- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Web認證配置
本章節下載: 05-Web認證配置 (467.61 KB)
目 錄
1.24.1 使用AAA本地認證方式進行本地Web認證配置舉例
1.24.2 使用AAA遠程認證方式進行本地Web認證配置舉例
1.24.3 使用AAA本地認證方式進行遠程Web認證配置舉例
1.24.4 使用AAA遠程認證方式進行遠程Web認證配置舉例
1.25.1 本地認證接口配置使用默認domain情況下,用戶上線失敗
Web認證是一種在二層接口上通過網頁方式對用戶身份合法性進行認證的認證方法。在接入設備的二層接口上開啟Web認證功能後,未認證用戶上網時,接入設備強製用戶登錄到特定站點,用戶可免費訪問其中的Web資源;當用戶需要訪問該特定站點之外的Web資源時,必須在接入設備上進行認證,認證通過後可訪問特定站點之外的Web資源。
Web認證具體有如下優勢:
· 無需安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展商業廣告、社區服務、信息發布等個性化業務。
Web認證的典型組網方式如圖1-1所示,它由五個基本要素組成:認證客戶端、接入設備、Web認證 Web服務器、Portal認證服務器和AAA服務器。
圖1-1 Web認證係統組成示意圖
用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器,發起Web認證。
提供接入服務的設備,主要有三方麵的作用:
· 在認證之前,將用戶的所有不符合免認證規則的HTTP/HTTPS請求都重定向到認證頁麵。
· 在認證過程中,與AAA服務器交互,完成身份認證/授權/計費的功能。有關AAA的詳細介紹請參見“安全配置指導”中的“AAA”。
· 在認證通過後,允許用戶訪問被授權的網絡資源。
負責向認證客戶端提供認證頁麵及其免費Web資源,獲取認證客戶端的用戶名、密碼等認證信息。Web認證Web服務器包括本地Web服務器和遠程Web服務器兩種類型。本地Web服務器一般集成在接入設備中,遠程Web服務器為Portal Web服務器。
Web認證使用Portal認證服務器作為認證服務器,用於與接入設備交互認證客戶端的認證信息。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前支持的AAA服務器包括RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器和LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)服務器:
· RADIUS可支持對Web認證用戶進行認證、授權和計費。
· LDAP服務器可支持對Web認證用戶進行認證。
Web認證的具體認證過程如圖1-2所示。
圖1-2 Web認證流程圖
(1) Web認證用戶首次訪問Web資源的HTTP/HTTPS請求報文經過開啟了Web認證功能的二層接口時,若此HTTP/HTTPS報文請求的內容為認證頁麵或設定的免費訪問地址中的Web資源,則接入設備允許此HTTP/HTTPS報文通過;若請求的內容為其他Web資源,則接入設備將此HTTP/HTTPS報文重定向到認證頁麵,用戶在認證頁麵上輸入用戶名和密碼來進行認證。
(2) Web認證Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。
(3) Portal認證服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼認證協議)認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。
(4) Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(5) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互,對用戶身份進行驗證。
(6) 接入設備向Portal認證服務器發送認證應答報文,表示認證成功或者認證失敗。
(7) Portal認證服務器向客戶端發送認證成功或認證失敗報文,通知客戶端認證成功(上線)或失敗。
(8) 若認證成功,Portal認證服務器還會向接入設備發送認證應答確認。
EAP認證僅能與iMC的Portal認證服務器以及iNode Portal客戶端配合使用,且僅使用遠程Portal認證服務器的Web認證支持該功能。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Web認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-3 Web認證支持EAP認證協議交互示意圖
如圖1-3所示,在Web認證支持EAP認證的實現中,客戶端與Portal認證服務器之間交互EAP認證報文,Portal認證服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal認證服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。Web認證支持遠程AAA服務器/接入設備下發授權不帶Tag的VLAN。Web認證下發的授權VLAN信息僅包括VLAN ID和VLAN名稱。當用戶通過Web認證後,遠程AAA服務器/接入設備會將授權VLAN信息下發給接入設備上用戶進行認證的端口,該端口被加入到授權VLAN後,用戶便可以訪問此VLAN中的網絡資源。若該VLAN不存在,則接入設備首先創建VLAN,而後端口將允許該VLAN的用戶報文以不攜帶tag的方式通過。
設備根據用戶接入的端口鏈路類型,按如下情況將端口加入到下發的授權VLAN中:
