- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
20-Web认证操作
本章节下载 (253.9 KB)
目 录
Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,它不需要用户安装专用的客户端认证软件。
开启Web认证功能后,认证通过前客户端不能访问网络,只能打开认证页面,或者访问免认证IP指定的地址,认证通过后可以访问所有可达网络。
配置ISP域及其使用的AAA方案,选择使用RADIUS认证方案,以配合完成用户的身份认证。
l Web认证使用的AAA认证方案只能为RADIUS认证方案,不支持本地认证。
l AAA认证方案下配置的接入用户数目限制对Web认证不生效。Web认证不支持计费,所以AAA方案配置中请配置计费为可选。
表1-1 Web认证配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Web认证服务器的IP地址和端口号 |
web-authentication web-server ip ip-address [ port port-number ] |
必选 缺省情况下,端口号为80,未配置Web认证服务器IP地址 |
|
开启全局Web认证特性 |
web-authentication enable |
必选 缺省情况下,全局Web认证特性处于关闭状态 |
|
在端口上开启Web认证 |
interface interface-type interface-number |
必选 缺省情况下,端口未开启Web认证 |
|
web-authentication select method { shared | designated | extended } |
||
|
quit |
||
|
设置Web认证的免认证IP地址 |
web-authentication free-ip ip-address { mask-length | mask } |
可选 缺省情况下,未配置Web认证的免认证IP地址 |
|
配置强制切断Web认证用户 |
web-authentication cut connection { all | mac mac-address | user-name user-name | interface interface-type interface-number } |
可选 |
|
配置Web认证闲置用户检测定时器的时长 |
web-authentication timer idle-cut timer |
可选 缺省情况下,闲置用户检测定时器的时长为900秒 |
|
限制Web认证用户最长在线时间 |
web-authentication timer max-online timer |
可选 缺省情况下,限制Web认证用户最长在线时间为1800秒 |
|
配置一个端口上能通过Web认证的用户最大个数 |
web-authentication max-connection number |
可选 缺省情况下,端口上能通过Web认证的用户最大个数为128 |
l 开启全局Web认证功能前,首先必须配置Web认证服务器的IP地址。
l 如果开启了Web认证,则不能配置端口汇聚特性,反之,如果配置了端口汇聚等特性,则禁止开启Web认证。
l 各端口的Web认证参数在全局开启之前可以配置,但不会生效;在全局Web认证开启后,已使能Web认证的端口将立即开始进行认证操作。
l Web认证客户端与开启了Web认证功能的交换机之间必须路由可达,以完成Web认证页面的推出。
l Web认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。
l 对于共享接入方式(shared)上线的用户,如果配置的免认证用户的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时,对应的用户被强制下线。
l 利用web-authentication select method extended可以在Hybrid口上开启Web认证功能。
在某些情况下,对于Web认证失败的客户端,要求其仍然可以访问网络中的部分受限资源,例如病毒库升级服务器等,这时可以使用Web认证的Auth-Fail VLAN功能来实现。
根据VLAN下发方式的不同,可以将Web认证的Auth-Fail VLAN划分为两种:基于端口的Auth-Fail VLAN(简称为PAFV)和基于MAC的Auth-Fail VLAN(简称为MAFV)。
l 基于端口的Auth-Fail VLAN:若有用户Web认证失败,则该端口将被加入Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。
l 基于MAC的Auth-Fail VLAN:该端口下必须同时开启MAC VLAN功能,Web认证失败的用户,其MAC地址和VLAN将被绑定,只能被授权访问Auth-Fail VLAN里的资源。
l 开启Web认证特性。
l 已经创建需要配置为Auth-Fail VLAN的VLAN。
l 配置当前端口为hybrid端口。
l 指定当前端口的Web认证采用扩展接入方式。
表1-1 配置Web认证的Auth-Fail VLAN
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
端口视图 |
interface interface-type interface-number |
- |
|
配置Web认证的Auth-Fail VLAN |
web-authentication auth-fail vlan authfail-vlan-id |
必选 缺省情况下,端口没有配置Web认证的Auth-Fail VLAN |
l 不同的端口可以配置不同的Auth-Fail VLAN,但一个端口最多只能配置一个Auth-Fail VLAN。
l 若端口上同时配置了Web认证的MAFV与MAC地址认证的MGV,则相同用户的MAFV表项下发会覆盖其MGV表项,反之不成立。
l 若端口上已经下发了某用户802.1X认证的MAFV,则其Web认证的MAFV不能生效。
表1-2 配置Web认证的免认证用户
|
配置步骤 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置Web认证的免认证用户 |
系统视图 |
web-authentication free-user ip ip-address mac mac-address [ interface interface-list ] |
二者必选其一 缺省情况下,没有配置Web认证的免认证用户 |
|
以太网端口视图 |
interface interface-type interface-number |
||
|
web-authentication free-user ip ip-address mac mac-address |
|||
