Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

固定门户身份验证

您可以使用多种不同的身份验证,通过交换机控制对您的网络的访问。Junos OS 交换机支持 802.1 X、MAC RADIUS 和将其作为身份验证方法连接到需要与网络相连的设备。您可以在交换机上设置一个外加门户身份验证,将 Web 浏览器请求重定向至登录页面,要求用户输入用户名和密码。有关更多信息,请阅读本主题。

示例:在 EX 系列交换机上设置固定门户身份验证

您可在交换机上设置转接门户身份验证(以后称为转型门户),将 Web 浏览器请求重定向至登录页面,要求用户输入用户名和密码。成功完成身份验证后,用户将可以继续执行原始页面请求,并随后访问网络。

本示例介绍如何在 EX 系列交换机上设置转型门户:

要求

此示例使用以下硬件和软件组件:

  • 支持外加门户的 EX 系列交换机

  • EX 系列交换机 Junos OS 发行10.1 或更高版本

开始之前,确保您已经:

概述和拓扑

此示例显示了交换机上所需的配置,以便在接口上启用其他门户。要允许连接到强制门户接口的打印机访问 LAN,无需经过强制门户,请将其MAC 地址添加到认证允许列表中。此列表中的 MAC 地址允许访问接口,而无需使用任何门户。

拓扑

此示例的拓扑结构由连接到 RADIUS 认证服务器的一个 EX 系列交换机构成。交换机上的一个接口配置为用于固定门户。在此示例中,接口以多个请求方模式配置。

配置

要在交换机上配置固定入口:

CLI 快速配置

要在完成了 "要求" 部分中的任务之后在交换机上快速配置其集成门户,请复制以下命令并将其粘贴到交换机端子窗口中:

操作

分步过程

要在交换机上配置固定入口:

  1. 定义服务器 IP 地址、服务器身份验证端口号和配置密码。交换机上的机密密码必须与服务器上的机密密码匹配:

  2. 配置身份验证顺序,从而radius第一种身份验证方法:

  3. 配置要尝试验证请求者的服务器 IP 地址:

  4. 在交换机上启用 HTTP 访问:

  5. 要创建用于 Web 访问交换机的安全通道,请为 HTTPS 配置用于的接入门户:

    注:

    您无需启用 HTTPS 即可启用 HTTP,但建议出于安全目的使用 HTTPS。

    分步过程
    1. 将安全证书与 Web 服务器相关联,并在交换机上启用 HTTPS 访问:

    2. 配置要使用 HTTPS 的固定门户:

  6. 为用于固定门户的接口启用:

  7. 指定要用于进行用于执行用于执行用于进行此操作的接入配置文件的名称:

  8. 必允许特定客户端绕过 "固定门户":

    注:

    如果客户端已连接到交换机,则必须在将客户端添加到MAC 地址列表后使用 命令从强制门户MAC 地址 clear captive-portal mac-address mac-address 清除其配置。否则,MAC 地址的新条目将不会添加到以太网交换表中,也不允许进行身份验证绕过。

    注:

    您也可以使用set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0将范围限制到接口。

  9. 必要将客户端重定向到指定页面而非其最初请求的页面,请配置后验证 URL:

成果

显示配置结果:

针对

要确认是否已配置并正常运行了该固定门户,请执行以下任务:

验证接口上是否启用了捕获门户

用途

验证是否在接口 ge 上配置了固定门户-0/0/10。

行动

使用操作模式命令show captive-portal interface interface-name detail

含义

此输出确认已在接口 ge 上配置了该服务门户-0/0/10 以及默认设置 "重试次数"、"静默期"、"CP 会话超时" 和 "服务器超时"。

验证该固定门户是否正常工作

用途

验证该固定入口是否在交换机上工作。

行动

将客户端连接到接口 ge-0/0/10。从客户端打开 Web 浏览器并请求网页。您设计的 "附带的门户登录" 页面应显示。输入登录信息并根据 RADIUS 服务器进行身份验证后,Web 浏览器应显示您所请求的页面或您配置的后认证 URL。

故障排除

要排除外加门户的故障,请执行以下任务:

排除门户故障

当连接到交换机上的固定门户接口的用户请求 Web 页时,交换机不会返回 "固定门户" 登录页。

解决方案

您可以检查 ARP、DHCP、HTTPS 和 DNS 计数器 — 如果其中一个或多个计数器不递增,则指示问题所在。例如,如果客户端无法获取 IP 地址,请检查交换机接口以确定 DHCP 计数器是否递增 — 如果计数器递增,则由交换机接收 DHCP 数据包。

配置捕获门户身份验证(CLI 过程)

在 EX 系列交换机上配置身份门户身份验证(以后称为转型门户),以便在允许访问网络之前先验证连接到交换机的用户。当用户请求网页时,将显示登录页,要求用户输入用户名和密码。成功完成身份验证后,用户将可以继续执行原始页面请求,并随后访问网络。

开始之前,确保您已经:

本主题包括以下任务:

为固定门户配置安全访问

要为固定门户配置安全访问:

