Web认证配置

Web认证配置

21.1 理解Web认证

21.1.1 Web认证概述

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。 未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。 如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。 Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2 Web认证基本概念

Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截

HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。 HTTP拦截之后，接入设备需要将用户的HTTP连接请求转向自己，于是接入设备和用户之间将建立起连接会话。接入设备将利用HTTP重定向功能，将重定向页面推送给用户，用户的浏览器上将弹出一个页面，这个页面可以是认证页面，也可以是下载软件的链接等等。 在Web认证功能中，连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截，哪些不需要，都是可以设置的。一般地，未经过认证的用户发出的HTTP请求报文会被拦截，已通过认证的用户将不被拦截。HTTP拦截是Web认证功能的基础，一旦发生了拦截，就会自动触发Web认证的过程。

21.1.2.2HTTP重定向

根据HTTP协议规定，正常情况下，用户的浏览器发出HTTP GET或HEAD请求报文后，如果接收一方能够提供资源，则以200报文响应，如果本地不能提供资源，则可以使用302报文响应。在302响应报文中，提供了一个新的站点路径，用户收到响应后，可以向这个新的站点重新发出HTTP GET或HEAD报文请求资源。 HTTP重定向是Web认证的重要环节，是发生在HTTP拦截之后的，利用的就是HTTP协议中的302报文的特性。HTTP拦截过程将使得接入设备和用户之间建立起连接会话，随后用户将（本应发给其他站点的）HTTP GET或HEAD报文发给接入设备，接入设备收到后，回应以302报文，并且在302报文中加入重定向页面的站点路径，这样用户将向这个站点路径重新发出请求，就会获取到重定向的页面。

21.1.3 工作原理

Web认证的典型组网方式如下图所示，它由三个基本角色组成：认证客户端、接入设备、WEB认证服务器。

图 1. Web认证工作原理

? Web认证的角色：

1. 认证客户端：安装于用户终端设备上的客户端系统，为运行HTTP协议的浏览器，

上网时将发出HTTP请求； 2. 接入设备：在网络拓扑中一般是接入层设备（例如在无线网络中可以是无线AP，

或无线AC），一般与用户终端设备直接相连接，在接入设备上启动Web认证； 3. Web认证服务器：包括提供Web服务的portal服务器，以及提供RADIUS认证功

能的服务器。接受认证客户端认证请求的认证服务器端系统，提供免费门户服务和基于Web 认证的界面，与接入设备交互认证客户端的认证信息；

? Web认证过程主要过程：

1. 在认证之前，接入设备将未认证用户发出的所有HTTP 请求都拦截下来，并重定

向到Web认证服务器去，这样在用户的浏览器上将弹出一个认证页面； 2. 在认证过程中，用户在认证页面上输入认证信息（用户名、口令、校验码等等）

与Web认证服务器交互，完成身份认证的功能； 3. 在认证通过后，Web认证服务器将通知接入设备该用户已通过认证，接入设备将

允许用户访问互联网资源；

Web认证方案使用限制：

? 注意 ? 只能在如下加密机制中开启Web认证：Open Authentication，Open

Authentication + WEP或者WPA/WPA2-PSK。

21.1.4 协议规范

与HTTP重定向相关的功能参照HTTP 1.1协议（RFC1945）。

21.2 缺省配置

下表用来描述Web认证的缺省配置。

功能特性 设置HTTP重定向地址 设置HTTP重定向主页 设置接入设备与认证服务器之间的SNMP网管参数

设置重定向的HTTP端口 默认对用户发出的目的端口为80的HTTP报文进行重定向。

设置每个未认证用户的最大HTTP会话数 设置维持重定向连接的超时时间 设置免认证的网络资源范围 设置在线用户信息的更新时间间隔 设置用户下线检测模式 默认为3个。 默认为3秒。 未设置免认证的网络资源范围。 默认为60秒。 未设置基于用户流量来检测用户是否下线。 缺省值 未设置HTTP重定向地址。 未设置HTTP重定向主页。 未设置SNMP网管参数。 21.3 配置Web认证基本特性

