- 1【C语言】可变参数详解_c可变参数列表使用
- 22023年node.js最新版(18.15.0)详细安装教程(保姆级)_node最新版本
- 3网络各层协议_网络层协议
- 4SpringBoot实现自动配置(图解超详细)_springboot127个自动配置类
- 5给学生补充的markdown 编辑器_markdownpad要钱吗
- 6业务签署升级,君子签电子签章助推汽车融资租赁释放消费潜力
- 7python调用函数示例_Python 实现异步调用函数的示例讲解
- 8cesium图层管理_cesium 图层管理器
- 9Vue中级面试题汇总(二)
- 10Unity 问题 之 ScrollView ,LayoutGroup,ContentSizeFitter 一起使用时,动态变化时无法及时刷新更新适配界面的问题_unity content size fitter 高度不刷新
【锐捷无线二代WEB认证配置】_锐捷web认证
赞
踩
配置步骤
说明
- 配置说明:不同无线AC型号,存在调试细节的差异,但是基本认证过程和报文一致。
- 场景说明:当前环境必须存在三要素:①AP,②AC,③认证服务器。当前场景需要对无线接入用户做认证,认证通过的终端才能接入网络正常上网,AC做portal对接Radius服务器做认证,用户认证账号密码保存在Radius服务器上。
- 网络说明:当前环境下,AP已正常上线,AC与认证服务器正常通信。AC是多业务网关类型设备(网关模式),同时是无线用户和AP的网关。
- 认证服务器信息:
ESS服务器软件版本:RG-ESS_1.68(p10)_Build20200513 - AC信息:
System description : Ruijie 10G Wireless Switch(WS7204-A) By Ruijie Networks.
System software version : AC_RGOS 11.9(6)B1, Release(07183019) - AP信息:
System description : Ruijie Indoor AP730(TR) (802.11a/n/ac and 802.11b/g/n) By Ruijie Networks.
System software version : AP_RGOS 11.1(9)B1P20, Release(06232118)
拓扑图
AC上配置步骤(WEB页面配置)
认证服务器配置(ESS服务器)
- 单击左边菜单中的“认证授权管理”>“WEB认证管理”,进入web认证配置页面。
- ESS进行接入认证时,需要与接入设备进行交互,因此需要在SMP添加设备信息,才能进行管理。 单击左边菜单中的”认证授权管理“ > ”管理设备“
使用设备配置模板,需要确认设备配置模板信息是否正确
- 用户模板的作用就是将用户的上网行为限制、接入控制等约束条件统一放置在一起,便于管理
点击左边菜单中的“认证授权管理>管理用户模板”,点击“添加”按钮进行添加用户模板
输入用户组名称,勾选接入方式
- 将相同属性的认证用户放在同一个组中,点击菜单中的“认证授权管理>管理用户组”,点击“添加”按钮进行添加用户组。
输入用户组名称,选择用户组刚才创建的模板,及配置是否要限制该用户组的人数
- 添加认证用户信息,这个用户名将会与用户提交上来的用户名密码经过加密处理的值进行对比。如果不一致就拒绝用户。点击菜单中的“认证授权管理>管理用户“
根据需要选择类型:普通用户、证书用户、访客用户、第三方身份中心用户输入必填字段,点击“添加”
验证
打开无线连接,连接之后会自动打开IE浏览器,浏览器地址为刚才设置的重定向下网页,然后输入用户名密码,点击登录
- 在ESS服务器上查看
- 在AC上查看认证状态
报文解析
认证过程报文
-
终端打开浏览器的时候,会打开一个网址,这个网址通过DNS会解析成对应的IP地址,那终端就会跟这个IP地址建立TCP连接,网页使用的是HTTP协议,在TCP基础协议上,所以终端会与目标IP建立TCP连接,而建立连接的话就会三次握手。终端在没有认证成功之前,访问域名IP的报文会被AC给拦截的,终端发起的三次握手实际是与AC建立的连接,建立完三次握手之后,然后终端发起HTTP GET资源请求,请求的报文还是被AC拦截,AC收到之后会回复终端HTTP 200OK(HTTP 302)这样的一个报文,这个报文是一个重定向的报文,里面包含了重定向的网址。这个网址就是Portal Sever的地址,终端收到网址后,会回复FIN报文,表示数据已经传完了,然后断开连接。
-
终端收到AC发来重定向URL后,会根据URL地址找到相应的IP地址,然后发起TCP三次握手的连接,建立完成之后,终端发起HTTP GET向PORTAL去请求对应的资源,PORTAL收到后回复HTTP 200OK的报文,这个200OK里面就是认证的界面,需要用户填写账号和密码,终端收到填写完成后,用HTTP POST发送给PORTAL SERVER,PORTAL SERVER收到后会回复终端FIN,表示数据已经交互完成,然后通过4次挥手断开连接。然后PORTAL SERVER通过req-auth将用户发过来的账号密码发给AC
-
AC收到PORTAL SERVER发过来的账号密码后,会把PORTAL SERVER发过来的数据再次加密然后通过Access-Request发给RADIUS SERVER,RADIUS SERVER收到后把本身存储的用户密码经过哈希的值,与AC发过来的数据哈希后的值进行对比,如果一致表示验证成功,然后通过Access-Accept回复AC校验成功
-
AC收到RADIUS SERVER发来的Access-Accept后,然后通过ACK_auth报文告知PORTAL SERVER认证成功,同时设置用户的上网权限,PORTAL SERVER收到后通过AFF_ACK_AUTH回复AC表示收到确认了。
-
AC收到RADIUS SERVER发来的Access-Accept时候,AC就会通过Accounting-Reuest发起计费请求,RADIUS SERVER收到后通过Accouting-Respone表示开始计费
-
PORTAL SERVER收到AC的ACK_AUTH,表示已经认证成功了,然后下发认证成功的界面给终端,然后终端就可以看到认证成功了
下线
终端认证成功后,在认证界面可以直接点击下线。
