Captive Portal-Authentifizierung
Sie können den Zugriff auf Ihr Netzwerk über einen Switch steuern, indem Sie verschiedene Authentifizierungen verwenden. Junos OS-Switches unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen. Sie können die Captive Portal-Authentifizierung auf einem Switch einrichten, um Webbrowser-Anforderungen an eine Anmeldeseite umzuleiten, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Weitere Informationen finden Sie in diesem Thema.
Beispiel: Einrichten der Captive Portal-Authentifizierung auf einem Switch der EX-Serie
Sie können die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) auf einem Switch einrichten, um Webbrowser-Anforderungen an eine Anmeldeseite umzuleiten, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Nach erfolgreicher Authentifizierung kann der Benutzer mit der ursprünglichen Seitenanforderung und dem anschließenden Zugriff auf das Netzwerk fortfahren.
In diesem Beispiel wird beschrieben, wie Sie das Captive Portal auf einem Switch der EX-Serie einrichten:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie, der das Captive Portal unterstützt
Junos OS Version 10.1 oder höher für Switches der EX-Serie
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Generierte ein SSL-Zertifikat und installierte es auf dem Switch. Weitere Informationen finden Sie unter Generieren von SSL-Zertifikaten für Secure Web Access (Switch der EX-Serie).Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Entwerfen Sie Ihre Anmeldeseite für das Captive Portal. Weitere Informationen finden Sie unter Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches.Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches
Übersicht und Topologie
Dieses Beispiel zeigt die Konfiguration, die auf dem Switch erforderlich ist, um das Captive Portal auf einer Schnittstelle zu aktivieren. Um einem Drucker, der mit der Captive Portal-Schnittstelle verbunden ist, den Zugriff auf das LAN zu ermöglichen, ohne das Captive Portal zu durchlaufen, fügen Sie seine MAC-Adresse zur Zulassungsliste für die Authentifizierung hinzu. Den MAC-Adressen in dieser Liste ist der Zugriff auf die Schnittstelle ohne Captive Portal gestattet.
Topologie
Die Topologie für dieses Beispiel besteht aus einem Switch der EX-Serie, der mit einem RADIUS-Authentifizierungsserver verbunden ist. Eine Schnittstelle auf dem Switch ist für das Captive Portal konfiguriert. In diesem Beispiel ist die Schnittstelle im Modus mit mehreren Supplicants konfiguriert.
Konfiguration
So konfigurieren Sie das Captive Portal auf Ihrem Switch:
CLI-Schnellkonfiguration
Um das Captive Portal auf dem Switch schnell zu konfigurieren, nachdem Sie die Aufgaben im Abschnitt Anforderungen ausgeführt haben, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das Captive Portal auf dem Switch:
Definieren Sie die IP-Adresse des Servers, die Portnummer der Serverauthentifizierung und konfigurieren Sie das geheime Kennwort. Das geheime Passwort auf dem Switch muss mit dem geheimen Passwort auf dem Server übereinstimmen:
[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen :
radius[edit] user@switch# set access profile profile1 authentication-order radius
Konfigurieren Sie die IP-Adresse des Servers, die ausprobiert werden soll, um den Supplicant zu authentifizieren:
[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
Aktivieren Sie den HTTP-Zugriff auf dem Switch:
[edit] user@switch# set system services web-management http
Um einen sicheren Kanal für den Webzugriff auf den Switch zu erstellen, konfigurieren Sie das Captive Portal für HTTPS:
HINWEIS:Sie können HTTP aktivieren, ohne HTTPS zu aktivieren, aber wir empfehlen HTTPS aus Sicherheitsgründen.