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入第一個通過認證的用戶的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的授權VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。需要注意的是,若該端口上使能了MAC VLAN功能,則設備將根據認證服務器/接入設備下發的授權VLAN動態地創建基於用戶MAC地址的VLAN,而端口的缺省VLAN並不改變。
Web認證Auth-Fail VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如病毒補丁服務器,存儲客戶端軟件或殺毒軟件的服務器,進行升級客戶端或執行其他一些用戶升級程序。這個VLAN稱為Auth-Fail VLAN。
Web認證支持基於MAC地址的Auth-Fail VLAN,二層接口上配置了Auth-Fail VLAN後,此接口將認證失敗用戶的MAC地址與Auth-Fail VLAN進行綁定生成相應的MAC VLAN表項,認證失敗的用戶將會被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用戶可以訪問該VLAN中免認證IP的資源,但用戶的所有訪問非免認證IP的HTTP/HTTPS請求會被重定向到接入設備上的認證頁麵進行認證,若用戶仍然沒有通過認證,則將繼續處於Auth-Fail VLAN內;若認證成功,則該端口會離開Auth-Fail VLAN,之後端口加入VLAN情況與認證服務器是否下發授權VLAN有關,具體如下:
· 若認證服務器下發了授權VLAN,則端口加入下發的授權VLAN中。
· 若認證服務器未下發授權VLAN,則端口回到缺省VLAN中。
Web認證的端口可以工作在單VLAN模式或多VLAN模式。端口工作在不同VLAN模式時,如果相同MAC地址的用戶在同一端口下的不同VLAN(指不同於上一次發起認證時所在的VLAN)再次接入,設備對用戶的處理方式如下:
· 端口工作在多VLAN模式下時,設備將能夠允許新用戶的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
· 端口工作在單VLAN模式下時,如果新用戶上線後未被下發授權VLAN,設備將讓原用戶下線,使得新用戶能夠在新的VLAN內重新開始認證。
· 端口工作在單VLAN模式下時,如果新用戶上線後被下發了授權VLAN,對用戶的處理與是否允許用戶遷移到同一端口下其它VLAN接入(通過port-security mac-move permit命令)有關:
¡ 如果不允許用戶遷移到同一端口下其它VLAN接入,則新用戶在同一端口下的不同VLAN接入失敗,原用戶保持在線。
¡ 如果允許用戶遷移到同一端口下其它VLAN接入,則新用戶在新的VLAN內需要重新認證,且在用戶重新上線後,原用戶下線。
ACL(Access Control List,訪問控製列表)提供了控製用戶訪問網絡資源和限製用戶訪問權限的功能。當用戶上線時,如果遠程AAA服務器上或接入設備的本地用戶視圖下配置了授權ACL,則設備會根據遠程AAA服務器/接入設備下發的授權ACL對用戶所在端口的數據流進行控製。由於遠程AAA服務器/接入設備上指定的是授權ACL的編號,因此還需要在接入設備上創建該ACL並配置對應的ACL規則。管理員可以通過隨時改變遠程AAA服務器/接入設備上授權ACL的編號或修改接入設備上對應ACL的規則來靈活調整認證成功用戶的訪問權限。
Web認證可以成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和二層ACL(ACL編號為4000~4999)。當下發的ACL不存在、未配置ACL規則或ACL規則中配置了counting、established、fragment、source-mac或logging參數時,授權ACL不生效。關於ACL規則的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。在微分段組網中,如果對用戶同時授權ACL和微分段,則授權ACL不生效。
Web認證與802.1X認證或MAC地址認證同時配置時需要注意:
· Web認證與802.1X認證的Guest VLAN、Auth-Fail VLAN、Critical VLAN不建議同時配置。
· Web認證與MAC地址認證的Guest VLAN、Critical VLAN不建議同時配置。
· Web認證的Auth-fail VLAN功能與端口安全認證前域功能互斥。
當Web認證用戶未上線時,用戶報文進入的VLAN裏必須有三層接口(比如VLAN接口)存在,否則將導致HTTPS重定向失敗。
當用戶加入授權VLAN或Auth-Fail VLAN後,需要自動申請或者手動更新客戶端IP地址,以保證可以與授權VLAN或Auth-Fail VLAN中的資源互通。
通常情況下,建議用戶通過與接入設備直連來進行Web認證。但在某些特殊環境下有如圖1-4所示組網,其中Device B作為接入設備,在端口Port B上開啟Web認證功能對Host A、Host B、Host C進行Web認證。此時,需要注意如下配置事項:
· 若通過服務器向用戶下發授權VLAN,需保證Device A與Device B之間的鏈路類型為Trunk,且端口Port A1、Port B的PVID與服務器下發的授權VLAN ID相同。
· 若不通過服務器向用戶下發授權VLAN,則僅需保證端口Port A1、Port B的PVID相同。
Web認證配置任務如下:
(1) 配置Web認證遠程Web服務
組網中部署遠程Web認證Web服務器時,需要進行本配置。
(2) 配置Web認證本地Web服務
采用接入設備作為Web認證Web服務器時,進行以下配置。
b. 配置本地Portal服務
(3) 開啟Web認證功能
(4) (可選)配置Web認證用戶使用的認證域