认证客户端和设备间可支持HTTP、HTTPS协议的交互:
l 若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证。
l 若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
通过此配置,交换机支持客户端使用HTTPS方式打开认证页面,保证认证信息传输的安全性。
如果需要配置接入协议为HTTPS,则需要先配置PKI域和SSL服务器策略,并将证书导入到PKI域内。
SSL及PKI相关配置的说明,请参见本手册的“SSL”及“PKI”模块。
表1-3 配置接入协议
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
配置接入协议 |
web-authentication protocol { http | https server-policy policy-name } |
必选 缺省情况下, 使用HTTP接入协议 |
l 此配置需要在Web认证开启前完成,Web认证开启后不能改变接入协议。
l SSL服务器的策略必须存在,并在完成此配置后不要删除SSL服务器的策略。
Web认证的缺省认证页面是一个框架,可以由用户配置其4部分,这四部分只能配置为字符串的形式,一定程度上满足用户定制的要求。
表1-4 配置定制页面内容
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Web认证定制页面 |
web-authentication customize { corp-name corporation-text | email email-string | phone-num phonenum-string | platform-name platform-text } |
可选 缺省情况下,认证页面不体现定制信息 |
以上配置是在默认页面框架下对局部信息进行定制的命令,不能改变认证页面的整体风格,适用于认证页面简单,性能高的场景。
Web认证页面也可以完全由第三方开发,加载到设备上,进行显示。只要开发的页面文件符合定制规范,页面内容可以随意发挥,页面内容更丰富,更自由。
表1-5 配置定制页面文件
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置或修改定制页面文件 |
web-authentication customize file web-file |
可选 缺省情况下为空。 |
l 配置定制页面文件后,设备将提取用户加载的文件进行显示,1.6.1 所述的配置在此失去意义。
l 文件名fileName必须包含系统根目录和相对路径。如:unit1>flash:/test.zip
使用web认证进行认证时,设备向用户推出认证页面,认证页面的内容可由用户定制。用户定制的认证页面以HTML文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面包括登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、免认证页面、下线成功页面,共7个主索引页面文件。
用户在定制这些页面时需要遵循一定的定制规范,否则会影响Web认证功能的正常使用和系统运行的稳定性。
用户定制的主索引文件名,必须使用表1-6中的固定文件名:
|
主索认证页面 |
文件名 |
|
登录页面 |
login.htm |
|
登录成功页面 |
loginSuccess.htm |
|
登录失败页面 |
loginFail.htm |
|
在线页面 用于提示用户已经在线 |
online.htm |
|
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
|
下线成功页面 |
logoutSuccess.htm |
|
免认证页面 |
freeUser.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
WEB认证模块只能接受Get请求和Post请求。
l Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
l Get请求的内容不可为递归内容。例如,Login.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Login.htm的引用,这种递归引用就不允许。
(1) 认证页面中表单(Form)的编辑必须符合以下原则:
l 用户定制的页面可以含有多个Form,但是必须有且只有一个Form的action为空,否则无法将用户信息送到设备。
l 用户名属性固定为”WaUser”,密码属性固定为”WaPwd”。
l 需要有用于标记用户登录还是下线的属性”WaButton”,取值为"Login"表示登录,取值为"Logout"表示下线。
l 登录Post请求必须包含”WaUser”,”WaPwd”和"WaButton"三个属性。
l 下线Post请求必须包含”WaButton”这个属性。
(2) 需要包含登录Post请求的页面有login.htm和loginFail.htm。
login.htm页面脚本内容的部分示例:
<form action=login.cgi method = post >
<p>User name:<input type="text" name = "WaUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "WaPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Login" name = "WaButton" style="width:60px;">
</form>
(3) 需要包含下线Post请求的页面有loginSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=login.cgi method = post >
<p><input type=SUBMIT value="Logout" name="WaButton" style="width:60px;">
</form>
l 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。
l 压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备保存。
为了方便系统推出定制的认证页面,认证页面在文件大小和内容上需要有如下限制:
l 每套页面(包括主索引页面文件及其页面元素)压缩后的Zip文件大小不能超过500K字节。
l 每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节。
l 页面元素只能包含HTML、JS、CSS和图片之类的静态内容。
