23-Web认证配置
本章节下载: 23-Web认证配置 (508.05 KB)
目 录
1.24.1 使用AAA本地认证方式进行本地Web认证的配置举例
1.24.2 使用AAA远程认证方式进行本地Web认证的配置举例
1.24.3 使用AAA本地认证方式进行远程Web认证配置举例
1.24.4 使用AAA远程认证方式进行远程Web认证配置举例
1.25.1 本地访问外网,在接口配置正常的Web认证服务器情况下,用户上线失败
1.25.2 本地认证接口配置使用默认domain情况下,用户上线失败
1.25.3 本地访问外网,在接口配置已存在的VLAN情况下,用户上线失败
Web认证是一种在二层接口上通过网页方式对用户身份合法性进行认证的认证方法。在接入设备的二层接口上开启Web认证功能后,未认证用户上网时,接入设备强制用户登录到特定站点,用户可免费访问其中的Web资源;当用户需要访问该特定站点之外的Web资源时,必须在接入设备上进行认证,认证通过后可访问特定站点之外的Web资源。
Web认证仅支持由接入设备上的本地Portal Web服务器向用户提供Web认证页面,有关本地Portal Web服务器的相关介绍请参见“安全配置指导”中的“Portal”。
Web认证分为主动认证和强制认证两种类型:用户主动登录到认证页面输入用户名和密码进行认证的方式被称作主动认证;用户访问任意非认证页面时被强制重定向到认证页面进行认证的方式被称作强制认证。此处及下文用到的认证页面、登录成功页面均指接入设备上本地Portal Web服务器提供的认证页面和登录成功页面。
Web认证是一种灵活的访问控制技术,可以在接入设备的二层接口上实施访问控制,具有如下优势:
· 无需安装客户端软件,直接使用Web页面认证,使用方便。
· 可为网络服务提供者提供方便的管理功能和业务拓展功能,例如网络服务提供者可以在认证页面上开展商业广告、社区服务、信息发布等个性化业务。
Web认证的典型组网方式如图1-1所示,它由四个基本要素组成:认证客户端、接入设备、Web认证Web服务器、Portal认证服务器和AAA服务器。
图1-1 Web认证系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器,发起Web认证。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,将用户的所有HTTP/HTTPS请求都重定向到认证页面。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的网络资源。
负责向认证客户端提供认证页面及其免费Web资源,并将认证客户端的认证信息(用户名、密码等)提交给接入设备的AAA模块。有关AAA的详细介绍请参见“安全配置指导”中的“AAA”。
Web认证Web服务器包括本地Web服务器和远程Web服务器两种类型。本地Web服务器一般集成在接入设备中,远程Web服务器为Portal Web服务器。
Web认证使用Portal认证服务器作为认证服务器,用于与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证、授权和计费。目前RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器可支持对Web认证用户进行认证、授权和计费,以及LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器可支持对Web认证用户进行认证。
Web认证的具体认证过程如下。
图1-2 Web认证流程图
(1) Web认证用户首次访问Web资源的HTTP/HTTPS请求报文经过开启了Web认证功能的二层接口时,若此HTTP/HTTPS报文请求的内容为认证页面或设定的免费访问地址中的Web资源,则接入设备允许此HTTP/HTTPS报文通过;若请求的内容为其他Web资源,则接入设备将此HTTP/HTTPS报文重定向到认证页面,用户在认证页面上输入用户名和密码来进行认证。
(2) Web认证Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(3) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(4) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。
(6) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(7) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(8) 若认证成功,Portal认证服务器还会向接入设备发送认证应答确认。
EAP认证仅能与iMC的Portal认证服务器以及iNode Portal客户端配合使用,且仅使用远程Portal认证服务器的Web认证支持该功能。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Web认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-3 Web认证支持EAP认证协议交互示意图
如图1-3所示,在Web认证支持EAP认证的实现中,客户端与Portal认证服务器之间交互EAP认证报文,Portal认证服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal认证服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
Web认证支持远程AAA服务器/接入设备下发授权不带Tag的VLAN。当用户通过Web认证后,远程AAA服务器/接入设备会将授权VLAN信息下发给接入设备上用户进行认证的端口,该端口被加入到授权VLAN后,用户便可以访问此VLAN中的网络资源。若该VLAN不存在,则接入设备首先创建VLAN,而后端口将允许该VLAN的用户报文以不携带tag的方式通过。
通过支持下发授权VLAN,可实现对已认证用户可访问网络资源的控制。
· 因为不同VLAN的地址范围不同,所以用户加入授权VLAN后,需要自动申请或者手动更新客户端IP地址,以保证可以与授权VLAN中的资源互通。
· 对于Trunk和Hybrid端口,服务器下发的授权VLAN和端口的PVID必须与用户报文的VLAN ID保持一致。
