Comment faire pour résoudre le portail captif

Ce document décrit les contrôles et les commandes pour dépanner le portail captif sur un pare-feu de Palo Alto Networks.

Détails

• Assurez-vous que le portail captif est activé.
• Assurez-vous que l'identification de l'utilisateur est activée sur la zone d'infiltration.
• Assurez-vous qu'il existe une politique de portail captif.
• Gardez à l'esprit qu'une stratégie de sécurité doit être appariée d'abord avant que la session soit redirigée vers le portail captif, donc si une stratégie de refus est appariée, les paquets seront supprimés et la session ne sera pas redirigée vers le portail captif.

Remarque: pour que le portail captif fonctionne, les éléments suivants sont nécessaires dans la politique de sécurité:

• La navigation sur le Web et le DNS doivent être autorisés pour la page portail captif est mis en place sur le port http 80
• La requête DNS est nécessaire pour rechercher une URL. Cette action engendre la redirection captive du portail.
• Captive Portal utilise SSL à la connexion sur les ports 6080, 6081, 6082, 6083 pas 443.

Utilisez la commande suivante pour réinitialiser toute session de portail captif (le client devra s'authentifier à nouveau).
L'adresse IP dans les commandes suivantes est l'adresse IP du client:

> Debug User-ID Reset captif-portail IP-adresse 1.1.1.1

Utilisez les commandes suivantes pour vérifier le journal du portail captif:

> moins mp-log appweb3-l3svc.log

Pour plus d'informations, activez le niveau de débogage l3svc:

> Debug l3svc sur Debug

Le compteur de session portail captif peut être visualisé via Global Counter:

> Show Counter global | allumette session_svc

Ce qui suit est la capture d'une session de portail captif. Captive Portal redirige la session vers un port de portail captif interne/local (6080) et une zone de portail captive (N/A):

1435247/1 10.16.2.112 [1078]/L2-LAN-Trust/6 72.240.47.70 [80]/L2-LAN-Untrust Web-navigation jeter écoulement
1449020/1 10.16.2.112 [1103]/L2-LAN-Trust/6 72.240.47.70 [6080]/N/A SSL active Flow ND
1449021/1 10.16.2.112 [1102]/L2-LAN-Trust /6 72.240.47.70 [80]/N/A Web-navigation ACTIVE FLOW ND
1432627/1 10.16.2.112 [1060]/L2-LAN-Trust/6 72.240.47.70 [21]/L2-LAN-Untrust FTP jeter le flux
1436228/1 10.16.2.112 [1081]/L2-LAN-Trust/6 207.68.173.76 [80]/L2-LAN-untru s Web-navigation jeter écoulement

Pour plus d'informations sur la session via l'INTERFACE CLI, tapez:

> Show session ID 1449020
session 1449020

C2S Flow:

Source: 10.16.2.112 [L2-LAN-Trust]
DST: 72.240.47.70
sport: 1103 dport: 6080
proto: 6 dir: C2S
État: actif type: Flow
ipver: 4
src-utilisateur: 0
DST-User: 0

S2C Flow:

Source: 127.3.1.1 [N/A]
DST: 10.16.2.112
sport: 443 dport: 1103
proto: 6 dir: S2C
État: actif type: Flow
ipver: 4
src-utilisateur: 0
DST-User: 0

heure de début: Thu Jul 24 17:10:04 2008
timeout: 1800 sec
temps de vivre: 1749 sec nombre
total d'octets: 3872
layer7 paquet nombre:
12 VSys: vsys1
application: SSL
règle: captive-session du portail
à être connecté à la fin: pas de session
en session Agere: oui
session sync'ed de ha Peer: pas de
traduction adresse/port: destination
layer7 traitement:
filtrage d'URL activé activé: aucune
session terminée sur l'hôte: oui
session portail captif : Oui

Voir aussi :

Comment configurer le portail captif

propriétaire : jnguyen