Schritt-für-Schritt-Anleitung
Ordnen Sie das Sicherheitszertifikat dem Webserver zu und aktivieren Sie den HTTPS-Zugriff auf dem Switch:
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
Konfigurieren des Captive Portals für die Verwendung von HTTPS:
[edit] user@switch# set services captive-portal secure-authentication https
Aktivieren einer Schnittstelle für das Captive Portal:
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
Geben Sie den Namen des Zugriffsprofils an, das für die Captive Portal-Authentifizierung verwendet werden soll:
[edit] user@switch# set services captive-portal authentication-profile-name profile1
(Optional) Zulassen, dass bestimmte Clients das Captive Portal umgehen:
HINWEIS:Wenn der Client bereits mit dem Switch verbunden ist, müssen Sie seine MAC-Adresse aus der Captive Portal-Authentifizierung löschen, indem Sie den Befehl verwenden, nachdem Sie seine MAC-Adresse zur Zulassungsliste hinzugefügt haben.
clear captive-portal mac-address mac-addressAndernfalls wird der neue Eintrag für die MAC-Adresse nicht zur Ethernet-Switching-Tabelle hinzugefügt, und die Umgehung der Authentifizierung ist nicht zulässig.[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
HINWEIS:Optional können Sie den Bereich auf die Schnittstelle beschränken.
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0(Optional) Um Clients auf eine bestimmte Seite und nicht auf die ursprünglich angeforderte Seite umzuleiten, konfigurieren Sie die URL nach der Authentifizierung:
[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----ABC123
...
ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
}
}
ethernet-switching-options {
authentication-whitelist {
00:10:12:e0:28:22/48;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass das Captive Portal konfiguriert ist und ordnungsgemäß funktioniert:
- Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
- Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
Zweck
Stellen Sie sicher, dass das Captive Portal auf der Schnittstelle ge-0/0/10 konfiguriert ist.
Was
Verwenden Sie den Befehl operational mode :show captive-portal interface interface-name detail
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Bedeutung
Die Ausgabe bestätigt, dass das Captive Portal auf der Schnittstelle ge-0/0/10 mit den Standardeinstellungen für die Anzahl der Wiederholungen, die Ruhezeit, das CP-Sitzungs-Timeout und das Server-Timeout konfiguriert ist.
Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass das Captive Portal auf dem Switch funktioniert.
Was
Verbinden Sie einen Client mit der Schnittstelle ge-0/0/10. Öffnen Sie auf dem Client einen Webbrowser, und fordern Sie eine Webseite an. Die von Ihnen entworfene Anmeldeseite für das Captive Portal sollte angezeigt werden. Nachdem Sie Ihre Anmeldeinformationen eingegeben und sich beim RADIUS-Server authentifiziert haben, sollte der Webbrowser entweder die von Ihnen angeforderte Seite oder die von Ihnen konfigurierte URL nach der Authentifizierung anzeigen.
Fehlerbehebung
Führen Sie die folgenden Aufgaben aus, um Probleme mit dem Captive Portal zu beheben:
Fehlerbehebung im Captive Portal
Problem
Der Switch gibt die Anmeldeseite für das Captive Portal nicht zurück, wenn ein Benutzer, der mit einer Captive Portal-Schnittstelle auf dem Switch verbunden ist, eine Webseite anfordert.
Lösung
Sie können die ARP-, DHCP-, HTTPS- und DNS-Leistungsindikatoren untersuchen – wenn einer oder mehrere dieser Leistungsindikatoren nicht inkrementiert werden, gibt dies einen Hinweis darauf, wo das Problem liegt. Wenn der Client beispielsweise keine IP-Adresse erhalten kann, überprüfen Sie die Switch-Schnittstelle, um festzustellen, ob der DHCP-Zähler inkrementiert wird – wenn der Zähler inkrementiert wird, wurde das DHCP-Paket vom Switch empfangen.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Konfigurieren der Captive Portal-Authentifizierung (CLI-Verfahren)
