内网访问，不允许外网，会导致认证通过后仍无法上网，误判为认证失败）。
密码与认证信息
重置账号密码（尤其是 AD 域或 Radius 账号），避免密码输入错误（注意区分大小写）。
若为 “短信认证”“微信认证”，检查手机号是否正确、微信是否已绑定、验证码是否过期。

首先确定问题的特征，这是后续排障的方向盘。

是个别用户还是大面积问题？
个别用户： 重点排查该用户的终端设置、账号状态、所在IP地址或VLAN的认证策略。
大面积/全体用户： 重点排查AC设备本身、认证服务（如Radius）、核心交换机、DNS等公共组件。
是特定认证方式失败还是所有方式都失败？
确认是Portal认证、802.1X、PPPoE、还是本地密码认证等特定方式失败。
失败的具体现象是什么？
弹出认证页面失败？输入账号密码后提示“认证失败”？认证成功但无法上网？
最近是否有变更？
是否更改过网络拓扑、AC策略、认证服务器设置或系统版本？

明确故障范围
确认是单用户、多用户还是全量用户认证失败。
区分认证方式（如密码认证、802.1X、LDAP、钉钉认证等）。

认证策略与绑定配置
登录AC管理界面，检查认证策略是否包含故障用户/IP段。
确认用户绑定配置正确（如IP/MAC绑定、免认证有效期未过期）。
检查认证策略是否允许免认证（如仅免认证需检查相关配置）。
认证服务器配置
若使用LDAP/RADIUS认证，验证服务器IP、端口、Base DN、管理员账号密码是否正确。
测试认证服务器连通性（如通过telnet LDAP服务器IP 389测试端口可达性）。
检查AC与认证服务器的集成配置（如域用户登录主机名是否放通AC计算机名）。
会话超时设置
确认AC会话超时时间设置合理（如默认30分钟，避免过短导致频繁认证）。