銳捷無線AC配置手冊

認證

認證概述

Web認證是一種基于端口對用戶訪問網絡的權限進行控制的認證方法,這種認證方式不需要用戶安裝專用的客戶端認證軟件,使用普通的瀏覽器軟件就可以進行接入認證。

未認證用戶上網時,接入設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在Web認證服務器進行認證,只有認證通過后才可以使用互聯網資源。

如果用戶試圖通過HTTP 訪問其他外網,將被強制訪問Web認證網站,從而開始Web認證過程,這種方式稱作強制認證。

Web認證可以為用戶提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等。

認證基本概念

Web認證的基本概念主要有HTTP攔截、HTTP重定向。

21.1.2.1HTTP攔截

HTTP攔截指接入設備將原本需要轉發的HTTP報文攔截下來,不進行轉發。這些HTTP報文是連接在接入設備的端口下的用戶所發出的,但目的并不是接入設備本身。例如,某用戶通過IE瀏覽器上網,接入設備本應該將這些HTTP請求報文轉發到網關的,但如果啟動HTTP攔截,這些報文可以不被轉發。

HTTP攔截之后,接入設備需要將用戶的HTTP連接請求轉向自己,于是接入設備和用戶之間將建立起連接會話。接入設備將利用HTTP重定向功能,將重定向頁面推送給用戶,用戶的瀏覽器上將彈出一個頁面,這個頁面可以是認證頁面,也可以是下載軟件的鏈接等等。

在Web認證功能中,連接在哪些物理端口下、哪些用戶所發出的到哪個目的端口的HTTP報文需要進行攔截,哪些不需要,都是可以設置的。一般地,未經過認證的用戶發出的HTTP請求報文會被攔截,已通過認證的用戶將不被攔截。HTTP攔截是Web認證功能的基礎,一旦發生了攔截,就會自動觸發Web認證的過程。

21.1.2.2HTTP重定向

根據HTTP協議規定,正常情況下,用戶的瀏覽器發出HTTP GET或HEAD請求報文后,如果接收一方能夠提供資源,則以200報文響應,如果本地不能提供資源,則可以使用302報文響應。在302響應報文中,提供了一個新的站點路徑,用戶收到響應后,可以向這個新的站點重新發出HTTP GET或HEAD報文請求資源。

HTTP重定向是Web認證的重要環節,是發生在HTTP攔截之后的,利用的就是HTTP協議中的302報文的特性。HTTP攔截過程將使得接入設備和用戶之間建立起連接會話,隨后用戶將(本應發給其他站點的)HTTP GET或HEAD報文發給接入設備,接入設備收到后,回應以302報文,并且在302報文中加入重定向頁面的站點路徑,這樣用戶將向這個站點路徑重新發出請求,就會獲取到重定向的頁面。

Web認證的典型組網方式如下圖所示,它由三個基本角色組成:認證客戶端、接入設備、WEB認證服務器。

圖 1.      Web認證工作原理

Web認證的角色:

1.      認證客戶端:安裝于用戶終端設備上的客戶端系統,為運行HTTP協議的瀏覽器,上網時將發出HTTP請求;

2.      接入設備:在網絡拓撲中一般是接入層設備(例如在無線網絡中可以是無線AP,或無線AC),一般與用戶終端設備直接相連接,在接入設備上啟動Web認證;

3.      Web認證服務器:包括提供Web服務的portal服務器,以及提供RADIUS認證功能的服務器。接受認證客戶端認證請求的認證服務器端系統,提供免費門戶服務和基于Web 認證的界面,與接入設備交互認證客戶端的認證信息;

Web認證過程主要過程:

1.        在認證之前,接入設備將未認證用戶發出的所有HTTP 請求都攔截下來,并重定向到Web認證服務器去,這樣在用戶的瀏覽器上將彈出一個認證頁面;

2.        在認證過程中,用戶在認證頁面上輸入認證信息(用戶名、口令、校驗碼等等)與Web認證服務器交互,完成身份認證的功能;

3.        在認證通過后,Web認證服務器將通知接入設備該用戶已通過認證,接入設備將允許用戶訪問互聯網資源;

~ 注意

Web認證方案使用限制:

l         只能在如下加密機制中開啟Web認證:Open Authentication,Open Authentication + WEP或者WPA/WPA2-PSK。

與HTTP重定向相關的功能參照HTTP 1.1協議(RFC1945)。

下表用來描述Web認證的缺省配置。

功能特性

缺省值

設置HTTP重定向地址

未設置HTTP重定向地址。

設置HTTP重定向主頁

未設置HTTP重定向主頁。

設置接入設備與認證服務器之間的SNMP網管參數

未設置SNMP網管參數。

設置重定向的HTTP端口

默認對用戶發出的目的端口為80的HTTP報文進行重定向。

設置每個未認證用戶的最大HTTP會話數

默認為3個。

設置維持重定向連接的超時時間

默認為3秒。

設置免認證的網絡資源范圍

未設置免認證的網絡資源范圍。

設置在線用戶信息的更新時間間隔

默認為60秒。

設置用戶下線檢測模式

未設置基于用戶流量來檢測用戶是否下線。

認證基本特性

Web認證配置需要在接入設備上進行配置,在未作任何配置的情況下,接入設備的Web認證處在缺省狀態,即沒有開啟Web認證。必須完成了所有的基本特性的配置,Web認證才能正常工作,以下章節描述如何配置Web認證的基本特性:

n         < href="Cap1.htm#_設置HTTP重定向地址" target="b">設置HTTP重定向地址

n         < href="Cap1.htm#_設置HTTP重定向主頁" target="b">設置認證頁面的主頁

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_1" target="b">設置接入設備與認證服務器之間的通信密鑰

n         < href="Cap1.htm#_設置接入設備與認證服務器之間的SNMP網管參數" target="b">設置接入設備與認證服務器之間的SNMP網管參數

n         < href="Cap1.htm#_在端口上開啟Web認證功能_" target="b">在端口上開啟Web認證功能

21.3.1  設置HTTP重定向地址

要成功應用Web認證功能,必須設置HTTP重定向的IP地址。當接入設備發現未認證用戶試圖通過HTTP訪問網絡資源時,接入設備將用戶的訪問請求重定向到認證頁面,通過認證頁面,引導用戶向認證服務器發起認證。

一般情況下,認證頁面是認證服務器所提供的,因此HTTP重定向的地址就應該是認證服務器的地址。設置了這個HTTP重定向地址以后,這個地址將被設置為一個特殊的免認證的網絡資源,未認證用戶才可以直接與這個地址進行HTTP通訊。

缺省情況下,沒有設置HTTP重定向的IP地址。若要設置HTTP重定向的IP地址,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect ip-address

設置HTTP重定向的IP地址。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要清除HTTP重定向的IP信息,在全局配置模式下,執行no http redirect。

配置舉例:

# 設置認證服務器的IP地址為176.10.0.1。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect 176.10.0.1

Ruijie(config)# show http redirect

& 說明

認證服務器也可以是個綜合門戶服務器,綜合門戶服務器除了能夠提供Web認證外,還能夠提供SU客戶端軟件的下載。當一個用戶需要使用802.1x認證上網時,在未安裝SU客戶端軟件情況下,只要通過瀏覽器上網就能被重定向到這個綜合門戶服務器,下載并按照SU客戶端后,就可以使用802.1x認證上網了。具體詳見“802.1X配置”中相關的章節。

21.3.2  設置HTTP重定向主頁

要成功應用Web認證功能,必須配置HTTP重定向的主頁,也就是認證頁面(或者是綜合門戶主頁)。當用戶在進行Web認證時,將向用戶彈出這個頁面的信息,用戶通過這個頁面進行Web認證。

缺省時,沒有設置HTTP重定向主頁。設置HTTP重定向主頁URL,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect homepage url-string

設置認證頁面的主頁URL為url-string,必須以“http://”或“https://”開頭,不區分大小寫,最大長度為255個字符。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要清除認證頁面的主頁地址,在全局配置模式下,執行no http redirect homepage。

配置舉例:

# 設置認證頁面的主頁為http://www.web-auth.net/login.html。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect homepage http://www.web-auth.net/login.html

Ruijie(config)# show http redirect

& 說明

主頁地址也可以是個綜合門戶服務器,綜合門戶服務器除了能夠提供Web認證外,還能夠提供SU客戶端軟件的下載。當一個用戶需要使用802.1x認證上網時,在未安裝SU客戶端軟件情況下,只要通過瀏覽器上網就能被重定向到這個綜合門戶服務器,下載并按照SU客戶端后,就可以使用802.1x認證上網了。詳見“802.1X配置”中相關章節。

~ 注意

如果用戶在瀏覽器的地址欄上直接輸入服務器的主頁地址,則可以不經過重定向直接訪問該主頁,也可以下載該頁面上的資源。但是,由于未經重定向,接入設備中沒有該用戶的信息,以及缺少接入設備和認證服務器之間必要的安全參數,用戶的認證操作將會失敗。因此,如果是要進行認證的話,不要直接訪問服務器的頁面。

要成功應用Web認證功能,必須設置接入設備與認證服務器進行通信的密鑰。當接入設備發現未認證用戶在訪問網絡資源時,接入設備將通過重定向功能,向用戶彈出認證頁面,通過認證頁面,引導用戶向認證服務器發起認證。在認證過程中,接入設備與認證服務器間通過密鑰對部分數據進行加密,以加強安全性。

缺省情況下,沒有設置接入設備與認證服務器進行通信的密鑰。如果要設置接入設備與認證服務器進行通信的密鑰,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth portal key key-string

設置接入設備與認證服務器進行通信的密鑰;密鑰最大長度為255個字符。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要清除接入設備與認證服務器進行通信的密鑰,在全局配置模式下,執行no web-auth key。

