- 1shd_config ssh设置(解决ssh客户端连接服务器断开)_修改了sshd_config配置文件后,服务器挂了
- 2笔记:使用WDS批量安装win10,附有Enterprise无人值守应答文件_wds应答文件密码vaule
- 3chatgpt赋能python:Python如何合并集合?_将 { 1, 2, 3, 4, 5 }和 { 3, 4, 5, 6, 7, 8, 9 }中的元素合并
- 4Dubbo学习之DubboService_@dubboservice
- 5Zabbix监控(十三):监控网络设备
- 6关于vue项目中的echrts需要以HTML文件的格式导出_js将echarts导出为html结构
- 7Could NOT find CUDNN (missing: CUDNN_LIBRARY CUDNN_INCLUDE_DIR) (Required is at least version “7.5“)_dnn: cuda backend requires cudnn. please resolve d
- 8frp实现内网穿透Linux->Linux(详细)_frp linux
- 9Python实现淘宝爬取——奶粉销售信息爬取及其数据可视化_爬取奶粉品牌
- 10CSS知识点总结
无线WEB认证常见问题_http redirect direct-arp
赞
踩
目录
Ⅰ 维护命令
1、11.x支持查看认证用户的哪些信息?
WS#show web-auth user ?
all Process all users ------查看所有认证用户
escape Web-auth user escape ------查看跟mcp等对接做微信连wifi的逃生用户
ip User ip address ------查看某ip的认证信息
mac User MAC ------查看某mac的认证信息
name User name ------查看某用户名的认证信息
2、查看单个用户上线状态信息
ruijie#show web-auth user ip 192.168.51.99
Address: 192.168.51.99
Mac: 9cfc.01b9.2ded
Port: CAPWAP-Tunnel 1
Online: On
Time Limit: 0d 00:00:00
Time used: 0d 00:06:47
Time Start: 2015-7-1 14:54:
Status: Active
3、显示WEB认证相关控制信息
Ruijie#show web-auth control
Port Control Server Name Online User Count
---------------- -------- --------------------- ---------------------
Wlan 1 On eportalv2 0
4、如何清除通过web认证的用户
WS#clear web-auth user ?
all Process all users
ip User ip address
mac User MAC
name User name
注:清除后终端需要重新认证才能上线,可以基于IP、MAC、用户名,以及所有用户操作。
5、显示HTTP 重定向的配置
Ruijie#show http redirect
HTTP redirection settings:
server: 172.20.1.100 // Portal 服务器的IP 地址
port: 80
homepage: http://172.20.1.100:8888/eportal /index.jsp // Portal 服务器的认证主页URL
session-limit: 255
timeout: 3
Direct sites:
Address MASK ARP Binding
---------------- ---------------- -----------
172.18.10.1 255.255.255.255 Off // 开放免认证访问资源
Direct hosts:
Address Mask Port Binding ARP Binding
---------------------------------------- ---------------- ------------- -----------
192.168.20.1 255.255.255.255 Off // 免认证用户
6、显示 web认证相关的配置信息
Ruijie#show web-auth portal
Portal Servers Settings:
------------------------------------------------------------
Ip: 172.18.159.48
Key: ruijie
ref: 2
------------------------------------------------------------
Ip: 172.18.159.46
Key: ruijie
ref: 1
portalv2 list show
------------------------------------------------------------
Ip: 172.18.159.48
port: 50100
ref: 2
URL format: default
Status: Enable
Ip: 172.18.159.46
port: 50100
ref: 1
URL format: default
Status: Enable
7、AC上如何查看设备配置的template模板信息,port参数说明?