(5) (可選)配置認證成功後頁麵跳轉的時間間隔
(6) (可選)配置未通過認證的Web認證臨時表項的老化時間
(7) (可選)配置Web認證用戶免認證的目的IP地址或主機名
(8) (可選)配置Web認證最大用戶數
(9) (可選)開啟Web認證用戶在線探測功能
(10) (可選)配置Web在線用戶逃生功能
(11) (可選)配置Web認證的Auth-Fail VLAN
(12) (可選)配置Web認證支持Web代理
在基於MAC地址快速認證的場景下,必須進行本配置。
(14) (可選)開啟Web認證接入用戶日誌信息功能
設備上的Web認證功能支持兩種方式的AAA認證,在接入設備上進行本地AAA認證和通過AAA服務器進行遠程AAA認證。
當選用RADIUS服務器認證方式進行Web認證時,配置Web認證之前,需要完成以下任務:
· RADIUS服務器安裝並配置成功,如創建相應的用戶名和密碼。
· 用戶、接入設備和RADIUS服務器之間路由可達。
· 在接入設備端進行RADIUS客戶端的相關設置,保證接入設備和RADIUS服務器之間可進行AAA認證。
當選用本地認證方式進行Web認證時,需要先在設備上配置本地用戶。
關於RADIUS客戶端的以及本地用戶的具體配置請參見“安全配置指導”中的“AAA”。
在遠程Web服務器視圖下可以配置Web服務器偵聽的IP地址、重定向URL及其重定向URL中攜帶的參數信息。
缺省情況下,重定向URL中指定的Web服務器狀態一直為active,設備並不能感知到服務器的真實狀態。在需要部署從服務器的組網環境中,需要一種探測機製使得設備可以及時獲取主服務器的狀態,在主服務器不可達時,及時完成主從服務器切換,從而保證認證服務不中斷。
通過配置Web服務器與Track項關聯,並由Track項聯動NQA測試組,可以實現設備通過NQA測試組周期性地探測該服務器是否可達:
· NQA探測期間,服務器的狀態僅由探測結果決定。Track模塊基於NQA探測的結果改變Track項的狀態,設備依據Track項的狀態設置Web服務器的狀態。
· 若NQA探測到服務器狀態變為可達,服務器狀態將被置為active;若NQA探測到服務器狀態變為不可達,服務器狀態將被置為inactive。
關於Track的詳細介紹,請參見“可靠性配置指導”中的“Track”。
如果組網中部署了Web認證從Web服務器,請同時配置主Web服務器與Track模塊關聯,否則設備無法感知到主Web服務器的狀態,從而無法在主Web服務器不可達時實現主從Web服務器切換。
對Web服務器的可達性探測是通過在設備上執行nqa schedule命令,對與Track聯動的NQA測試組進行調動啟動的,因此請結合實際情況確定探測時間和探測參數。
(1) 進入係統視圖。
system-view
(2) 創建Web認證遠程Web服務器,並進入Web認證遠程Web服務器視圖。
web-auth remote server server-name
遠程和本地Web服務器的名稱不能相同。
(3) 配置Web認證遠程Web服務器的IP地址。
(IPv4網絡)
ip ipv4-address
(IPv6網絡)
ipv6 ipv6-address
缺省情況下,未指定Web認證遠程Web服務器的IPv4地址。
遠程Web服務器的IP地址必須與所使用的Portal Web服務器的IP地址相同。
同一個遠程Web服務器視圖下可以配置1個IPv4地址和1個IPv6地址。
(4) 配置Web認證遠程Web服務器的重定向URL。
url url-string [ track track-entry-number ]
缺省情況下,未配置Web認證Web服務器的重定向URL。
如果需要同時對IPv4和IPv6 Web認證用戶推出認證頁麵,請配置Web服務器的重定向URL攜帶服務器域名,例如https://example.com表示攜帶了服務器域名example.com的重定向URL。
一個Web服務器最多隻能關聯一個Track項,新配置將覆蓋已有配置。
(5) (可選)配置設備重定向給用戶的URL中攜帶的參數信息。
url-parameter parameter-name { original-url | source-address | source-mac | value expression }
缺省情況下,未配置設備重定向給用戶的URL中攜帶的參數信息。
URL中攜帶的參數名稱必須與瀏覽器所接受的參數名稱保持一致,請根據具體情況配置URL中攜帶的參數名稱。
(6) (可選)配置Web認證重定向給用戶的URL中不轉義的特殊字符。
url-unescape-chars character-string
缺省情況下,對重定向給用戶的URL中所有的特殊字符進行轉義。
(7) (可選)配置Web認證服務器支持綠洲平台標準。
server-type oauth
缺省情況下,Web認證服務器不支持綠洲平台標準。
當使用綠洲服務器作為Web認證服務器時,需要通過此命令將服務器配置成支持綠洲平台標準。
有關遠程Portal認證服務器的詳細配置請參見“安全配置指導”中的“Portal”。
在遠程Web認證組網中,設備收到Portal認證服務器發送的Portal協議報文時,通過查詢FIB表項無法獲取用戶的MAC地址和二層接入接口等信息,從而導致用戶無法通過Web認證。
為了解決這個問題,需要指定設備通過查詢ARP/ND表項來獲取用戶的接入信息,從而保證用戶正常上線。
(1) 進入係統視圖。
system-view
(2) 指定通過查詢ARP/ND表項來獲取Portal用戶信息。
portal access-info trust { arp | nd }
缺省情況下,設備通過查詢FIB表項來獲取用戶信息。
關於本配置的詳細介紹,請參見“安全配置指導”中的“Portal”。