配置舉例:

#設置接入設備與服務器進行通信的密鑰為web-auth。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth portal key web-auth

Ruijie(config)# show web-auth

21.3.4  設置接入設備與認證服務器之間的SNMP網管參數

接入設備和認證服務器之間通過SNMP/MIB對認證用戶進行管理,在接入設備上,使用MIB來管理認證用戶表,認證服務器通過訪問這個MIB,可以獲取用戶相關的統計信息,以及進行控制用戶的上線、下線的操作。當用戶下線時,接入設備將發送SNMP-Inform消息給認證服務器。

因此要成功應用Web認證功能,必須設置接入設備與認證服務器之間的SNMP網管通信參數。請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# snmp-server communitycommunity-string rw

設置SNMP Community,認證服務器可以使用這個Community管理接入設備上的在線用戶。

community-string:Community字符串;

rw:由于需要對MIB進行Set操作,因此需要設置成RW,支持讀寫操作;

Step 3

Ruijie(config)# snmp-server enable traps web-auth

設置接入設備允許向外發送Web認證的消息,消息類型包括Trap和Inform。

web-auth:即Web認證的消息;

Step 4

Ruijie(config)# snmp-server host ip-addressinform version 2c community-string web-auth

設置發送Web認證消息的目的主機,類型、版本、Community等參數。

ip-address:目的主機地址,也就是認證服務器的地址;

inform:設置發送SNMP-Inform類型的消息。由于接入設備在用戶下線的時候向認證服務器發送消息,為了防止消息丟失,所以采用SNMP-Inform而不是SNMP-Trap。

version 2c:SNMPv2以后的版本才支持SNMP-Inform類型,因此這里不能設置為SNMPv1。

community-string:發送SNMP-Inform消息使用的Community字符串。

web-auth:指明發送Web認證消息采用上述的參數;

SNMP的配置命令和其他具體內容參見“SNMP配置”中的相關章節。

配置舉例:

#設置接入設備與服務器(IP地址為176.10.0.1)的SNMP網管通信參數,設置SNMP Community為web-auth,以及發送SNMP-Inform消息使用的參數。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# snmp-server community web-auth rw

Ruijie(config)# snmp-server enable traps web-auth

Ruijie(config)# snmp-server host 176.10.0.1 inform version 2c web-auth web-auth

& 說明

這里列出的SNMP通信參數是以SNMPv2的設置為例的,如果要求接入設備和認證服務器之間的SNMP網管通信有更高的安全性,可以考慮采用SNMPv3。這樣,SNMP Community的設置需要改為SNMP User,并且SNMP-Inform的版本也需要改為SNMPv3版本的,另外還需要設置和SNMPv3相關的安全參數,具體參見“SNMP配置”中相關的章節,這里不再進行詳細介紹。

21.3.5  在WLAN上開啟Web認證功能

Web認證是基于WLAN的,默認情況下,WLAN未開啟Web認證功能,此時這個端口下所連接的用戶不進行Web認證。

在端口上啟動Web認證功能,將該端口設置為Web認證受控口,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# wlansec wlan-id

進入WLAN安全配置模式。

Ruijie(wlansec)# webauth

開啟Web認證功能。

如果要在WLAN上關閉Web認證功能,在WLAN安全配置模式下,使用no webauth。

配置舉例:

# 在端口WLAN 1上啟動Web認證功能。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# wlansec 1

Ruijie(wlansec)# webauth

認證可選特性

除了Web認證的基本特性外,其他選項是可選的,但也可能為特定的應用所必需。當未對可選選項進行配置時,這些可選選項將使用默認配置值。以下章節描述如何配置Web認證的可選特性:

n         < href="Cap1.htm#_設置重定向的HTTP端口_" target="b">設置重定向的HTTP端口

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_2" target="b">設置每個未認證用戶的最大HTTP會話數

n         < href="Cap1.htm#_設置維持重定向連接的超時時間" target="b">設置維持重定向連接的超時時間

n         < href="Cap1.htm#_設置免認證的網絡資源范圍" target="b">設置免認證的網絡資源范圍

n         < href="Cap1.htm#_設置在線用戶信息的更新時間間隔_" target="b">設置在線用戶信息的更新時間間隔

n         < href="Cap1.htm#_設置無需認證用戶IP范圍" target="b">設置無需認證用戶IP范圍

n         < href="Cap1.htm#_設置用戶下線檢測模式_1" target="b">設置用戶下線檢測模式

21.4.1  設置重定向的HTTP端口

當用戶訪問網絡資源時(例如使用瀏覽器上網),此時用戶會發出HTTP報文,接入設備通過攔截來自用戶的HTTP報文,來判斷用戶是否在訪問網絡資源。當接入設備檢測到未認證的用戶在訪問網絡資源時,將阻止用戶訪問網絡資源,并向用戶彈出認證頁面。

缺省情況下,接入設備通過攔截用戶發出的端口號為80的HTTP報文,來檢測用戶是否在訪問網絡資源。

要新增接入設備攔截用戶發出的特定端口號的HTTP報文,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect port port-num

設置對用戶發出的特定目的端口號的HTTP請求進行重定向。

最大允許配置10個不同的目的端口號,端口號80也含在該總數量范圍內。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要在刪除對用戶發出的特定目的端口號的HTTP請求進行重定向,在全局配置模式下,使用no http redirect port port-num。

配置舉例:

# 設置對用戶發出的特定目的端口號為8080的HTTP請求進行重定向。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect port 8080

Ruijie(config)# show http redirect

# 設置不對用戶發出的特定目的端口號為80的HTTP請求進行重定向。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# no http redirect port 80

Ruijie(config)# show http redirect

~ 注意

接入設備上常用的管理協議端口(例如22、23、53)以及系統內部保留的端口,不允許被設置為重定向端口。實際上,除了80端口外,HTTP協議很少會使用小于1000的端口號。為了避免與知名TCP協議端口沖突,除非必要,盡量不要設置較小端口號的端口作為重定向端口。

21.4.2  設置每個未認證用戶的最大HTTP會話數

未認證的用戶在訪問網絡資源時,用戶PC會發出HTTP會話連接請求,HTTP報文會被接入設備攔截,并通過重定向要求用戶進行Web認證。為了防止同一個未認證用戶發起過多的HTTP連接請求,以節約接入設備的資源,需要在接入設備上限制未認證用戶的最大HTTP會話數。

由于用戶在認證時,會占用一個HTTP會話,而用戶的其他應用程序也可能占用著HTTP會話,因而不建議設置未認證用戶的最大HTTP會話數為1。缺省情況下,未認證用戶的最大HTTP會話數為255。

要更改未認證用戶的最大HTTP會話數,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect session-limitsession-num [port port-session-num]

設置每個未認證的最大HTTP全局會話數為session-num,取值范圍1-255。

設置每個未認證的最大HTTP端口會話數為port-session-num,取值范圍1-300

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要恢復未認證用戶的最大HTTP會話數為3,在全局配置模式下,使用no http redirect session-limit。

配置舉例:

# 設置未認證用戶的最大HTTP會話數為4。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect session-limit 4

Ruijie(config)# show http redirect

& 說明

如果一個用戶在進行Web認證時,出現經常無法彈出認證頁面的情況,則很可能是受到最大HTTP會話數的限制了。此時,應該建議用戶暫時關閉一些可能會占用HTTP會話的應用程序,然后再進行Web認證。

21.4.3  設置維持重定向連接的超時時間

設置維持重定向連接的超時時間。因為未認證的用戶通過HTTP訪問網絡資源時,其TCP連接請求將被攔截,實際上是與接入設備建立起TCP連接。在連接建立后,接入設備需要等待用戶發出的HTTP的GET/HEAD報文,然后回復HTTP重定向報文后才能關閉連接。設置這個限制可以防止用戶不發GET/HEAD報文,而又長時間占用TCP連接。缺省情況下,維持重定向連接的超時時間為3秒。

要更改維持重定向連接的超時時間,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect timeout seconds

設置維持重定向連接的超時時間(秒);

seconds,取值范圍1-10。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要恢復維持重定向連接的超時時間為3秒,在全局配置模式下,使用no http redirect timeout。

配置舉例:

# 設置維持重定向連接的超時時間為4秒。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect timeout 4

Ruijie(config)# show http redirect

21.4.4  設置免認證的網絡資源范圍

在端口上啟動Web認證后,未認證用戶需先通過Web認證,才能訪問網絡資源。如果允許未認證用戶,也可以訪問一些免認證的網絡資源,需要使用此命令設置免認證的網絡資源。設置了免認證的網絡資源,如果某網站屬于免認證的網絡資源,那么所有用戶(包括未認證用戶)都可以訪問該網站。缺省情況下,沒有設置免認證的網絡資源,未認證用戶不能訪問網絡資源。

要設置免認證的網絡資源,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect direct-site ip-address [ip-mask] [arp]

設置免認證的網絡資源,最大允許配置50個。

如果接入設備啟用了ARP CHECK功能,那么需要對免認證的網絡資源范圍進行ARP綁定,需要配置arp關鍵字。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要取消設置免認證的網絡資源,在全局配置模式下,使用no http redirect direct-site ip-address [ip-mask] [arp]。

配置舉例:

# 設置校園網內某免費網址172.16.x.x為免認證的網絡資源。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect direct-site 172.16.0.0 255.255.0.0

Ruijie(config)# show web-auth

& 說明

設置免認證的網絡資源和設置無需認證用戶共享資源,這兩者總和不能超過50個。此外,實際可用數量也會受其它安全功能占用表項的影響而減少。因此,如果需要設置的地址較多,請盡量使用IP地址+掩碼的方式進行設置。

