本帖 * 后由 浪天涯星仔 于 2016-1-9 20:14 编辑
功能介绍:
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。
适用场景说明
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制
优点:无线终端不需要安装客户端,使用web浏览器即可
缺点:需要增加radius服务器(用于储存客户端用户名和密码的设备)、内置portal服务功能比较弱
一、组网需求
客户需要通过使用AC内部提供的页面对无线用户进行认证,启用AC内置Web认证功能
二、组网拓扑
1.png (36.39 KB, 下载次数: 26)
2016-1-6 02:35 上传
三、配置要点
部署web认证前,请确保前期网络部署已经完成,数据通信都正常。下面的配置只截取的web认证的相关配置
1、启用内置portal AAA认证
2、配置radius服务器IP及KEY等
3、放通网关ARP,开放免认证网络资源和免认证用户
4、开启内部重定向端口
5、WLAN启用web认证
6、配置SNMP功能
7、配置设备的登陆用户名和密码
8、SAM(radius)服务器配置
以下主要是配置介绍,配置可以直接复制案例介绍 * 后的脚本文件,根据实际的网络环境修改脚本文件中的部分内容,详见案例 * 后的脚本。
四、配置步骤
1、启用内置portal AAA认证
AC#config terminal
AC(config)#aaa new-model ------>启用AAA认证功能
AC(config)#aaa accounting network default start-stop group radius ------>定义用户上线下线审计默认使用列表
AC(config)#aaa authentication iportal default group radius ------>定义内置web认证默认使用列表
2、配置radius服务器IP及KEY等
AC(config)#radius-server host 192.168.51.103 key ruijie ------>配置radius服务器KEY及IP(密码后面不能有空格)
AC(config)#ip radius source-interface vlan 1 ------>AC使用vlan 1 的IP地址和radius对接
AC(config)#radius dynamic-authorization-extension enable ------>配置AC支持radius扩展属性
AC(config)#radius-server attribute 31 mac format ietf ------>如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式
3、放通网关ARP,开放免认证网络资源和免认证用户
AC(config)#http redirect direct-arp 192.168.51.1 ------>必须开放无线用户网关arp
AC(config)#http redirect direct-site 172.18.10.3 ------>设置172.18.10.3为免认证网络资源,即用户没有认证前就可以访问的资源(非必需)
AC(config)#web-auth direct-host 192.168.51.129 ------>设置192.168.33.129为免认证用户,即不用认证就可以上网的用户(非必需)
4、开启内部重定向端口
AC(config)#http redirect port 8081 ------>此端口默认生成不能进行修改及配置
5、在AC上对wlan1开启web认证功能
AC(config)#web-auth template iportal ----->【11.X需要增加的命令】配置内置portal
AC(config.tmplt.iportal)#exit
AC(config)#wlansec 1 ------>这个wlansec后面的数字,取决于配置无线信号发射时使用的wlan-id,这里假设配置的是wlan 1
AC(config-wlansec)#web-auth portal iportal ------>启用内置web认证
AC(config-wlansec)#webauth ------>启用web认证功能
AC(config-wlansec)#exit
6、配置SNMP功能
AC(config)#snmp-server community ruijie rw
7、配置设备的登陆用户名和密码
AC(config)#username admin password admin------>设置设备的登陆用户名和密码都为admin,全局设置aaa new-model后,telnet登陆时默认会调用本地帐号,所以需要进行设置
AC(config)#end
AC#write ------>保存配置
8、SAM(radius)服务器配置
1)登陆SAM服务器--->“系统管理”--->“设备管理”,选择“添加”
2.png (102.72 KB, 下载次数: 23)
2016-1-6 02:35 上传
2)添加设备,填充设备相关参数“设备IP地址”、“设备类型”、“具体型号”、“设备key”、“读写Community”,点击“保存”。
3.png (172 KB, 下载次数: 25)
2016-1-6 02:35 上传
五、配置验证
1、无线用户连接无线网络,可以弹出认证页面并且认证通过
4.png (30.34 KB, 下载次数: 25)
2016-1-6 02:35 上传
5.png (36.42 KB, 下载次数: 24)
2016-1-6 02:35 上传
2、登陆到AC上通过show web-auth all 确认无线用户在web认证状态。
AC#show web-auth user all
Statistics:
Type Online Total Accumulation
-------------- ------- ------- ------------
v1 portal 0 0 1
v2 Portal 0 0 11
Intra Portal 1 1 1
-------------- ------- ------- ------------
Total 1 1 13
V1 Portal Authentication Users
Index Address Online Time Limit Time used Status
----- ---------------------------------------- ------ ------------ ------------ -------
----- ---------------------------------------- ------ ------------ ------------ -------
Intra Portal Authentication Users ------>内置web认证用户
Index Address Online Time Limit Time used Status
----- ---------------------------------------- ------ ------------ ------------ -------
1 192.168.51.29 On 240d 00:00:00 0d 00:00:00 Active
----- ---------------------------------------- ------ ------------ ------------ -------
V2 Portal Authentication Users
Index Address Online Time Limit Time used Status
----- ---------------------------------------- ------ ------------ ------------ -------
----- ---------------------------------------- ------ ------------ ------------ -------
下面为内置WEB认证配置(radius认证)的脚本:
2016-1-9 20:14 上传
点击文件名下载附件
686
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
