强制门户身份验证
您可以使用几种不同的身份验证来控制通过交换机对网络的访问。Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户作为需要连接到网络的设备的身份验证方法。您可以在交换机上设置强制门户身份验证,以将 Web 浏览器请求重定向到需要用户输入用户名和密码的登录页面。有关更多信息,请阅读本主题。
示例:在 EX 系列交换机上设置强制网络门户身份验证
您可以在交换机上设置强制门户身份验证(以下称为强制门户),以将 Web 浏览器请求重定向到需要用户输入用户名和密码的登录页面。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
此示例介绍如何在 EX 系列交换机上设置强制网络门户:
要求
此示例使用以下硬件和软件组件:
支持强制门户的 EX 系列交换机
适用于 EX 系列交换机的 Junos OS 10.1 或更高版本
开始之前,确保您具备以下条件:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
生成SSL证书并将其安装在交换机上。请参阅生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)。生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)
设计您的强制门户登录页面。请参阅 在交换机上设计强制网络门户身份验证登录页面。在交换机上设计强制网络门户身份验证登录页面
概述和拓扑
此示例显示了交换机上在接口上启用强制门户所需的配置。要允许连接到强制网络门户接口的打印机在不通过强制网络门户的情况下访问 LAN,请将其 MAC 地址添加到身份验证允许列表。允许在没有强制门户的情况下访问此列表中的 MAC 地址。
拓扑
此示例的拓扑由一台连接到 RADIUS 身份验证服务器的 EX 系列交换机组成。交换机上的一个接口配置为强制网络门户。在此示例中,接口配置为多请求方模式。
配置
要在交换机上配置强制网络门户:
CLI 快速配置
要在完成“要求”部分中的任务后在交换机上快速配置强制网络门户,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
程序
分步过程
要在交换机上配置强制网络门户:
定义服务器 IP 地址、服务器身份验证端口号并配置机密密码。交换机上的密钥密码必须与服务器上的密钥密码匹配:
[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
配置身份验证顺序,进行 第一种身份验证方法:
radius[edit] user@switch# set access profile profile1 authentication-order radius
配置要尝试的服务器 IP 地址,以便对请求方进行身份验证:
[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
在交换机上启用 HTTP 访问:
[edit] user@switch# set system services web-management http
要为交换机的 Web 访问创建安全通道,请为 HTTPS 配置强制门户:
注:您可以在不启用 HTTPS 的情况下启用 HTTP,但出于安全考虑,我们建议使用 HTTPS。
分步过程
将安全证书与 Web 服务器关联,并在交换机上启用 HTTPS 访问:
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
将强制网络门户配置为使用 HTTPS:
[edit] user@switch# set services captive-portal secure-authentication https
为强制门户启用接口:
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
指定要用于强制门户身份验证的访问配置文件的名称:
[edit] user@switch# set services captive-portal authentication-profile-name profile1
(可选)允许特定客户端绕过强制门户:
注:如果客户端已连接到交换机,则必须在将其 MAC 地址添加到允许列表后, 使用命令从强制网络门户身份验证中清除其 MAC 地址。
clear captive-portal mac-address mac-address否则,不会将 MAC 地址的新条目添加到以太网交换表中,并且不允许绕过身份验证。[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
注:(可选)您可以使用 将范围限制为接口。
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0(可选)要将客户端重定向到指定的页面而不是它们最初请求的页面,请配置身份验证后 URL:
[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
成果
显示配置结果:
[edit]
user@switch> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----ABC123
...
ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
}
}
ethernet-switching-options {
authentication-whitelist {
00:10:12:e0:28:22/48;
}
}
验证
要确认强制网络门户已配置且工作正常,请执行以下操作:
验证接口上是否启用了强制网络门户
目的
验证是否已在接口 ge-0/0/10 上配置强制网络门户。
操作
使用操作模式命令 :show captive-portal interface interface-name detail
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意义
输出确认在接口 ge-0/0/10 上配置了强制网络门户,并设置了重试次数、静默期、CP 会话超时和服务器超时的默认设置。
故障排除
要排除强制门户的故障,请执行以下操作:
强制网络门户故障排除
问题
当连接到交换机上的强制网络门户界面的用户请求网页时,交换机不会返回强制网络门户登录页面。
解决方案
您可以检查 ARP、DHCP、HTTPS 和 DNS 计数器 — 如果其中一个或多个计数器未递增,则会指示问题出在哪里。例如,如果客户端无法获取 IP 地址,请检查交换机接口以确定 DHCP 计数器是否在递增 — 如果计数器递增,则交换机已接收 DHCP 数据包。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
配置强制网络门户身份验证(CLI 过程)
在 EX 系列交换机上配置强制网络门户身份验证(以下简称强制网络门户),以便连接到交换机的用户在被允许访问网络之前先通过身份验证。当用户请求网页时,将显示一个登录页面,要求用户输入用户名和密码。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