WS#sh web-auth template
Name: zzs2
BindMode: ip-mac-mode
Type: v2
Port: 50100
Ip: 2.2.2.2
Url: http://2.2.2.2/eportal/index.jsp
里面的端口50100是什么端口?Portal server使用本地的50100端口监听认证设备发送的非响应类报文,使用目的端口2000向认证设备发送所有报文;NAS使用本地的2000端口监听Portal Server发送的所有报文,使用目的端口50100向Portal Server发送非响应类报文。
Ⅱ 常见咨询
1、web认证介绍
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。 未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点,也就是 Web认证服务器,通常称为Portal 服务器。用户无需认证即可享受Portal 服务器上的服务,比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时,就必须通过浏览器在Portal 服务器上进行身份认证,只有认证通过后才可以使用网络资源。
2、一代和二代web认证的区别
目前只有二代web认证支持热备功能
ePortal 1.4以上版本支持二代功能
锐捷一代Web认证和二代Web认证的对比
认证角色
客户端:功能一样。
接入设备:锐捷一代Web认证里面,接入设备只做重定向,以及接收Portal Server下发的用户是否可上网的通知。锐捷二代Web认证里面,接入设备需要负责重定向、用户的认证、通告Portal Server认证是否成功。
Portal Server:锐捷一代Web认证里面,PortalServer负责和客户端的页面交互、用户的认证、通告接入设备用户认证是否可上网。锐捷二代Web认证里面,Portal Server负责和客户端的页面交互、通告接入设备用户的认证信息、接收接入设备通告的用户是否认证成功。
Radius Server:功能一样。
认证流程
锐捷二代Web认证将认证从Portal Server迁移到接入设备。
锐捷二代Web认证由于认证在接入设备上,因此就无需等待来自Portal Server发送的用户是否可上网的通告。
下线流程
锐捷一代Web认证中,计费结束报文是Portal Server发起的。锐捷二代Web认证中,计费结束报文是接入设备发起的。
3、AC web认证免认证用户个数最多可以配置多少个
1000个。
4、AC的内置portal支持哪些终端
内置Portal服务器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。
支持苹果iOS、安卓和windows等主流智能终端操作系统。
5、WEB认证流量检测
WEB认证的流量检测功能默认打开,无流量用户下线功能。web认证通过的用户如果在配置的无流量时间之内没有流量通过设备,则设备认为该用户已经下线,该用户将被踢下线。
无流量检测11.x版本分为全局无流量检测和wlansec下无流量监测两种,wlansec下的无流量检测优先级更高,所以当wlansec下的无流量检测生效的情况下,全局的无流量下线是不生效。
全局无流量检测默认8小时流量为0则将用户下线,配置方法为:
Ruijie(config)# offline-detect interval xx threshold yy
xx是时间,1-65535的取值,单位min分钟,默认8小时
yy是流量, 0-4294967294取值,单位Byte,默认0
Wlansec下无流量检测默认15分钟流量为0则将用户下线,配置方法为:
wlansec下优先级更高,默认为15分钟无流量就将用户下线。
WS(config)#wlansec 7 -------这个数字根据实际的认证wlansec序号来
WS(config-wlansec)#web-auth offline-detect ?
flow Configure no flow threshold
interval Configure no flow interval
6、本地转发模式下使用内置portal的限制
本地转发模式下,不能使用http redirect direct-site放行AC的ip地址,否则会由于ACL表项冲突造成内置portal功能无法使用。
7、内置portal收藏在线页面url的注意点
内置portal收藏在线页面url的功能,如果中途用户的ip 改变,是不能使用之前的ip 收藏的url调出在线页面。
8、AC的内置web是否支持只推送广告不用认证,或者是认证后推送广告
不支持。
9、内置web认证本地认证能否支持一个账号只允许单个用户登录
不支持,控制终端同时登陆次数的功能需要配合单独的认证服务器,且需要服务器支持才行。
10、Web认证重定向可能不支持部分型号手机浏览器
例如:由于访问手机QQ浏览器导航页的网址标签时,浏览器会先向QQ自有的服务器发送验证请求,被重定向后依然会向服务器发送验证请求(而不是按预期的跳转到portal的认证页面),因此Web认证重定向功能在手机QQ浏览器无法正常生效。当前在小米手机部分自带浏览器、欧鹏浏览器也碰到过此类问题,可以尝试更换浏览器测试。
11、修改Web认证对重定向端口时需要注意哪些问题
在使用命令http redirect port配置重定向端口时,不能配置1024以下的端口,否则会造成接入用户因为部分浏览器端口冲突而造成重定向不成功,从而导致WEB认证失败。
12、同时配置WEB认证和MAB认证时,需要将防抖时间调短来触发MAB无感知认证生效。
WEB防抖方案和MAB无感知认证方案存在冲突,WEB防抖时间默认是5分钟,当STA下线后再上线时还在WEB防抖期间内的话,就不会触发MAB无感知认证,导致MAB无感知认证失效。此时可通过将防抖时间调短,这样STA下线后短时间内,AC上STA也做下线操作,当STA再次上线时即可触发MAB无感知认证。
13、web认证中是否可以基于mac地址的免认证
10.x版本不支持,11.x已经支持。
14、无线设备是否兼容移动portal协议1.0
支持,在web-auth temp模板下,配置fmt cmcc-normal 等格式,与第三方portal对接要求对端支持移动portal协议标准!
