认证网通代理服务器

i目录1Web认证·1-11.
1Web认证简介1-11.
1.
1Web认证的方式·1-11.
1.
2Web认证的优势·1-11.
1.
3Web认证的系统组成·1-11.
1.
4Web认证过程·1-21.
1.
5Web认证支持VLAN下发·1-21.
1.
6Web认证支持ACL下发·1-31.
2Web认证配置任务简介1-31.
3配置准备·1-41.
4配置Web认证服务器1-41.
5开启Web认证功能1-51.
6配置Web认证用户使用的认证域·1-51.
7配置认证页面跳转的时间间隔·1-51.
8配置Web认证用户免认证的目的IP地址·1-61.
9配置Web认证最大用户数·1-61.
10开启Web认证用户在线探测功能·1-61.
11配置Web认证的Auth-FailVLAN1-71.
12配置Web认证支持Web代理·1-71.
13Web认证显示和维护·1-81.
14Web认证典型配置·1-91.
14.
1使用本地AAA认证方式进行Web认证的配置举例1-91.
14.
2使用RADIUS服务器远程AAA认证方式进行Web认证的配置举例1-101.
15常见配置错误举例·1-131.
15.
1本地访问外网,在接口配置正常的Web认证服务器情况下,用户上线失败·1-131.
15.
2本地认证接口配置使用默认domain情况下,用户上线失败·1-131.
15.
3本地访问外网,在接口配置已存在的VLAN情况下,用户上线失败·1-131-11Web认证1.
1Web认证简介Web认证是一种在二层以太网接口上通过网页方式对用户身份合法性进行认证的认证方法.

在接入设备的二层以太网接口上开启Web认证功能后,未认证用户上网时,接入设备强制用户登录到特定站点,用户可免费访问其中的Web资源;当用户需要访问该特定站点之外的Web资源时,必须在接入设备上进行认证,认证通过后可访问特定站点之外的Web资源.
Web认证仅支持由接入设备上的本地PortalWeb服务器向用户提供Web认证页面,有关本地PortalWeb服务器的相关介绍请参见"安全配置指导"中的"Portal".
1.
1.
1Web认证的方式Web认证分为主动认证和强制认证两种类型:用户主动登录到认证页面输入用户名和密码进行认证的方式被称作主动认证;用户访问任意非认证页面时被强制重定向到认证页面进行认证的方式被称作强制认证.
此处及下文用到的认证页面、登录成功页面均指接入设备上本地PortalWeb服务器提供的认证页面和登录成功页面.
1.
1.
2Web认证的优势Web认证是一种灵活的访问控制技术,可以在接入设备的二层接口上实施访问控制,具有如下优势:无需安装客户端软件,直接使用Web页面认证,使用方便.
可为网络服务提供者提供方便的管理功能和业务拓展功能,例如网络服务提供者可以在认证页面上开展商业广告、社区服务、信息发布等个性化业务.
1.
1.
3Web认证的系统组成Web认证的典型组网方式如图1-1所示,它由四个基本要素组成:认证客户端、接入设备、本地PortalWeb服务器、AAA服务器.
图1-1Web认证系统组成示意图2.
认证客户端为运行HTTP协议的浏览器,发起Web认证.
3.
接入设备交提供接入服务的设备,主要有三方面的作用:在认证之前,将用户的所有HTTP请求都重定向到认证页面.
1-2在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能.
在认证通过后,允许用户访问被授权的网络资源.
4.
本地PortalWeb服务器本地PortalWeb服务器集成在接入设备中,负责向认证客户端提供认证页面及其免费Web资源,并将认证客户端的认证信息(用户名、密码等)提交给接入设备的AAA模块.
有关AAA的详细介绍请参见"安全配置指导"中的"AAA".
5.
AAA服务器与接入设备进行交互,完成对用户的认证、授权和计费.
目前RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器可支持对Web认证用户进行认证、授权和计费,以及LDAP(LightweightDirectoryAccessProtocol,轻量级目录访问协议)服务器可支持对Web认证用户进行认证.
1.
1.
4Web认证过程Web认证的具体认证过程如下.
图1-2Web认证流程图(1)Web认证用户首次访问Web资源的HTTP请求报文经过开启了Web认证功能的二层以太网接口时,若此HTTP报文请求的内容为认证页面或设定的免费访问地址中的Web资源,则接入设备允许此HTTP报文通过;若请求的内容为其他Web资源,则接入设备将此HTTP报文重定向到认证页面,用户在认证页面上输入用户名和密码来进行认证.
(2)接入设备与AAA服务器之间进行RADIUS协议报文的交互,对用户身份进行验证.
(3)若RADIUS认证成功,则接入设备上向客户端发送登录成功页面,通知客户端认证成功.