发布时间:2013-09-07
点击量:12925功能介绍:
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。
适用场景说明
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制
优点:无线终端不需要安装客户端,使用web浏览器即可
缺点:需要增加portal(推送认证的web界面)和radius服务器(用于储存客户端用户名和密码的设备)
一、组网需求
无线用户需要先经过web认证才能访问无线网络
二、组网拓扑
三、配置要点
1、启用web-authe AAA认证
2、配置radius服务器IP地址、key等相关参数
3、配置无线用户认证页面及portal服务器
4、配置免认证访问资源
5、WLAN 开启Web认证
6、配置SNMP服务器
7、SAM服务器配置
8、eportal服务器配置
四、配置步骤
1、启用web-auth AAA认证
AC-1(config)#aaa new-model //启用AAA认证功能
AC-1(config)#aaa accounting network default start-stop group radius //定义用户上线下线审计默认使用列表
AC-1(config)#aaa authentication web-auth default group radius //定义web认证默认使用列表
2、配置radius服务器IP地址、key等相关参数
AC-1(config)#radius-server host 192.168.34.183 key ruijie //配置radius服务器KEY及IP(密码后面不能有空格)
AC-1(config)#ip radius source-interface vlan 90 //AC使用vlan 90 的IP地址和radius对接
AC-1(config)#radius dynamic-authorization-extension enable //配置AC支持radius扩展属性
AC-1(config)#radius-server attribute 31 mac format ietf //如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式
3、在AC上配置认证页面的主页地址
AC-1(config)#portal-server eportalv2 ip 192.168.33.128 url http://192.168.33.128/eportal/index.jsp //定义eportalv2的重定向页面
AC-1(config)#web-auth portal eportalv2
4、开放免认证访问资源
AC-1(config)#http redirect direct-site 172.18.10.3
AC-1(config)#http redirect direct-arp 192.168.33.1 必须开放无线用户网关arp
5、在AC上对wlan1开启web认证功能
AC-1(config)#wlansec 1
AC-1(config-wlansec)# web-auth portal eportalv2 //启用二代web认证
AC-1(config-wlansec)# webauth //启用web认证功能
6、配置snmp服务器(eportal,SAM)
AC-1(config)#snmp-server host 192.168.33.128 traps version 2c ruijie
AC-1(config)#snmp-server host 192.168.34.183 traps version 2c ruijie
AC-1(config)#snmp-server enable traps web-auth
AC-1(config)#snmp-server community ruijie rw
7、配置eportal服务器
1)登陆到eportal服务器选择“设备管理”--->"添加设备"
2)输入无线设备相关信息并“保存”
注:如果AC没有配置portal key,则eportal服务器上的key可以任意配置。如果AC有配置portal key,则eportal服务器上的key必须和AC 一致。
portal key可以对AC重定向的url填充的无线用户参数(如 SSID、IP地址、AP MAC等)进行DES加密
8、SAM(radius)服务器配置
1)登陆SAM服务器--->“系统管理”--->“设备管理”
2)选择“添加”
3)添加设备,填充设备相关参数“设备IP地址”、“设备类型”、“具体型号”、“设备key”、“读写Community”,点击“保存”。
五、配置验证
1、用户连接到无线网络,打开网页弹出认证界面,输入密码提示认证正常并且能正常使用网络。
2、登陆到AC上通过show web-auth user all 确认无线用户认证状态。
文档评价