對于開啟ARP Check情況,需要將二層接入設備下聯PC的網關設置為免認證的網絡資源。

~ 注意

設置免認證的網絡資源功能的生效條件如下:

1.         在Web認證受控口上生效;

2.         全局打開支持SU客戶端下載功能后,在802.1x受控口上生效(具體詳見“802.1X配置”中相關的章節);

3.         其他情況均不生效;

4.         不受GSN、ACL設置影響,即無法使用GSN阻斷或使用ACL過濾該免認證的IP地址;

接入設備維護著在線用戶信息,接入設備需要定時地更新在線用戶信息,包括在線時間等,以監控在線用戶使用網絡資源的情況,比如:用戶的在線時間大于或等于在線時限,該用戶會被停止使用網絡。缺省情況下,接入設備每60秒更新一次在線用戶的信息。

要更改在線用戶信息的更新時間間隔,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth update-intervalseconds

設置在線用戶信息的更新時間間隔為seconds秒,取值范圍30-3600秒。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要恢復在線用戶信息的更新時間間隔為60秒,在全局配置模式下,使用no web-auth update-interval。

配置舉例:

# 設置在線用戶信息的更新時間間隔為30秒。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth update-interval 30

Ruijie(config)# show web-auth

21.4.6  設置無需認證用戶IP范圍

如果用戶屬于無需認證用戶IP范圍,那么該用戶不需要通過Web認證,也能訪問所有可達的網絡資源。缺省時,沒有設置無需認證用戶,所有用戶都必須先通過Web認證,才能訪問網絡資源。

要設置無需認證用戶,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth direct-host ip-address[ip-mask] [port interface-name] [arp]

設置無需認證用戶,最大允許配置50個。

如果設置了port選項,則將用戶IP與接入設備的端口進行綁定。

如果接入設備啟用了ARP CHECK功能,那么需要對免認證的用戶IP范圍進行ARP綁定,需要配置arp關鍵字。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要取消無需認證的用戶,在全局配置模式下,使用no web-auth direct-host ip-address [ip-mask]。

配置舉例:

# 設置IP地址為176.10.0.1的用戶為無需認證的用戶。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth direct-host 176.10.0.1

Ruijie(config)# show web-auth

~ 注意

設置無需認證用戶功能的生效條件如下:

1.         在Web認證受控口上生效;

2.         其他情況均不生效;

3.         不受GSN、ACL設置影響,即無法使用GSN阻斷或使用ACL過濾該用戶的IP地址;

21.4.7  設置用戶下線檢測模式

設置可以基于流量來檢測用戶是否下線,如果在15分鐘內,用戶流量都沒有增加,則認為用戶下線。此命令僅用來輔助檢測用戶是否下線,會存在一些誤檢的風險。

當前檢測用戶是否下線有以下三種方式:

1)        用戶點擊認證頁面上的“下線”按鈕;

2)        基于鏈接的檢測模式,當接入設備檢測到用戶端口LinkDown后,在1分鐘內沒有再次檢測到用戶端口LinkUp,則認為用戶下線;

3)        基于用戶流量的檢測模式,在15分鐘內用戶流量沒有增加,則認為用戶下線;

這三種方式中,1)和2)都是強制檢測,3)是可選檢測。即在默認情況下,是通過1)和2)來檢測用戶是否下線。缺省時,沒有設置基于流量來檢測用戶是否下線。

要設置無需認證用戶,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth offline-detect-mode flow

設置基于流量檢測用戶是否下線。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果關閉基于用戶流量來檢測用戶是否下線,在全局配置模式下,使用no web-auth offline-detect-mode flow。

配置舉例:

# 設置基于用戶流量來檢測用戶是否下線。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth offline-detect-mode flow

Ruijie(config)# show web-auth

21.5        顯示Web認證配置和狀態

以下章節描述如何查看Web認證的配置和狀態:

n         < href="Cap1.htm#_查看HTTP重定向的配置_" target="b">查看HTTP重定向的配置

n         < href="Cap1.htm#_查看免Web認證的用戶范圍" target="b">查看免Web認證的用戶范圍

n         < href="Cap1.htm#_查看接口上的Web認證配置信息" target="b">查看接口上的Web認證配置信息

n         < href="Cap1.htm#_查看Web認證用戶的信息" target="b">查看Web認證用戶的信息

21.5.1  查看HTTP重定向的配置

在特權模式下使用如下命令查看HTTP重定向的配置:

命令

作用

Step 1

Ruijie# show http redirect

查看HTTP重定向的配置。

以下例子是查看HTTP重定向的配置:

Ruijie# show http redirect

HTTP redirection settings:

server:          192.168.32.123

port:             80  8000

homepage:        http://192.168.32.123:8888/ePortal/index.jsp

session-limit: 10

timeout:         5

Direct sites:

Address            MASK               ARP Binding

---------------- ---------------- -----------

61.233.3.215     255.255.255.255    On

61.233.3.220     255.255.255.255    Off

192.168.5.140    255.255.255.255    Off

218.30.66.101    255.255.0.0         Off

218.30.66.101    255.255.255.255    Off

Direct hosts:

Address            Mask               Port         ARP Binding

---------------- ---------------- ---------- ------------

192.168.1.1       255.255.255.255  Fa0/1        On

21.5.2  查看免Web認證的用戶范圍

在特權模式下使用如下命令查看免Web認證的用戶范圍:

命令

作用

Step 1

Ruijie# show web-auth direct-host

查看免Web認證的用戶范圍。

以下例子是查看免Web認證的用戶范圍:

Ruijie# show web-auth direct-host

direct-host

Address           Mask                 Port         ARP Binding

--------------- ---------------- ---------- ----------

192.168.0.1      255.255.255.255   Fa0/2         On

192.168.4.11     255.255.255.255   Fa0/10        On

192.168.5.0      255.255.255.0      Fa0/16       Off

21.5.3  查看接口上的Web認證配置信息

在特權模式下使用如下命令查看接口上的認證配置信息:

命令

作用

Step 1

Ruijie# show web-auth port-control

接口上的認證配置信息。

以下例子是查看接口上的認證配置信息:

Ruijie# show web-auth port-control

Port                          Control

------------------------- ----------

FastEthernet 0/1           On

FastEthernet 0/2           Off

FastEthernet 0/3           Off

......

21.5.4  查看Web認證用戶的信息

在特權模式下使用如下命令查看所有用戶或是指定用戶的在線信息:

命令

作用

Step 1

Ruijie# show web-auth user [ip-address]

查看所有用戶或是指定用戶的在線信息。

以下例子是查看所有用戶或是指定用戶的在線信息:

Ruijie# show web-auth user

Current user num  :  4

Address           Online   Time Limit     Time Used       Status

--------------- -------  -------------  -------------- --------

192.168.0.11      On       0d 01:00:00    0d 00:15:10      Active

192.168.0.13      On       0                0d 00:00:59      Active

192.168.0.25      Off      0                0                  Create

192.168.0.46      Off      0d 01:00:00    0d 01:00:00      Destroy

Ruijie# show web-auth user 192.168.0.11

Address       :   192.168.0.11

Mac            :   00d0.f800.2233

Port          :    Fa0/2

Online        :   On

Time Limit   :   0d 01:00:00

Time Used    :   0d 00:15:10

Time Start   :   2009-02-22 20:05:10

Status        :   Active

認證

中國移動客戶定制Web認證功能,在客戶端接入無線網路時,經接入設備HTTP重定向后,由portal服務器提供認證Web頁面,并與接入設備進行交互,通知接入設備向RADIUS服務器請求完成用戶認證(而非portal服務器向RADIUS服務器請求進行認證)。當認證通過以后,接入設備允許用戶接入網絡,并通知portal服務器。(以上定制功能的技術特征符合《中國移動WLAN業務總體技術要求》1.0.0,2002年版)。以下章節描述如何配置中國移動客戶定制Web認證的基本特性:

n         < href="Cap1.htm#_設置HTTP重定向地址" target="b">設置選擇Web認證客戶定制模式

n         設置Portal服務器

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_1" target="b">設置強制指定用戶下線

n         設置應用AAA方法

n         設置Web認證用戶的計費更新時間

n         查看Portal服務器的配置信息

n         查看Web認證的認證、授權和計費方法列表的配置信息

n         查看客戶定制的Web認證模式的配置信息

認證客戶定制模式

選擇Web認證客戶定制模式(cmcc,即中國移動)。如不選擇,默認為銳捷的認證模式。必須在Web認證其他配置之前進行配置,如果在認證運行過程中進行模式切換,將失去部分cmcc特有的配置,以及強制所有已上線用戶下線。

若要設置Web認證客戶定制模式,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth custom cmcc

選擇Web認證客戶定制模式為中國移動客戶定制模式。

如果要清除選擇Web認證客戶定制模式,在全局配置模式下,執行no web-auth custom cmcc。

配置舉例:

# 設置選擇Web認證客戶定制模式為cmcc。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth custom cmcc

服務器

要成設置Portal服務器的IP地址,以及本地和遠程Portal服務器的UDP端口號。缺省時,沒有設置Portal服務器的IP地址,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc portal {ip-address ip-address | local-port local-num |remote-port remote-num}

ip_address:所要配置的IP地址。

local-num:所要配置的本地或者遠程的UDP端口號。

remote-num:所要配置的本地或者遠程的UDP端口號。

如果要清除Portal服務器的配置信息,在全局配置模式下,執行no web-auth cmcc portal。

配置舉例:

# 設置Portal服務器IP地址為172.1.1.1,本地端口為600,遠程端口為700

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc portal ip-address 172.1.1.1