Web認證使用本地Portal Web服務為認證用戶提供認證頁麵,因此需要將接入設備上一個與Web認證客戶端路由可達的三層接口的IP地址指定為本地Web服務器的IP地址。建議使用設備上空閑的LoopBack接口的IP地址,使用LoopBack接口有如下優點:
· 狀態穩定,可避免因為接口故障導致用戶無法打開認證頁麵的問題。
· 由於發送到LoopBack接口的報文不會被轉發到網絡中,當請求上線的用戶數目較大時,可減輕對係統性能的影響。
配置的本地Web服務器的端口號必須與本地Portal Web服務中配置的偵聽端口號保持一致。
(1) 進入係統視圖。
system-view
(2) 創建本地Web服務器,並進入本地Web務器視圖。
web-auth server server-name
本地和遠程Web服務器的名稱不能相同。
(3) 配置本地Web服務器的IP地址和端口號。
(IPv4網絡)
ip ipv4-address port port-number
(IPv6網絡)
ipv6 ipv6-address port port-number
本命令配置的端口號必須與本地Portal Web服務中配置的偵聽端口號保持一致。
同一個本地Web服務器視圖下可以配置1個IPv4地址和1個IPv6地址。
(4) 配置本地Web服務器的重定向URL。
url url-string
缺省情況下,未配置Web認證Web服務器的重定向URL。
URL必須以http://或者https://開頭,且攜帶的IP地址和端口號必須與Web認證本地Web服務器的IP地址和端口號保持一致。
如果需要同時對IPv4和IPv6 Web認證用戶推出認證頁麵,請配置Web服務器的重定向URL攜帶服務器域名。
(5) (可選)配置設備重定向給用戶的URL中攜帶的參數信息。
url-parameter parameter-name { original-url | source-address | source-mac | value expression }
缺省情況下,未配置設備重定向給用戶的URL中攜帶的參數信息。
URL中攜帶的參數名稱必須與瀏覽器所接受的參數名稱保持一致,請根據具體情況配置URL中攜帶的參數名稱。
(6) (可選)配置Web認證重定向給用戶的URL中不轉義的特殊字符。
url-unescape-chars character-string
缺省情況下,對重定向給用戶的URL中所有的特殊字符進行轉義。
(7) (可選)配置Web認證服務器支持綠洲平台標準。
server-type oauth
缺省情況下,Web認證服務器不支持綠洲平台標準。
當使用綠洲服務器作為Web認證服務器時,需要通過此命令將服務器配置成支持綠洲平台標準。
有關本地Portal服務功能的詳細配置請參見“安全配置指導”中的“Portal”。
為使Web認證功能正常運行,在接入設備的二層接口上開啟Web認證功能後,請不要再在此接口上開啟端口安全功能和配置端口安全模式。關於端口安全的相關介紹,請參見“安全配置指導”中的“端口安全”。
如果組網中需要部署從Web服務器,需要注意的是:
· 主Web服務器必須是遠程Web服務器,從Web服務器可以是本地或遠程Web服務器。
· 請同時配置主Web服務器與Track模塊關聯(由url url-string track track-entry-number命令配置),否則設備無法感知到主Web服務器的狀態,從而無法在主Web服務器不可達時實現主從Web服務器切換。
設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟Web認證功能,並指定引用的Web認證主/從Web服務器。
web-auth enable apply server primary-server-name [ secondary-server secondary-server-name ]
缺省情況下,Web認證功能處於關閉狀態。
通過在接入設備的二層接口上配置Web認證用戶使用的認證域,可使得所有從該接口接入的Web認證用戶都被強製使用指定的認證域來進行認證、授權和計費。管理員可通過該配置對不同接口上的Web認證用戶使用不同的認證域,從而增加了管理員部署Web認證接入策略的靈活性。
從指定二層接口接入的Web認證用戶將按照如下先後順序選擇認證域:接口上配置的Web認證用戶使用的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域-->設備上為未知域名的用戶指定的ISP域。如果根據以上原則決定的認證域在設備上不存在,用戶將無法認證。關於ISP域的相關介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置Web認證用戶使用的認證域。
web-auth domain domain-name
缺省情況下,接口上未配置Web認證用戶使用的認證域。
在本地Web認證的某些應用環境中,例如,Web認證用戶認證成功並加入授權VLAN後,若客戶端需要更新IP地址,則需要保證認證頁麵跳轉的時間間隔大於用戶更新IP地址的時間,否則用戶會因為IP地址還未完成更新而無法打開指定的跳轉網站頁麵。在這種情況下,為了保證Web認證功能的正常運行,需要調整認證頁麵跳轉的時間間隔。
(1) 進入係統視圖。
system-view
(2) 創建本地Web服務器,並進入本地Web服務器視圖。
web-auth server server-name
(3) 配置認證成功後頁麵跳轉的時間間隔。
redirect-wait-time period
缺省情況下,Web認證用戶認證成功後認證頁麵跳轉的時間間隔為5秒。
開啟了Web認證功能的設備,在首次檢測到用戶流量後,會生成MAC地址臨時表項,用於記錄用戶的MAC地址、用戶上線的接口、用戶所在的VLAN ID和臨時表項的老化時間。
