Beispiel: Einrichten der Captive Portal-Authentifizierung auf einem Router der MX-Serie
Ab Junos OS Version 14.2 können Sie die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) auf einem Router einrichten, um Webbrowser-Anforderungen an eine Anmeldeseite umzuleiten, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Nach erfolgreicher Authentifizierung kann der Benutzer mit der ursprünglichen Seitenanforderung und dem anschließenden Zugriff auf das Netzwerk fortfahren.
In diesem Beispiel wird beschrieben, wie Sie das Captive Portal auf einem Router der MX-Serie einrichten:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie, der Captive Portal unterstützt
Junos OS Version 14.2 oder höher für Router der MX-Serie
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Router durchgeführt.
Generierte ein SSL-Zertifikat und installierte es auf dem Router.
Konfigurierter Basiszugriff zwischen dem Router der MX-Serie und dem RADIUS-Server.
Entwerfen Sie Ihre Anmeldeseite für das Captive Portal. .
Übersicht und Topologie
Dieses Beispiel zeigt die Konfiguration, die auf dem Router erforderlich ist, um das Captive Portal auf einer Schnittstelle zu aktivieren. Um einem Drucker, der mit der Captive Portal-Schnittstelle verbunden ist, den Zugriff auf das LAN zu ermöglichen, ohne das Captive Portal zu durchlaufen, fügen Sie seine MAC-Adresse zur Zulassungsliste für die Authentifizierung hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff auf die Schnittstelle ohne Captive Portal gestattet.
Topologie
Die Topologie für dieses Beispiel besteht aus einem Router der MX-Serie, der mit einem RADIUS-Authentifizierungsserver verbunden ist. Eine Schnittstelle auf dem Router ist für das Captive Portal konfiguriert. In diesem Beispiel ist die Schnittstelle im Modus mit mehreren Supplicants konfiguriert.
Konfiguration
So konfigurieren Sie das Captive Portal auf Ihrem Router:
CLI-Schnellkonfiguration
Um das Captive Portal auf dem Router schnell zu konfigurieren, nachdem Sie die Aufgaben im Abschnitt Anforderungen ausgeführt haben, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Router-Terminals ein:
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das Captive Portal auf dem Router:
Aktivieren Sie den HTTP-Zugriff auf dem Router:
[edit] user@router# set system services web-management http
Um einen sicheren Kanal für den Webzugriff auf den Router zu erstellen, konfigurieren Sie das Captive Portal für HTTPS:
HINWEIS:Sie können HTTP aktivieren, ohne HTTPS zu aktivieren, aber wir empfehlen HTTPS aus Sicherheitsgründen.
Schritt-für-Schritt-Anleitung
Verknüpfen Sie das Sicherheitszertifikat mit dem Webserver, und aktivieren Sie den HTTPS-Zugriff auf dem Router:
[edit] user@router# set system services web-management https local-certificate my-signed-cert
Konfigurieren des Captive Portals für die Verwendung von HTTPS:
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Aktivieren einer Schnittstelle für das Captive Portal:
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Optional) Zulassen, dass bestimmte Clients das Captive Portal umgehen:
HINWEIS:Wenn der Client bereits mit dem Router verbunden ist, müssen Sie seine MAC-Adresse aus der Captive Portal-Authentifizierung löschen, indem Sie den
clear captive-portal mac-address mac-addressBefehl verwenden, nachdem Sie seine MAC-Adresse zur Zulassungsliste hinzugefügt haben. Andernfalls wird der neue Eintrag für die MAC-Adresse nicht zur Ethernet-Routering-Tabelle hinzugefügt, und die Umgehung der Authentifizierung ist nicht zulässig.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
HINWEIS:Optional können Sie den
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0Bereich auf die Schnittstelle beschränken.(Optional) Um Clients auf eine bestimmte Seite und nicht auf die ursprünglich angeforderte Seite umzuleiten, konfigurieren Sie die URL nach der Authentifizierung:
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass das Captive Portal konfiguriert ist und ordnungsgemäß funktioniert:
- Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
- Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
Zweck
Stellen Sie sicher, dass das Captive Portal auf der Schnittstelle ge-0/0/10 konfiguriert ist.
Action!
Verwenden Sie den Befehl show captive-portal interface interface-name detailoperational mode :
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Bedeutung
Die Ausgabe bestätigt, dass das Captive Portal auf der Schnittstelle ge-0/0/10 mit den Standardeinstellungen für die Anzahl der Wiederholungen, die Ruhezeit, das CP-Sitzungs-Timeout und das Server-Timeout konfiguriert ist.
Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass das Captive Portal auf dem Router funktioniert.
Action!
Verbinden Sie einen Client mit der Schnittstelle ge-0/0/10. Öffnen Sie auf dem Client einen Webbrowser, und fordern Sie eine Webseite an. Die von Ihnen entworfene Anmeldeseite für das Captive Portal sollte angezeigt werden. Nachdem Sie Ihre Anmeldeinformationen eingegeben und sich beim RADIUS-Server authentifiziert haben, sollte der Webbrowser entweder die von Ihnen angeforderte Seite oder die von Ihnen konfigurierte URL nach der Authentifizierung anzeigen.
Fehlerbehebung
Führen Sie die folgenden Aufgaben aus, um Probleme mit dem Captive Portal zu beheben:
Fehlerbehebung im Captive Portal
Problem
Der Router gibt die Anmeldeseite für das Captive Portal nicht zurück, wenn ein Benutzer, der mit einer Captive Portal-Schnittstelle auf dem Router verbunden ist, eine Webseite anfordert.
Lösung
Sie können die ARP-, DHCP-, HTTPS- und DNS-Leistungsindikatoren untersuchen – wenn einer oder mehrere dieser Leistungsindikatoren nicht inkrementiert werden, gibt dies einen Hinweis darauf, wo das Problem liegt. Wenn der Client beispielsweise keine IP-Adresse erhalten kann, überprüfen Sie die Routerschnittstelle, um festzustellen, ob der DHCP-Zähler inkrementiert wird – wenn der Zähler inkrementiert wird, wurde das DHCP-Paket vom Router empfangen.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.