Ruijie(config)# web-auth cmcc portal local-port 600

Ruijie(config)# web-auth cmcc portal remote-port 700

要強制指定用戶下線,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth force-user-offline-by{ip-address ip-address | name username | idsession-id | mac-address mac-addr}

ip-address:所要刪除的用戶的IPV4地址。

username:所要刪除的用戶的名字。

session-id:所要刪除的用戶的標志符。

mac-addr:所要刪除的用戶的MAC地址。

配置舉例:

# 設置要強制指定IP為172.10.1.25的用戶下線

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth force-user-offline-by ip-address 172.10.1.25

方法

要將認證、授權和記賬的方法列表應用到中國移動Web認證用戶類型,事先需要在AAA中定義這些方法。缺省時,沒有定義和應用任何AAA方法。要應用AAA方法到Web認證,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc {authentication| authorization | accounting} method-list

method-list:方法列表的名稱。

如果要清除Web認證中應用的AAA方法,在全局配置模式下,執行no web-auth cmcc {authentication | authorization | accounting}。

配置舉例:

# 設置Web認證中應用的認證方法為web-auth。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc authentication web-auth

認證用戶的計費更新時間

設置Web認證用戶的計費更新時間,單位分鐘。該值將結合RADIUS下發的計費更新時間對用戶進行設置。

缺省時為0,即不進行計費更新。設置Web認證用戶的計費更新時間,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc acct-intervalminutes

minutes:計費更新時間。

如果要清除認證頁面的主頁地址,在全局配置模式下,執行no web-auth cmcc acct-interval。

配置舉例:

# 設置Web認證用戶的計費更新時間為30分鐘。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc acct-interval 30

服務器的配置信息

在特權模式下使用如下命令查看Portal服務器的配置信息:

命令

作用

Step 1

Ruijie# show web-auth cmcc portal

顯示Portal服務器的配置信息。

以下例子是查看Portal服務器的配置信息:

Ruijie(config)# show web-auth cmcc portal

CMCC Portal Configuration:

Portal-AC Protocal Version Supported - Min Ver. 1, Max Ver. 1

Current Portal-AC Protocal Version Used: 1

Portal IP: 192.168.195.73

Portal UDP Port: 2500

Local UDP Port: 2501

認證的認證、授權和計費方法列表的配置信息

在特權模式下使用如下命令查看Web認證的認證、授權和計費方法列表的配置信息:

命令

作用

Step 1

Ruijie# show web-auth cmcc aaa

查看Web認證的認證、授權和計費方法列表的配置信息。

以下例子是查看Web認證的認證、授權和計費方法列表的配置信息:

Ruijie(config)# show web-auth cmcc aaa

CMCC AAA Method Lists Configuration:

Authentication: default

Authorization: default

Accounting: default

認證模式的配置信息

在特權模式下使用如下命令查看客戶定制的Web認證模式的配置信息:

命令

作用

Step 1

Ruijie# show web-auth custom

查看客戶定制的Web認證模式的配置信息。

以下例子是查看客戶定制的Web認證模式的配置信息:

Ruijie(config)# show web-auth custom

Customized Web Portal Configuration: CMCC

認證典型配置舉例

以AC集中式組網為例。采用集中式設置時,在城域網集中部署一臺AC,每個WLAN覆蓋地區的AP通過城域傳送網接到集中AC上。

圖 2.      Web認證方案網絡拓撲圖

配置:

AP1上配置了WLAN1,AC在WLAN1上開啟了Web認證,并完成相關配置。

無線用戶上線:

1.        無線用戶A接入AP1的WLAN1,在成功獲取IP地址、子網掩碼和DNS服務器地址之后,打開網絡瀏覽器,輸入URL地址(非免費資源地址),訪問網絡;

2.        無線接入設備截獲該瀏覽器發出的HTTP訪問請求,并將其重定向到指定的Portal服務器的認證頁面;

3.        無線用戶A在認證頁面上輸入用戶名和密碼之后提交;

4.        Portal服務器同RADIUS通信進行無線用戶A的認證請求;

5.        用戶認證通過后, Portal將認證結果返回頁面給無線用戶A;并通知無線接入設備放行無線用戶A的Internet訪問,不再進行攔截;

無線用戶在線:

1.        AC定時統計用戶的在線時長,上下行流量等信息;Portal服務器通過SNMP訪問AC,可以獲得這些信息;

2.        無線接入設備允許無線用戶A訪問非免費的Internet資源;

無線用戶主動下線:

1.        無線用戶A通過Portal服務器提供的下線頁面進行下線;

2.        Portal收到請求之后,同AC進行用戶下線處理;并通知RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC通知Portal下線結果,Portal將結果返回給用戶;AC關閉無線用戶A訪問非免費Internet資源的權限;

Portal發現用戶異常下線:

1.        Portal服務器發現無線用戶A的保護頁面失效,向AC發起強制用戶下線處理;

2.        Portal服務器同RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC通知Portal下線結果;AC關閉無線用戶A訪問非免費Internet資源的權限;

AC發現用戶異常下線:

1.        AC發現用戶異常下線(一定時間內無流量,或者用戶掉線),通知Portal服務器強制用戶下線;

2.        Portal服務器并同認證和計費RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC關閉無線用戶A訪問非免費Internet資源的權限;

Web認證方案的注意事項:

端口上打開了Web認證后,該端口下即使是未認證的用戶,其發出的DHCP和DNS報文是可以通過的。不會影響到用戶獲取IP地址,以及進行域名解析;

為了防止TCP攻擊,限制用戶在認證前的最大連接數以防止TCP攻擊,缺省值是255。但用戶PC可能發起多個HTTP連接,但不一定是瀏覽器發出的,有可能是其他軟件,例如聊天、下載或視屏軟件,甚至可能是木馬病毒。這種情況下,可能會因其他軟件占用了連接,導致瀏覽器無法建立連接,因此無法完成認證。這種限制的解決,需要在部署時注意,使用Web認證的用戶,若上網前開啟的自動連接軟件過多,要先關掉;

由于Web認證必須依靠客戶PC能發起HTTP連接,而在進行連接之前,必須要能讓客戶PC獲取到DNS解析的IP地址,以及網關的ARP報文。在這種情況下,接入設備放行未認證用戶發給網關的ARP請求報文。因此,有可能出現一種ARP欺騙情況,即如果某個用戶冒充同一個VLAN下的其它用戶的IP,給網關發送ARP報文,就會造成網關學習到錯誤的ARP,對同一VLAN下的其它用戶產生影響;

1)        在AC上設置認證服務器的IP地址及與認證服務器進行通信的密鑰

Ruijie# config

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect 192.168.3.1

Ruijie(config)# web-auth portal key web_auth_s26_1

2)        在AC上設置認證頁面的主頁地址

Ruijie(config)# http redirect homepage http://www.web_auth.com/webportal/index.jsp

3)        設置AC與認證服務器之間的SNMP網管參數

Ruijie(config)# snmp-server community web_auth_key

Ruijie(config)# snmp-server enable traps web-auth

Ruijie(config)# snmp-server host 192.168.3.1 inform version 2c web_auth_key web-auth

Ruijie(config)# exit

4)        在AC上對WLAN1開啟Web認證功能

Ruijie(config)# wlansec 1

Ruijie(wlansec)# webauth

Ruijie(wlansec)# exit

5)        在AC上設置免認證的網絡資源范圍,將公共服務器192.168.5.1設置為直通的網站

Ruijie(config)# http redirect direct-site 192.168.5.1

如果打開了ARP Check功能,則需要加上arp選項:

Ruijie(config)# http redirect direct-site 192.168.5.1 arp

6)        若開啟ARP功能,則還必須將網關IP地址設置為免認證的網絡資源范圍,并開啟arp選項,以保證在認證前,PC能完成DNS及ARP請求。

在AC上將網關192.168.4.1設置免認證的網絡資源范圍

Ruijie(config)# http redirect direct-site 192.168.4.1 arp

7)        在AC上設置無需認證用戶IP地址范圍,例如192.168.4.12

Ruijie(config)# web-auth direct-host 192.168.4.12

如果打開了ARP Check功能,則需要加上arp選項:

Ruijie(config)# web-auth direct-host 192.168.4.12 arp

至此用戶A如果要訪問internet就會先重定向到Web認證服務器,通過認證后,才能訪問internet;

1)        顯示HTTP重定向的配置:

Ruijie# show http redirect

http redirect settings

server         : 192.168.3.1

port           : 80

homepage       : http://www.web_auth.com/webportal/index.jsp

session-limit

認證

認證概述

Web認證是一種基于端口對用戶訪問網絡的權限進行控制的認證方法,這種認證方式不需要用戶安裝專用的客戶端認證軟件,使用普通的瀏覽器軟件就可以進行接入認證。

未認證用戶上網時,接入設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在Web認證服務器進行認證,只有認證通過后才可以使用互聯網資源。

如果用戶試圖通過HTTP 訪問其他外網,將被強制訪問Web認證網站,從而開始Web認證過程,這種方式稱作強制認證。

Web認證可以為用戶提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等。

認證基本概念

Web認證的基本概念主要有HTTP攔截、HTTP重定向。

21.1.2.1HTTP攔截

HTTP攔截指接入設備將原本需要轉發的HTTP報文攔截下來,不進行轉發。這些HTTP報文是連接在接入設備的端口下的用戶所發出的,但目的并不是接入設備本身。例如,某用戶通過IE瀏覽器上網,接入設備本應該將這些HTTP請求報文轉發到網關的,但如果啟動HTTP攔截,這些報文可以不被轉發。

HTTP攔截之后,接入設備需要將用戶的HTTP連接請求轉向自己,于是接入設備和用戶之間將建立起連接會話。接入設備將利用HTTP重定向功能,將重定向頁面推送給用戶,用戶的瀏覽器上將彈出一個頁面,這個頁面可以是認證頁面,也可以是下載軟件的鏈接等等。

