Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Captive Portal Authentication

Можно управлять доступом к сети через коммутатор, используя несколько различных способов аутентификации. Junos OS поддерживают 802.1X, MAC-RADIUS и Captive Portal в качестве способов аутентификации устройств, требующих подключения к сети. Можно настроить аутентификацию Captive Portal на коммутаторе, чтобы перенаправить запросы веб-браузера на страницу входа, которая требует ввода пользователем имени пользователя и пароля. Дополнительные сведения можно получить на этом тему.

Примере: Настройка аутентификации captive portal на коммутаторе серии EX

На коммутаторе можно Captive Portal аутентификацию (далее она называется Captive Portal) для перенаправления запросов веб-браузера на страницу входа, которая требует, чтобы пользователь ввести имя пользователя и пароль. После успешной аутентификации пользователю будет разрешено продолжить с исходным запросом страницы и последующим доступом в сеть.

В данном примере описана настройка Captive Portal коммутаторов серии EX:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Коммутатор серии EX, который поддерживает Captive Portal

  • Junos OS версии 10.1 или более поздней версии для коммутаторов серии EX

Перед началом работы убедитесь в том, что у вас есть:

Обзор и топология

В данном примере показана конфигурация, необходимая для коммутатора для Captive Portal интерфейса. Чтобы разрешить принтеру, подключенму к Captive Portal интерфейсу, получить доступ к локальной сети без Captive Portal, добавьте MAC-адрес список разрешений аутентификации. MAC-адресам из этого списка разрешен доступ к интерфейсу без Captive Portal.

Топологии

Топология для этого примера состоит из одного коммутатора серии EX, подключенного к RADIUS аутентификации. Один интерфейс коммутатора настроен на Captive Portal. В этом примере интерфейс настроен в режиме нескольких источников.

Конфигурации

Настройка Captive Portal коммутатора:

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить Captive Portal на коммутаторе после выполнения задач в разделе "Требования", скопируйте следующие команды и включайте их в окно терминала коммутатора:

Процедуры

Пошаговая процедура

Настройка Captive Portal коммутатора:

  1. Определите IP-адрес сервера, номер порта аутентификации сервера и настройте секретный пароль. Секретный пароль коммутатора должен совпадать с секретным паролем на сервере:

  2. Настройте порядок аутентификации, чтобы radius сделать первый метод аутентификации:

  3. Настройте IP-адрес сервера, который будет рассматриваться как аутентификация необходимого.

  4. Включение HTTP-доступа на коммутаторе:

  5. Чтобы создать защищенный канал веб-доступа к коммутатору, настройте Captive Portal HTTPS:

    Прим.:

    Можно включить HTTP без включения HTTPS, но мы рекомендуем HTTPS в целях безопасности.

    Пошаговая процедура
    1. Связать сертификат безопасности с веб-сервером и включить httpS-доступ на коммутаторе:

    2. Настройте Captive Portal httpS:

  6. Включить интерфейс для Captive Portal:

  7. Укажите имя профиля доступа, который будет использоваться для Captive Portal аутентификации:

  8. (Необязательно) Разрешить обход определенных клиентов Captive Portal:

    Прим.:

    Если клиент уже подключен к коммутатору, необходимо очистить MAC-адрес аутентификацию Captive Portal с помощью команды после добавления MAC-адрес список clear captive-portal mac-address mac-address allowlist. В противном случае новая запись для MAC-адрес не будет добавлена в таблицу коммутации Ethernet, а обход аутентификации не будет разрешен.

    Прим.:

    Дополнительно можно использовать для set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 ограничения области интерфейса.

  9. (Необязательно) Чтобы перенаправить клиентов на указанную страницу, а не на первоначально запрашиваемую страницу, настройте URL-адрес после аутентификации:

Результаты

Отобразить результаты настройки:

Проверки

Чтобы подтвердить Captive Portal что Captive Portal настроены и работают правильно, выполните эти задачи:

Проверка включения невключаемой информации портала на интерфейсе

Цель

Убедитесь Captive Portal что интерфейс ge-0/0/10 настроен на Captive Portal интерфейса.

Действий

Используйте команду operational show captive-portal interface interface-name detail mode:

Смысл

Выходные данные подтверждают Captive Portal интерфейс ge-0/0/10 настроен с настройками по умолчанию для количества повторного действия, тихого периода, времени ожидания сеанса CP и времени ожидания сервера.

Проверка правильности работы неавтного портала

Цель

Проверьте, Captive Portal ли коммутатор работает.

