当前位置:   article > 正文

无线WEB认证功能与BYOD方案——无线WEB认证配置:对接锐捷认证服务器(2)_网关的web认证功能有什么用

网关的web认证功能有什么用

目录

Ⅰ  无线内置Web认证(radius认证)    

Ⅱ  无线内置Web认证(本地认证)



 

Ⅰ  无线内置Web认证(radius认证)    

一、功能介绍      

    Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。  

    适用场景说明  

    Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制  

    优点:无线终端不需要安装客户端,使用web浏览器即可  

    缺点:需要增加radius服务器(用于储存客户端用户名和密码的设备)、内置portal服务功能比较弱  

二、配置案例    

一、组网需求  

客户需要通过使用AC内部提供的页面对无线用户进行认证,启用AC内置Web认证功能  

二、组网拓扑  

三、配置要点  

       部署web认证前,请确保前期网络部署已经完成,数据通信都正常。下面的配置只截取的web认证的相关配置  

1、启用内置portal AAA认证  

2、配置radius服务器IP及KEY等  

3、放通网关ARP,开放免认证网络资源和免认证用户  

4、开启内部重定向端口  

5、WLAN启用web认证  

6、配置SNMP功能  

7、配置设备的登陆用户名和密码  

8、SAM(radius)服务器配置 

四、配置步骤  

1、启用内置portalAAA认证  

AC#configterminal  

AC(config)#aaa new-model   ------>启用AAA认证功能  

AC(config)#aaa accounting network default start-stop group radius ------>定义用户上线下线审计默认使用列表  

AC(config)#aaa authentication iportal default group radius  ------>定义内置web认证默认使用列表  

2、配置radius服务器IP及KEY等  

AC(config)#radius-server host 192.168.51.103 key ruijie ------>配置radius服务器KEY及IP密码后面不能有空格)  

AC(config)#ip radius source-interface vlan 1  ------>AC使用vlan 1 的IP地址和radius对接  

AC(config)#radius dynamic-authorization-extension enable  ------>配置AC支持radius扩展属性(11.x版本默认开启,11.x无需配置)  

AC(config)#radius-server attribute 31 mac format ietf  ------>如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式  

3、放通网关ARP,开放免认证网络资源和免认证用户  

AC(config)#http redirect direct-arp 192.168.51.1 ------>   没有配置arp-check情况下,可以不配置网关arp直通;如果有配置arp-check,且非11.1(5)b8p3以及11.1(5)b9p5及之后版本,则必须开放无线用户网关arp。详情请参见无线安全功能-防ARP欺骗功能章节。

AC(config)#http redirect direct-site 172.18.10.3   ------>设置172.18.10.3为免认证网络资源,即用户没有认证前就可以访问的资源(非必需)  

AC(config)#web-auth direct-host  192.168.51.129  ------>设置192.168.33.129为免认证用户,即不用认证就可以上网的用户(非必需)  

4、在AC上对wlan1开启web认证功能  

   AC(config)#web-auth template iportal ----->【11.X需要增加的命令】配置内置portal  

      AC(config.tmplt.iportal)#exit  

AC(config)#wlansec 1 ------>这个wlansec后面的数字,取决于配置无线信号发射时使用的wlan-id,这里假设配置的是wlan 1  

AC(config-wlansec)#web-auth portal iportal ------>启用内置web认证  

AC(config-wlansec)#webauth ------>启用web认证功能  

AC(config-wlansec)#exit  

5、配置SNMP功能  

AC(config)#snmp-server community ruijie rw  

6、配置设备的登陆用户名和密码  

AC(config)#username  admin  password  admin------>设置设备的登陆用户名和密码都为admin,全局设置aaa new-model后,telnet登陆时默认会调用本地帐号,所以需要进行设置  

AC(config)#end  

AC#write    ------>保存配置    

7、SAM(radius)服务器配置  

1)登陆SAM服务器--->“系统管理”--->“设备管理”,选择“添加”  

2)添加设备,填充设备相关参数“设备IP地址”、“设备类型”、“具体型号”、“设备key”、“读写Community”,点击“保存”。 

五、配置验证  

1、无线用户连接无线网络,可以弹出认证页面并且认证通过  

2、登陆到AC上通过show web-auth all 确认无线用户在web认证状态。  

AC#show web-auth user all  

Statistics:  

TypeOnline  Total    Accumulation    

--------------   ------- -------  ------------  

v1 portal00        1  

v2 Portal00        11  

Intra Portal     1       1        1  

--------------   ------- -------  ------------  

Total1113  

V1 Portal Authentication Users  

IndexAddress                        Online Time Limit    Time used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

----- ---------------------------------------- ------ ------------ ------------ -------  

   