15、SAM开启抢占模式时,踢用户下线功能的注意点
无线设备上需要配置snmpcommunity读写团体名,否则会导致之前认证通过的用户无法被踢下线。
16、web认证中的流量保活是基于用户mac还是用户名
是基于用户的MAC地址。
17、无线二代web认证,portal使用的协议和端口号
udp ,portal 设备的报文目的端口是2000,即AC发送报文的源端口是2000。
18、二代web认证中客户端发送的http get报文的url中可以携带哪些字段
wlanuserip:STA ip地址
wlanacname:wlanacname=ACN.CTY.PRO.OPE,属性名为严格小写,属性值为按照下列规定的AC名称。
统一规定全国AC的编码,其编码规则为ACN.CTY.PRO.OPE,其中:
ACN表示AC的名字,由4位数字组成,各省自己规划和分配。
CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左填零。
PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。
OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00
SSID:STA 连接的SSID名称
nasip:portal 添加AC的地址
mac: STA mac地址
t:web认证方式(1代、2代、内置)
url:跳转前的url
19、咨询无线web认证中无线用户的空口数据是否加密
如果只是配置web认证,那么空口是没有加密的。可以客户配置WPA2等实现。
20.二代web认证是否必须要配置web portal key
smp以及ess上是必须要配置web portal key的。
如果是对接第三方服务器的,需要按照服务器要求来(设备跟服务器上保持一致即可,要么两边都配置要么都不配置)。需要注意,配置了portal key后,url是加密的。如果服务器要求url是明文的,可以通过定制url 为明文解决 其中macc 中移动模板是明文的,也可以自定义为不加密,详见参数下面的 参数调整 部分。
21、二代web认证的时候,get报文的用户mac信息要求明文
URL模式是ruijie(默认) 的情况可以携带用户mac,字段是mac 。如果配置了portal key那么该值会变成密文。
22、web认证浏览器开代理 终端无法重定向
客户有线网络配置了http代理导致发出的报文都是TCP 8002 通过在ac上配置http redirect port 8002 重定向成功。
23、AC是否可以将PORTAL服务器地址配置为域名?
可以,需要将url配置成白名单url,11.1(5)b8及以后版本建议全局模式下使用free-url url xx的方式来设置,比如设置百度为白名单,WS(config)#free-url url www.baidu.com 。
24、AC跨公网管理AP(NAT场景)是否支持内置WEB认证?
不支持。 终端的认证成功页面是AC跟无线用户直接交互的,本地转发终端跟AC跨nat组网,终端无法直接跟AC通信,会出现认证可以成功,但是终端页面无法显示认证成功页面,可能是空白或者是404。
如果是集中转发,终端到AC的页面请求通过capwap封装,可以正常显示认证成功页面。
25、AC web认证逃生用户如何查看?
AC上show web-auth user escape只能查看微信连wifi的逃生用户;对于其他的web认证,就算逃生也会显示在认证表项里面,即show web-auth user all里面显示在线,无法从AC上区分是否是逃生用户。
26、AC是否支持https重定向,是否需要进行配置?