Auth-Fail VLAN功能允许用户在认证失败的情况下,可以访问某一特定VLAN中的资源,比如病毒补丁服务器,存储客户端软件或杀毒软件的服务器,进行升级客户端或执行其他一些用户升级程序。这个VLAN称为Auth-Fail VLAN。
Web认证支持基于MAC地址的Auth-Fail VLAN,二层接口上配置了Auth-Fail VLAN后,此接口将认证失败用户的MAC地址与Auth-Fail VLAN进行绑定生成相应的MAC VLAN表项,认证失败的用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户可以访问该VLAN中免认证IP的资源,但用户的所有访问非免认证IP的HTTP/HTTPS请求会被重定向到接入设备上的认证页面进行认证,若用户仍然没有通过认证,则将继续处于Auth-Fail VLAN内;若认证成功,则回到接口的缺省VLAN中。
因为不同VLAN的地址范围不同,所以用户加入Auth-Fail VLAN后,需要自动申请或者手动更新客户端IP地址,以保证可以与Auth-Fail VLAN中的资源互通。
Web认证的端口可以工作在单VLAN模式或多VLAN模式。端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:
· 端口工作在多VLAN模式下时,设备将能够允许新用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
· 端口工作在单VLAN模式下时,如果新用户上线后未被下发授权VLAN,设备将让原用户下线,使得新用户能够在新的VLAN内重新开始认证。
· 端口工作在单VLAN模式下时,如果新用户上线后被下发了授权VLAN,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:
¡ 如果不允许用户迁移到同一端口下其它VLAN接入,则新用户在同一端口下的不同VLAN接入失败,原用户保持在线。
¡ 如果允许用户迁移到同一端口下其它VLAN接入,则新用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果远程AAA服务器上或接入设备的本地用户视图下配置了授权ACL,则设备会根据远程AAA服务器/接入设备下发的授权ACL对用户所在端口的数据流进行控制。由于远程AAA服务器/接入设备上指定的是授权ACL的编号,因此还需要在接入设备上创建该ACL并配置对应的ACL规则。管理员可以通过随时改变远程AAA服务器/接入设备上授权ACL的编号或修改接入设备上对应ACL的规则来灵活调整认证成功用户的访问权限。
Web认证可以成功授权的ACL类型为基本ACL(ACL编号为2000~2999)、高级ACL(ACL编号为3000~3999)和二层ACL(ACL编号为4000~4999)。当下发的ACL不存在、未配置ACL规则或ACL规则中配置了counting、established、fragment、source-mac或logging参数时,授权ACL不生效。关于ACL规则的详细介绍,请参见“ACL和QoS命令参考”中的“ACL”。
在微分段组网中,如果对用户同时授权ACL和微分段,则授权ACL不生效。
为了实现基于精细分组的Web认证用户流量隔离,通常根据用户业务需求将网络中的用户划分到不同的分组中,然后基于分组部署用户访问控制策略,这些分组的标识就是微分段,可由RADIUS服务器下发给用户。当用户上线时,如果RADIUS服务器上指定了要下发给该用户的授权微分段,则设备会根据下发的授权微分段对用户所在端口的数据流进行过滤,该用户可以访问加入该微分段组内的网络资源。
非微分段组网中,请不要对用户授权微分段。
Web认证与802.1X认证或MAC地址认证同时配置时需要注意:
· Web认证与802.1X认证的Guest VLAN、Auth-Fail VLAN、Critical VLAN、Guest VSI、Auth-Fail VSI、Critical VSI或Critical微分段功能不建议同时配置。
· Web认证与MAC地址认证的Guest VLAN、Critical VLAN、Guest VSI、Critical VSI或Critical微分段功能不建议同时配置。
· Web认证的Auth-fail VLAN功能与端口安全认证前域功能互斥。
当Web认证用户未上线时,用户报文进入的VLAN或VSI里必须有三层接口(比如VLAN接口或VSI虚接口)存在,否则将导致HTTPS重定向失败。
表1-1 Web认证配置任务简介
配置任务 |
说明 |
详细配置 |
配置Web认证远程Web服务器 |
可选(组网中部署远程Web认证Web服务器时必选) |
|
配置远程Portal认证服务器 |
可选(组网中部署远程Web认证Web服务器时必选) |
|
指定通过查询ARP/ND表项来获取用户信息 |
可选(组网中部署远程Web认证Web服务器时必选) |
|
配置Web认证本地Web服务器 |
可选(采用接入设备作为Web认证Web服务器时必选) |
|
配置本地Portal服务 |
可选(采用接入设备作为Web认证Web服务器时必选) |
|
开启Web认证功能 |
必选 |
|
配置Web认证用户使用的认证域 |
可选 |
|
配置认证页面跳转的时间间隔 |
可选 |
|
配置MAC地址临时表项的老化时间 |
可选 |
|
配置Web认证用户免认证IP地址或主机名 |
可选 |
|
配置Web认证最大用户数 |
可选 |
|
开启Web认证用户在线探测功能 |
可选 |
|
配置Web在线用户逃生功能 |
可选 |
|
配置Web认证的Auth-Fail VLAN |
可选 |
|
配置Web认证的多VLAN模式 |
可选 |
|
配置Web认证支持Web代理 |
可选 |
|
配置Web认证应用Portal MAC绑定服务器 |
可选(在基于MAC地址快速认证的场景下为必选) |
|
开启Web认证接入用户日志信息功能 |
可选 |
设备上的Web认证功能支持两种方式的AAA认证,在接入设备上进行本地AAA认证和通过RADIUS服务器进行远程AAA认证。
当选用RADIUS服务器认证方式进行Web认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成远程AAA认证方式的Web认证。配置Web认证之前,需要完成以下任务:
· RADIUS服务器已安装并配置成功,如已创建相应的用户名和密码。
· 用户、接入设备和RADIUS服务器之间已路由可达。
· 接入设备上的本地Portal Web服务器功能已配置完成,可为Web认证提供认证页面。有关本地Portal Web服务器功的详细配置请参见“安全配置指导”中的“Portal”。
· 在接入设备端进行RADIUS客户端的相关设置,保证接入设备和RADIUS服务器之间可进行AAA认证。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
在远程Web服务器视图下可以配置Web服务器侦听的IP地址、重定向URL及其重定向URL中携带的参数信息。
缺省情况下,重定向URL中指定的Web服务器状态一直为active,设备并不能感知到服务器的真实状态。在需要部署从服务器的组网环境中,需要一种探测机制使得设备可以及时获取主服务器的状态,在主服务器不可达时,及时完成主从服务器切换,从而保证认证服务不中断。
通过配置Web服务器与Track项关联,并由Track项联动NQA测试组,可以实现设备通过NQA测试组周期性地探测该服务器是否可达:
· NQA探测期间,服务器的状态仅由探测结果决定。Track模块基于NQA探测的结果改变Track项的状态,设备依据Track项的状态设置Web服务器的状态。
· 若NQA探测到服务器状态变为可达,服务器状态将被置为active;若NQA探测到服务器状态变为不可达,服务器状态将被置为inactive。
关于Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
需要注意的是:
如果组网中部署了Web认证从Web服务器,请同时配置主Web服务器与Track模块关联,否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。
对Web服务器的可达性探测是通过在设备上执行nqa schedule命令,对与Track联动的NQA测试组进行调动启动的,因此请结合实际情况确定探测时间和探测参数。
表1-2 配置Web认证远程Web服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Web认证远程Web服务器,并进入Web认证远程Web服务器视图 |
web-auth remote server server-name |
远程和本地Web服务器的名称不能相同 |
配置Web认证远程Web服务器的IP地址 |
(IPv4网络) ip ipv4-address (IPv6网络) ipv6 ipv6-address |
缺省情况下,未指定Web认证远程Web服务器的IPv4地址 远程Web服务器的IP地址必须与所使用的Portal Web服务器的IP地址相同 同一个远程Web服务器视图下可以配置1个IPv4地址和1个IPv6地址 |
配置Web认证远程Web服务器的重定向URL |
url url-string [ track track-entry-number ] |
缺省情况下,未配置Web认证Web服务器的重定向URL 如果需要同时对IPv4和IPv6 Web认证用户推出认证页面,请配置Web服务器的重定向URL携带服务器域名,例如http://abc.com表示携带了服务器域名abc.com的重定向URL 一个Web服务器最多只能关联一个Track项,新配置将覆盖已有配置 |
(可选)配置设备重定向给用户的URL中携带的参数信息 |
url-parameter parameter-name { original-url | source-address | source-mac | value expression } |
缺省情况下,未配置设备重定向给用户的URL中携带的参数信息 URL中携带的参数名称必须与浏览器所接受的参数名称保持一致,请根据具体情况配置URL中携带的参数名称 |
(可选)配置Web认证重定向给用户的URL中不转义的特殊字符 |
url-unescape-chars character-string |
缺省情况下,对重定向给用户的URL中所有的特殊字符进行转义 |
(可选)配置Web认证服务器支持绿洲平台标准 |
server-type oauth |
缺省情况下,Web认证服务器不支持绿洲平台标准。 当使用绿洲服务器作为Web认证服务器时,需要通过此命令将服务器配置成支持绿洲平台标准。 |
有关远程Portal认证服务器的详细配置请参见“安全配置指导”中的“Portal”。
在远程Web认证组网中,设备收到Portal认证服务器发送的Portal协议报文时,通过查询FIB表项无法获取用户的MAC地址和二层接入接口等信息,从而导致用户无法通过Web认证。
为了解决这个问题,需要指定设备通过查询ARP/ND表项来获取用户的接入信息,从而保证用户正常上线。
表1-3 指定通过查询ARP/ND表项来获取用户信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定通过查询ARP/ND表项来获取Portal用户信息 |
portal access-info trust { arp | nd } |
缺省情况下,设备通过查询FIB表项来获取用户信息 关于本配置的详细介绍,请参见“安全配置指导”中的“Portal” |
配置Web认证本地Web服务器过程中,需要注意的是:
Web认证使用本地Portal Web服务为认证用户提供认证页面,因此需要将接入设备上一个与Web认证客户端路由可达的三层接口的IP地址指定为本地Web服务器的IP地址。建议使用设备上空闲的LoopBack接口的IP地址,使用LoopBack接口有如下优点:
· 状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。
· 由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
配置的本地Web服务器的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致。
表1-4 配置Web认证本地Web服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建本地Web服务器,并进入本地Web务器视图 |