开始之前,确保您具备以下条件:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
生成SSL证书并将其安装在交换机上。请参阅生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)。生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)
在 EX 系列交换机和 RADIUS 服务器之间配置基本访问。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
设计您的强制门户登录页面。请参阅 在交换机上设计强制网络门户身份验证登录页面。在交换机上设计强制网络门户身份验证登录页面
本主题包含以下任务:
为强制网络门户配置安全访问
要为强制网络门户配置安全访问:
为强制网络门户启用接口
要为强制门户启用接口,请执行以下操作:
[edit] user@switch# set services captive-portal interface interface-name
例如,要在接口 ge-0/0/10 上启用强制门户:
[edit] user@switch# set services captive-portal interface ge-0/0/10
配置强制门户身份验证的绕过
要允许特定客户端绕过强制门户,请执行以下操作:
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
例如,要允许特定客户端绕过强制门户:
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
(可选)您可以使用 将范围限制为接口。set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
如果客户端已连接到交换机,则必须在将其 MAC 地址添加到允许列表后, 使用命令从强制网络门户身份验证中清除其 MAC 地址。clear captive-portal mac-address mac-address 否则,不会将 MAC 地址的新条目添加到以太网交换表中,并且不允许绕过身份验证。
在交换机上设计强制网络门户身份验证登录页面
您可以在交换机上设置强制门户身份验证,将所有 Web 浏览器请求重定向到登录页面,该页面要求用户在允许访问之前输入用户名和密码。身份验证成功后,将允许用户访问网络并重定向到请求的原始页面。
Junos OS 为强制网络门户窗口提供了一个可自定义的模板,可让您轻松设计和修改强制网络门户登录页面的外观。您可以修改模板的设计元素,以更改强制门户登录页面的外观,并向页面添加说明或信息。您还可以修改强制门户登录页面的任何设计元素。
强制登录页面之前显示的第一个屏幕要求用户阅读使用条款和条件。通过单击“同意”按钮,用户可以访问强制网络门户登录页面。
图 1 显示了强制网络门户登录页面的示例:
表 1 汇总强制网络门户登录页面的可配置元素。
| 元素 | CLI 声明 | Description |
|---|---|---|
页脚背景色 |
footer-bgcolor hex-color |
强制门户登录页面页脚背景颜色的 HTML 十六进制代码。 |
页脚消息 |
footer-message text-string |
强制网络门户登录页面页脚中显示的文本。您可以添加版权信息、链接和其他信息,例如帮助说明、法律声明或隐私政策 页脚中显示的默认文本为 Copyright @2010, Juniper Networks Inc. |
页脚文本颜色 |
footer- text-color color |
页脚中文本的颜色。默认颜色为白色。 |
表单标题背景色 |
form-header-bgcolor hex-color |
强制门户登录页面窗体区域顶部标题栏背景色的 HTML 十六进制代码。 |
表单头消息 |
form-header-message text-string |
强制网络门户登录页面标题中显示的文本。默认文本为 。Captive Portal User Authentication |
表单标题文本颜色 |
form-header- text- color color |
表单标题中文本的颜色。默认颜色为黑色。 |
表单重置按钮标签 |
form-reset-label label-name |
使用该 按钮,用户可以清除表单上的用户名和密码字段。Reset |
表单提交按钮标签 |
form-submit-label label-name |
使用该按钮,用户可以提交登录信息。Login |
页眉背景色 |
header-bgcolor hex-color |
强制门户登录页面页眉背景颜色的 HTML 十六进制代码。 |
页眉徽标 |
header-logo filename |
包含要显示在强制网络门户登录页面标题中的徽标图像的文件的文件名。图像文件可以是 GIF、JPEG 或 PNG 格式。 您可以将徽标图像文件上传到交换机。将徽标复制到交换机上的 /var/tmp 目录(提交期间,文件将保存到永久位置)。 如果未指定徽标图像,则会显示瞻博网络徽标。 |
标头消息 |
header-message text-string |
页眉中显示的文本。默认文本为 。User Authentication |
标题文本颜色 |
header-text- colorcolor |
页眉中文本的颜色。默认颜色为白色。 |
身份验证后网址 |
post-authentication-url url |
成功进行身份验证后用户将定向到的 URL。默认情况下,用户被定向到他们最初请求的页面。 |
要设计强制网络门户登录页面,请执行以下操作:
现在,您可以提交配置。
对于未指定的自定义选项,将使用默认值。
另请参阅
在支持 ELS 的 EX 系列交换机上配置强制门户身份验证(CLI 过程)
此任务将 Junos OS 用于支持增强型第 2 层软件 (ELS) 配置样式的交换机。如果您的交换机运行的软件不支持 ELS,请参阅配置强制网络门户身份验证(CLI 过程)。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
在交换机上配置强制网络门户身份验证(以下称为强制门户),以便连接到交换机的用户在被允许访问网络之前先通过身份验证。当用户请求网页时,将显示一个登录页面,要求用户输入用户名和密码。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
开始之前,确保您具备以下条件:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。
生成SSL证书并将其安装在交换机上。请参阅生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)。生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)
配置了交换机与 RADIUS 服务器之间的基本访问。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
设计您的强制门户登录页面。请参阅 在交换机上设计强制网络门户身份验证登录页面。在交换机上设计强制网络门户身份验证登录页面
本主题包含以下任务:
为强制网络门户配置安全访问
