• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 操作手册-Release 1602(V1.02)

20-Web认证操作

本章节下载 20-Web认证操作  (151.46 KB)

20-Web认证操作


1 Web认证配置

1.1  Web认证简介

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,它不需要用户安装专用的客户端认证软件。

开启Web认证功能后,认证通过前客户端不能访问网络,只能打开认证页面,或者访问免认证IP指定的地址,认证通过后可以访问所有可达网络。

1.2  Web认证配置

1.2.1  配置准备

配置ISP域及其使用的AAA方案,选择使用RADIUS认证方案,以配合完成用户的身份认证。

l    Web认证使用的AAA认证方案只能为RADIUS认证方案,不支持本地认证和本地RADIUS认证。

l    AAA认证方案下配置的接入用户数目限制对WEB认证不生效。Web认证不支持计费,所以AAA方案配置中请关闭计费可选开关。

 

1.2.2  Web认证配置

表1-1 Web认证配置

操作

命令

说明

进入系统视图

system-view

-

设置Web认证服务器的IP地址和端口号

web-authentication web-server ip ip-address [ port port-number ]

必选

缺省情况下,端口号为80,未配置Web认证服务器IP地址

开启全局Web认证特性

web-authentication enable

必选

缺省情况下,全局Web认证特性处于关闭状态

在端口上开启Web认证

interface interface-type interface-number

必选

缺省情况下,端口未开启Web认证

web-authentication select method { shared | designated }

quit

设置Web认证的免认证IP地址

web-authentication free-ip ip-address { mask-length | mask }

可选

缺省情况下,未配置Web认证的免认证IP地址

设置Web认证的免认证用户

web-authentication free-user ip ip-address mac mac-address

可选

缺省情况下,未配置免认证用户

配置强制切断Web认证用户

web-authentication cut connection { all | mac mac-address | user-name user-name | interface { interface-type interface-number } }

可选

配置Web认证闲置用户检测定时器的时长

web-authentication timer idle-cut timer

可选

缺省情况下,闲置用户检测定时器的时长为900秒

配置一个端口上能通过Web认证的用户最大个数

web-authentication max-connection number

可选

缺省情况下,端口上能通过Web认证的用户最大个数为128

 

l    开启全局Web认证功能前,首先必须配置Web认证服务器的IP地址。

l    如果开启了Web认证,则不能配置802.1x、MAC地址认证、端口安全、端口汇聚、IRF等特性,反之,如果配置了802.1x、MAC地址认证、端口安全、端口汇聚、IRF等特性,则禁止开启Web认证。

l    各端口的Web认证参数在全局开启之前可以配置,但不会生效;在全局Web认证开启后,已使能Web认证的端口将立即开始进行认证操作。

l    Web认证客户端与开启了Web认证功能的交换机之间必须路由可达,以完成Web认证页面的推出。

l    Web认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。

l    对于共享接入方式(shared)上线的用户,如果配置免认证用户的的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时,对应的用户被强制下线。

 

1.3  Web认证配置显示和维护

完成上述配置后,在任意视图下执行display命令,可以显示配置Web认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表1-2 Web认证显示和维护

操作

命令

说明

显示Web认证的全局或端口信息

display web-authentication configuration

display命令可以在任意视图下执行

显示Web认证用户连接情况

display web-authentication connection{ all | interface { interface-type interface-number }| user-name user-name }

 

1.4  Web认证配置举例

1. 组网需求

图1-1所示,用户与以太网交换机的端口Ethernet1/0/1相连接。

l              交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证,以控制用户对Internet的访问。

l              用户在通过WEB认证前可以访问免费资源,通过认证后可以访问所有可达网络。

l              接入用户通过DHCP服务器自动获取IP地址。

2. 组网图

图1-1 开启Web认证对接入用户进行认证

 

3. 配置步骤

# 用户端配置为自动获得IP地址方式,并在DHCP服务器上完成DHCP相关配置。

# 配置Web认证服务器IP地址、端口号。

<Sysname> system-view

[Sysname] web-authentication web-server ip 10.10.10.10 port 8080

# 配置Web认证免认证IP地址段,用户在通过认证前可以访问免费资源。

[Sysname] web-authentication free-ip 10.20.20.1 24

# 开启指定端口Ethernet 1/0/1的Web认证特性,并指定端口接入方式为指定接入方式。

[Sysname] interface Ethernet 1/0/1

[Sysname- Ethernet1/0/1] web-authentication select method designated

# 创建RADIUS方案radius1并进入其视图。

[Sysname] radius scheme radius1

# 设置主认证RADIUS服务器的IP地址。

[Sysname-radius-radius1] primary authentication 10.10.10.164

# 设置此方案不计费。

[Sysname-radius-radius1] accounting optional

# 设置系统与RADIUS认证服务器交互报文时的加密密码。

[Sysname -radius-radius1] key authentication expert

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 创建Web认证用户所使用的域example.com并进入其视图。

[Sysname] domain example.com

# 配置域example.com为缺省用户域。

[Sysname] domain default enable example.com

# 指定radius1为该域用户的RADIUS方案。

[Sysname-isp-example.com] scheme radius-scheme radius1

# 开启全局Web认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。

[Sysname] web-authentication enable

此时,Web认证生效,在用户通过Web认证前,不能访问外部网络,只能访问免费资源。

用户打开IE,地址栏内输入:http://10.10.10.10:8080,根据提示:“Please input your name and the password!”,输入相应的“User name”和“Password”。点击Login,出现认证成功页面:“Authentication passed!”。此时用户可以访问成功外部网络。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们