目前只有11.1(5)B8p3、11.1(5)B9P5、办公网及以后版本支持,设备上需要配置443和8443重定向端口,如下:
Ruijie(config)#http redirect port 443
Ruijie(config)#http redirect port 8443
27、WS 跟第三方对接,能否实现不用等服务器的aff_ack_auth报文,直接发送记账开始报文?
可以实现,是隐藏命令,让设备不必等收到aff_ack_auth才发起记账报文,命令如下:web-auth portal non-aff-ack 。
28、web认证场景,终端是静态配置地址,能否将终端ip地址上传到服务器?
无线终端使用静态IP地址,需要将该静态IP 地址上传给服务器时,11.1(5)b8p3版本开始,可以通过配置dot1x get-static-ip enable实现(IP 地址是通过记账报文上传给服务器的,另外使用静态 IP 地址,会没有终端识别信息)。
29、WS如何查看ipv6用户web认证情况?
目前没有单独查看ipv6 web认证用户的命令,v4和v6的是一起显示的,通过show web-auth user all 查看所有。
30、无线的web认证能否实现自动弹窗功能,如何实现?
自动弹窗功能和设备端无关,需要终端主动发起http请求才有自动弹窗功能。
Ⅲ 参数调整
1、Web认证环境里开放特定资源
在某些应用中,需要用户接入无线网络后,无需认证就可以访问某些网络资源(如某些内网网站等)。
可以通过配置,将这部分站点的IP地址添加到免认证网络资源中即可。
命令如下: http redirect direct-site x.x.x.x(x.x.x.x为免认证资源IP地址)
2、AC是否支持web认证和WPA-PSK部署在同一个SSID
支持。用户需要先通过WPA认证再通过Web认证才能访问网络。
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#web-auth portal eportalv2
Ruijie(config-wlansec)#webauth
Ruijie(config-wlansec)#security wpa enable
Ruijie(config-wlansec)# security wpa ciphers aes enable
Ruijie(config-wlansec)# security wpa akm psk enable
Ruijie(config-wlansec)# security wpa akm psk set-key ascii 12345678
Ruijie(config-wlansec)#end
Ruijie#write
3、AC内置ePortal如何定制页面
1)、使用tftp工具把无线设备的的内置portal文件导出到电脑。
命令举例:copy flash:portal/zip/default.zip tftp://192.168.1.1/new.zip ---->导出到电脑上保存为new.zip
2)、修改元素后,导入new.zip压缩包覆盖源文件,然后再导回AC中
copy tftp://192.168.1.1/ new.zip flash:portal/zip/new.zip ---->不能写成default.zip
3)、然后确认是否导入成功:
Ruijie# cd portal/zip
Ruijie#dir
4)、应用新的web页面包
11.x版本是在template模式下面修改,如下:
Ruijie(config)# web-auth template iportal
Ruijie(template.eportalv2)#page-suite new ---->不要写成new.zip
Ruijie(template.eportalv2)#end
Ruijie#write
用户可定制如下系统默认的页面名
4、主备eportal功能配置案例
1)配置web-auth AAA认证
aaa new-model
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius
2)配置radius服务器
radius-server host 192.168.33.244 key ruijie
3)在AC上配置认证页面的主页地址
web-auth template portal-1 v2
ip 172.16.1.251
url http://172.16.1.251:80/eportal/index.jsp
exit
web-auth template portal-2 v2
ip 172.16.1.252
url http://172.16.1.252:80/eportal/index.jsp
exit
web-auth portal-type v2 portal-1
web-auth portal-type v2 portal-2
4)开启portal服务器检测功能
web-auth portal-check ----需要同时开启dhcp snooping以及按需配置信任口
4)开放免认证访问资源
http redirect direct-arp 172.18.10.1 <---必须开放网关arp
5)在AC上对wlan1开启web认证功能
wlansec 1
web-auth portal-type v2 portal-1 <---主portal服务器
web-auth portal-type v2 portal-2 <---备portal服务器
webauth