在Web認證功能中,連接在哪些物理端口下、哪些用戶所發出的到哪個目的端口的HTTP報文需要進行攔截,哪些不需要,都是可以設置的。一般地,未經過認證的用戶發出的HTTP請求報文會被攔截,已通過認證的用戶將不被攔截。HTTP攔截是Web認證功能的基礎,一旦發生了攔截,就會自動觸發Web認證的過程。

21.1.2.2HTTP重定向

根據HTTP協議規定,正常情況下,用戶的瀏覽器發出HTTP GET或HEAD請求報文后,如果接收一方能夠提供資源,則以200報文響應,如果本地不能提供資源,則可以使用302報文響應。在302響應報文中,提供了一個新的站點路徑,用戶收到響應后,可以向這個新的站點重新發出HTTP GET或HEAD報文請求資源。

HTTP重定向是Web認證的重要環節,是發生在HTTP攔截之后的,利用的就是HTTP協議中的302報文的特性。HTTP攔截過程將使得接入設備和用戶之間建立起連接會話,隨后用戶將(本應發給其他站點的)HTTP GET或HEAD報文發給接入設備,接入設備收到后,回應以302報文,并且在302報文中加入重定向頁面的站點路徑,這樣用戶將向這個站點路徑重新發出請求,就會獲取到重定向的頁面。

Web認證的典型組網方式如下圖所示,它由三個基本角色組成:認證客戶端、接入設備、WEB認證服務器。

圖 1.      Web認證工作原理

Web認證的角色:

1.      認證客戶端:安裝于用戶終端設備上的客戶端系統,為運行HTTP協議的瀏覽器,上網時將發出HTTP請求;

2.      接入設備:在網絡拓撲中一般是接入層設備(例如在無線網絡中可以是無線AP,或無線AC),一般與用戶終端設備直接相連接,在接入設備上啟動Web認證;

3.      Web認證服務器:包括提供Web服務的portal服務器,以及提供RADIUS認證功能的服務器。接受認證客戶端認證請求的認證服務器端系統,提供免費門戶服務和基于Web 認證的界面,與接入設備交互認證客戶端的認證信息;

Web認證過程主要過程:

1.        在認證之前,接入設備將未認證用戶發出的所有HTTP 請求都攔截下來,并重定向到Web認證服務器去,這樣在用戶的瀏覽器上將彈出一個認證頁面;

2.        在認證過程中,用戶在認證頁面上輸入認證信息(用戶名、口令、校驗碼等等)與Web認證服務器交互,完成身份認證的功能;

3.        在認證通過后,Web認證服務器將通知接入設備該用戶已通過認證,接入設備將允許用戶訪問互聯網資源;

~ 注意

Web認證方案使用限制:

l         只能在如下加密機制中開啟Web認證:Open Authentication,Open Authentication + WEP或者WPA/WPA2-PSK。

與HTTP重定向相關的功能參照HTTP 1.1協議(RFC1945)。

下表用來描述Web認證的缺省配置。

功能特性

缺省值

設置HTTP重定向地址

未設置HTTP重定向地址。

設置HTTP重定向主頁

未設置HTTP重定向主頁。

設置接入設備與認證服務器之間的SNMP網管參數

未設置SNMP網管參數。

設置重定向的HTTP端口

默認對用戶發出的目的端口為80的HTTP報文進行重定向。

設置每個未認證用戶的最大HTTP會話數

默認為3個。

設置維持重定向連接的超時時間

默認為3秒。

設置免認證的網絡資源范圍

未設置免認證的網絡資源范圍。

設置在線用戶信息的更新時間間隔

默認為60秒。

設置用戶下線檢測模式

未設置基于用戶流量來檢測用戶是否下線。

認證基本特性

Web認證配置需要在接入設備上進行配置,在未作任何配置的情況下,接入設備的Web認證處在缺省狀態,即沒有開啟Web認證。必須完成了所有的基本特性的配置,Web認證才能正常工作,以下章節描述如何配置Web認證的基本特性:

n         < href="Cap1.htm#_設置HTTP重定向地址" target="b">設置HTTP重定向地址

n         < href="Cap1.htm#_設置HTTP重定向主頁" target="b">設置認證頁面的主頁

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_1" target="b">設置接入設備與認證服務器之間的通信密鑰

n         < href="Cap1.htm#_設置接入設備與認證服務器之間的SNMP網管參數" target="b">設置接入設備與認證服務器之間的SNMP網管參數

n         < href="Cap1.htm#_在端口上開啟Web認證功能_" target="b">在端口上開啟Web認證功能

21.3.1  設置HTTP重定向地址

要成功應用Web認證功能,必須設置HTTP重定向的IP地址。當接入設備發現未認證用戶試圖通過HTTP訪問網絡資源時,接入設備將用戶的訪問請求重定向到認證頁面,通過認證頁面,引導用戶向認證服務器發起認證。

一般情況下,認證頁面是認證服務器所提供的,因此HTTP重定向的地址就應該是認證服務器的地址。設置了這個HTTP重定向地址以后,這個地址將被設置為一個特殊的免認證的網絡資源,未認證用戶才可以直接與這個地址進行HTTP通訊。

缺省情況下,沒有設置HTTP重定向的IP地址。若要設置HTTP重定向的IP地址,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect ip-address

設置HTTP重定向的IP地址。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要清除HTTP重定向的IP信息,在全局配置模式下,執行no http redirect。

配置舉例:

# 設置認證服務器的IP地址為176.10.0.1。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect 176.10.0.1

Ruijie(config)# show http redirect

& 說明

認證服務器也可以是個綜合門戶服務器,綜合門戶服務器除了能夠提供Web認證外,還能夠提供SU客戶端軟件的下載。當一個用戶需要使用802.1x認證上網時,在未安裝SU客戶端軟件情況下,只要通過瀏覽器上網就能被重定向到這個綜合門戶服務器,下載并按照SU客戶端后,就可以使用802.1x認證上網了。具體詳見“802.1X配置”中相關的章節。

21.3.2  設置HTTP重定向主頁

要成功應用Web認證功能,必須配置HTTP重定向的主頁,也就是認證頁面(或者是綜合門戶主頁)。當用戶在進行Web認證時,將向用戶彈出這個頁面的信息,用戶通過這個頁面進行Web認證。

缺省時,沒有設置HTTP重定向主頁。設置HTTP重定向主頁URL,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect homepage url-string

設置認證頁面的主頁URL為url-string,必須以“http://”或“https://”開頭,不區分大小寫,最大長度為255個字符。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要清除認證頁面的主頁地址,在全局配置模式下,執行no http redirect homepage。

配置舉例:

# 設置認證頁面的主頁為http://www.web-auth.net/login.html。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect homepage http://www.web-auth.net/login.html

Ruijie(config)# show http redirect

& 說明

主頁地址也可以是個綜合門戶服務器,綜合門戶服務器除了能夠提供Web認證外,還能夠提供SU客戶端軟件的下載。當一個用戶需要使用802.1x認證上網時,在未安裝SU客戶端軟件情況下,只要通過瀏覽器上網就能被重定向到這個綜合門戶服務器,下載并按照SU客戶端后,就可以使用802.1x認證上網了。詳見“802.1X配置”中相關章節。

~ 注意

如果用戶在瀏覽器的地址欄上直接輸入服務器的主頁地址,則可以不經過重定向直接訪問該主頁,也可以下載該頁面上的資源。但是,由于未經重定向,接入設備中沒有該用戶的信息,以及缺少接入設備和認證服務器之間必要的安全參數,用戶的認證操作將會失敗。因此,如果是要進行認證的話,不要直接訪問服務器的頁面。

要成功應用Web認證功能,必須設置接入設備與認證服務器進行通信的密鑰。當接入設備發現未認證用戶在訪問網絡資源時,接入設備將通過重定向功能,向用戶彈出認證頁面,通過認證頁面,引導用戶向認證服務器發起認證。在認證過程中,接入設備與認證服務器間通過密鑰對部分數據進行加密,以加強安全性。

缺省情況下,沒有設置接入設備與認證服務器進行通信的密鑰。如果要設置接入設備與認證服務器進行通信的密鑰,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth portal key key-string

設置接入設備與認證服務器進行通信的密鑰;密鑰最大長度為255個字符。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要清除接入設備與認證服務器進行通信的密鑰,在全局配置模式下,執行no web-auth key。

配置舉例:

#設置接入設備與服務器進行通信的密鑰為web-auth。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth portal key web-auth

Ruijie(config)# show web-auth

21.3.4  設置接入設備與認證服務器之間的SNMP網管參數

接入設備和認證服務器之間通過SNMP/MIB對認證用戶進行管理,在接入設備上,使用MIB來管理認證用戶表,認證服務器通過訪問這個MIB,可以獲取用戶相關的統計信息,以及進行控制用戶的上線、下線的操作。當用戶下線時,接入設備將發送SNMP-Inform消息給認證服務器。

因此要成功應用Web認證功能,必須設置接入設備與認證服務器之間的SNMP網管通信參數。請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# snmp-server communitycommunity-string rw

設置SNMP Community,認證服務器可以使用這個Community管理接入設備上的在線用戶。

community-string:Community字符串;

rw:由于需要對MIB進行Set操作,因此需要設置成RW,支持讀寫操作;

Step 3

Ruijie(config)# snmp-server enable traps web-auth

設置接入設備允許向外發送Web認證的消息,消息類型包括Trap和Inform。

web-auth:即Web認證的消息;

Step 4

Ruijie(config)# snmp-server host ip-addressinform version 2c community-string web-auth