Web认证配置需要在接入设备上进行配置，在未作任何配置的情况下，接入设备的Web认证处在缺省状态，即没有开启Web认证。必须完成了所有的基本特性的配置，Web认证才能正常工作，以下章节描述如何配置Web认证的基本特性：

? < href=\设置HTTP重定向地址\target=\设置HTTP重定向

地址

? < href=\设置HTTP重定向主页\target=\设置认证页面的主

页

? < href=\设置每个未认证用户的最大HTTP会话数_1\

target=\设置接入设备与认证服务器之间的通信密钥

? < href=\设置接入设备与认证服务器之间的SNMP网管参数\

target=\设置接入设备与认证服务器之间的SNMP网管参数

? < href=\在端口上开启Web认证功能_\target=\在端口上开

启Web认证功能

21.3.1 设置HTTP重定向地址

要成功应用Web认证功能，必须设置HTTP重定向的IP地址。当接入设备发现未认证用户试图通过HTTP访问网络资源时，接入设备将用户的访问请求重定向到认证页面，通过认证页面，引导用户向认证服务器发起认证。 一般情况下，认证页面是认证服务器所提供的，因此HTTP重定向的地址就应该是认证服务器的地址。设置了这个HTTP重定向地址以后，这个地址将被设置为一个特殊的免认证的网络资源，未认证用户才可以直接与这个地址进行HTTP通讯。 缺省情况下，没有设置HTTP重定向的IP地址。若要设置HTTP重定向的IP地址，请按如下的步骤：

Step 1 Step 2 Step 3

命令 Ruijie# configure terminal Ruijie(config)# http redirect ip-address Ruijie(config)# show http redirect 进入全局配置模式。 设置HTTP重定向的IP地址。 查看HTTP重定向的配置。 作用 如果要清除HTTP重定向的IP信息，在全局配置模式下，执行no http redirect。 配置举例：

# 设置认证服务器的IP地址为176.10.0.1。

Ruijie# configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)# http redirect 176.10.0.1 Ruijie(config)# show http redirect

认证服务器也可以是个综合门户服务器，综合门户服务器除了能够提供Web认证外，还能够提供SU客户端软件的下载。当一个用户需要使用802.1x认证上网时，在未

只要通过浏览器上网就能被重定向到这个综合门户服务? 说明 安装SU客户端软件情况下，

器，下载并按照SU客户端后，就可以使用802.1x认证上网了。具体详见“802.1X配置”中相关的章节。

21.3.2 设置HTTP重定向主页

要成功应用Web认证功能，必须配置HTTP重定向的主页，也就是认证页面（或者

是综合门户主页）。当用户在进行Web认证时，将向用户弹出这个页面的信息，用户通过这个页面进行Web认证。 缺省时，没有设置HTTP重定向主页。设置HTTP重定向主页URL，请按照如下的步骤：

Step 1 Step 2

命令 Ruijie# configure terminal Ruijie(config)# http redirect homepage url-string 进入全局配置模式。 设置认证页面的主页URL为url-string，必须以“http://”或“https://”开头，不区分大小写，最大长度为255个字符。 Step 3

Ruijie(config)# show http redirect 查看HTTP重定向的配置。 作用 如果要清除认证页面的主页地址，在全局配置模式下，执行no http redirect homepage。 配置举例：

# 设置认证页面的主页为http://www.web-auth.net/login.html。

Ruijie# configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)# http redirect homepage http://www.web-auth.net/login.html Ruijie(config)# show http redirect

主页地址也可以是个综合门户服务器，综合门户服务器除了能够提供Web认证外，还能够提供SU客户端软件的下载。当一个用户需要使用802.1x认证上网时，在未

只要通过浏览器上网就能被重定向到这个综合门户服务? 说明 安装SU客户端软件情况下，

器，下载并按照SU客户端后，就可以使用802.1x认证上网了。详见“802.1X配置”中相关章节。

本文来源：https://www.bwwdw.com/article/7zzf.html