- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
20-Web认证操作
本章节下载: 20-Web认证操作 (219.41 KB)
目 录
l 新增“Web认证用户最长在线时间配置”特性,具体请参见1.2.2 Web认证配置。
l 新增“Web认证支持HTTPS访问方式”特性,具体请参见1.3 Web认证支持HTTPS访问方式的配置。
l 新增“Web认证定制页面”特性,具体请参见1.4 配置Web认证的定制页面。
Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,它不需要用户安装专用的客户端认证软件。
开启Web认证功能后,认证通过前客户端不能访问网络,只能打开认证页面,或者访问免认证IP指定的地址,认证通过后可以访问所有可达网络。
配置ISP域及其使用的AAA方案,选择使用RADIUS认证方案,以配合完成用户的身份认证。
l Web认证使用的AAA认证方案只能为RADIUS认证方案,不支持本地认证。
l AAA认证方案下配置的接入用户数目限制对Web认证不生效。Web认证不支持计费,所以AAA方案配置中请配置计费为可选。
表1-1 Web认证配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Web认证服务器的IP地址和端口号 |
web-authentication web-server ip ip-address [ port port-number ] |
必选 缺省情况下,端口号为80,未配置Web认证服务器IP地址 |
|
开启全局Web认证特性 |
web-authentication enable |
必选 缺省情况下,全局Web认证特性处于关闭状态 |
|
在端口上开启Web认证 |
interface interface-type interface-number |
必选 缺省情况下,端口未开启Web认证 |
|
web-authentication select method { shared | designated } |
||
|
quit |
||
|
设置Web认证的免认证IP地址 |
web-authentication free-ip ip-address { mask-length | mask } |
可选 缺省情况下,未配置Web认证的免认证IP地址 |
|
设置Web认证的免认证用户 |
web-authentication free-user ip ip-address mac mac-address |
可选 缺省情况下,未配置免认证用户 |
|
配置强制切断Web认证用户 |
web-authentication cut connection { all | mac mac-address | user-name user-name | interface interface-type interface-number } |
可选 |
|
配置Web认证闲置用户检测定时器的时长 |
web-authentication timer idle-cut timer |
可选 缺省情况下,闲置用户检测定时器的时长为900秒 |
|
限制Web认证用户最长在线时间 |
web-authentication timer max-online timer |
可选 缺省情况下,限制Web认证用户最长在线时间为1800秒 |
|
配置通过Web认证的用户最大个数 |
web-authentication max-connection number |
可选 缺省情况下,设备上能通过Web认证的用户最大个数为512;端口上能通过Web认证的用户最大个数为128 |
|
interface interface-type interface-number |
||
|
web-authentication max-connection number |
l 开启全局Web认证功能前,首先必须配置Web认证服务器的IP地址。
l 如果开启了Web认证,则不能配置802.1x、MAC地址认证、端口安全、端口汇聚,IRF等特性,反之,如果配置了802.1x、MAC地址认证、端口安全、端口汇聚,IRF等特性,则禁止开启Web认证。
l 各端口的Web认证参数在全局开启之前可以配置,但不会生效;在全局Web认证开启后,已使能Web认证的端口将立即开始进行认证操作。
l Web认证客户端与开启了Web认证功能的交换机之间必须路由可达,以完成Web认证页面的推出。
l Web认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。
l 对于共享接入方式(shared)上线的用户,如果配置的免认证用户的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时,对应的用户被强制下线。
认证客户端和设备间可支持HTTP、HTTPS协议的交互:
l 若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证。
l 若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
通过此配置,交换机支持客户端使用HTTPS方式打开认证页面,保证认证信息传输的安全性。
如果需要配置接入协议为HTTPS,则需要先配置PKI域和SSL服务器策略,并将证书导入到PKI域内。SSL及PKI相关配置的说明,请参见 “SSL”及“PKI”模块。
表1-2 配置接入协议
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
配置接入协议 |
web-authentication protocol { http | https server-policy policy-name } |
必选 缺省情况下, 使用HTTP接入协议 |
l 此配置需要在Web认证开启前完成,Web认证开启后不能改变接入协议。
l SSL服务器的策略必须存在,并在完成此配置后不要删除SSL服务器的策略。
Web认证设备支持用户定制认证页面,分为两种形式:
l 使用简单的缺省页面框架,用户可以定制此框架中个别元素,详见1.4.1 配置页面定制元素。
l 使用用户自行编辑的HTML文件,可以推出图片,广告,等各种页面,详见1.4.2 配置定制页面文件、1.4.3 编辑定制页面文件。
Web认证的缺省认证页面是一个框架,可以由用户配置其4部分,这四部分只能配置为字符串的形式,一定程度上满足用户定制的要求。
表1-3 配置定制页面元素
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Web认证定制页面元素信息 |
web-authentication customize { corp-name corporation-text | email email-string | phone-num phonenum-string | platform-name platform-text } |
可选 缺省情况下,认证页面不体现定制信息 |
以上配置是在默认页面框架下对局部信息进行定制的命令,不能改变认证页面的整体风格,适用于认证页面简单,性能高的场景。
Web认证页面也可以完全由第三方开发,加载到设备上,进行显示。只要开发的页面文件符合定制规范,页面内容可以随意发挥,页面内容更丰富,更自由。
表1-4 配置定制页面文件
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置或修改定制页面文件 |
web-authentication customize file web-file |
可选 缺省情况下为空。 |
l 配置定制页面文件后,设备将提取用户加载的文件进行显示,1.4.1 所述的配置在此失去意义。
l 文件名fileName必须包含系统根目录和相对路径。如:unit1>flash:/test.zip