如果到達設定的老化時間,此用戶仍未發起認證,則刪除該臨時表項。如果在老化時間內,用戶認證成功,設備將刪除該老化定時器,該臨時表項記錄的信息變為上線的Web用戶信息;如果在老化時間內,用戶認證失敗,且設備上配置了Web認證的Auth-Fail VLAN,設備將該用戶的MAC地址與Auth-fail VLAN進行綁定,並重新啟動該老化定時器,待定時器超時後,若用戶仍然沒有通過認證,則該臨時表項將會被刪除。
在如下兩種情況下,建議將定時器的值調大:
· 無接入權限的Web認證用戶在短時間內頻繁上送用戶流量,導致接入設備不斷發起Web認證流程,加重設備的負載。
· 用戶在認證失敗的情況下,能夠訪問某一特定VLAN中的資源的時間太短,導致比如病毒補丁未能成功下載。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址臨時表項的老化時間。
web-auth timer temp-entry-aging aging-time-value
缺省情況下,MAC地址臨時表項的老化定時器的值為60秒。
通過配置免認證的目的IP地址,可以讓用戶無需通過Web認證即可訪問該目的IP中的資源。
建議不要將Web認證用戶免認證目的IP和802.1X的Free IP配置為相同的IP,否則當取消其中一項配置時,另一項配置也不再生效。
(1) 進入係統視圖。
system-view
(2) 配置Web認證用戶免認證的目的IP地址。
web-auth free-ip ip-address { mask-length | mask }
缺省情況下,不存在Web認證用戶免認證目的IP地址。
通過配置免認證的目的主機名,可以讓用戶無需通過Web認證即可訪問該目的IP中的資源。
Web認證用戶免認證目的主機名隻支持精確匹配,即完整匹配主機名。例如配置的主機名為abc.com.cn,其含義為隻匹配abc.com.cn的主機名,如果報文中攜帶的主機名為dfabc.com.cn,則匹配失敗。
配置本功能前,請確保組網中已部署DNS服務器,或者已通過ip host命令配置主機名與其對應的IP地址關係,有關ip host命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置Web認證用戶免認證的目的主機名。
web-auth free-host host-name
缺省情況下,不存在Web認證用戶免認證目的主機名。
若配置的Web認證最大用戶數小於當前已經在線的Web認證用戶數,則配置可以執行成功,且在線Web認證用戶不受影響,但係統不允許新的Web認證用戶接入。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置Web認證最大用戶數。
web-auth max-user [ preauth-domain | auth-fail-domain ] max-number
缺省情況下,Web認證最大用戶數為1024。
開啟端口的Web認證用戶的在線檢測功能後,若設備在一個下線檢測定時器間隔之內,未收到此端口下某在線用戶的報文,則將切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
配置用戶在線檢測時間間隔時,需要與MAC地址老化時間配成相同時間,否則會導致用戶異常下線。
在二層聚合接口上指定用戶在線檢測時間間隔,用戶實際下線時間比指定時間有所延遲,下線延遲時間不超過300秒。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟Web認證用戶在線探測功能。
web-auth offline-detect interval interval
缺省情況下,Web認證用戶在線探測功能處於關閉狀態。
缺省情況下,當ISP域下所有RADIUS認證服務器均不可達時,如果此時設備上同時開啟了Web認證用戶的在線檢測功能,設備將切斷與Web用戶的連接,導致Web用戶下線。
當RADIUS認證服務器可達時,用戶需要使用Web認證用戶的在線檢測功能,同時又希望在RADIUS認證服務器均不可達時,能夠保持Web用戶在線狀態,可在設備上開啟本功能。
配置本功能後,當RADIUS認證服務器不可達時,設備會自動關閉接口上的Web認證用戶的在線檢測功能,使得Web用戶保持在線狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟Web在線用戶逃生功能。
web-auth auth-server-unavailable escape
缺省情況下,RADIUS認證服務器不可達時,Web在線用戶逃生功能處於關閉狀態。
· 開啟Web認證的端口必須配置為Hybrid方式,並開啟MAC VLAN功能,Auth-Fail VLAN功能才生效。
· Auth-Fail VLAN的網段需設為Web認證用戶免認證的目的IP地址。
· 禁止刪除已被配置為Web認證Auth-Fail VLAN的VLAN。若要刪除該VLAN,需先通過undo web-auth auth-fail vlan命令取消Web認證的Auth-Fail VLAN配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置Web認證的Auth-Fail VLAN。
web-auth auth-fail vlan authfail-vlan-id
缺省情況下,不存在Web認證的Auth-Fail VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置Web認證的多VLAN模式。
web-auth host-mode multi-vlan
缺省情況下,端口工作在Web認證的單VLAN模式。
設備默認隻允許未配置Web代理服務器的瀏覽器發起的HTTP/HTTPS請求才能觸發Web認證。當用戶上網使用的瀏覽器配置了Web代理服務器時,用戶的HTTP/HTTPS請求報文將被丟棄,而不能觸發Web認證。在這種情況下,網絡管理員可以通過在設備上添加Web認證代理服務器的TCP端口號,來允許配置了Web代理服務器的瀏覽器發起的HTTP/HTTPS請求也可以觸發Web認證。