web-auth server server-name |
本地和远程Web服务器的名称不能相同 |
配置本地Web服务器的IP地址和端口号 |
(IPv4网络) ip ipv4-address port port-number (IPv6网络) ipv6 ipv6-address port port-number |
本命令配置的端口号必须与本地Portal Web服务中配置的侦听端口号保持一致 同一个本地Web服务器视图下可以配置1个IPv4地址和1个IPv6地址 |
配置本地Web服务器的重定向URL |
url url-string |
缺省情况下,未配置Web认证Web服务器的重定向URL URL必须以http://或者https://开头,且携带的IP地址和端口号必须与Web认证本地Web服务器的IP地址和端口号保持一致 如果需要同时对IPv4和IPv6 Web认证用户推出认证页面,请配置Web服务器的重定向URL携带服务器域名 |
(可选)配置设备重定向给用户的URL中携带的参数信息 |
url-parameter parameter-name { original-url | source-address | source-mac | value expression } |
缺省情况下,未配置设备重定向给用户的URL中携带的参数信息 URL中携带的参数名称必须与浏览器所接受的参数名称保持一致,请根据具体情况配置URL中携带的参数名称 |
(可选)配置Web认证重定向给用户的URL中不转义的特殊字符 |
url-unescape-chars character-string |
缺省情况下,对重定向给用户的URL中所有的特殊字符进行转义 |
(可选)配置Web认证服务器支持绿洲平台标准 |
server-type oauth |
缺省情况下,Web认证服务器不支持绿洲平台标准。 当使用绿洲服务器作为Web认证服务器时,需要通过此命令将服务器配置成支持绿洲平台标准。 |
有关本地Portal服务功能的详细配置请参见“安全配置指导”中的“Portal”。
开启Web认证功能,需要注意的是:
为使Web认证功能正常运行,在接入设备的二层接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。关于端口安全的相关介绍,请参见“安全配置指导”中的“端口安全”。
如果组网中需要部署从Web服务器,需要注意的是:
· 主Web服务器必须是远程Web服务器,从Web服务器可以是本地或远程Web服务器。
· 请同时配置主Web服务器与Track模块关联(由url url-string track track-entry-number命令配置),否则设备无法感知到主Web服务器的状态,从而无法在主Web服务器不可达时实现主从Web服务器切换。
设备对HTTPS报文进行重定向的内部侦听端口号缺省为6654。如果需要修改该端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。
表1-5 开启Web认证功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启Web认证功能,并指定引用的Web认证主/从Web服务器 |
web-auth enable apply server primary-server-name [ secondary-server secondary-server-name ] |
缺省情况下,Web认证功能处于关闭状态 |
通过在接入设备的二层接口上配置Web认证用户使用的认证域,可使得所有从该接口接入的Web认证用户都被强制使用指定的认证域来进行认证、授权和计费。管理员可通过该配置对不同接口上的Web认证用户使用不同的认证域,从而增加了管理员部署Web认证接入策略的灵活性。
从指定二层接口接入的Web认证用户将按照如下先后顺序选择认证域:接口上配置的Web认证用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域-->设备上为未知域名的用户指定的ISP域。如果根据以上原则决定的认证域在设备上不存在,用户将无法认证。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
表1-6 配置Web认证用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证用户使用的认证域 |
web-auth domain domain-name |
缺省情况下,接口上未配置Web认证用户使用的认证域 |
在本地Web认证的某些应用环境中,例如,Web认证用户认证成功并加入授权VLAN后,若客户端需要更新IP地址,则需要保证认证页面跳转的时间间隔大于用户更新IP地址的时间,否则用户会因为IP地址还未完成更新而无法打开指定的跳转网站页面。在这种情况下,为了保证Web认证功能的正常运行,需要调整认证页面跳转的时间间隔。
表1-7 配置认证页面跳转的时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建本地Web服务器,并进入本地Web服务器视图 |
web-auth server server-name |
缺省情况下,不存在Web认证服务器 |
配置认证页面跳转的时间间隔 |
redirect-wait-time period |
缺省情况下,Web认证用户认证成功后认证页面跳转的时间间隔为5秒 |
开启了Web认证功能的设备,在首次检测到用户流量后,会生成MAC地址临时表项,用于记录用户的MAC地址、用户上线的接口、用户所在的VLAN ID和临时表项的老化时间。
如果到达设定的老化时间,此用户仍未发起认证,则删除该临时表项。如果在老化时间内,用户认证成功,设备将删除该老化定时器,该临时表项记录的信息变为上线的Web用户信息;如果在老化时间内,用户认证失败,且设备上配置了Web认证的Auth-Fail VLAN,设备将该用户的MAC地址与Auth-fail VLAN进行绑定,并重新启动该老化定时器,待定时器超时后,若用户仍然没有通过认证,则该临时表项将会被删除。
在如下两种情况下,建议将定时器的值调大:
· 无接入权限的Web认证用户在短时间内频繁上送用户流量,导致接入设备不断发起Web认证流程,加重设备的负载。
· 用户在认证失败的情况下,能够访问某一特定VLAN中的资源的时间太短,导致比如病毒补丁未能成功下载。