要为强制网络门户配置安全访问:
为强制网络门户启用接口
要启用用于强制门户身份验证的接口,请执行以下操作:
[edit] user@switch# set services captive-portal interface interface-name
配置强制门户身份验证的绕过
您可以允许特定客户端绕过强制门户身份验证:
[edit] user@switch# set switch-options authentication-whitelist mac-address
(可选)您可以使用 将范围限制为接口。set switch-options authentication-whitelist mac-address interface interface-name
如果客户端已连接到交换机,则必须在将其 MAC 地址添加到允许列表后, 使用命令从强制网络门户身份验证中清除其 MAC 地址。clear captive-portal mac-address session-mac-addr 否则,不会将 MAC 地址的新条目添加到以太网交换表中,并且不允许绕过身份验证。
示例:在支持 ELS 的 EX 系列交换机上设置强制网络门户身份验证
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:在 EX 系列交换机上设置强制网络门户身份验证。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
您可以在交换机上设置强制门户身份验证(以下称为强制门户),以将 Web 浏览器请求重定向到需要用户输入用户名和密码的登录页面。身份验证成功后,允许用户继续原始页面请求并随后访问网络。
此示例介绍如何在 EX 系列交换机上设置强制网络门户:
要求
此示例使用以下软件和硬件组件:
适用于 EX 系列交换机的 Junos OS 13.2X50 或更高版本
支持 ELS 的 EX 系列交换机
开始之前,确保您具备以下条件:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。
生成SSL证书并将其安装在交换机上。请参阅生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)。生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)
在 EX 系列交换机和 RADIUS 服务器之间配置基本访问。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
设计您的强制门户登录页面。请参阅 在交换机上设计强制网络门户身份验证登录页面。在交换机上设计强制网络门户身份验证登录页面
概述和拓扑
此示例显示了交换机上在接口上启用强制门户所需的配置。要允许连接到强制门户接口的打印机访问 LAN,请将其 MAC 地址添加到身份验证允许列表,并将其分配给 VLAN vlan1。允许在没有强制门户身份验证的情况下访问此列表中的 MAC 地址。
拓扑
此示例的拓扑由一台连接到 RADIUS 身份验证服务器的 EX 系列交换机组成。交换机上的一个接口配置为强制网络门户。在此示例中,接口配置为多请求方模式。
配置
要在交换机上配置强制网络门户:
CLI 快速配置
要在完成“要求”部分中的任务后在交换机上快速配置强制网络门户,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
程序
分步过程
要为交换机的 Web 访问创建安全通道,请为 HTTPS 配置强制门户:
分步过程
将安全证书与 Web 服务器关联,并在交换机上启用 HTTPS:
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
注:您可以启用 HTTP 而不是 HTTPS,但出于安全目的,我们建议您启用 HTTPS。
将强制网络门户配置为使用 HTTPS:
[edit] user@switch# set services captive-portal secure-authentication https
为强制门户启用接口:
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(可选)允许特定客户端绕过强制门户身份验证:
注:如果客户端已连接到交换机,则必须在将其 MAC 地址添加到允许列表后, 使用命令从强制网络门户身份验证中清除其 MAC 地址。
clear captive-portal mac-address mac-address否则,MAC 地址的新条目将不会添加到以太网交换表中,并且不允许绕过身份验证。[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
注:(可选)您可以使用 将范围限制为接口。set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0
(可选)要将客户端重定向到指定的页面而不是它们最初请求的页面,请配置身份验证后 URL:
[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
成果
显示配置结果:
[edit]
user@switch# show
system {
services {
web-management {
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\ABC123
ABC123ABC123ABC123 ... ABC123
----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
custom-options {
post-authentication-url http://www.my-home-page.com;
}
}
}
switch-options {
authentication-whitelist {
00:10:12:e0:28:22/48 {
vlan-assignment vlan1;
}
}
}
验证
要确认强制网络门户身份验证已配置且工作正常,请执行以下操作:
验证接口上是否启用了强制网络门户
目的
验证接口 ge-0/0/10 上是否配置了强制网络门户。
操作
使用操作模式命令 :show captive-portal interface interface-name detail
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意义
输出确认接口上 配置了强制网络门户,并采用重试次数、静默期、CP 会话超时和服务器超时的默认设置。ge-0/0/10
故障排除
要对强制门户进行故障排除,请执行以下任务:
强制网络门户故障排除
问题
当连接到交换机上的强制网络门户界面的用户请求网页时,交换机不会返回强制门户登录页面。
解决方案
您可以检查 ARP、DHCP、HTTPS 和 DNS 计数器 — 如果其中一个或多个计数器未递增,则会指示问题出在哪里。例如,如果客户端无法获取 IP 地址,您可以检查交换机接口以确定 DHCP 计数器是否在递增(如果计数器递增,则交换机已接收 DHCP 数据包。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0