如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,需要注意的是:
· 配置允許觸發Web認證的Web代理服務器端口的同時,還需要配置Web認證用戶免認證目的IP地址,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 需要用戶在瀏覽器上將Web認證Web服務器的IP地址配置為Web代理服務器的例外地址,避免Web認證用戶發送給Web認證Web服務器的HTTP/HTTPS報文被發送到Web代理服務器上,從而影響正常的Web認證。
(1) 進入係統視圖。
system-view
(2) 配置允許觸發Web認證的Web代理服務器端口。
web-auth proxy [ https ] port port-number
缺省情況下,未配置允許觸發Web認證的Web代理服務器端口。
80和443端口是Web認證預留端口號,不可配置。
HTTP和HTTPS請求允許觸發Web認證的Web代理服務器端口不能相同。
在Web認證環境中,對於需要頻繁接入網絡的合法用戶,可以通過基於MAC地址的快速認證功能,使用戶無需手工輸入認證信息便可以自動完成Web認證。
基於MAC地址的快速認證,又稱為MAC-trigger認證或無感知認證。配置本功能後,當用戶接入網絡時,接入設備會基於用戶的MAC地址向Portal MAC綁定服務器發送查詢請求。若Portal MAC綁定服務器上能夠查詢到該MAC地址和對應的認證信息,則通知接入設備該用戶已綁定,此時Portal MAC綁定服務器代替用戶完成Web認證,用戶上線。
僅支持應用IPv4 Portal MAC綁定服務器,且服務器類型必須為符合綠洲平台標準規範的服務器。
為使基於MAC地址的快速認證生效,必須完成以下配置:
· 完成普通二層Web認證的相關配置;
· 配置Portal MAC綁定服務器的IP地址和端口號;
· 在二層以太網接口上應用Portal MAC綁定服務器。
在配置本功能前,需要在網絡中部署Portal MAC綁定服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置應用Portal MAC綁定服務器。
web-auth apply portal mac-trigger-server server-name
缺省情況下,未應用Portal MAC綁定服務器。
Web認證接入用戶日誌信息可以方便管理員定位問題和解決問題,生成的日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
當設備輸出大量Web接入用戶日誌信息時,會降低設備性能。此時,用戶可以關閉Web接入用戶日誌信息功能,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟Web認證接入用戶日誌信息功能。
web-auth access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
缺省情況下,Web認證接入用戶日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Web認證功能的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 Web認證顯示和維護
|
操作 |
命令 |
|
顯示接口上Web認證置信息 |
display web-auth [ interface interface-type interface-number ] |
|
顯示所有Web認證用戶免認證的目的IP地址 |
display web-auth free-ip |
|
顯示所有Web認證Web服務器信息 |
display web-auth server [ server-name ] |
|
顯示在線Web認證用戶的信息 |
display web-auth user [ interface interface-type interface-number | slot slot-number ] |
|
強製Web認證用戶下線 |
reset web-auth access-user [ interface interface-type interface-number | mac mac-address | username username ] |
用戶主機與Device直接相連,在Device的接口GigabitEthernet1/0/1上對用戶進行Web認證。具體要求如下:
· 配置Device實現對本地Web認證用戶進行AAA本地認證和授權。
· 配置Device作為Web認證本地Web,本地Web服務器服務器的監聽IP地址為LoopBack 0接口IP地址,TCP端口號為80。設備使用HTTP協議傳輸認證數據。
圖1-5 使用AAA本地認證方式進行本地Web認證組網圖
配置各接口加入相應VLAN、對應VLAN接口的IP地址和接口類型。
(1) 配置本地用戶
# 添加網絡接入類本地用戶,用戶名為localuser,並設置密碼。
<Device>system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple 123456TESTplat&!
# 配置本地用戶localuser的服務類型為lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(2) 配置ISP域
# 創建一個名稱為local的ISP域,使用本地認證、授權和計費方法。
[Device] domain local
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access local
[Device-isp-local] quit
