技术概述
Web 身份验证使用 Web 浏览器作为对网络用户进行身份验证的方法。当用户连接到网络并尝试打开网页时,Web 身份验证会将网页请求重定向到需要用户输入用户名和密码或同意可接受的使用策略的登录页面。身份验证成功后,将允许用户访问网络。Web 身份验证可用于为临时用户(例如尝试使用不支持 802.1X 的设备访问网络的企业访客)提供有限的网络访问。对于拥有支持 802.1X 的设备但由于其他问题(如网络凭据过期)而无法进行身份验证的常规网络用户,Web 身份验证还可以用作回退身份验证方法。
Web 认证可以在交换机本地完成,但这要求在用作网络访问设备的每台交换机上配置 Web 认证登录页面。中央 Web 身份验证 (CWA) 通过将客户端的 Web 浏览器重定向到处理整个登录过程的中央 Web 身份验证服务器(CWA 服务器)来提供效率和扩展优势。
CWA 服务器的一个示例是 Aruba ClearPass Guest。ClearPass Guest 是一款可扩展、易于使用的访客管理解决方案,可为企业无线和有线网络以及任何类型的移动设备提供安全、自动化的访客访问工作流程。作为 ClearPass 策略管理平台中的一个模块,ClearPass Guest 与 Aruba ClearPass 核心集完全集成,其中包括身份验证、授权、核算、设备分析、报告和策略实施功能。
EX 系列交换机通过提供以下功能来实现中央 Web 身份验证工作流程,这些功能与 Aruba ClearPass Guest 和 Aruba ClearPass Policy Manager 完全集成:
重定向 URL 支持。EX 系列交换机可以自动将用户的浏览器重定向到 CWA 服务器登录页面。重定向 URL 可以在交换机端口上静态配置,也可以在交换机端口上动态配置,作为身份验证过程的一部分。EX 系列交换机支持瞻博网络 RADIUS 供应商特定属性 (VSA),即 Juniper-CWA-Redirect-URL,使 Aruba ClearPass 能够将动态重定向 URL 传递给交换机。
动态防火墙过滤器。EX 系列交换机提供内置防火墙过滤器,JNPR_RSVD_FILTER_CWA。此筛选器旨在在来宾终结点通过 Web 身份验证之前将其应用于来宾终结点。它允许来宾端点访问中央 Web 身份验证所需的 DHCP、DNS 和其他基本服务,同时阻止所有其他访问。您可以配置 Aruba ClearPass 以使用标准 RADIUS 过滤器 ID 属性将此过滤器的名称传递给交换机。如果使用 JNPR_RSVD_FILTER_CWA 过滤器,则重定向 URL 必须包含 CWA 服务器的 IP 地址,如 Aruba ClearPass Guest。
或者,您可以在 Aruba ClearPass 上配置防火墙过滤器,并使用瞻博网络 RADIUS VSA Juniper-Switching-Filter 将防火墙过滤器传递到交换机。防火墙过滤器必须允许流向 Aruba ClearPass 服务器的 IP 地址的流量。
RADIUS 授权变更 (CoA) 支持。这使 Aruba ClearPass 能够向交换机发送 RADIUS CoA,后者指示交换机在端点通过中央 Web 身份验证后更改正在使用的动态防火墙过滤器或 VLAN。
中央 Web 身份验证是一个两步过程,在此过程中,端点首先进行 MAC RADIUS 身份验证,然后进行 Web 身份验证,如下所示:
MAC RADIUS 身份验证 — 此步骤允许访客端点接收 IP 地址并访问 CWA 服务器,同时阻止其访问大部分网络。
默认情况下,EX 系列交换机会在 802.1X 身份验证失败后自动尝试 MAC RADIUS 身份验证。要支持 CWA 身份验证,您必须将 Aruba ClearPass 配置为在 ClearPass 无法使用 MAC RADIUS 身份验证对端点进行身份验证时向交换机发送访问-接受消息,以及允许端点访问 CWA 身份验证所需服务的动态防火墙过滤器。您还必须配置 Aruba ClearPass 以将重定向 URL 发送到交换机,除非您在交换机上本地配置了重定向 URL。
Web 身份验证 — 此步骤允许对访客的凭据进行身份验证,并向访客授予适当的网络访问权限。
MAC RADIUS 身份验证后,交换机会自动启动 Web 身份验证,前提是交换机已获得重定向 URL 和相应的防火墙过滤器。当用户打开 Web 浏览器时,交换机会将 Web 浏览器重定向到 Web 认证登录页面,用户将在其中输入访客凭据。要使来宾能够在身份验证成功后访问适当的网络资源,请将 Aruba ClearPass 配置为发送 RADIUS CoA 消息,以更改应用于端口的防火墙过滤器。