无线用户通过无线接入设备与交换机相连,当用户与接入交换机连接的端口信息发生变化时(例如用户选择了不同的AP进行接入),则认为用户发生了迁移。当用户采用Web认证方式接入时,由于迁移用户不是直接与交换机相连,交换机将无法感知到用户接入端口的移动,无法重新触发Web认证,迁移用户将无法正常访问网络。为解决这个问题,保证用户迁移之后仍然能够访问网络,交换机支持配置Web认证用户迁移模式,具体分为如下两种。
l auto:Web认证用户采用自动迁移模式。开启该模式后,当已通过Web认证的用户在接入设备的相同VLAN,不同端口间发生迁移时,交换机将自动进行用户认证信息的迁移处理,保持用户的认证状态,不需要用户重新进行Web认证。
l secure:Web认证用户采用安全迁移模式。开启该模式后,当已通过Web认证的用户在接入设备的不同端口间发生迁移时,用户必须重新发起Web认证请求。Web认证成功,则在新端口建立用户连接,将原来的端口连接信息删除;如果用户认证失败,则不能在新端口建立连接,但原端口上的用户仍保持在线状态。
表1-7 配置Web认证用户迁移模式
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Web认证用户迁移模式 |
web-authentication move-mode {auto | secure } |
必选 缺省情况下,Web认证用户迁移模式为安全模式 |
自动迁移模式(auto)只支持Web认证用户在相同VLAN内的迁移。如果接入设备配置了Web认证自动迁移模式,那么在不同VLAN间发生迁移的Web认证用户,将不能在新端口建立连接,但原端口上的用户仍保持在线状态。
当需要对使用代理服务器登录网络的用户进行Web认证时,需要在接入设备上配置通过代理服务器进行Web认证的端口号,此端口号不能与通过web-authentication web-server ip ip-address port port-number命令配置的端口号相同,否则将出现错误提示,配置不成功。
表1-8 配置通过代理服务器进行Web认证的端口号
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置通过代理服务器进行Web认证的端口号 |
web-authentication web-proxy port port-number |
必选 没有配置通过代理服务器进行Web认证的端口号 |
当用户的代理服务器不是手工配置,而是使用WPAD (Web Proxy Auto Discovery)方式自动检测时。除了配置代理服务器进行Web认证的端口号,还需要根据客户端的组网环境进行如下配置:
l 当组网环境中架设了DNS、WINS服务器时,客户端会通过DNS、WINS服务器获取代理服务器信息、进行DNS解析、计算机名解析等服务,因此请配置DNS、WINS服务器地址为Web认证的free-ip。
l 当组网环境中没有DHCP、DNS和WINS服务器时,客户端可能会通过广播搜索功能获取代理服务器信息,因此请配置客户端IP对应的网段广播地址为Web认证的Free-ip,如web-authentication free-ip 192.168.255.255。
完成上述配置后,在任意视图下执行display命令,可以显示配置Web认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-9 Web认证显示和维护
|
操作 |
命令 |
说明 |
|
显示Web认证的全局或端口信息 |
display web-authentication configuration |
display命令可以在任意视图下执行 |
|
显示Web认证用户连接情况 |
display web-authentication connection{ all | interface interface-type interface-number | user-name user-name } |
如图1-1所示,用户与以太网交换机的端口Ethernet1/0/1相连接。
l 交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证,以控制用户对Internet的访问。
l 用户在通过Web认证前可以访问免费资源,通过认证后可以访问所有可达网络。
l 接入用户通过DHCP服务器自动获取IP地址。
图1-1 开启Web认证对接入用户进行认证
# 用户端配置为自动获得IP地址方式,并在DHCP服务器上完成DHCP相关配置。
# 配置Web认证服务器IP地址、端口号。
<Sysname> system-view
[Sysname] web-authentication web-server ip 10.10.10.10 port 8080
# 配置Web认证免认证IP地址段,用户在通过认证前可以访问免费资源。
[Sysname] web-authentication free-ip 10.20.20.1 24
# 开启指定端口Ethernet 1/0/1的Web认证特性,并指定端口接入方式为指定接入方式。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] web-authentication select method designated
# 创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.10.10.164
# 设置此方案不计费。
[Sysname-radius-radius1] accounting optional
# 设置系统与RADIUS认证服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication expert
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建Web认证用户所使用的域example.com并进入其视图。
[Sysname] domain example.com
# 配置域example.com为缺省用户域。
[Sysname] domain default enable example.com
# 指定radius1为该域用户的RADIUS方案。
[Sysname-isp-example.com] scheme radius-scheme radius1
# 开启全局Web认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[Sysname] web-authentication enable
此时,Web认证生效,在用户通过Web认证前,不能访问外部网络,只能访问免费资源。
用户打开IE,地址栏内输入:http://10.10.10.10:8080,输入相应的“User name”和“Password”。点击Login,出现认证成功页面:“Authentication passed!”。此时用户可以访问成功外部网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