(3) 配置本地Portal Web服務
# 開啟本地Portal Web 服務,並進入基於HTTP協議的本地Portal Web服務視圖。
[Device] portal local-web-server http
# 配置本地Portal Web服務器提供的缺省認證頁麵文件為defaultfile.zip。(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服務的HTTP服務偵聽的TCP端口號為80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(4) 配置本地Web認證
# 創建名稱為user的Web認證本地Web服務器,並進入其視圖。
[Device] web-auth server user
# 配置Web認證本地Web服務器的重定向URL為https://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url https://20.20.0.1:80/portal/
# 配置Web認證本地Web服務器的IP地址為20.20.0.1,端口為80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web認證用戶使用的認證域為local。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain local
# 開啟Web認證,並指定引用的Web認證本地Web服務器為user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web認證成功後,通過執行以下顯示命令可查看在線Web認證用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
用戶主機與接入設備Device直接相連,接入設備在接口GigabitEthernet1/0/1上對用戶進行本地Web認證。具體要求如下:
· 使用遠程RADIUS服務器進行認證、授權和計費。
· 配置Device作為Web認證本地Web服務器,本地Web服務器的監聽IP地址為LoopBack 0接口IP地址,TCP端口號為80。設備使用HTTP協議傳輸認證數據。
圖1-6 使用AAA遠程認證方式進行本地Web認證組網圖
配置RADIUS服務器,添加用戶賬戶,保證用戶的認證/授權/計費功能正常運行。
配置各接口加入相應VLAN、對應VLAN接口的IP地址和接口類型,保證各主機、服務器和設備之間路由可達。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication lan-access radius-scheme rs1
[Device-isp-dm1] authorization lan-access radius-scheme rs1
[Device-isp-dm1] accounting lan-access radius-scheme rs1
[Device-isp-dm1] quit
(3) 配置本地Portal Web服務
# 開啟本地Portal Web 服務,並進入基於HTTP協議的本地Portal Web服務視圖。
[Device] portal local-web-server http
# 配置本地Portal Web服務提供的缺省認證頁麵文件為defaultfile.zip。(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服務的HTTP服務偵聽的TCP端口號為80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(4) 配置本地Web認證
# 創建名稱為user的Web認證本地Web服務器,並進入其視圖。
[Device] web-auth server user
# 配置Web認證本地Web服務器的重定向URL為https://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url https://20.20.0.1:80/portal/
# 配置Web認證本地Web服務器的IP地址為20.20.0.1,端口號為80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web認證用戶使用的認證域為dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 開啟Web認證,並指定引用的Web認證本地Web服務器為user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web認證成功後,通過執行以下顯示命令可查看在線Web認證用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
用戶主機與接入設備Device直接相連,接入設備在接口GigabitEthernet1/0/1上對用戶進行遠程Web認證。具體要求如下:
· 配置Device實現對遠程Web認證用戶進行AAA本地認證和授權。
· Web認證遠程Web服務器向Web認證用戶推出認證頁麵。
圖1-7 使用AAA本地認證方式進行遠程Web認證組網圖
配置Portal認證服務器,添加設備,保證Portal認證功能正常運行。
配置各接口加入相應VLAN、對應VLAN接口的IP地址和接口類型,保證各主機、服務器和設備之間路由可達。
(1) 配置本地用戶
# 添加網絡接入類本地用戶,用戶名為localuser,並設置密碼。
<Device>system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple 123456TESTplat&!