Действий

Подключите клиента к интерфейсу ge-0/0/10. Откройте веб-браузер и запросить у клиента веб-страницу. Должна Captive Portal страница входа, спроектированная вами. После ввода информации о входе и проверки подлинности на RADIUS веб-браузер должен отобразить либо запрашиваемую страницу, либо настроенный URL-адрес после аутентификации.

Устранение неполадок

Для устранения неполадок Captive Portal задачи:

Устранение неполадок captive portal

Проблема

Коммутатор не возвращает страницу входа Captive Portal, если пользователь, подключенный к Captive Portal интерфейсу коммутатора, запрашивает веб-страницу.

Решение

Можно проверить счетчики ARP, DHCP, HTTPS и DNS— если один или несколько из этих счетчиков не прирапливаются, это указывает, где находится проблема. Например, если клиент не может получить IP-адрес, проверьте интерфейс коммутатора, чтобы определить, является ли счетчик DHCP инкрементным — при приращении счетчика пакет DHCP был получен коммутатором.

Настройка неверная аутентификация портала (интерфейс командной строки)

Настройте Captive Portal аутентификацию (далее называемую Captive Portal) на коммутаторе серии EX, чтобы пользователям, подключенным к коммутатору, была разрешена аутентификация перед доступом в сеть. При запросе веб-страницы отображается страница входа, требуемая для ввода имени пользователя и пароля. После успешной аутентификации пользователю будет разрешено продолжить с исходным запросом страницы и последующим доступом в сеть.

Перед началом работы убедитесь в том, что у вас есть:

Данная тема включает в себя следующие задачи:

Настройка защищенного доступа для captive portal

Чтобы настроить безопасный доступ для Captive Portal:

  1. Включение HTTP-доступа на коммутаторе:
  2. Связать сертификат безопасности с веб-сервером и включить httpS-доступ на коммутаторе:
    Прим.:

    Можно включить HTTP без HTTPS, но мы рекомендуем HTTPS в целях безопасности.

  3. Настройте Captive Portal httpS:

Включение интерфейса для неуемного портала

Чтобы включить интерфейс для Captive Portal:

Например, чтобы включить Captive Portal интерфейсе ge-0/0/10:

Настройка обхода аутентификации captive portal

Разрешить обход определенных клиентов Captive Portal:

Например, разрешить обход определенных клиентов Captive Portal:

Прим.:

Дополнительно можно использовать для set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 ограничения области интерфейса.

Прим.:

Если клиент уже подключен к коммутатору, необходимо очистить MAC-адрес аутентификацию Captive Portal с помощью команды после добавления MAC-адрес список clear captive-portal mac-address mac-address allowlist. В противном случае новая запись для MAC-адрес не будет добавлена в таблицу коммутации Ethernet, а обход аутентификации не будет разрешен.

Проектирование страницы входа в неволю с аутентификацией портала на коммутаторах

Можно настроить аутентификацию Captive Portal на коммутаторе, чтобы перенаправить все запросы веб-браузера на страницу входа, на которую пользователям нужно ввести имя пользователя и пароль до получения доступа. После успешной аутентификации пользователям будет разрешен доступ к сети, после этого пользователь перенаправляется на запрашиваемую исходную страницу.

Junos OS предоставляет настраиваемый шаблон для окна Captive Portal, который позволяет легко проектировать и изменять вид Captive Portal страницы входа. Элементы шаблона можно изменить, чтобы изменить внешний вид Captive Portal входа и добавить на страницу инструкции или сведения. Можно также изменить любой из элементов проектирования страницы Captive Portal входа.

В первом окне, отображаемом перед страницей входа в нее, пользователю требуется прочитать условия использования. Нажав кнопку «Согласен», пользователь может получить доступ к странице Captive Portal входа.

Рис. 1 пример страницы входа Captive Portal:

Рис. 1: Пример страницы входа в неволю порталаПример страницы входа в неволю портала

Табл. 1 суммирует настраиваемые элементы страницы Captive Portal входа.

Табл. 1: Настраиваемые элементы неавтной страницы входа портала
Элемент интерфейс командной строки Описание

Фоновый цвет подножки

footer-bgcolor hex-color

Код HTML-код для фонового цвета Captive Portal страницы входа.

Сообщение в области футера

footer-message text-string

Текст, показанный в текстовом поле Captive Portal регистрации. Можно включить информацию об авторских правах, ссылки и дополнительную информацию, например инструкции для справки, юридические уведомления или политику конфиденциальности.

Текст по умолчанию, показанный в тексте, Copyright @2010, Juniper Networks Inc.