設置發送Web認證消息的目的主機,類型、版本、Community等參數。

ip-address:目的主機地址,也就是認證服務器的地址;

inform:設置發送SNMP-Inform類型的消息。由于接入設備在用戶下線的時候向認證服務器發送消息,為了防止消息丟失,所以采用SNMP-Inform而不是SNMP-Trap。

version 2c:SNMPv2以后的版本才支持SNMP-Inform類型,因此這里不能設置為SNMPv1。

community-string:發送SNMP-Inform消息使用的Community字符串。

web-auth:指明發送Web認證消息采用上述的參數;

SNMP的配置命令和其他具體內容參見“SNMP配置”中的相關章節。

配置舉例:

#設置接入設備與服務器(IP地址為176.10.0.1)的SNMP網管通信參數,設置SNMP Community為web-auth,以及發送SNMP-Inform消息使用的參數。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# snmp-server community web-auth rw

Ruijie(config)# snmp-server enable traps web-auth

Ruijie(config)# snmp-server host 176.10.0.1 inform version 2c web-auth web-auth

& 說明

這里列出的SNMP通信參數是以SNMPv2的設置為例的,如果要求接入設備和認證服務器之間的SNMP網管通信有更高的安全性,可以考慮采用SNMPv3。這樣,SNMP Community的設置需要改為SNMP User,并且SNMP-Inform的版本也需要改為SNMPv3版本的,另外還需要設置和SNMPv3相關的安全參數,具體參見“SNMP配置”中相關的章節,這里不再進行詳細介紹。

21.3.5  在WLAN上開啟Web認證功能

Web認證是基于WLAN的,默認情況下,WLAN未開啟Web認證功能,此時這個端口下所連接的用戶不進行Web認證。

在端口上啟動Web認證功能,將該端口設置為Web認證受控口,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# wlansec wlan-id

進入WLAN安全配置模式。

Ruijie(wlansec)# webauth

開啟Web認證功能。

如果要在WLAN上關閉Web認證功能,在WLAN安全配置模式下,使用no webauth。

配置舉例:

# 在端口WLAN 1上啟動Web認證功能。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# wlansec 1

Ruijie(wlansec)# webauth

認證可選特性

除了Web認證的基本特性外,其他選項是可選的,但也可能為特定的應用所必需。當未對可選選項進行配置時,這些可選選項將使用默認配置值。以下章節描述如何配置Web認證的可選特性:

n         < href="Cap1.htm#_設置重定向的HTTP端口_" target="b">設置重定向的HTTP端口

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_2" target="b">設置每個未認證用戶的最大HTTP會話數

n         < href="Cap1.htm#_設置維持重定向連接的超時時間" target="b">設置維持重定向連接的超時時間

n         < href="Cap1.htm#_設置免認證的網絡資源范圍" target="b">設置免認證的網絡資源范圍

n         < href="Cap1.htm#_設置在線用戶信息的更新時間間隔_" target="b">設置在線用戶信息的更新時間間隔

n         < href="Cap1.htm#_設置無需認證用戶IP范圍" target="b">設置無需認證用戶IP范圍

n         < href="Cap1.htm#_設置用戶下線檢測模式_1" target="b">設置用戶下線檢測模式

21.4.1  設置重定向的HTTP端口

當用戶訪問網絡資源時(例如使用瀏覽器上網),此時用戶會發出HTTP報文,接入設備通過攔截來自用戶的HTTP報文,來判斷用戶是否在訪問網絡資源。當接入設備檢測到未認證的用戶在訪問網絡資源時,將阻止用戶訪問網絡資源,并向用戶彈出認證頁面。

缺省情況下,接入設備通過攔截用戶發出的端口號為80的HTTP報文,來檢測用戶是否在訪問網絡資源。

要新增接入設備攔截用戶發出的特定端口號的HTTP報文,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect port port-num

設置對用戶發出的特定目的端口號的HTTP請求進行重定向。

最大允許配置10個不同的目的端口號,端口號80也含在該總數量范圍內。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要在刪除對用戶發出的特定目的端口號的HTTP請求進行重定向,在全局配置模式下,使用no http redirect port port-num。

配置舉例:

# 設置對用戶發出的特定目的端口號為8080的HTTP請求進行重定向。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect port 8080

Ruijie(config)# show http redirect

# 設置不對用戶發出的特定目的端口號為80的HTTP請求進行重定向。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# no http redirect port 80

Ruijie(config)# show http redirect

~ 注意

接入設備上常用的管理協議端口(例如22、23、53)以及系統內部保留的端口,不允許被設置為重定向端口。實際上,除了80端口外,HTTP協議很少會使用小于1000的端口號。為了避免與知名TCP協議端口沖突,除非必要,盡量不要設置較小端口號的端口作為重定向端口。

21.4.2  設置每個未認證用戶的最大HTTP會話數

未認證的用戶在訪問網絡資源時,用戶PC會發出HTTP會話連接請求,HTTP報文會被接入設備攔截,并通過重定向要求用戶進行Web認證。為了防止同一個未認證用戶發起過多的HTTP連接請求,以節約接入設備的資源,需要在接入設備上限制未認證用戶的最大HTTP會話數。

由于用戶在認證時,會占用一個HTTP會話,而用戶的其他應用程序也可能占用著HTTP會話,因而不建議設置未認證用戶的最大HTTP會話數為1。缺省情況下,未認證用戶的最大HTTP會話數為255。

要更改未認證用戶的最大HTTP會話數,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect session-limitsession-num [port port-session-num]

設置每個未認證的最大HTTP全局會話數為session-num,取值范圍1-255。

設置每個未認證的最大HTTP端口會話數為port-session-num,取值范圍1-300

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要恢復未認證用戶的最大HTTP會話數為3,在全局配置模式下,使用no http redirect session-limit。

配置舉例:

# 設置未認證用戶的最大HTTP會話數為4。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect session-limit 4

Ruijie(config)# show http redirect

& 說明

如果一個用戶在進行Web認證時,出現經常無法彈出認證頁面的情況,則很可能是受到最大HTTP會話數的限制了。此時,應該建議用戶暫時關閉一些可能會占用HTTP會話的應用程序,然后再進行Web認證。

21.4.3  設置維持重定向連接的超時時間

設置維持重定向連接的超時時間。因為未認證的用戶通過HTTP訪問網絡資源時,其TCP連接請求將被攔截,實際上是與接入設備建立起TCP連接。在連接建立后,接入設備需要等待用戶發出的HTTP的GET/HEAD報文,然后回復HTTP重定向報文后才能關閉連接。設置這個限制可以防止用戶不發GET/HEAD報文,而又長時間占用TCP連接。缺省情況下,維持重定向連接的超時時間為3秒。

要更改維持重定向連接的超時時間,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect timeout seconds

設置維持重定向連接的超時時間(秒);

seconds,取值范圍1-10。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要恢復維持重定向連接的超時時間為3秒,在全局配置模式下,使用no http redirect timeout。

配置舉例:

# 設置維持重定向連接的超時時間為4秒。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect timeout 4

Ruijie(config)# show http redirect

21.4.4  設置免認證的網絡資源范圍

在端口上啟動Web認證后,未認證用戶需先通過Web認證,才能訪問網絡資源。如果允許未認證用戶,也可以訪問一些免認證的網絡資源,需要使用此命令設置免認證的網絡資源。設置了免認證的網絡資源,如果某網站屬于免認證的網絡資源,那么所有用戶(包括未認證用戶)都可以訪問該網站。缺省情況下,沒有設置免認證的網絡資源,未認證用戶不能訪問網絡資源。

要設置免認證的網絡資源,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# http redirect direct-site ip-address [ip-mask] [arp]

設置免認證的網絡資源,最大允許配置50個。

如果接入設備啟用了ARP CHECK功能,那么需要對免認證的網絡資源范圍進行ARP綁定,需要配置arp關鍵字。

Step 3

Ruijie(config)# show http redirect

查看HTTP重定向的配置。

如果要取消設置免認證的網絡資源,在全局配置模式下,使用no http redirect direct-site ip-address [ip-mask] [arp]。

配置舉例:

# 設置校園網內某免費網址172.16.x.x為免認證的網絡資源。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect direct-site 172.16.0.0 255.255.0.0

Ruijie(config)# show web-auth

& 說明

設置免認證的網絡資源和設置無需認證用戶共享資源,這兩者總和不能超過50個。此外,實際可用數量也會受其它安全功能占用表項的影響而減少。因此,如果需要設置的地址較多,請盡量使用IP地址+掩碼的方式進行設置。

對于開啟ARP Check情況,需要將二層接入設備下聯PC的網關設置為免認證的網絡資源。

~ 注意

設置免認證的網絡資源功能的生效條件如下:

1.         在Web認證受控口上生效;

2.         全局打開支持SU客戶端下載功能后,在802.1x受控口上生效(具體詳見“802.1X配置”中相關的章節);

3.         其他情況均不生效;

4.         不受GSN、ACL設置影響,即無法使用GSN阻斷或使用ACL過濾該免認證的IP地址;

接入設備維護著在線用戶信息,接入設備需要定時地更新在線用戶信息,包括在線時間等,以監控在線用戶使用網絡資源的情況,比如:用戶的在線時間大于或等于在線時限,該用戶會被停止使用網絡。缺省情況下,接入設備每60秒更新一次在線用戶的信息。

要更改在線用戶信息的更新時間間隔,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth update-intervalseconds

設置在線用戶信息的更新時間間隔為seconds秒,取值范圍30-3600秒。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要恢復在線用戶信息的更新時間間隔為60秒,在全局配置模式下,使用no web-auth update-interval。

配置舉例:

# 設置在線用戶信息的更新時間間隔為30秒。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth update-interval 30

Ruijie(config)# show web-auth

21.4.6  設置無需認證用戶IP范圍

如果用戶屬于無需認證用戶IP范圍,那么該用戶不需要通過Web認證,也能訪問所有可達的網絡資源。缺省時,沒有設置無需認證用戶,所有用戶都必須先通過Web認證,才能訪問網絡資源。

要設置無需認證用戶,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth direct-host ip-address[ip-mask] [port interface-name] [arp]

設置無需認證用戶,最大允許配置50個。

如果設置了port選項,則將用戶IP與接入設備的端口進行綁定。

如果接入設備啟用了ARP CHECK功能,那么需要對免認證的用戶IP范圍進行ARP綁定,需要配置arp關鍵字。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果要取消無需認證的用戶,在全局配置模式下,使用no web-auth direct-host ip-address [ip-mask]。

配置舉例:

# 設置IP地址為176.10.0.1的用戶為無需認證的用戶。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth direct-host 176.10.0.1

Ruijie(config)# show web-auth

~ 注意

設置無需認證用戶功能的生效條件如下:

1.         在Web認證受控口上生效;

2.         其他情況均不生效;

3.         不受GSN、ACL設置影響,即無法使用GSN阻斷或使用ACL過濾該用戶的IP地址;

21.4.7  設置用戶下線檢測模式

設置可以基于流量來檢測用戶是否下線,如果在15分鐘內,用戶流量都沒有增加,則認為用戶下線。此命令僅用來輔助檢測用戶是否下線,會存在一些誤檢的風險。

當前檢測用戶是否下線有以下三種方式:

1)        用戶點擊認證頁面上的“下線”按鈕;

2)        基于鏈接的檢測模式,當接入設備檢測到用戶端口LinkDown后,在1分鐘內沒有再次檢測到用戶端口LinkUp,則認為用戶下線;

3)        基于用戶流量的檢測模式,在15分鐘內用戶流量沒有增加,則認為用戶下線;

這三種方式中,1)和2)都是強制檢測,3)是可選檢測。即在默認情況下,是通過1)和2)來檢測用戶是否下線。缺省時,沒有設置基于流量來檢測用戶是否下線。

要設置無需認證用戶,請按照如下步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth offline-detect-mode flow

設置基于流量檢測用戶是否下線。

Step 3

Ruijie(config)# show web-auth

查看Web認證全局配置信息和統計信息。

如果關閉基于用戶流量來檢測用戶是否下線,在全局配置模式下,使用no web-auth offline-detect-mode flow。

配置舉例:

# 設置基于用戶流量來檢測用戶是否下線。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth offline-detect-mode flow

Ruijie(config)# show web-auth

21.5        顯示Web認證配置和狀態

以下章節描述如何查看Web認證的配置和狀態:

n         < href="Cap1.htm#_查看HTTP重定向的配置_" target="b">查看HTTP重定向的配置

n         < href="Cap1.htm#_查看免Web認證的用戶范圍" target="b">查看免Web認證的用戶范圍

n         < href="Cap1.htm#_查看接口上的Web認證配置信息" target="b">查看接口上的Web認證配置信息

n         < href="Cap1.htm#_查看Web認證用戶的信息" target="b">查看Web認證用戶的信息

21.5.1  查看HTTP重定向的配置

在特權模式下使用如下命令查看HTTP重定向的配置:

命令

作用

Step 1

Ruijie# show http redirect

查看HTTP重定向的配置。

以下例子是查看HTTP重定向的配置:

Ruijie# show http redirect

HTTP redirection settings:

server:          192.168.32.123

port:             80  8000

homepage:        http://192.168.32.123:8888/ePortal/index.jsp

session-limit: 10

timeout:         5

Direct sites:

Address            MASK               ARP Binding

---------------- ---------------- -----------

61.233.3.215     255.255.255.255    On

61.233.3.220     255.255.255.255    Off

192.168.5.140    255.255.255.255    Off

218.30.66.101    255.255.0.0         Off

218.30.66.101    255.255.255.255    Off

Direct hosts:

Address            Mask               Port         ARP Binding

---------------- ---------------- ---------- ------------

192.168.1.1       255.255.255.255  Fa0/1        On

21.5.2  查看免Web認證的用戶范圍

在特權模式下使用如下命令查看免Web認證的用戶范圍:

命令

作用

Step 1

Ruijie# show web-auth direct-host

查看免Web認證的用戶范圍。

以下例子是查看免Web認證的用戶范圍:

Ruijie# show web-auth direct-host

direct-host

Address           Mask                 Port         ARP Binding

--------------- ---------------- ---------- ----------

192.168.0.1      255.255.255.255   Fa0/2         On

192.168.4.11     255.255.255.255   Fa0/10        On

192.168.5.0      255.255.255.0      Fa0/16       Off

21.5.3  查看接口上的Web認證配置信息

在特權模式下使用如下命令查看接口上的認證配置信息:

命令

作用

Step 1

Ruijie# show web-auth port-control

接口上的認證配置信息。

以下例子是查看接口上的認證配置信息:

Ruijie# show web-auth port-control

Port                          Control

------------------------- ----------

FastEthernet 0/1           On

FastEthernet 0/2           Off

FastEthernet 0/3           Off

......

21.5.4  查看Web認證用戶的信息

在特權模式下使用如下命令查看所有用戶或是指定用戶的在線信息:

命令

作用

Step 1

Ruijie# show web-auth user [ip-address]

查看所有用戶或是指定用戶的在線信息。

以下例子是查看所有用戶或是指定用戶的在線信息:

Ruijie# show web-auth user

Current user num  :  4

Address           Online   Time Limit     Time Used       Status

--------------- -------  -------------  -------------- --------

192.168.0.11      On       0d 01:00:00    0d 00:15:10      Active

192.168.0.13      On       0                0d 00:00:59      Active

192.168.0.25      Off      0                0                  Create

192.168.0.46      Off      0d 01:00:00    0d 01:00:00      Destroy

Ruijie# show web-auth user 192.168.0.11

Address       :   192.168.0.11

Mac            :   00d0.f800.2233

Port          :    Fa0/2

Online        :   On

Time Limit   :   0d 01:00:00

Time Used    :   0d 00:15:10

Time Start   :   2009-02-22 20:05:10

Status        :   Active

認證

中國移動客戶定制Web認證功能,在客戶端接入無線網路時,經接入設備HTTP重定向后,由portal服務器提供認證Web頁面,并與接入設備進行交互,通知接入設備向RADIUS服務器請求完成用戶認證(而非portal服務器向RADIUS服務器請求進行認證)。當認證通過以后,接入設備允許用戶接入網絡,并通知portal服務器。(以上定制功能的技術特征符合《中國移動WLAN業務總體技術要求》1.0.0,2002年版)。以下章節描述如何配置中國移動客戶定制Web認證的基本特性:

n         < href="Cap1.htm#_設置HTTP重定向地址" target="b">設置選擇Web認證客戶定制模式

n         設置Portal服務器

n         < href="Cap1.htm#_設置每個未認證用戶的最大HTTP會話數_1" target="b">設置強制指定用戶下線

n         設置應用AAA方法

n         設置Web認證用戶的計費更新時間

n         查看Portal服務器的配置信息

n         查看Web認證的認證、授權和計費方法列表的配置信息

n         查看客戶定制的Web認證模式的配置信息

認證客戶定制模式

選擇Web認證客戶定制模式(cmcc,即中國移動)。如不選擇,默認為銳捷的認證模式。必須在Web認證其他配置之前進行配置,如果在認證運行過程中進行模式切換,將失去部分cmcc特有的配置,以及強制所有已上線用戶下線。

若要設置Web認證客戶定制模式,請按如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth custom cmcc

選擇Web認證客戶定制模式為中國移動客戶定制模式。

如果要清除選擇Web認證客戶定制模式,在全局配置模式下,執行no web-auth custom cmcc。

配置舉例:

# 設置選擇Web認證客戶定制模式為cmcc。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth custom cmcc

服務器

要成設置Portal服務器的IP地址,以及本地和遠程Portal服務器的UDP端口號。缺省時,沒有設置Portal服務器的IP地址,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc portal {ip-address ip-address | local-port local-num |remote-port remote-num}

ip_address:所要配置的IP地址。

local-num:所要配置的本地或者遠程的UDP端口號。

remote-num:所要配置的本地或者遠程的UDP端口號。

如果要清除Portal服務器的配置信息,在全局配置模式下,執行no web-auth cmcc portal。

配置舉例:

# 設置Portal服務器IP地址為172.1.1.1,本地端口為600,遠程端口為700

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc portal ip-address 172.1.1.1

Ruijie(config)# web-auth cmcc portal local-port 600

Ruijie(config)# web-auth cmcc portal remote-port 700

要強制指定用戶下線,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth force-user-offline-by{ip-address ip-address | name username | idsession-id | mac-address mac-addr}

ip-address:所要刪除的用戶的IPV4地址。

username:所要刪除的用戶的名字。

session-id:所要刪除的用戶的標志符。

mac-addr:所要刪除的用戶的MAC地址。

配置舉例:

# 設置要強制指定IP為172.10.1.25的用戶下線

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth force-user-offline-by ip-address 172.10.1.25

方法

要將認證、授權和記賬的方法列表應用到中國移動Web認證用戶類型,事先需要在AAA中定義這些方法。缺省時,沒有定義和應用任何AAA方法。要應用AAA方法到Web認證,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc {authentication| authorization | accounting} method-list

method-list:方法列表的名稱。

如果要清除Web認證中應用的AAA方法,在全局配置模式下,執行no web-auth cmcc {authentication | authorization | accounting}。

配置舉例:

