Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
A partir do Junos OS Release 14.2, você pode configurar a autenticação cativa do portal (a partir de então referido como portal cativo) em um roteador para redirecionar as solicitações do navegador web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Este exemplo descreve como configurar um portal cativo em um roteador da Série MX:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX que oferece suporte a um portal cativo
Versão 14.2 ou posterior do Junos OS para roteadores da Série MX
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no roteador.
Gerou um certificado SSL e o instalou no roteador.
Acesso básico configurado entre o roteador da Série MX e o servidor RADIUS.
Projete sua página de login cativo do portal. .
Visão geral e topologia
Este exemplo mostra a configuração necessária no roteador para permitir o portal cativo em uma interface. Para permitir que uma impressora conectada à interface de portal cativa acesse a LAN sem passar pelo portal cativo, adicione seu endereço MAC à lista de permissões de autenticação. Os endereços MAC desta lista têm acesso permitido na interface sem portal cativo.
Topologia
A topologia para este exemplo consiste em um roteador da Série MX conectado a um servidor de autenticação RADIUS. Uma interface no roteador está configurada para portal cativo. Neste exemplo, a interface está configurada em múltiplos modos suplicantes.
Configuração
Para configurar o portal cativo em seu roteador:
Configuração rápida da CLI
Para configurar rapidamente o portal cativo no roteador após a conclusão das tarefas na seção Requisitos, copie os seguintes comandos e cole-os na janela de terminal do roteador:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Procedimento
Procedimento passo a passo
Para configurar o portal cativo no roteador:
Habilite o acesso HTTP no roteador:
[edit] user@router# set system services web-management http
Para criar um canal seguro para acesso à Web ao roteador, configure um portal cativo para HTTPS:
Nota:Você pode habilitar o HTTP sem habilitar o HTTPS, mas recomendamos o HTTPS para fins de segurança.
Procedimento passo a passo
Associe o certificado de segurança com o servidor Web e habilite o acesso HTTPS no roteador:
[edit] user@router# set system services web-management https local-certificate my-signed-cert
Configure um portal cativo para usar HTTPS:
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Habilite uma interface para um portal cativo:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Opcional) Permita que clientes específicos contornem o portal cativo:
Nota:Se o cliente já estiver conectado ao roteador, você deve limpar seu endereço MAC da autenticação cativa do portal usando o
clear captive-portal mac-address mac-address
comando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não será adicionada à tabela de roteamento Ethernet e o desvio de autenticação não será permitido.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
Nota:Opcionalmente, você pode usar para limitar o escopo à interface.
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
(Opcional) Para redirecionar os clientes para uma página especificada em vez da página solicitada originalmente, configure a URL pós-autenticação:
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Resultados
Exibir os resultados da configuração:
[edit] user@router> show system { services { web-management { http; https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv ... Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } protocols { authentication-access-control { static 00:10:12:e0:28:22/48; interface { ge-0/0/10.0 { supplicant multiple; } } custom-captive-portal-options { secure-authentication https; post-authentication-url http://www.my-home-page.com; } }
Verificação
Para confirmar que o portal cativo está configurado e funcionando corretamente, execute essas tarefas:
- Verificar se o portal cativo está habilitado na interface
- Verifique se o portal cativo está funcionando corretamente
Verificar se o portal cativo está habilitado na interface
Propósito
Verifique se o portal cativo está configurado na interface ge-0/0/10.
Ação
Use o comando show captive-portal interface interface-name detail
do modo operacional:
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
A saída confirma que o portal cativo está configurado na interface ge-0/0/10 com as configurações padrão para número de retries, período tranquilo, tempo de sessão de CP e tempo limite do servidor.
Verifique se o portal cativo está funcionando corretamente
Propósito
Verifique se o portal cativo está funcionando no roteador.
Ação
Conecte um cliente à interface ge-0/0/10. Do cliente, abra um navegador da Web e solicite uma página web. A página de login do portal cativo que você projetou deve ser exibida. Depois de inserir suas informações de login e ser autenticado no servidor RADIUS, o navegador da Web deve exibir a página que você solicitou ou a URL pós-autenticação que você configurou.
Solução de problemas
Para solucionar problemas de portal cativo, execute essas tarefas:
Portal cativo de solução de problemas
Problema
O roteador não retorna a página de login do portal cativo quando um usuário conectado a uma interface de portal cativa no roteador solicita uma página da Web.
Solução
Você pode examinar os contadores ARP, DHCP, HTTPS e DNS — se um ou mais desses contadores não estiverem incrementando, isso fornece uma indicação de onde está o problema. Por exemplo, se o cliente não conseguir um endereço IP, verifique a interface do roteador para determinar se o contador DHCP está incrementando — se o contador incrementa, o pacote DHCP foi recebido pelo roteador.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.