Цвет текста в виде футера

footer- text-color color

Цвет текста в подноженике. По умолчанию цвет – белый.

Цвет фона загона форм

form-header-bgcolor hex-color

Код HTML-код для фонового цвета панели заголовка в верхней части области формы страницы Captive Portal входа.

Форма сообщения загона

form-header-message text-string

Текст, отображаемый в загоне страницы Captive Portal входа. Текст по умолчанию Captive Portal User Authentication : .

Форма цветного текста загона

form-header- text- color Цвет

Цвет текста в загонах формы. По умолчанию цвет — черный.

Метка кнопки сброса формы

form-reset-label label-name

С помощью этой кнопки пользователь может очистить поля имени пользователя и Reset пароля в этой форме.

Форма метки кнопки submit

form-submit-label label-name

С помощью Login этой кнопки пользователь может отправить данные о входе в систему.

Цвет фона загона

header-bgcolor hex-color

Код HTML-код для фонового цвета Captive Portal страницы входа.

Логотип загона

header-logo filename

Имя файла, содержащее образ логотипа, который должен появиться в загоне Captive Portal регистрации. Файл образа может быть в формате GIF, JPEG или PNG.

В коммутатор можно загрузить файл образа логотипа. Скопируйте логотип в каталог /var/tmp на коммутаторе (во время сохраняемой фиксации файлы сохраняются в постоянных местоположениях).

Если не указать образ логотипа, Juniper Networks отображается логотип.

Сообщение в загонах

header-message text-string

Текст, отображаемый в заглавной главе страницы. Текст по умолчанию User Authentication : .

Цвет текста заглавной области

header-text- colorЦвет

Цвет текста в загонах. По умолчанию цвет – белый.

URL-адрес после аутентификации

post-authentication-url url

URL, на который направлены пользователи, на успешную аутентификацию. По умолчанию пользователи направляются на изначально запрашиваемую страницу.

При проектировании Captive Portal регистрации:

  1. (Необязательно) Загрузите файл образа логотипа на коммутатор:
  2. Настройте пользовательские параметры, чтобы указать цвета фона и текст, отображаемые на Captive Portal странице:

Теперь можно сфиксировать конфигурацию.

Прим.:

Для пользовательских параметров, которые не указаны, используется значение по умолчанию.

Настройка неверная аутентификация портала (интерфейс командной строки) на коммутаторах серии EX с поддержкой ELS

Прим.:

Данная задача Junos OS для коммутаторов с поддержкой стиля конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор работает с программным обеспечением, не поддерживаюным ELS, см. "Настройка неверная аутентификация портала ( интерфейс командной строки процедуры)". Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

Настройте Captive Portal аутентификацию (далее называемую Captive Portal) на коммутаторе таким образом, чтобы пользователям, подключенным к коммутатору, была разрешена аутентификация до получения доступа в сеть. При запросе у пользователя веб-страницы отображается страница входа, на которую нужно ввести имя пользователя и пароль. После успешной аутентификации пользователю будет разрешено продолжить с исходным запросом страницы и последующим доступом в сеть.

Перед началом работы убедитесь в том, что у вас есть:

Данная тема включает в себя следующие задачи:

Настройка защищенного доступа для captive portal

Чтобы настроить безопасный доступ для Captive Portal:

  1. Связать сертификат безопасности с веб-сервером и включить HTTPS на коммутаторе:
    Прим.:

    Можно включить HTTP вместо HTTPS, но мы рекомендуем HTTPS в целях безопасности.

  2. Настройте Captive Portal httpS:

Включение интерфейса для неуемного портала

Чтобы включить интерфейс для использования с Captive Portal аутентификацией:

Настройка обхода аутентификации captive portal

Можно разрешить определенным клиентам не использовать Captive Portal аутентификацию:

Прим.:

Дополнительно можно использовать для set switch-options authentication-whitelist mac-address interface interface-name ограничения области интерфейса.

Прим.:

Если клиент уже подключен к коммутатору, необходимо очистить MAC-адрес аутентификацию Captive Portal с помощью команды после добавления MAC-адрес список clear captive-portal mac-address session-mac-addr allowlist. В противном случае новая запись для MAC-адрес не добавляется в таблицу коммутации Ethernet и обход аутентификации не допускается.