  1. 在交换机上启用 HTTP 访问:
  2. 将安全证书与 Web 服务器相关联,并在交换机上启用 HTTPS 访问:
    注:

    您可以在不使用 HTTPS 的情况下启用 HTTP,但建议将 HTTPS 用于安全目的。

  3. 配置要使用 HTTPS 的固定门户:

启用用于固定门户的接口

要为固定门户启用接口:

例如,要在接口 ge 上启用转型门户-0/0/10:

配置不使用身份验证的门户认证

要允许特定客户端绕过 "固定门户":

例如,要允许特定客户端绕过 "固定门户":

注:

您也可以使用set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0将范围限制到接口。

注:

如果客户端已连接到交换机,则必须在将客户端添加到MAC 地址列表后使用 命令从强制门户MAC 地址 clear captive-portal mac-address mac-address 清除其配置。否则,MAC 地址的新条目将不会添加到以太网交换表中,也不允许进行身份验证绕过。

在交换机上设计一个 "固定门户身份验证" 登录页

您可以在交换机上设置固定门户身份验证,将所有 Web 浏览器请求重定向到登录页面,要求用户在输入用户名和密码后才允许访问。一旦认证成功,用户就可以访问网络并重定向至请求的原始页面。

Junos OS 为可定制的 "门户" 窗口提供了自定义模板,允许您轻松设计和修改 "转型门户" 登录页面的外观。您可以修改模板的设计元素,以更改您的 "销售门户" 登录页的外观,并向页面添加说明或信息。您还可以修改任何其他的设计元素登录页。

在 "固定登录" 页面之前显示的第一个屏幕要求用户阅读使用条款和条件。通过单击 "同意" 按钮,用户即可访问到 "进行中的门户" 登录页。

图 1显示了一个 "固定门户" 登录页面的示例:

图 1: "固定门户" 登录页示例"固定门户" 登录页示例

表 1汇总了对 "固定门户" 登录页的可配置元素。

表 1: 可配置的固定门户元素登录页
元素 CLI 语句 说明

页脚背景色

footer-bgcolor hex-color

用于其背景颜色的 HTML 十六进制代码,用于登录页面页脚。

页脚消息

footer-message text-string

在 "在外门户登录" 页面的页脚中显示的文本。您可以包括版权信息、链接和其他信息,如帮助说明、法律通知或隐私政策

页脚中显示的默认文本为 Copyright @2010, Juniper Networks Inc.

页脚文本颜色

footer- text-color color

页脚中文本的颜色。默认颜色为白色。

窗体页眉背景色

form-header-bgcolor hex-color

用于标题栏的背景颜色的 HTML 十六进制代码,涵盖在该页面上的 "覆盖门户" 登录页的窗体区域顶部。

窗体页眉消息

form-header-message text-string

在 "固定门户" 登录页的标头中显示的文本。默认文本为 Captive Portal User Authentication

窗体页眉文本颜色

form-header- text- color 颜色

窗体页眉中文本的颜色。默认颜色为黑色。

窗体重置按钮标签

form-reset-label label-name

通过 Reset 此按钮,用户可以清除表单上的用户名和密码字段。

表单提交按钮标签

form-submit-label label-name

用户可以 Login 使用此按钮提交登录信息。

标题背景颜色

header-bgcolor hex-color

用于其背景颜色的 HTML 十六进制代码,用于登录页面页眉。

标题徽标

header-logo filename

包含徽标图像的文件的文件名,您希望显示在 "转门户" 登录页的标头中。图像文件可为 GIF、JPEG 或 PNG 格式。

您可以将徽标图像文件上传到交换机。将徽标复制到交换机上的/var/tmp 目录(在提交期间,文件将保存到持久性位置)。

如果不指定徽标图像,将显示瞻博网络徽标。

标头消息

header-message text-string

页面页眉中显示的文本。默认文本为 User Authentication

标题文本颜色

header-text- color颜色

标头中文本的颜色。默认颜色为白色。

后期身份验证 URL

post-authentication-url url

用户在成功进行身份验证时将指向的 URL。默认情况下,用户被定向到最初请求的页面。

要设计 "转型门户登录" 页面:

  1. 必将您的徽标图像文件上传到交换机:
  2. 配置自定义选项,以指定在 "固定门户" 页面中显示的背景颜色和文本:

现在您可以提交配置了。

注:

对于您未指定的自定义选项,将使用默认值。

借助 ELS 支持,在 EX 系列 Switche 上配置的绝对的门户身份验证(CLI 过程)

注:

此任务使用支持增强型第2层软件(ELS)配置样式的交换机的 Junos OS。如果交换机运行不支持 ELS 的软件,请参阅配置销售门户身份验证(CLI 过程)。有关 ELS 详细信息,请参阅使用增强型第2层软件 CLI

在交换机上配置 "对门户进行身份验证(以后称为联系门户)",以便在允许访问网络之前先验证连接到交换机的用户。用户请求网页时,将显示登录页,要求用户输入用户名和密码。成功完成身份验证后,用户将可以继续执行原始页面请求,并随后访问网络。