表1-8 配置MAC地址临时表项的老化时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置MAC地址临时表项的老化时间 |
web-auth timer temp-entry-aging aging-time-value |
缺省情况下,MAC地址临时表项的老化定时器的值为60秒 |
通过配置免认证的目的IP地址,可以让Web认证用户无需认证即可访问免认证目的IP中的资源。
表1-9 Web认证用户免认证的目的IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Web认证用户免认证的目的IP地址 |
web-auth free-ip ip-address { mask-length | mask } |
缺省情况下,不存在Web认证用户免认证目的IP地址 建议不要同时配置Web认证的免认证目的IP地址和802.1X的Free IP |
通过配置免认证的目的主机名,可以让用户无需通过Web认证即可访问该目的IP中的资源。
Web认证用户免认证目的主机名只支持精确匹配,即完整匹配主机名。例如配置的主机名为abc.com.cn,其含义为只匹配abc.com.cn的主机名,如果报文中携带的主机名为dfabc.com.cn,则匹配失败。
配置本功能前,请确保组网中已部署DNS服务器,或者已通过ip host命令配置主机名与其对应的IP地址关系,有关ip host命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“域名解析”。
表1-10 配置Web认证用户免认证目的主机名
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Web认证用户免认证的目的主机名 |
web-auth free-host host-name |
缺省情况下,不存在Web认证用户免认证目的主机名 |
若配置Web认证最大用户数小于当前已经在线的Web认证用户数,则配置可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。
表1-11 配置Web认证最大用户数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证最大用户数 |
web-auth max-user [ preauth-domain | auth-fail-domain ] max-number |
缺省情况下,接口上同时可接入的最大Web认证用户数为1024 |
在二层接口上开启此功能后,接入设备会以此命令指定的时间间隔定期检测此接口上所有在线Web认证用户的MAC地址表项是否被刷新过。若检测到某Web认证用户的MAC地址表项未被刷新过或者已经老化,则认为对此Web认证用户一次检测失败。若连续两次检测失败,则设备认为该Web认证用户已离开,并将此用户置为下线状态,同时通知AAA服务器停止对此用户进行计费。
由于设备进行检测时若发现Web认证用户MAC地址表项已经老化,则认为对此Web认证用户探测失败,因此,为避免这种无效检测,请配置的探测时间间隔不要大于设备上MAC地址表项的老化时间。
需要注意的是:在二层聚合接口上指定用户在线检测时间间隔,用户实际下线时间比指定时间有所延迟,下线延迟时间不超过300秒。
表1-12 开启Web认证用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启Web认证用户在线探测功能 |
web-auth offline-detect interval interval |
缺省情况下,Web认证用户在线探测功能处于关闭状态 |
缺省情况下,当ISP域下所有RADIUS认证服务器均不可达时,如果此时设备上同时开启了Web认证用户的在线检测功能,设备将切断与Web用户的连接,导致Web用户下线。
当RADIUS认证服务器可达时,用户需要使用Web认证用户的在线检测功能,同时又希望在RADIUS认证服务器均不可达时,能够保持Web用户在线状态,可在设备上开启本功能。
配置本功能后,当RADIUS认证服务器不可达时,设备会自动关闭接口上的Web认证用户的在线检测功能,使得Web用户保持在线状态。
表1-13 配置Web在线用户逃生功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启Web在线用户逃生功能 |
web-auth auth-server-unavailable escape |
缺省情况下,RADIUS认证服务器不可达时,Web在线用户逃生功能处于关闭状态 |
接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。
需要注意的是:
· 开启Web认证的端口必须配置为Hybrid方式,并开启MAC VLAN功能,Auth-Fail VLAN功能才生效。
· Auth-Fail VLAN的网段需设为Web认证用户免认证的目的IP地址。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
· 禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN。若要删除该VLAN,需先通过undo web-auth auth-fail vlan命令取消Web认证的Auth-Fail VLAN配置。
表1-14 配置Web认证的Auth-Fail VLAN
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证的Auth-Fail VLAN |
web-auth auth-fail vlan authfail-vlan-id |
缺省情况下,不存在Web认证的Auth-Fail VLAN |
表1-15 配置Web认证的多VLAN模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证的多VLAN模式 |
web-auth host-mode multi-vlan |
缺省情况下,端口工作在Web认证的单VLAN模式 |