Intra Portal Authentication Users------>内置web认证用户  

IndexAddressOnline Time LimitTime used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

1     192.168.51.29On     240d 00:00:00 0d 00:00:00  Active  

----- ---------------------------------------- ------ ------------ ------------ -------  

   

V2 Portal Authentication Users  

IndexAddressOnline Time LimitTime used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

----- ---------------------------------------- ------ ------------ ------------ -------


Ⅱ  无线内置Web认证(本地认证)

一、功能介绍    

    Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。  

    适用场景说明  

    Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制  

    优点:无线终端不需要安装客户端,使用web浏览器即可  

    缺点:内置portal服务功能比较弱,本地认证无法限制一个账号的同时登陆次数

二、配置案例    

一、组网需求  

    客户需要通过使用AC内部提供的页面对无线用户进行认证,启用AC内置Web认证功能。网络中没有radius服务器,认证账号也创建在AC上。  

二、组网拓扑  

三、配置要点  

       部署web认证前,请确保前期网络部署已经完成,数据通信都正常。下面的配置只截取的web认证的相关配置  

1、启用内置portal AAA认证  

2、配置本地帐号  

3、放通网关和sta的arp报文  

4、开启内部重定向端口  

5、在AC上对wlan1开启web认证  

四、配置步骤  

1、启用内置portal AAA认证  

AC#config  terminal  

AC(config)#aaa new-model   ------>启用AAA认证功能  

AC(config)#aaa accounting network default start-stop none------>关闭审计功能  

AC(config)#aaa authentication iportal default local ------>内置portal使用本地账号认证,local表示本地  

2、配置本地帐号  

AC(config)#username ruijie password ruijie ------>【10.x】配置本地帐号ruijie,密码ruijie。该账号即是web本地认证部署,认证用户的账号和密码  

   AC(config)#username admin web-auth password admin ------>【11.x】版本配置用户密码的方式  

3、放通网关和sta的arp报文  

AC(config)#http redirect direct-arp 192.168.51.1 ------>   没有配置arp-check情况下,可以不配置网关arp直通;如果有配置arp-check,且非11.1(5)b8p3以及11.1(5)b9p5及之后版本,则必须开放无线用户网关arp。详情请参见无线安全功能-防ARP欺骗功能章节。

AC(config)#http redirect direct-site 172.18.10.3   ------>设置172.18.10.3为免认证网络资源,即用户没有认证前就可以访问的资源(非必需)  

AC(config)#web-auth direct-host  192.168.51.129  ------>设置192.168.33.129为免认证用户,即不用认证就可以上网的用户(非必需)  

4、在AC上对wlan1开启web认证功能  

   AC(config)#web-auth template iportal ----->【11.X需要增加的命令】配置内置portal  

   AC(config.tmplt.iportal)#exit  

AC(config)#wlansec 1 ------>这个wlansec后面的数字,取决于配置无线信号发射时使用的wlan-id,这里假设配置的是wlan 1  

AC(config-wlansec)#web-auth portal iportal ------>启用内置web认证  

AC(config-wlansec)#webauth ------>启用web认证功能  

AC(config-wlansec)#end  

AC#write    ------>保存配置        

        注:热备环境下不支持web一代认证及内置web认证  

Web配置方法:

   1)、根据集中转发或者本地转发场景搭建无线网络,保证AP正常信号放出,终端接入后正常外网访问

    2)、配置与portla服务器之间联动的配置。点击网络==》上网实名认证

   3)、创建本地认证的用户名和密码,如下图  

点击后进入创建认证用户密码页面,如下图

五、配置验证  

1、用户连接到无线网络,打开网页弹出认证界面,输入密码提示认证正常并且能正常使用网络。

2、登陆到AC上通过show web-auth user all 确认无线用户认证状态。  

AC#show web-auth user all  

Statistics:  

TypeOnline  Total    Accumulation  

--------------   ------- -------  ------------  

v1 portal00        1  

v2 Portal00        11  

Intra Portal     1       1        2  

--------------   ------- -------  ------------  

Total1114  

   

V1 Portal Authentication Users  

IndexAddressOnline Time LimitTime used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

----- ---------------------------------------- ------ ------------ ------------ -------  

   

Intra Portal Authentication Users------>内置web认证用户  

IndexAddressOnline Time LimitTime used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

1     192.168.51.29On     0d 00:00:00  0d 00:00:00  Active  

----- ---------------------------------------- ------ ------------ ------------ -------  

   

V2 Portal Authentication Users  

IndexAddressOnline Time LimitTime used   Status  

----- ---------------------------------------- ------ ------------ ------------ -------  

----- ---------------------------------------- ------ ------------ ------------ -------

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/163298
推荐阅读
相关标签
  

闽ICP备14008679号