- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
16-HTTP重定向配置
本章节下载: 16-HTTP重定向配置 (166.46 KB)
目 录
HTTP重定向是一种将用户的HTTP/HTTPS请求转到某个指定URL的方法。目前,HTTP重定向主要用于802.1X/MAC地址认证/Web认证/端口安全的URL重定向功能、802.1X的EAD快速部署以及Portal等需要对用户的HTTP/HTTPS请求进行重定向的业务。
对于HTTP请求报文无需进行任何配置,对于需要对用户HTTPS请求进行重定向的业务需进行以下配置:
(2) (可选)配置HTTPS重定向服务关联的SSL服务器端策略
(3) (可选)开启HTTP重定向的终端黑名单功能
只有配置了对HTTPS报文进行重定向的内部侦听端口号,设备才会对HTTPS报文进行重定向。
为了避免端口号冲突导致服务不可用,需确保内部侦听端口号不是知名协议使用的端口号,且不能被其它基于TCP协议的服务占用。已被其他服务占用的TCP端口号可以通过display tcp命令查看,该命令的详细介绍请参见“三层技术-IP业务命令参考”中的“IP性能优化”。
多次执行本命令,最后一次执行的命令生效。
(1) 进入系统视图。
system-view
(2) 配置对HTTPS报文进行重定向的内部侦听端口号。
http-redirect https-port port-number
缺省情况下,对HTTPS报文进行重定向的内部侦听端口号为6654。
SSL服务器端策略是设备作为服务器时使用的SSL参数,例如支持的加密套件、是否基于数字证书对SSL客户端进行验证等。
HTTPS重定向服务支持两种本地证书:设备签发的自签名证书和CA签发的本地证书。用户可根据安全性要求和配置复杂度在如下两种方案中进行选择:
· 采用设备签发的自签名证书,此方式配置简单但存在安全隐患。在该方式下,无需配置HTTPS重定向服务关联的SSL服务器端策略,使用的SSL参数均为缺省值。但由于自签名证书不是由可信的CA机构签发而不受浏览器信任,当设备将HTTPS报文重定向到指定的网页时,用户浏览器上将会弹出安全风险提示,若用户能够接受使用自签名证书带来的安全风险,可选择忽略此提示,继续浏览网页。
· 采用CA签发的本地证书,此方式配置相对复杂但安全性较强。在该方式下,用户需要获取CA证书并向CA申请本地证书,同时配置SSL服务器端策略,并将其与HTTPS重定向服务进行关联,来增强HTTPS重定向服务的安全性。
有关数字证书和SSL服务器端策略的详细介绍,请分别参见“安全配置指导”中的“PKI”和“SSL”。
如果关联的SSL服务器端策略不存在,则无法完成HTTPS报文的重定向。允许用户先关联一个不存在的SSL服务器端策略,再对该策略进行相关配置。
修改SSL服务器端策略会立即生效。
多次执行本命令,最后一次执行的命令生效。
(1) 进入系统视图。
system-view
(2) 指定HTTPS重定向服务关联的SSL服务器端策略。
http-redirect ssl-server-policy policy-name
缺省情况下,HTTPS重定向服务未与SSL服务器端策略关联,HTTPS重定向服务使用自签名证书。
在Portal认证场景中,设备会将用户的HTTP/HTTPS请求重定向到Portal认证页面。当用户频繁发起HTTP/HTTPS请求并触发HTTP重定向访问认证页面时,设备会处理大量的HTTP/HTTPS报文,导致CPU繁忙,从而影响正常的业务处理。为了避免这种问题,可以在设备上开启HTTP重定向的终端黑名单功能。
开启本功能后,设备将根据配置的终端黑名单参数,以IP地址或者MAC地址作为终端黑名单表项的唯一标识,对接收到的用户的HTTP重定向报文进行统计。当设备在统计周期内检测到某用户发送的HTTP重定向报文的数量达到触发加入终端黑名单的阈值时,设备会将该用户的IP地址或MAC地址添加到终端黑名单表项中。
当某用户的IP地址或MAC地址被添加到终端黑名单表项后,设备将不再对收到的该用户的HTTP重定向报文进行重定向处理,直到该用户的终端黑名单表项老化时间到达或者由管理员主动删除该终端黑名单表项后,设备才会再次对该用户进行HTTP重定向。
开启本功能后,如果再次执行本命令修改终端黑名单参数,则设备上已存在的终端黑名单表项将被清空,设备会重新开始对用户发送的HTTP重定向报文进行统计。
(1) 进入系统视图。
system-view
(2) 开启HTTP重定向的终端黑名单功能。
http-redirect endpoint-denylist enable [ packet packet-count ] [ period period ] [ aging-time aging-time ] [ ipbase | macbase ]
缺省情况下,HTTP重定向的终端黑名单功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后HTTP重定向的终端黑名单表项,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除HTTP重定向的终端黑名单表项。
|
操作 |
命令 |
|
显示HTTP重定向的终端黑名单表项 |
(独立运行模式) display http-redirect endpoint-denylist [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ] [ slot slot-number ] (IRF模式) display http-redirect endpoint-denylist [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ] [ chassis chassis-number slot slot-number ] |
|
清除HTTP重定向的终端黑名单表项 |
reset http-redirect endpoint-denylist [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