设备默认只允许未配置Web代理服务器的浏览器发起的HTTP/HTTPS请求才能触发Web认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP/HTTPS请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP/HTTPS请求也可以触发Web认证。
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,需要注意的是:
· 配置允许触发Web认证的Web代理服务器端口的同时,还需要配置Web认证用户免认证目的IP地址,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 需要用户在浏览器上将Web认证Web服务器的IP地址配置为Web代理服务器的例外地址,避免Web认证用户发送给Web认证Web服务器的HTTP/HTTPS报文被发送到Web代理服务器上,从而影响正常的Web认证。
表1-16 配置允许触发Web认证的Web代理服务器端口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
配置允许触发Web认证的Web代理服务器端口 |
web-auth proxy [ https ]port port-number |
缺省情况下,未配置允许触发Web认证的Web代理服务器端口 80和443端口是Web认证预留端口号,不可配置。 HTTP和HTTPS请求允许触发Web认证的Web代理服务器端口不能相同 |
在Web认证环境中,对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需手工输入认证信息便可以自动完成Web认证。
基于MAC地址的快速认证,又称为MAC-trigger认证或无感知认证。配置本功能后,当用户接入网络时,接入设备会基于用户的MAC地址向Portal MAC绑定服务器发送查询请求。若Portal MAC绑定服务器上能够查询到该MAC地址和对应的认证信息,则通知接入设备该用户已绑定,此时Portal MAC绑定服务器代替用户完成Web认证,用户上线。
仅支持应用IPv4 Portal MAC绑定服务器,且服务器类型必须为符合绿洲平台标准规范的服务器。
为使基于MAC地址的快速认证生效,必须完成以下配置:
· 完成普通二层Web认证的相关配置;
· 配置Portal MAC绑定服务器的IP地址和端口号;
· 在二层以太网接口或者二层聚合接口上应用Portal MAC绑定服务器。
在配置本功能前,需要在网络中部署Portal MAC绑定服务器。
表1-17 配置Web认证应用Portal MAC绑定服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置应用Portal MAC绑定服务器 |
web-auth apply portal mac-trigger-server server-name |
缺省情况下,未应用Portal MAC绑定服务器 |
Web认证接入用户日志信息可以方便管理员定位问题和解决问题,生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
当设备输出大量Web接入用户日志信息时,会降低设备性能。此时,用户可以关闭Web接入用户日志信息功能,一般情况下建议关闭此功能。
表1-18 开启Web认证接入用户日志信息功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Web认证接入用户日志信息功能 |
web-auth access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] * |
缺省情况下,Web认证接入用户日志信息功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Web认证功能的运行情况,通过查看显示信息验证配置的效果。
表1-19 Web认证显示和维护
操作 |
命令 |
显示接口上Web认证置信息 |
display web-auth [ interface interface-type interface-number ] |
显示所有Web认证用户免认证的目的IP地址 |
display web-auth free-ip |
显示所有Web认证Web服务器信息 |
display web-auth server [ server-name ] |
显示在线Web认证用户的信息(独立运行模式) |
display web-auth user [ m-lag [ local | peer ] ] [ interface interface-type interface-number | slot slot-number ] |
显示在线Web认证用户的信息(IRF模式) |
display web-auth user [ m-lag [ local | peer ] ] [ interface interface-type interface-number | chassis chassis-number slot slot-number ] |
强制Web认证用户下线 |
reset web-auth access-user [ interface interface-type interface-number | mac mac-address | username username ] |
用户主机与Device直接相连,在Device的接口GigabitEthernet1/0/1上对用户进行Web认证。具体要求如下:
· 配置Device实现对本地Web认证用户进行AAA本地认证和授权。
· 配置Device作为Web认证本地Web,本地Web服务器服务器的监听IP地址为LoopBack 0接口IP地址,TCP端口号为80。设备使用HTTP协议传输认证数据。
图1-4 使用AAA本地认证方式进行本地Web认证组网图
配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型。
(1) 配置本地用户
# 添加网络接入类本地用户,用户名为localuser,并设置密码。
<Device>system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple 123456TESTplat&!