Konfigurieren Sie die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) auf einem Switch der EX-Serie, sodass mit dem Switch verbundene Benutzer authentifiziert werden, bevor sie auf das Netzwerk zugreifen dürfen. Wenn der Benutzer eine Webseite anfordert, wird eine Anmeldeseite angezeigt, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Nach erfolgreicher Authentifizierung kann der Benutzer mit der ursprünglichen Seitenanforderung und dem anschließenden Zugriff auf das Netzwerk fortfahren.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Generierte ein SSL-Zertifikat und installierte es auf dem Switch. Weitere Informationen finden Sie unter Generieren von SSL-Zertifikaten für Secure Web Access (Switch der EX-Serie).Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Konfigurierter Basiszugriff zwischen dem Switch der EX-Serie und dem RADIUS-Server. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Entwerfen Sie Ihre Anmeldeseite für das Captive Portal. Weitere Informationen finden Sie unter Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches.Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches
Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren von Secure Access für Captive Portal
- Aktivieren einer Schnittstelle für Captive Portal
- Konfigurieren der Umgehung der Captive Portal-Authentifizierung
Konfigurieren von Secure Access für Captive Portal
So konfigurieren Sie den sicheren Zugriff für das Captive Portal:
Aktivieren einer Schnittstelle für Captive Portal
So aktivieren Sie eine Schnittstelle für das Captive Portal:
[edit] user@switch# set services captive-portal interface interface-name
So aktivieren Sie beispielsweise das Captive Portal auf der Schnittstelle ge-0/0/10:
[edit] user@switch# set services captive-portal interface ge-0/0/10
Konfigurieren der Umgehung der Captive Portal-Authentifizierung
So erlauben Sie bestimmten Clients, das Captive Portal zu umgehen:
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
So erlauben Sie z. B. bestimmten Clients, das Captive Portal zu umgehen:
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
Optional können Sie den Bereich auf die Schnittstelle beschränken.set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
Wenn der Client bereits mit dem Switch verbunden ist, müssen Sie seine MAC-Adresse aus der Captive Portal-Authentifizierung löschen, indem Sie den Befehl verwenden, nachdem Sie seine MAC-Adresse zur Zulassungsliste hinzugefügt haben.clear captive-portal mac-address mac-address Andernfalls wird der neue Eintrag für die MAC-Adresse nicht zur Ethernet-Switching-Tabelle hinzugefügt, und die Umgehung der Authentifizierung ist nicht zulässig.
Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches
Sie können die Captive Portal-Authentifizierung auf Ihrem Switch so einrichten, dass alle Webbrowser-Anforderungen an eine Anmeldeseite umgeleitet werden, auf der Benutzer einen Benutzernamen und ein Kennwort eingeben müssen, bevor ihnen der Zugriff gewährt wird. Nach erfolgreicher Authentifizierung erhalten Benutzer Zugriff auf das Netzwerk und werden auf die ursprünglich angeforderte Seite umgeleitet.
Junos OS bietet eine anpassbare Vorlage für das Captive Portal-Fenster, mit der Sie das Aussehen der Captive Portal-Anmeldeseite einfach entwerfen und ändern können. Sie können die Designelemente der Vorlage ändern, um das Aussehen Ihrer Anmeldeseite für das Captive Portal zu ändern und der Seite Anweisungen oder Informationen hinzuzufügen. Sie können auch jedes der Designelemente einer Anmeldeseite für das Captive Portal ändern.
Auf dem ersten Bildschirm, der vor der Captive-Anmeldeseite angezeigt wird, muss der Benutzer die Nutzungsbedingungen lesen. Durch Klicken auf die Schaltfläche Zustimmen kann der Benutzer auf die Anmeldeseite des Captive Portals zugreifen.
Abbildung 1 Zeigt ein Beispiel für eine Anmeldeseite für das Captive Portal:
Tabelle 1 Fasst die konfigurierbaren Elemente einer Captive Portal-Anmeldeseite zusammen.
