- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
40-Web认证典型配置指导
本章节下载 (120.75 KB)
目 录
Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,它不需要用户安装专用的客户端认证软件。
开启Web认证功能后,认证通过前客户端不能访问网络,只能打开认证页面,或者访问免认证IP指定的地址,认证通过后可以访问所有可达网络。
图1-1 开启Web认证对接入用户进行认证
用户与以太网交换机的端口Ethernet1/0/1相连接。
l 交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证,以控制用户对Internet的访问。
l 用户在通过WEB认证前可以访问免费资源,通过认证后可以访问所有可达网络。
l 接入用户通过DHCP服务器自动获取IP地址。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
# 用户端配置为自动获得IP地址方式,并在DHCP服务器上完成DHCP相关配置。
# 配置Web认证服务器IP地址、端口号。
<Sysname> system-view
[Sysname] web-authentication web-server ip 10.10.10.10 port 8080
# 配置Web认证免认证IP地址段,用户在通过认证前可以访问免费资源。
[Sysname] web-authentication free-ip 10.20.20.1 24
# 开启指定端口Ethernet 1/0/1的Web认证特性,并指定端口接入方式为指定接入方式。
[Sysname] interface Ethernet 1/0/1
[Sysname- Ethernet1/0/1] web-authentication select method designated
# 创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.10.10.164
# 设置此方案不计费。
[Sysname-radius-radius1] accounting optional
# 设置系统与RADIUS认证服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication expert
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建Web认证用户所使用的域example.com并进入其视图。
[Sysname] domain example.com
# 指定radius1为该域用户的RADIUS方案。
[Sysname-isp-example.com] scheme radius-scheme radius1
[Sysname-isp-example.com] quit
# 配置域example.com为缺省用户域。
[Sysname] domain default enable example.com
# 开启全局Web认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[Sysname] web-authentication enable
此时,Web认证生效,在用户通过Web认证前,不能访问外部网络,只能访问免费资源。
用户打开IE,地址栏内输入:http://10.10.10.10:8080,根据提示:“Please input your name and the password!”,输入相应的“User name”和“Password”。点击Login,出现认证成功页面:“Authentication passed!”。此时用户可以访问成功外部网络。
#
web-authentication web-server ip 10.10.10.10 port 8080
#
domain default enable example.com
#
web-authentication web-server ip 10.10.10.10 port 8080
web-authentication free-ip 10.20.20.0 255.255.255.0
web-authentication enable
#
radius scheme radius1
primary authentication 10.10.10.164
accounting optional
key authentication expert
user-name-format without-domain
#
domain example.com
scheme radius-scheme radius1
#
interface Ethernet1/0/1
web-authentication select method designated
#
l 开启全局Web认证功能前,首先必须配置Web认证HTTP服务器的IP地址。
l 如果开启了Web认证,则不能配置802.1x、MAC地址认证、端口安全、端口汇聚、IRF等特性,反之,如果配置了802.1x、MAC地址认证、端口安全、端口汇聚、IRF等特性,则禁止开启Web认证。
l 各端口的Web认证参数在全局开启之前可以配置,但不会生效;在全局Web认证开启后,已使能Web认证的端口将立即开始进行认证操作。
l Web认证客户端与开启了Web认证功能的交换机之间必须路由可达,以完成Web认证页面的推出。
l Web认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。
l 对于共享接入方式(shared)上线的用户,如果配置免认证用户的的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时,对应的用户被强制下线。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