# 配置本地用户localuser的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(2) 配置ISP域
# 创建一个名称为local的ISP域,使用本地认证、授权和计费方法。
[Device] domain local
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access local
[Device-isp-local] quit
(3) 配置本地Portal Web服务器
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[Device] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为defaultfile.zip。(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(4) 配置本地Web认证
# 创建名称为user的Web认证本地Web服务器,并进入其视图。
[Device] web-auth server user
# 配置Web认证本地Web服务器的重定向URL为http://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url http://20.20.0.1:80/portal/
# 配置Web认证本地Web服务器的IP地址为20.20.0.1,端口为80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web认证用户使用的认证域为local。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain local
# 开启Web认证,并指定引用的Web认证本地Web服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web认证成功后,通过执行以下显示命令可查看在线Web认证用户的信息。
<Device> display web-auth user
Total online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization microsegment ID: N/A
用户主机与接入设备Device直接相连,接入设备在接口GigabitEthernet1/0/1上对用户进行本地Web认证。具体要求如下:
· 使用远程RADIUS服务器进行认证、授权和计费。
· 配置Device作为Web认证本地Web服务器,本地Web服务器的监听IP地址为LoopBack 0接口IP地址,TCP端口号为80。设备使用HTTP 协议传输认证数据。
图1-5 使用AAA远程认证方式进行本地Web认证组网图
配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行。
配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型,保证各主机、服务器和设备之间路由可达。
(1) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(2) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication lan-access radius-scheme rs1
[Device-isp-dm1] authorization lan-access radius-scheme rs1
[Device-isp-dm1] accounting lan-access radius-scheme rs1
[Device-isp-dm1] quit
(3) 配置本地Portal Web服务器
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[Device] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(4) 配置本地Web认证
# 创建名称为user的Web认证本地Web服务器,并进入其视图。
[Device] web-auth server user
# 配置Web认证本地Web服务器的重定向URL为http://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url http://20.20.0.1:80/portal/
# 配置Web认证本地Web服务器的IP地址为20.20.0.1,端口号为80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web认证用户使用的认证域为dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 开启Web认证,并指定引用的Web认证本地Web服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web认证成功后,通过执行以下显示命令可查看在线Web认证用户的信息。
<Device> display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization microsegment ID: N/A
用户主机与接入设备Device直接相连,接入设备在接口GigabitEthernet1/0/1上对用户进行远程Web认证。具体要求如下:
· 配置Device实现对远程Web认证用户进行AAA本地认证和授权。
· Web认证远程Web服务器向Web认证用户推出认证页面。
图1-6 使用AAA本地认证方式进行远程Web认证组网图
配置Portal认证服务器,添加设备,保证Portal认证功能正常运行。
配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型,保证各主机、服务器和设备之间路由可达。
(1) 配置本地用户
# 添加网络接入类本地用户,用户名为localuser,并设置密码。
<Device>system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple 123456TESTplat&!