| Element | CLI-Anweisung | Beschreibung |
|---|---|---|
Hintergrundfarbe der Fußzeile |
footer-bgcolor hex-color |
Der HTML-Hexadezimalcode für die Hintergrundfarbe der Fußzeile der Anmeldeseite des Captive Portals. |
Nachricht in der Fußzeile |
footer-message text-string |
Text, der in der Fußzeile der Anmeldeseite für das Captive Portal angezeigt wird. Sie können Copyright-Informationen, Links und zusätzliche Informationen wie Hilfe, rechtliche Hinweise oder eine Datenschutzrichtlinie einfügen Der Standardtext, der in der Fußzeile angezeigt wird, lautet Copyright @2010, Juniper Networks Inc. |
Textfarbe in der Fußzeile |
footer- text-color color |
Farbe des Textes in der Fußzeile. Die Standardfarbe ist Weiß. |
Hintergrundfarbe der Formularkopfzeile |
form-header-bgcolor hex-color |
Der HTML-Hexadezimalcode für die Hintergrundfarbe der Kopfzeile am oberen Rand des Formularbereichs der Anmeldeseite des Captive Portals. |
Nachricht in der Kopfzeile des Formulars |
form-header-message text-string |
Text, der in der Kopfzeile der Anmeldeseite für das Captive Portal angezeigt wird. Der Standardtext ist .Captive Portal User Authentication |
Textfarbe der Formularkopfzeile |
form-header- text- color color |
Farbe des Textes in der Kopfzeile des Formulars. Die Standardfarbe ist Schwarz. |
Beschriftung der Schaltfläche zum Zurücksetzen des Formulars |
form-reset-label label-name |
Über die Schaltfläche kann der Benutzer die Felder Benutzername und Passwort im Formular löschen.Reset |
Beschriftung der Schaltfläche "Formular senden" |
form-submit-label label-name |
Über die Schaltfläche kann der Benutzer die Anmeldeinformationen übermitteln.Login |
Hintergrundfarbe der Kopfzeile |
header-bgcolor hex-color |
Der HTML-Hexadezimalcode für die Hintergrundfarbe der Kopfzeile der Anmeldeseite des Captive Portals. |
Header-Logo |
header-logo filename |
Dateiname der Datei, die das Bild des Logos enthält, das in der Kopfzeile der Anmeldeseite des Captive Portals angezeigt werden soll. Die Bilddatei kann im GIF-, JPEG- oder PNG-Format vorliegen. Sie können eine Logobilddatei auf den Switch hochladen. Kopieren Sie das Logo in das Verzeichnis /var/tmp auf dem Switch (während des Commits werden die Dateien an persistenten Speicherorten gespeichert). Wenn Sie kein Logo angeben, wird das Logo von Juniper Networks angezeigt. |
Header-Nachricht |
header-message text-string |
Text, der in der Kopfzeile der Seite angezeigt wird. Der Standardtext ist .User Authentication |
Textfarbe der Kopfzeile |
header-text- colorcolor |
Farbe des Textes in der Kopfzeile. Die Standardfarbe ist Weiß. |
URL nach der Authentifizierung |
post-authentication-url url |
URL, an die die Benutzer bei erfolgreicher Authentifizierung weitergeleitet werden. Standardmäßig werden Benutzer auf die Seite weitergeleitet, die sie ursprünglich angefordert hatten. |
So entwerfen Sie die Anmeldeseite für das Captive Portal:
Jetzt können Sie die Konfiguration bestätigen.
Für die benutzerdefinierten Optionen, die Sie nicht angeben, wird der Standardwert verwendet.
Siehe auch
Konfigurieren der Captive Portal-Authentifizierung (CLI-Verfahren) auf einem Switch der EX-Serie mit ELS-Unterstützung
Diese Aufgabe verwendet Junos OS für Switches mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS). Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Konfigurieren der Captive Portal-Authentifizierung (CLI-Verfahren). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Konfigurieren Sie die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) auf einem Switch, sodass Benutzer, die mit dem Switch verbunden sind, authentifiziert werden, bevor sie auf das Netzwerk zugreifen dürfen. Wenn der Benutzer eine Webseite anfordert, wird eine Anmeldeseite angezeigt, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Nach erfolgreicher Authentifizierung kann der Benutzer mit der ursprünglichen Seitenanforderung und dem anschließenden Zugriff auf das Netzwerk fortfahren.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung .
Generierte ein SSL-Zertifikat und installierte es auf dem Switch. Weitere Informationen finden Sie unter Generieren von SSL-Zertifikaten für Secure Web Access (Switch der EX-Serie).Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Konfigurierter Basiszugriff zwischen dem Switch und dem RADIUS-Server. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Entwerfen Sie Ihre Anmeldeseite für das Captive Portal. Weitere Informationen finden Sie unter Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches.Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches
Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren von Secure Access für Captive Portal
- Aktivieren einer Schnittstelle für Captive Portal
- Konfigurieren der Umgehung der Captive Portal-Authentifizierung
Konfigurieren von Secure Access für Captive Portal
So konfigurieren Sie den sicheren Zugriff für das Captive Portal:
Aktivieren einer Schnittstelle für Captive Portal
So aktivieren Sie eine Schnittstelle für die Verwendung mit der Captive Portal-Authentifizierung:
[edit] user@switch# set services captive-portal interface interface-name
Konfigurieren der Umgehung der Captive Portal-Authentifizierung
Sie können bestimmten Clients erlauben, die Captive Portal-Authentifizierung zu umgehen:
[edit] user@switch# set switch-options authentication-whitelist mac-address
Optional können Sie den Bereich auf die Schnittstelle beschränken.set switch-options authentication-whitelist mac-address interface interface-name
Wenn der Client bereits mit dem Switch verbunden ist, müssen Sie seine MAC-Adresse aus der Captive Portal-Authentifizierung löschen, indem Sie den Befehl verwenden, nachdem Sie seine MAC-Adresse zur Zulassungsliste hinzugefügt haben.clear captive-portal mac-address session-mac-addr Andernfalls wird der neue Eintrag für die MAC-Adresse nicht zur Ethernet-Switching-Tabelle hinzugefügt, und die Umgehung der Authentifizierung ist nicht zulässig.
Beispiel: Einrichten der Captive Portal-Authentifizierung auf einem Switch der EX-Serie mit ELS-Unterstützung
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten der Captive Portal-Authentifizierung auf einem Switch der EX-Serie. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Sie können die Captive Portal-Authentifizierung (im Folgenden als Captive Portal bezeichnet) auf einem Switch einrichten, um Webbrowser-Anforderungen an eine Anmeldeseite umzuleiten, auf der der Benutzer einen Benutzernamen und ein Kennwort eingeben muss. Nach erfolgreicher Authentifizierung kann der Benutzer mit der ursprünglichen Seitenanforderung und dem anschließenden Zugriff auf das Netzwerk fortfahren.
In diesem Beispiel wird beschrieben, wie Sie das Captive Portal auf einem Switch der EX-Serie einrichten:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 13.2X50 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie mit Unterstützung für ELS
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung .
Generierte ein SSL-Zertifikat und installierte es auf dem Switch. Weitere Informationen finden Sie unter Generieren von SSL-Zertifikaten für Secure Web Access (Switch der EX-Serie).Generieren von SSL-Zertifikaten für den sicheren Webzugriff (Switch der EX-Serie)
Konfigurierter Basiszugriff zwischen dem Switch der EX-Serie und dem RADIUS-Server. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Entwerfen Sie Ihre Anmeldeseite für das Captive Portal. Weitere Informationen finden Sie unter Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches.Entwerfen einer Anmeldeseite für die Captive Portal-Authentifizierung auf Switches
Übersicht und Topologie
Dieses Beispiel zeigt die Konfiguration, die auf dem Switch erforderlich ist, um das Captive Portal auf einer Schnittstelle zu aktivieren. Um einem Drucker, der mit der Captive Portal-Schnittstelle verbunden ist, den Zugriff auf das LAN zu ermöglichen, fügen Sie seine MAC-Adresse zur Zulassungsliste für die Authentifizierung hinzu und weisen Sie sie dem VLAN vlan1 zu. Den MAC-Adressen in dieser Liste ist der Zugriff auf die Schnittstelle ohne Captive Portal-Authentifizierung gestattet.
Topologie
Die Topologie für dieses Beispiel besteht aus einem Switch der EX-Serie, der mit einem RADIUS-Authentifizierungsserver verbunden ist. Eine Schnittstelle auf dem Switch ist für das Captive Portal konfiguriert. In diesem Beispiel ist die Schnittstelle im Modus mit mehreren Supplicants konfiguriert.
Konfiguration
So konfigurieren Sie das Captive Portal auf Ihrem Switch:
CLI-Schnellkonfiguration
Um das Captive Portal auf dem Switch schnell zu konfigurieren, nachdem Sie die Aufgaben im Abschnitt Anforderungen ausgeführt haben, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
Verfahren
Schritt-für-Schritt-Anleitung
Um einen sicheren Kanal für den Webzugriff auf den Switch zu erstellen, konfigurieren Sie das Captive Portal für HTTPS:
Schritt-für-Schritt-Anleitung
Ordnen Sie das Sicherheitszertifikat dem Webserver zu, und aktivieren Sie HTTPS auf dem Switch:
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
HINWEIS:Sie können HTTP anstelle von HTTPS aktivieren, es wird jedoch empfohlen, HTTPS aus Sicherheitsgründen zu aktivieren.
