示例:在 MX 系列路由器上设置强制网络门户身份验证
从 Junos OS 14.2 版开始,您可以在路由器上设置强制门户身份验证(以下简称强制门户),以将 Web 浏览器请求重定向到需要用户输入用户名和密码的登录页面。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
此示例介绍如何在 MX 系列路由器上设置强制网络门户:
要求
此示例使用以下硬件和软件组件:
支持强制门户的 MX 系列路由器
适用于 MX 系列路由器的 Junos OS 14.2 或更高版本
开始之前,确保您具备以下条件:
已在路由器上执行基本桥接和VLAN配置。
生成SSL证书并将其安装在路由器上。
在 MX 系列路由器和 RADIUS 服务器之间配置基本访问。
设计您的强制门户登录页面。.
概述和拓扑
此示例显示了在接口上启用强制网络门户所需的路由器配置。要允许连接到强制网络门户接口的打印机在不通过强制网络门户的情况下访问 LAN,请将其 MAC 地址添加到身份验证允许列表。允许在没有强制门户的情况下访问此列表中的 MAC 地址。
拓扑学
此示例的拓扑由连接到 RADIUS 身份验证服务器的一个 MX 系列路由器组成。路由器上的一个接口配置为强制门户。在此示例中,接口配置为多请求方模式。
配置
要在路由器上配置强制网络门户:
CLI 快速配置
要在完成“要求”部分中的任务后在路由器上快速配置强制网络门户,请复制以下命令并将其粘贴到路由器终端窗口中:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
程序
分步过程
要在路由器上配置强制网络门户:
在路由器上启用 HTTP 访问:
[edit] user@router# set system services web-management http
要创建用于对路由器的 Web 访问的安全通道,请为 HTTPS 配置强制门户:
注:您可以在不启用 HTTPS 的情况下启用 HTTP,但出于安全考虑,我们建议使用 HTTPS。
分步过程
将安全证书与 Web 服务器关联,并在路由器上启用 HTTPS 访问:
[edit] user@router# set system services web-management https local-certificate my-signed-cert
将强制网络门户配置为使用 HTTPS:
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
为强制门户启用接口:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(可选)允许特定客户端绕过强制门户:
注:如果客户端已连接到路由器,则必须在将其 MAC 地址添加到允许列表后,
clear captive-portal mac-address mac-address使用命令从强制网络门户身份验证中清除其 MAC 地址。否则,MAC 地址的新条目将不会添加到以太网路由器表中,并且不允许绕过身份验证。[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
注:(可选)您可以使用
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0将范围限制为接口。(可选)要将客户端重定向到指定的页面而不是它们最初请求的页面,请配置身份验证后 URL:
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
结果
显示配置结果:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
验证
要确认强制网络门户已配置且工作正常,请执行以下操作:
验证接口上是否启用了强制网络门户
目的
验证是否已在接口 ge-0/0/10 上配置强制网络门户。
操作
使用操作模式命令 show captive-portal interface interface-name detail:
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意义
输出确认在接口 ge-0/0/10 上配置了强制网络门户,并设置了重试次数、静默期、CP 会话超时和服务器超时的默认设置。
故障排除
要排除强制门户的故障,请执行以下操作:
强制网络门户故障排除
问题
当连接到路由器上的强制网络门户界面的用户请求网页时,路由器不会返回强制网络门户登录页面。
解决方案
您可以检查 ARP、DHCP、HTTPS 和 DNS 计数器 — 如果其中一个或多个计数器未递增,则会指示问题出在哪里。例如,如果客户端无法获取 IP 地址,请检查路由器接口以确定 DHCP 计数器是否在递增 — 如果计数器递增,则路由器已接收 DHCP 数据包。
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。