开始之前,确保您已经:

本主题包括以下任务:

为固定门户配置安全访问

要为固定门户配置安全访问:

  1. 将安全证书与 Web 服务器相关联,并在交换机上启用 HTTPS:
    注:

    您可以启用 HTTP 而非 HTTPS,但出于安全考虑,建议使用 HTTPS。

  2. 配置要使用 HTTPS 的固定门户:

启用用于固定门户的接口

要启用接口以用于进行固定门户身份验证:

配置不使用身份验证的门户认证

您可以允许特定客户端绕过 "进行中门户身份验证":

注:

您也可以使用set switch-options authentication-whitelist mac-address interface interface-name将范围限制到接口。

注:

如果客户端已连接到交换机,则必须在将客户端添加到MAC 地址列表后使用 命令从强制门户MAC 地址 clear captive-portal mac-address session-mac-addr 清除其配置。否则,不会将 MAC 地址的新条目添加到以太网交换表中,也不允许跳过身份验证。

示例:在具有 ELS 支持的 EX 系列交换机上设置固定门户身份验证

注:

此示例使用 EX 系列交换机 Junos OS,并支持增强型第2层软件(ELS)配置样式。如果交换机运行不支持 ELS 的软件,请参阅示例:在 EX 系列交换机上设置固定门户身份验证。有关 ELS 详细信息,请参阅使用增强型第2层软件 CLI

您可在交换机上设置转接门户身份验证(以后称为转型门户),将 Web 浏览器请求重定向至登录页面,要求用户输入用户名和密码。成功完成身份验证后,用户将可以继续执行原始页面请求,并随后访问网络。

本示例介绍如何在 EX 系列交换机上设置转型门户:

要求

此示例使用以下软件和硬件组件:

  • EX 系列交换机 Junos OS Release 13.2 X50 或更高版本

  • 具有 ELS 支持的 EX 系列交换机

开始之前,确保您已经:

概述和拓扑

此示例显示了交换机上所需的配置,以便在接口上启用其他门户。要允许连接到强制门户接口的打印机访问 LAN,请将其MAC 地址添加到认证允许列表中,并将其分配至 VLAN vlan1。此列表上的 MAC 地址允许访问接口,无需进行门户身份验证。

拓扑

此示例的拓扑结构由连接到 RADIUS 认证服务器的一个 EX 系列交换机构成。交换机上的一个接口配置为用于固定门户。在此示例中,接口以多个请求方模式配置。

配置

要在交换机上配置固定入口:

CLI 快速配置

要在完成了 "要求" 部分中的任务之后在交换机上快速配置其集成门户,请复制以下命令并将其粘贴到交换机端子窗口中:

操作

分步过程
  1. 要创建用于 Web 访问交换机的安全通道,请为 HTTPS 配置用于的接入门户:

    分步过程
    1. 将安全证书与 Web 服务器相关联,并在交换机上启用 HTTPS:

      注:

      您可以启用 HTTP 而非 HTTPS,但建议出于安全目的启用 HTTPS。

    2. 配置要使用 HTTPS 的固定门户:

  2. 为用于固定门户的接口启用:

  3. 必允许特定客户端绕过 "进行中门户身份验证":

    注:

    如果客户端已连接到交换机,则必须在将客户端添加到MAC 地址列表后使用 命令从强制门户MAC 地址 clear captive-portal mac-address mac-address 清除其配置。否则,不会将 MAC 地址的新条目添加到以太网交换表中,也不允许进行身份验证。

    注:

    您也可以使用set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0将范围限制到接口。

  4. 必要将客户端重定向到指定页面而非其最初请求的页面,请配置后验证 URL:

成果

显示配置结果:

针对

要确认是否已正确配置和运行该固定门户认证,请执行以下任务:

验证接口上是否启用了捕获门户

用途

验证是否在接口 ge 上配置了固定门户-0/0/10。

行动

使用操作模式命令show captive-portal interface interface-name detail

含义

输出确认已在接口ge-0/0/10上配置了锁定门户,并使用默认设置 "重试次数"、"静默期"、"CP 会话超时" 和 "服务器超时"。

验证该固定门户是否正常工作

用途

验证该固定入口是否在交换机上工作。

行动

将客户端连接到接口 ge-0/0/10。从客户端打开 Web 浏览器并请求网页。您设计的 "附带的门户登录" 页面应显示。输入登录信息并根据 RADIUS 服务器进行身份验证后,Web 浏览器应显示您所请求的页面或您配置的后认证 URL。

故障排除

要解决排除门户的问题,请执行以下任务:

排除门户故障

当连接到交换机上的固定门户接口的用户请求网页时,交换机不会返回 "固定门户" 登录页。

解决方案

您可以检查 ARP、DHCP、HTTPS 和 DNS 计数器 — 如果其中一个或多个计数器不递增,则指示问题所在。例如,如果客户端无法获取 IP 地址,您可以检查交换机接口以确定 DHCP 计数器是否递增 — 如果计数器递增,则由交换机接收 DHCP 数据包。