6)配置snmp服务器(eportal,SAM)
snmp-server host 172.16.1.251 traps version 2c ruijie
snmp-server host 172.16.1.252 traps version 2c ruijie
snmp-server host 192.168.33.244 traps version 2c ruijie
snmp-server enable traps web-auth
snmp-server community ruijie rw
注:主备portal功能,只能使用在二代web认证,portal服务器只能是我司的。
5、AC内置portal本地认证配置案例
1)配置web-auth AAA认证
aaa new-model
aaa authentication iportal default local <---内置portal使用本地账号认证
aaa accounting network default start-stop none <---关闭审计功能
2)配置本地账号
username xxx web-auth password xxx--11.x创建本地账号命令
3)放通网关和sta的arp报文
http redirect direct-arp 172.16.100.254 <---必须开放网关arp
4)开启内部重定向端口
http redirect port 8081 <---此端口默认生成不能进行修改及配置
5)在AC上对wlan1开启web认证功能
wlansec 1
web-auth portal iportal
webauth
注:热备环境下不支持web 一代认证及内置web认证
6、WEB未认证终端不防抖功能如何配置
ac-controller
prevent-jitter authed-only
7、无线WEB认证能否基于MAC地址实现用户免认证?
通过以下命令配置实现:
WS(config)#web-auth direct-host ?
A.B.C.D Ipv4 address
H.H.H Direct host mac address
X:X:X:X::X/<0-128> Ipv6 address
8、AC 二代web认证,如何定制url?
11.x 可以支持url定制(10.x不支持url定制),配置成需要的格式。实例:
要求url格式:
218.201.22.9:8080/CQWLAN?wlanuserip=10.246.90.62&wlanacname=1600.0001.230.00&ssid=CMCC-EDU&NASID=1601000123000460
在web-auth template模式下配置:
fmt custom encry none user-ip wlanuserip nas-id NASID ac-name wlanacname additional ssid=CMCC-EDU
encry none 代表url不加密, user-ip表示该字段为用户ip地址,定义名称为 wlanuserip(与客户提供的url格式要求一致wlanuserip=10.246.90.62)
9、Url参数定制方法
11.x 的一代和二代增加了url定制参数的配置,这个一般是在和第三方Portal服务器对接的时候需要用到。当第三方的Portal服务器和我们设备默认的Url格式不一致的时候,比如参数名字、参数格式,就可以使用定制url功能。 具体定制方法如下:
目前支持的定制参数有这些,包括:
1 、设备名字
2 、设备序列号
3 、自定义的字段
4 、AP的mac地址
5 、AP的序列号
6 、NASID
7 、设备的ip地址
8 、终端关联的端口
9 、终端关联的信号名字
10 、终端认证前访问的url地址
11 、终端的id
12 、终端的ip地址
13 、终端的mac地址
14 、终端vlan
举个例子,比如第三方Portal服务器的地址是 http://192.168.1.10:8080/,使用的是中移动Portal协议,并且需要携带终端的ip地址(参数名字是userip)、终端的mac地址(mac地址的格式是1111.2222.3333,参数名字是usermac)、终端的vlan地址(参数名字是uservlan)、设备的ip地址(参数名字是nasip)、终端认证前访问的url(参数名字是firsturl)及固定的字符串portaltype=custom,所有的字段都不需要加密。按照这个要求,定制的命令如下:
WS(config)#web-auth template eportalv2
WS(config.tmplt.eportalv2)#fmt custom encry none user-ip userip user-mac usermac mac-format line user-vid uservlan nas-ip nasip url firsturl additional portaltype=custom
在这个配置命令中, user-ip userip , user-ip 表示需要增加定制终端的 ip 地址,后面的 userip 表示实际在重定向 url 中显示的参数名字,按照上面的定制命令最终得到的重定向 url 格式如下 :http://192.168.1.10:8080/ ?userip=xxxx&usermac=1111.2222.3333&uservlan=yyyy&nasip=1.2.1.1&firsturl=www.baidu.com&portaltype=custom
10、11.X版本如何实现portal认证逃生?