# 設置Web認證中應用的認證方法為web-auth。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc authentication web-auth

認證用戶的計費更新時間

設置Web認證用戶的計費更新時間,單位分鐘。該值將結合RADIUS下發的計費更新時間對用戶進行設置。

缺省時為0,即不進行計費更新。設置Web認證用戶的計費更新時間,請按照如下的步驟:

命令

作用

Step 1

Ruijie# configure terminal

進入全局配置模式。

Step 2

Ruijie(config)# web-auth cmcc acct-intervalminutes

minutes:計費更新時間。

如果要清除認證頁面的主頁地址,在全局配置模式下,執行no web-auth cmcc acct-interval。

配置舉例:

# 設置Web認證用戶的計費更新時間為30分鐘。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# web-auth cmcc acct-interval 30

服務器的配置信息

在特權模式下使用如下命令查看Portal服務器的配置信息:

命令

作用

Step 1

Ruijie# show web-auth cmcc portal

顯示Portal服務器的配置信息。

以下例子是查看Portal服務器的配置信息:

Ruijie(config)# show web-auth cmcc portal

CMCC Portal Configuration:

Portal-AC Protocal Version Supported - Min Ver. 1, Max Ver. 1

Current Portal-AC Protocal Version Used: 1

Portal IP: 192.168.195.73

Portal UDP Port: 2500

Local UDP Port: 2501

認證的認證、授權和計費方法列表的配置信息

在特權模式下使用如下命令查看Web認證的認證、授權和計費方法列表的配置信息:

命令

作用

Step 1

Ruijie# show web-auth cmcc aaa

查看Web認證的認證、授權和計費方法列表的配置信息。

以下例子是查看Web認證的認證、授權和計費方法列表的配置信息:

Ruijie(config)# show web-auth cmcc aaa

CMCC AAA Method Lists Configuration:

Authentication: default

Authorization: default

Accounting: default

認證模式的配置信息

在特權模式下使用如下命令查看客戶定制的Web認證模式的配置信息:

命令

作用

Step 1

Ruijie# show web-auth custom

查看客戶定制的Web認證模式的配置信息。

以下例子是查看客戶定制的Web認證模式的配置信息:

Ruijie(config)# show web-auth custom

Customized Web Portal Configuration: CMCC

認證典型配置舉例

以AC集中式組網為例。采用集中式設置時,在城域網集中部署一臺AC,每個WLAN覆蓋地區的AP通過城域傳送網接到集中AC上。

圖 2.      Web認證方案網絡拓撲圖

配置:

AP1上配置了WLAN1,AC在WLAN1上開啟了Web認證,并完成相關配置。

無線用戶上線:

1.        無線用戶A接入AP1的WLAN1,在成功獲取IP地址、子網掩碼和DNS服務器地址之后,打開網絡瀏覽器,輸入URL地址(非免費資源地址),訪問網絡;

2.        無線接入設備截獲該瀏覽器發出的HTTP訪問請求,并將其重定向到指定的Portal服務器的認證頁面;

3.        無線用戶A在認證頁面上輸入用戶名和密碼之后提交;

4.        Portal服務器同RADIUS通信進行無線用戶A的認證請求;

5.        用戶認證通過后, Portal將認證結果返回頁面給無線用戶A;并通知無線接入設備放行無線用戶A的Internet訪問,不再進行攔截;

無線用戶在線:

1.        AC定時統計用戶的在線時長,上下行流量等信息;Portal服務器通過SNMP訪問AC,可以獲得這些信息;

2.        無線接入設備允許無線用戶A訪問非免費的Internet資源;

無線用戶主動下線:

1.        無線用戶A通過Portal服務器提供的下線頁面進行下線;

2.        Portal收到請求之后,同AC進行用戶下線處理;并通知RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC通知Portal下線結果,Portal將結果返回給用戶;AC關閉無線用戶A訪問非免費Internet資源的權限;

Portal發現用戶異常下線:

1.        Portal服務器發現無線用戶A的保護頁面失效,向AC發起強制用戶下線處理;

2.        Portal服務器同RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC通知Portal下線結果;AC關閉無線用戶A訪問非免費Internet資源的權限;

AC發現用戶異常下線:

1.        AC發現用戶異常下線(一定時間內無流量,或者用戶掉線),通知Portal服務器強制用戶下線;

2.        Portal服務器并同認證和計費RADIUS服務器進行用戶的下線處理;

3.        用戶下線成功之后,AC關閉無線用戶A訪問非免費Internet資源的權限;

Web認證方案的注意事項:

端口上打開了Web認證后,該端口下即使是未認證的用戶,其發出的DHCP和DNS報文是可以通過的。不會影響到用戶獲取IP地址,以及進行域名解析;

為了防止TCP攻擊,限制用戶在認證前的最大連接數以防止TCP攻擊,缺省值是255。但用戶PC可能發起多個HTTP連接,但不一定是瀏覽器發出的,有可能是其他軟件,例如聊天、下載或視屏軟件,甚至可能是木馬病毒。這種情況下,可能會因其他軟件占用了連接,導致瀏覽器無法建立連接,因此無法完成認證。這種限制的解決,需要在部署時注意,使用Web認證的用戶,若上網前開啟的自動連接軟件過多,要先關掉;

由于Web認證必須依靠客戶PC能發起HTTP連接,而在進行連接之前,必須要能讓客戶PC獲取到DNS解析的IP地址,以及網關的ARP報文。在這種情況下,接入設備放行未認證用戶發給網關的ARP請求報文。因此,有可能出現一種ARP欺騙情況,即如果某個用戶冒充同一個VLAN下的其它用戶的IP,給網關發送ARP報文,就會造成網關學習到錯誤的ARP,對同一VLAN下的其它用戶產生影響;

1)        在AC上設置認證服務器的IP地址及與認證服務器進行通信的密鑰

Ruijie# config

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# http redirect 192.168.3.1

Ruijie(config)# web-auth portal key web_auth_s26_1

2)        在AC上設置認證頁面的主頁地址

Ruijie(config)# http redirect homepage http://www.web_auth.com/webportal/index.jsp

3)        設置AC與認證服務器之間的SNMP網管參數

Ruijie(config)# snmp-server community web_auth_key

Ruijie(config)# snmp-server enable traps web-auth

Ruijie(config)# snmp-server host 192.168.3.1 inform version 2c web_auth_key web-auth

Ruijie(config)# exit

4)        在AC上對WLAN1開啟Web認證功能

Ruijie(config)# wlansec 1

Ruijie(wlansec)# webauth

Ruijie(wlansec)# exit

5)        在AC上設置免認證的網絡資源范圍,將公共服務器192.168.5.1設置為直通的網站

Ruijie(config)# http redirect direct-site 192.168.5.1

如果打開了ARP Check功能,則需要加上arp選項:

Ruijie(config)# http redirect direct-site 192.168.5.1 arp

6)        若開啟ARP功能,則還必須將網關IP地址設置為免認證的網絡資源范圍,并開啟arp選項,以保證在認證前,PC能完成DNS及ARP請求。

在AC上將網關192.168.4.1設置免認證的網絡資源范圍

Ruijie(config)# http redirect direct-site 192.168.4.1 arp

7)        在AC上設置無需認證用戶IP地址范圍,例如192.168.4.12

Ruijie(config)# web-auth direct-host 192.168.4.12

如果打開了ARP Check功能,則需要加上arp選項:

Ruijie(config)# web-auth direct-host 192.168.4.12 arp

至此用戶A如果要訪問internet就會先重定向到Web認證服務器,通過認證后,才能訪問internet;

1)        顯示HTTP重定向的配置:

Ruijie# show http redirect

http redirect settings

server         : 192.168.3.1

port           : 80

homepage       : http://www.web_auth.com/webportal/index.jsp

session-limit : 3

timeout        : 3

direct-site

Address           Mask               ARP Binding

--------------- ---------------- -----------

192.168.4.1      255.255.255.255    On

192.168.5.1      255.255.255.255    On

direct-host

Address           Mask               ARP Binding

--------------- ---------------- ----------

192.168.4.12     255.255.255.255  On

2)        顯示免Web認證的用戶范圍:

Ruijie# show web-auth direct-host

direct-host

Address           Mask               Port        ARP Binding

--------------- ---------------- ---------- ----------

192.168.4.12     255.255.255.255  Fa0/3        On: 3

timeout        : 3

direct-site

Address           Mask               ARP Binding

--------------- ---------------- -----------

192.168.4.1      255.255.255.255    On

192.168.5.1      255.255.255.255    On

direct-host

Address           Mask               ARP Binding

--------------- ---------------- ----------

192.168.4.12     255.255.255.255  On

2)        顯示免Web認證的用戶范圍:

Ruijie# show web-auth direct-host

direct-host

Address           Mask               Port        ARP Binding

--------------- ---------------- ---------- ----------

192.168.4.12     255.255.255.255  Fa0/3        On

免責聲明:本文僅代表文章作者的個人觀點,與本站無關。其原創性、真實性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容文字的真實性、完整性和原創性本站不作任何保證或承諾,請讀者僅作參考,并自行核實相關內容。

http://www.uswqb.club/style/images/nopic.gif
分享
評論
首頁
高速公路之王电子游艺
pc蛋蛋赔率跟踪 浙江十一选五前三直遗漏一定牛 腾讯欢乐麻将辅助工具 捕鱼达人千炮版360专区 辽宁快乐12任选三技巧 山西十一选五遗漏数据 皇家国际平台合法吗 pk10官网直播 现在什么网游能赚钱 今晚一码大公开资料 宜昌血流麻将微信群 青海体彩11选五综合走势图 单机打麻将全部免费 河北十一选五登录 十一选五山东一定牛 竞彩足球比分计算器