• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 操作手册-Release 1702(V1.01)

20-Web认证操作

本章节下载 20-Web认证操作  (219.41 KB)

20-Web认证操作


1 Web认证配置

l    新增“Web认证用户最长在线时间配置”特性,具体请参见1.2.2  Web认证配置

l    新增“Web认证支持HTTPS访问方式”特性,具体请参见1.3  Web认证支持HTTPS访问方式的配置

l    新增“Web认证定制页面”特性,具体请参见1.4  配置Web认证的定制页面

 

1.1  Web认证简介

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,它不需要用户安装专用的客户端认证软件。

开启Web认证功能后,认证通过前客户端不能访问网络,只能打开认证页面,或者访问免认证IP指定的地址,认证通过后可以访问所有可达网络。

1.2  Web认证配置

1.2.1  配置准备

配置ISP域及其使用的AAA方案,选择使用RADIUS认证方案,以配合完成用户的身份认证。

l    Web认证使用的AAA认证方案只能为RADIUS认证方案,不支持本地认证。

l    AAA认证方案下配置的接入用户数目限制对Web认证不生效。Web认证不支持计费,所以AAA方案配置中请配置计费为可选。

 

1.2.2  Web认证配置

表1-1 Web认证配置

操作

命令

说明

进入系统视图

system-view

-

设置Web认证服务器的IP地址和端口号

web-authentication web-server ip ip-address [ port port-number ]

必选

缺省情况下,端口号为80,未配置Web认证服务器IP地址

开启全局Web认证特性

web-authentication enable

必选

缺省情况下,全局Web认证特性处于关闭状态

在端口上开启Web认证

interface interface-type interface-number

必选

缺省情况下,端口未开启Web认证

web-authentication select method { shared | designated }

quit

设置Web认证的免认证IP地址

web-authentication free-ip ip-address { mask-length | mask }

可选

缺省情况下,未配置Web认证的免认证IP地址

设置Web认证的免认证用户

web-authentication free-user ip ip-address mac mac-address

可选

缺省情况下,未配置免认证用户

配置强制切断Web认证用户

web-authentication cut connection { all | mac mac-address | user-name user-name | interface interface-type interface-number }

可选

配置Web认证闲置用户检测定时器的时长

web-authentication timer idle-cut timer

可选

缺省情况下,闲置用户检测定时器的时长为900秒

限制Web认证用户最长在线时间

web-authentication timer max-online timer

可选

缺省情况下,限制Web认证用户最长在线时间为1800秒

配置通过Web认证的用户最大个数

web-authentication max-connection number

可选

缺省情况下,设备上能通过Web认证的用户最大个数为512;端口上能通过Web认证的用户最大个数为128

interface interface-type interface-number

web-authentication max-connection number

 

l    开启全局Web认证功能前,首先必须配置Web认证服务器的IP地址。

l    如果开启了Web认证,则不能配置802.1x、MAC地址认证、端口安全、端口汇聚,IRF等特性,反之,如果配置了802.1x、MAC地址认证、端口安全、端口汇聚,IRF等特性,则禁止开启Web认证。

l    各端口的Web认证参数在全局开启之前可以配置,但不会生效;在全局Web认证开启后,已使能Web认证的端口将立即开始进行认证操作。

l    Web认证客户端与开启了Web认证功能的交换机之间必须路由可达,以完成Web认证页面的推出。

l    Web认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。

l    对于共享接入方式(shared)上线的用户,如果配置的免认证用户的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时,对应的用户被强制下线。

 

1.3  Web认证支持HTTPS访问方式的配置

认证客户端和设备间可支持HTTP、HTTPS协议的交互:

l              若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证。

l              若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。

通过此配置,交换机支持客户端使用HTTPS方式打开认证页面,保证认证信息传输的安全性。

1.3.1  配置准备

如果需要配置接入协议为HTTPS,则需要先配置PKI域和SSL服务器策略,并将证书导入到PKI域内。SSL及PKI相关配置的说明,请参见 “SSL”及“PKI”模块。

1.3.1  配置接入协议

表1-2 配置接入协议

操作

命令

说明

进入系统视图

system-view

-

配置接入协议

web-authentication protocol { http | https server-policy policy-name }

必选

缺省情况下, 使用HTTP接入协议

 

l    此配置需要在Web认证开启前完成,Web认证开启后不能改变接入协议。

l    SSL服务器的策略必须存在,并在完成此配置后不要删除SSL服务器的策略。

 

1.4  配置Web认证的定制页面

Web认证设备支持用户定制认证页面,分为两种形式:

l              使用简单的缺省页面框架,用户可以定制此框架中个别元素,详见1.4.1  配置页面定制元素

l              使用用户自行编辑的HTML文件,可以推出图片,广告,等各种页面,详见1.4.2  配置定制页面文件1.4.3  编辑定制页面文件

1.4.1  配置页面定制元素

Web认证的缺省认证页面是一个框架,可以由用户配置其4部分,这四部分只能配置为字符串的形式,一定程度上满足用户定制的要求。

表1-3 配置定制页面元素

操作

命令

说明

进入系统视图

system-view

-

设置Web认证定制页面元素信息

web-authentication customize { corp-name corporation-text | email email-string | phone-num phonenum-string | platform-name platform-text }

可选

缺省情况下,认证页面不体现定制信息

 

以上配置是在默认页面框架下对局部信息进行定制的命令,不能改变认证页面的整体风格,适用于认证页面简单,性能高的场景。

 