Ruijie(config)#web-auth portal-escape
Ruijie(config)#web-auth portal-check
(默认是10秒检测一次,超时时间是5秒,报文超时重传3次,可以根据需求修改)
备注:Ruijie(config)#web-auth portal-check [interval 检测周期(默认10秒)][timeout 报文超时时间(默认5秒)][retransmit 报文超时重传次数(默认3次)]
11、AC跟认证服务器跨公网部署,出现服务器上踢用户下线不成功,记账报文上处的是AC私网地址,如何解决?
全局模式下修改AC上传报文为AC端的公网地址,隐藏命令:
Ruijie(config)#radius-server nas-ip x.x.x.x,其中x.x.x.x为AC端的出口公网地址(即服务器上添加的AC的那个公网地址)。
12、AC上如何修改发送portal报文的地址?
Ruijie(config)#ip portal source-interface ?
Aggregateport Aggregate port interface
CAPWAP-Tunnel CAPWAP-Tunnel interface
GigabitEthernet Gigabit Ethernet interface
Loopback Loopback interface
Null Null interface
Tunnel Tunnel interface
Virtual-ppp Virtual PPP interface
Virtual-template Virtual Template interface
Vlan Vlan interface
13、WS配置radius服务器个数占用说明
b9p5版本之前支持配置100条radius 条目,b9p5及之后版本支持配置256条radius条目;但是以下的两个条目都会各自占用一条,所以最多可以对接服务器的数量会对应减半。
a、radius-server host 192.168.51.103 key ruijie
b、aaa group server radius smp
server 172.18.34.16
14、无线AC 如何查看web认证上线log信息?
例如:USER_AUTH_PASSED - User authenticated. Username: xxx.
web认证的日志需要配置命令 web-auth logging enable x -----x是每秒日志的条数
15、如何查看认证用户的用户名信息?
11.x版本,web认证show web-auth user all,1x认证show dot1x sum;
10.x和11.x版本查看web和1x认证的详细信息包括用户名等:show ac-config debug client
16、没有测试终端,如何探测radius服务器是否存活?
下面的示例定义一个IPv4环境下的RADIUS安全服务器主机,开启主动探测功能,检测间隔周期默认为60分钟
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi idle-time 60 key ruijie
关闭对记账UDP口的检测,命令如下:
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi ignore-acct-port idle-time 60 key ruijie
17.使用APP进行web认证的场景,无法弹出web页面如何处理?
在使用APP进行WEB认证的场景,由于某些APP无法执行或不支持javascript脚本动作,可能出现无法弹出WEB认证页面的问题(error 404报错等),需要在WEB认证模板下,将重定向报文格式封装成http来触发重定向,命令如下:
web-auth template eportalv1/v2
redirect http
18.WEB认证提示认证设备不存在?
服务器添加了AC以及认证key配置一致的请款下,还得核对AC是否ping的通服务器,并根据实际情况修改portal和radius的源地址,带上能ping的通的服务器的地址的vlan。
Ruijie(config)#ip portal source-interface vlan 1
Ruijie(config)#ip radius source-interface vlan 1
19. web认证场景中的ip抢占功能如何配置?
全局模式下配置web-auth sta-preemption enable。
20、web认证,认证前可访问的url资源(免认证资源)如何配置?url白名单如何配置?
推荐使用free-url 域名来配置免认证资源(这种方法是设备会捕获终端的dns报文,看下对应的域名解析的哪个ip地址,就将这个ip放通,取决于终端自己解析的,设备不参与解析过程,b8之后版本推荐用这种方式)。
如果版本较低不支持free-url,那么可以尝试使用web-auth acl white 域名(该方法需要在设备上使用ip name-server x.x.x.x配置dns服务器且保证AC可以直通外网参与域名解析)。