使用web认证进行认证时,设备向用户推出认证页面,认证页面的内容可由用户定制。用户定制的认证页面以HTML文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面包括登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、免认证页面、下线成功页面,共7个主索引页面文件。
用户在定制这些页面时需要遵循一定的定制规范,否则会影响Web认证功能的正常使用和系统运行的稳定性。
用户定制的主索引文件名,必须使用表1-5中的固定文件名:
|
主索认证页面 |
文件名 |
|
登录页面 |
login.htm |
|
登录成功页面 |
loginSuccess.htm |
|
登录失败页面 |
loginFail.htm |
|
在线页面 用于提示用户已经在线 |
online.htm |
|
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
|
下线成功页面 |
logoutSuccess.htm |
|
免认证页面 |
freeUser.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
WEB认证模块只能接受Get请求和Post请求。
l Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
l Get请求的内容不可为递归内容。例如,Login.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Login.htm的引用,这种递归引用就不允许。
定制页面中Form的编辑必须符合下列原则:
l 用户定制的页面可以含有多个Form,但是必须有且只有一个Form的action为空,否则无法将用户信息送到设备。
l 用户名字段固定为”WaUser”,密码字段固定为”WaPwd”。
l 需要有用于标记用户登录还是下线的参数”WaButton”,取值为"Login"表示登录,取值为"Logout"表示下线。
l 登录Post请求必须包含”WaUser”,”WaPwd”和"WaButton"三个参数。
l 下线Post请求必须包含”WaButton”这个参数。
包含登录Post请求的页面有login.htm,loginFail.htm。
login.htm页面脚本内容的部分示例:
<form method = post >
<p>User name:<input type="text" name = "WaUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "WaPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Login" name = "WaButton" style="width:60px;">
</form>
包含下线Post请求的页面有loginSuccess.htm、online.htm。
online.htm页面脚本内容的部分示例:
<form method = post >
<p><input type=SUBMIT value="Logout" name="WaButton" style="width:60px;">
</form>
l 定制页面编辑好之后必须按照标准zip格式压缩成*****.zip文件,zip文件名只能包含字母、数字、下划线。
l 压缩后的zip文件通过FTP或者TFTP的方式上传至设备中保存。
为了方便系统推出定制页面,定制的页面在大小和内容上需要有如下限制:
l 每套页面:包括login.htm,loginSuccess.htm等主索引文件和其页面元素,压缩后的zip文件大小不能超过500K。
l 每个单独页面:包括单个主索引文件(如login.htm)及其页面元素,压缩前的页面文件大小不超过50K(含页面文件和图片信息)。
l 页面元素:包括如login.htm页面需要应用的back.jpg文件等单个文件,只能包含HTML、JS、CSS和图片内容。
完成上述配置后,在任意视图下执行display命令,可以显示配置Web认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-6 Web认证显示和维护
|
操作 |
命令 |
说明 |
|
显示Web认证的全局或端口信息 |
display web-authentication configuration |
display命令可以在任意视图下执行 |
|
显示Web认证用户连接情况 |
display web-authentication connection{ all | interface interface-type interface-number | user-name user-name } |
如图1-1所示,用户与以太网交换机的端口Ethernet1/0/1相连接。
l 交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证,以控制用户对Internet的访问。
l 用户在通过Web认证前可以访问免费资源,通过认证后可以访问所有可达网络。
l 接入用户通过DHCP服务器自动获取IP地址。
图1-1 开启Web认证对接入用户进行认证
# 用户端配置为自动获得IP地址方式,并在DHCP服务器上完成DHCP相关配置。
# 配置Web认证服务器IP地址、端口号。
<Switch> system-view
[Switch] web-authentication web-server ip 10.10.10.10 port 8080
# 配置Web认证免认证IP地址段,用户在通过认证前可以访问免费资源。
[Switch] web-authentication free-ip 10.20.20.1 24
# 开启指定端口Ethernet 1/0/1的Web认证特性,并指定端口接入方式为指定接入方式。
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] web-authentication select method designated
# 创建RADIUS方案radius1并进入其视图。
[Switch] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址。
[Switch-radius-radius1] primary authentication 10.10.10.164
# 设置此方案不计费。
[Switch-radius-radius1] accounting optional
# 设置系统与RADIUS认证服务器交互报文时的加密密码。
[Switch-radius-radius1] key authentication expert
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Switch-radius-radius1] user-name-format without-domain
[Switch-radius-radius1] quit
# 创建Web认证用户所使用的域example.com并进入其视图。
[Switch] domain example.com
# 配置域example.com为缺省用户域。
[Switch] domain default enable example.com
# 指定radius1为该域用户的RADIUS方案。
[Switch-isp-example.com] scheme radius-scheme radius1
# 开启全局Web认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[Switch] web-authentication enable
此时,Web认证生效,在用户通过Web认证前,不能访问外部网络,只能访问免费资源。
用户打开IE,地址栏内输入:http://10.10.10.10:8080,输入相应的“User name”和“Password”。点击Login,出现认证成功页面:“Authentication passed!”。此时用户可以访问成功外部网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