# 配置本地用户localuser的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(2) 配置认证域
# 创建一个名称为local的ISP域,使用本地认证、授权和计费方法。
[Device] domain local
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access local
[Device-isp-local] quit
(3) 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.112,密钥为明文portal,监听Portal报文的端口为50100。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.112 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
(4) 配置Web认证远程Web服务器
# 创建名称为user的Web认证远程Web服务器,并进入其视图。
[Device] web-auth remote server user
# 配置Web认证远程Web服务器的重定向URL为http://192.168.0.112:80/portal/。
[Device-web-auth-remote-server-user] url http://192.168.0.112:80/portal/
# 配置Web认证远程Web服务器的IP地址为192.168.0.112,端口号为80。
[Device-web-auth-remote-server-user] ip 192.168.0.112
[Device-web-auth-remote-server-user] quit
# 指定Web认证用户使用的认证域为local。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain local
# 开启Web认证,并指定引用的Web认证Web服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
(5) 指定通过查询ARP表项来获取Portal用户信息
[Device] portal access-info trust arp
以上配置完成且Web认证成功后,通过执行以下显示命令可查看在线Web认证用户的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization microsegment ID: N/A
用户主机与接入设备Device直接相连,接入设备在接口GigabitEthernet1/0/1上对用户进行远程Web认证。具体要求如下:
· 使用远程RADIUS服务器进行认证、授权和计费。
· Web认证远程Web服务器向Web认证用户推出认证页面。
图1-7 使用AAA远程认证方式进行远程Web认证组网图
配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行。
配置Portal认证服务器,添加设备,保证Portal认证功能正常运行。
配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型,保证各主机、服务器和设备之间路由可达。
(1) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(2) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication lan-access radius-scheme rs1
[Device-isp-dm1] authorization lan-access radius-scheme rs1
[Device-isp-dm1] accounting lan-access radius-scheme rs1
[Device-isp-dm1] quit
(3) 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.112,密钥为明文portal,监听Portal报文的端口为50100。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.112 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
(4) 配置Web认证远程Web服务器
# 创建名称为user的Web认证远程Web服务器,并进入其视图。
[Device] web-auth remote server user
# 配置Web认证远程Web服务器的重定向URL为http://192.168.0.112:80/portal/。
[Device-web-auth-remote-server-user] url http://192.168.0.112:80/portal/
# 配置Web认证远程Web服务器的IP地址为192.168.0.112。
[Device-web-auth-remote-server-user] ip 192.168.0.112
[Device-web-auth-remote-server-user] quit
# 指定Web认证用户使用的认证域为dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 开启Web认证,并指定引用的Web认证Web服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
(5) 指定通过查询ARP表项来获取Portal用户信息。
[Device] portal access-info trust arp
以上配置完成且Web认证成功后,通过执行以下显示命令可查看在线Web认证用户的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 100
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization microsegment ID: N/A
在系统视图下有创建好本地认证用户、Web认证服务器、认证域等,并且在接口下正常引用。用户通过浏览器上线,能正常推出页面且始终上线失败。
分别进入本地用户视图、Web认证服务器视图、认证域视图、LoopBack0接口视图、VLAN视图下display this查看配置,也没有问题。那么问题就可能出现在接口配置里,分别进入用户接口和外网接口下display this查看配置 ,发现这两个接口下都有使能Web认证功能。
故障出现的原因是外网接口下有开启Web认证功能,Web认证中外网接口不需要开启Web认证功能。因此只需要将外网接口下的Web认证功能关闭即可。
在接口下未配置ISP域且其他配置均正确的情况下,用户通过浏览器上线,上线失败。
缺省情况下,开启Web认证的接口上未配置Web认证用户使用的认证域时,设备使用系统缺省的system域,其缺省认证方式是本地(local)。所以本地认证失败原因可能有两个,一个是修改了系统缺省system域的认证方案,另一个是更改了系统缺省的ISP域。
使用display domain命令查看缺省域下是否配置了正确的本地认证方案。如果不正确,请重新配置。
用户接口加入的VLAN和外网接口加入的VLAN不是同一个VLAN时,用户使用浏览器上线,始终无法认证上线成功。
访问外网配置中,有使用LoopBack0口并配置IP地址,就不需要在接口加入的VLAN下配置IP地址。但是用户接口和外网接口需要加入同一VLAN,才能使用户正常访问外网。
进入外网接口视图,删除VLAN项,然后加入用户接口下配置的VLAN中即可。也可以进入用户视图,删除VLAN项,然后加入外网接口下配置的VLAN中即可。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!