# 配置本地用戶localuser的服務類型為lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(2) 配置認證域
# 創建一個名稱為local的ISP域,使用本地認證、授權和計費方法。
[Device] domain local
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access local
[Device-isp-local] quit
(3) 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.112,密鑰為明文portal,監聽Portal報文的端口為50100。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.112 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
(4) 配置Web認證遠程Web服務器
# 創建名稱為user的Web認證遠程Web服務器,並進入其視圖。
[Device] web-auth remote server user
# 配置Web認證遠程Web服務器的重定向URL為https://192.168.0.112:8080/portal/。
[Device-web-auth-remote-server-user] url https://192.168.0.112:8080/portal/
# 配置Web認證遠程Web服務器的IP地址為192.168.0.112。
[Device-web-auth-remote-server-user] ip 192.168.0.112
[Device-web-auth-remote-server-user] quit
# 指定Web認證用戶使用的認證域為local。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain local
# 開啟Web認證,並指定引用的Web認證Web服務器為user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
(5) 指定通過查詢ARP表項來獲取Portal用戶信息
[Device] portal access-info trust arp
以上配置完成且Web認證成功後,通過執行以下顯示命令可查看在線Web認證用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
用戶主機與接入設備Device直接相連,接入設備在接口GigabitEthernet1/0/1上對用戶進行遠程Web認證。具體要求如下:
· 使用遠程RADIUS服務器進行認證、授權和計費。
· Web認證遠程Web服務器向Web認證用戶推出認證頁麵。
圖1-8 使用AAA遠程認證方式進行遠程Web認證組網圖
配置RADIUS服務器,添加用戶賬戶,保證用戶的認證/授權/計費功能正常運行。
配置Portal認證服務器,添加設備,保證Portal認證功能正常運行。
配置各接口加入相應VLAN、對應VLAN接口的IP地址和接口類型,保證各主機、服務器和設備之間路由可達。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication lan-access radius-scheme rs1
[Device-isp-dm1] authorization lan-access radius-scheme rs1
[Device-isp-dm1] accounting lan-access radius-scheme rs1
[Device-isp-dm1] quit
(3) 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.112,密鑰為明文portal,監聽Portal報文的端口為50100。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.112 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
(4) 配置Web認證遠程Web服務器
# 創建名稱為user的Web認證遠程Web服務器,並進入其視圖。
[Device] web-auth remote server user
# 配置Web認證遠程Web服務器的重定向URL為https://192.168.0.112:8080/portal/。
[Device-web-auth-remote-server-user] url https://192.168.0.112:8080/portal/
# 配置Web認證遠程Web服務器的IP地址為192.168.0.112。
[Device-web-auth-remote-server-user] ip 192.168.0.112
[Device-web-auth-remote-server-user] quit
# 指定Web認證用戶使用的認證域為dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 開啟Web認證,並指定引用的Web認證Web服務器為user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
(5) 指定通過查詢ARP表項來獲取Portal用戶信息
[Device] portal access-info trust arp
以上配置完成且Web認證成功後,通過執行以下顯示命令可查看在線Web認證用戶的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
在接口下未配置ISP域且其他配置均正確的情況下,用戶通過瀏覽器上線,上線失敗。
缺省情況下,開啟Web認證的接口上未配置Web認證用戶使用的認證域時,設備使用係統缺省的system域,其缺省認證方式是本地(local)。所以本地認證失敗原因可能有兩個,一個是修改了係統缺省system域的認證方案,另一個是更改了係統缺省的ISP域。
使用display domain命令查看缺省域下是否配置了正確的本地認證方案。如果不正確,請重新配置。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