Konfigurieren des Captive Portals für die Verwendung von HTTPS:
[edit] user@switch# set services captive-portal secure-authentication https
Aktivieren einer Schnittstelle für das Captive Portal:
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(Optional) Zulassen, dass bestimmte Clients die Captive Portal-Authentifizierung umgehen:
HINWEIS:Wenn der Client bereits mit dem Switch verbunden ist, müssen Sie seine MAC-Adresse aus der Captive Portal-Authentifizierung löschen, indem Sie den Befehl verwenden, nachdem Sie seine MAC-Adresse zur Zulassungsliste hinzugefügt haben.
clear captive-portal mac-address mac-addressAndernfalls wird der neue Eintrag für die MAC-Adresse nicht zur Ethernet-Switching-Tabelle hinzugefügt, und die Umgehung der Authentifizierung ist nicht zulässig.[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
HINWEIS:Optional können Sie den Bereich auf die Schnittstelle beschränken.set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0
(Optional) Um Clients auf eine bestimmte Seite und nicht auf die ursprünglich angeforderte Seite umzuleiten, konfigurieren Sie die URL nach der Authentifizierung:
[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch# show
system {
services {
web-management {
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\ABC123
ABC123ABC123ABC123 ... ABC123
----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
custom-options {
post-authentication-url http://www.my-home-page.com;
}
}
}
switch-options {
authentication-whitelist {
00:10:12:e0:28:22/48 {
vlan-assignment vlan1;
}
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Captive Portal-Authentifizierung konfiguriert ist und ordnungsgemäß funktioniert:
- Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
- Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Überprüfen, ob Captive Portal auf der Schnittstelle aktiviert ist
Zweck
Stellen Sie sicher, dass das Captive Portal auf der Schnittstelle ge-0/0/10 konfiguriert ist.
Was
Verwenden Sie den Befehl operational mode :show captive-portal interface interface-name detail
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Bedeutung
Die Ausgabe bestätigt, dass das Captive Portal auf der Schnittstelle mit den Standardeinstellungen für die Anzahl der Wiederholungen, die Ruhezeit, das Zeitlimit für die CP-Sitzung und das Server-Zeitlimit konfiguriert ist.ge-0/0/10
Überprüfen, ob Captive Portal ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass das Captive Portal auf dem Switch funktioniert.
Was
Verbinden Sie einen Client mit der Schnittstelle ge-0/0/10. Öffnen Sie auf dem Client einen Webbrowser, und fordern Sie eine Webseite an. Die von Ihnen entworfene Anmeldeseite für das Captive Portal sollte angezeigt werden. Nachdem Sie Ihre Anmeldeinformationen eingegeben und sich beim RADIUS-Server authentifiziert haben, sollte der Webbrowser entweder die von Ihnen angeforderte Seite oder die von Ihnen konfigurierte URL nach der Authentifizierung anzeigen.
Fehlerbehebung
Führen Sie die folgende Aufgabe aus, um Probleme mit dem Captive Portal zu beheben:
Fehlerbehebung im Captive Portal
Problem
Der Switch gibt die Anmeldeseite des Captive Portals nicht zurück, wenn ein Benutzer, der mit einer Captive Portal-Schnittstelle auf dem Switch verbunden ist, eine Webseite anfordert.
Lösung
Sie können die ARP-, DHCP-, HTTPS- und DNS-Leistungsindikatoren untersuchen – wenn einer oder mehrere dieser Leistungsindikatoren nicht inkrementiert werden, gibt dies einen Hinweis darauf, wo das Problem liegt. Wenn der Client beispielsweise keine IP-Adresse erhalten kann, können Sie die Switch-Schnittstelle überprüfen, um festzustellen, ob der DHCP-Zähler inkrementiert wird – wenn der Zähler inkrementiert wird, wurde das DHCP-Paket vom Switch empfangen.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0