1.4.2  配置定制页面文件

Web认证页面也可以完全由第三方开发,加载到设备上,进行显示。只要开发的页面文件符合定制规范,页面内容可以随意发挥,页面内容更丰富,更自由。

表1-4 配置定制页面文件

操作

命令

说明

进入系统视图

system-view

-

配置或修改定制页面文件

web-authentication customize file web-file

可选

缺省情况下为空。

 

l    配置定制页面文件后,设备将提取用户加载的文件进行显示,1.4.1  所述的配置在此失去意义。

l    文件名fileName必须包含系统根目录和相对路径。如:unit1>flash:/test.zip

 

1.4.3  编辑定制页面文件

使用web认证进行认证时,设备向用户推出认证页面,认证页面的内容可由用户定制。用户定制的认证页面以HTML文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面包括登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、免认证页面、下线成功页面,共7个主索引页面文件。

用户在定制这些页面时需要遵循一定的定制规范,否则会影响Web认证功能的正常使用和系统运行的稳定性。

1. 定制文件名规范

用户定制的主索引文件名,必须使用表1-5中的固定文件名:

表1-5 认证页面文件名

主索认证页面

文件名

登录页面

login.htm

登录成功页面

loginSuccess.htm

登录失败页面

loginFail.htm

在线页面

用于提示用户已经在线

online.htm

系统忙页面

用于提示系统忙或者该用户正在登录过程中

busy.htm

下线成功页面

logoutSuccess.htm

免认证页面

freeUser.htm

 

主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。

 

2. 页面请求规范

WEB认证模块只能接受Get请求和Post请求。

l              Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。

l              Get请求的内容不可为递归内容。例如,Login.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Login.htm的引用,这种递归引用就不允许。

3. Post请求中各参数的规范

定制页面中Form的编辑必须符合下列原则:

l              用户定制的页面可以含有多个Form,但是必须有且只有一个Form的action为空,否则无法将用户信息送到设备。

l              用户名字段固定为”WaUser”,密码字段固定为”WaPwd”。

l              需要有用于标记用户登录还是下线的参数”WaButton”,取值为"Login"表示登录,取值为"Logout"表示下线。

l              登录Post请求必须包含”WaUser”,”WaPwd”和"WaButton"三个参数。

l              下线Post请求必须包含”WaButton”这个参数。

包含登录Post请求的页面有login.htm,loginFail.htm。

login.htm页面脚本内容的部分示例:

<form method = post >

<p>User name:<input type="text" name = "WaUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "WaPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Login" name = "WaButton" style="width:60px;">

</form>

包含下线Post请求的页面有loginSuccess.htm、online.htm。

online.htm页面脚本内容的部分示例:

<form method = post >

<p><input type=SUBMIT value="Logout" name="WaButton" style="width:60px;">

</form>

4. 页面文件路径规范

l              定制页面编辑好之后必须按照标准zip格式压缩成*****.zip文件,zip文件名只能包含字母、数字、下划线。

l              压缩后的zip文件通过FTP或者TFTP的方式上传至设备中保存。

5. 页面大小和内容规范

为了方便系统推出定制页面,定制的页面在大小和内容上需要有如下限制:

l              每套页面:包括login.htm,loginSuccess.htm等主索引文件和其页面元素,压缩后的zip文件大小不能超过500K。

l              每个单独页面:包括单个主索引文件(如login.htm)及其页面元素,压缩前的页面文件大小不超过50K(含页面文件和图片信息)。

l              页面元素:包括如login.htm页面需要应用的back.jpg文件等单个文件,只能包含HTML、JS、CSS和图片内容。

1.5  Web认证配置显示和维护

完成上述配置后,在任意视图下执行display命令,可以显示配置Web认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表1-6 Web认证显示和维护

操作

命令

说明

显示Web认证的全局或端口信息

display web-authentication configuration

display命令可以在任意视图下执行

显示Web认证用户连接情况

display web-authentication connection{ all | interface interface-type interface-number | user-name user-name }

 

1.6  Web认证配置举例

1. 组网需求

图1-1所示,用户与以太网交换机的端口Ethernet1/0/1相连接。

l              交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证,以控制用户对Internet的访问。

l              用户在通过Web认证前可以访问免费资源,通过认证后可以访问所有可达网络。

l              接入用户通过DHCP服务器自动获取IP地址。

2. 组网图

图1-1 开启Web认证对接入用户进行认证

3. 配置步骤

# 用户端配置为自动获得IP地址方式,并在DHCP服务器上完成DHCP相关配置。

# 配置Web认证服务器IP地址、端口号。

<Switch> system-view

[Switch] web-authentication web-server ip 10.10.10.10 port 8080

# 配置Web认证免认证IP地址段,用户在通过认证前可以访问免费资源。

[Switch] web-authentication free-ip 10.20.20.1 24

# 开启指定端口Ethernet 1/0/1的Web认证特性,并指定端口接入方式为指定接入方式。

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/1] web-authentication select method designated

# 创建RADIUS方案radius1并进入其视图。

[Switch] radius scheme radius1

# 设置主认证RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.10.10.164

# 设置此方案不计费。

[Switch-radius-radius1] accounting optional

# 设置系统与RADIUS认证服务器交互报文时的加密密码。

[Switch-radius-radius1] key authentication expert

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Switch-radius-radius1] user-name-format without-domain

[Switch-radius-radius1] quit

# 创建Web认证用户所使用的域example.com并进入其视图。

[Switch] domain example.com

# 配置域example.com为缺省用户域。

[Switch] domain default enable example.com

# 指定radius1为该域用户的RADIUS方案。

[Switch-isp-example.com] scheme radius-scheme radius1

# 开启全局Web认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。

[Switch] web-authentication enable

此时,Web认证生效,在用户通过Web认证前,不能访问外部网络,只能访问免费资源。

用户打开IE,地址栏内输入:http://10.10.10.10:8080,输入相应的“User name”和“Password”。点击Login,出现认证成功页面:“Authentication passed!”。此时用户可以访问成功外部网络。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们