Примере: Настройка аутентификации captive portal на коммутаторе серии EX с поддержкой ELS

Прим.:

В данном примере Junos OS коммутаторы серии EX с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор работает с программным обеспечением, не поддерживаюным ELS, см. пример: Настройка аутентификации captive portal на коммутаторе серии EX. Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

На коммутаторе можно Captive Portal аутентификацию (далее она называется Captive Portal) для перенаправления запросов веб-браузера на страницу входа, которая требует, чтобы пользователь ввести имя пользователя и пароль. После успешной аутентификации пользователю будет разрешено продолжить с исходным запросом страницы и последующим доступом в сеть.

В данном примере описана настройка Captive Portal коммутаторов серии EX:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

  • Junos OS версии 13.2X50 или более поздней версии для коммутаторов серии EX

  • Коммутатор серии EX с поддержкой ELS

Перед началом работы убедитесь в том, что у вас есть:

Обзор и топология

В данном примере показана конфигурация, необходимая для коммутатора для Captive Portal интерфейса. Чтобы разрешить доступ принтера, подключенного к интерфейсу Captive Portal, для доступа к LAN добавьте MAC-адрес список разрешений аутентификации и назначьте его VLAN, vlan1. MAC-адресам из этого списка разрешен доступ к интерфейсу без Captive Portal аутентификации.

Топологии

Топология для этого примера состоит из одного коммутатора серии EX, подключенного к RADIUS аутентификации. Один интерфейс коммутатора настроен на Captive Portal. В этом примере интерфейс настроен в режиме нескольких источников.

Конфигурации

Настройка Captive Portal коммутатора:

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить Captive Portal на коммутаторе после выполнения задач в разделе "Требования", скопируйте следующие команды и включайте их в окно терминала коммутатора:

Процедуры

Пошаговая процедура
  1. Чтобы создать защищенный канал веб-доступа к коммутатору, настройте Captive Portal HTTPS:

    Пошаговая процедура
    1. Связать сертификат безопасности с веб-сервером и включить HTTPS на коммутаторе:

      Прим.:

      Можно включить HTTP вместо HTTPS, но мы рекомендуем включить HTTPS в целях безопасности.

    2. Настройте Captive Portal httpS:

  2. Включить интерфейс для Captive Portal:

  3. (Необязательно) Разрешить определенным клиентам не использовать Captive Portal аутентификацию:

    Прим.:

    Если клиент уже подключен к коммутатору, необходимо очистить MAC-адрес аутентификацию Captive Portal с помощью команды после добавления MAC-адрес список clear captive-portal mac-address mac-address allowlist. В противном случае новая запись для MAC-адрес не будет добавлена в таблицу коммутации Ethernet и обход аутентификации не будет разрешен.

    Прим.:

    Дополнительно можно использовать для set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 ограничения области интерфейса.

  4. (Необязательно) Чтобы перенаправить клиентов на указанную страницу, а не на первоначально запрашиваемую страницу, настройте URL-адрес после аутентификации:

Результаты

Отобразить результаты настройки:

Проверки

Чтобы проверить Captive Portal аутентификация настроена и работает правильно, выполните эти задачи:

Проверка включения невключаемой информации портала на интерфейсе

Цель

Убедитесь Captive Portal что интерфейс ge-0/0/10 настроен на Captive Portal.

Действий

Используйте команду operational show captive-portal interface interface-name detail mode:

Смысл

Выходные данные подтверждают, Captive Portal настроены на интерфейсе с настройками по умолчанию для количества повторного действия, тихого периода, времени ожидания сеанса CP и времени ожидания ge-0/0/10 сервера.

Проверка правильности работы неавтного портала

Цель

Проверьте, Captive Portal ли коммутатор работает.

Действий

Подключите клиента к интерфейсу ge-0/0/10. Откройте веб-браузер и запросить у клиента веб-страницу. Должна Captive Portal страница входа, спроектированная вами. После ввода информации о входе и проверки подлинности на RADIUS веб-браузер должен отобразить либо запрашиваемую страницу, либо настроенный URL-адрес после аутентификации.

Устранение неполадок

Для устранения неполадок Captive Portal эту задачу:

Устранение неполадок captive portal

Проблема

Коммутатор не возвращает страницу Captive Portal, если пользователь, подключенный к Captive Portal интерфейсу коммутатора, запрашивает веб-страницу.

Решение

Можно проверить счетчики ARP, DHCP, HTTPS и DNS— если один или несколько из этих счетчиков не прирапливаются, это указывает, где находится проблема. Например, если клиент не может получить IP-адрес, можно проверить интерфейс коммутатора, чтобы определить, является ли счетчик DHCP инкрементным – при приращении счетчика пакет DHCP был получен коммутатором.