维护命令
1、10.x支持查看认证用户的哪些信息?
WS#show web-auth user ?
all Show all users ------查看所有认证用户
intra Show Intra-Portal users only ------查看内置portal认证用户
ip-address Show the specific user by IP ------查看某ip的认证信息
statistics Information of web authentication on ports/WLANs ------统计认证用户数量
v1 Show v1 portal users only ------查看一代web认证用户
v2 Show portal-v2 users only ------查看二代web认证用户
2、查看所有web认证的用户
Ruijie#show web-auth user all
3、查看某一用户认证状态
WS#show web-auth user ip-address 10.3.0.4 ---查看某一个用户的认证状态详细信息(可以基于IP、MAC、用户名、会话id)
Address: 10.3.0.4 ---终端ip地址
Mac: 002b.59f3.aa40 ---终端mac地址
Port: CAPWAP-Tunnel 98
Online: On ---认证通过
Time Limit: 240d 00:00:00
Time used: 0d 00:30:13
Time Start: 2016-2-18 14:17:27 ---终端关联无线网络时间
Status: Active
WS#show web-auth user ip 10.1.18.2
Address: 10.1.18.2
Mac: 1859.363b.143f
Port: CAPWAP-Tunnel 161
Online: Off ---未认证通过
Time Limit: 0d 00:00:00
Time used: 0d 00:00:00
Time Start: 2016-2-18 14:59:21
Status: Initialized
4、如何清除通过web认证的用户
WS#clear web-auth user by ?
id Force user offline by session id
ip Force user offline by ip address
mac-address Force user offline by MAC
name Force user offline by user name
注:清除后终端需要重新认证才能上线,可以基于IP、MAC、用户名、会话id.
10.X不支持清除所有认证用户下线。
5、显示WEB认证相关控制信息
Ruijie#show web-auth control
Port Control Server Name Authentication mode Online User Count
---------------- -------- --------------------- -------------------- -----------------
Wlan 1 On eportalv2 ipv4 0
6、显示HTTP 重定向的配置
Ruijie#show http redirect
HTTP redirection settings:
server: 172.20.1.100 // Portal 服务器的IP 地址
port: 80
homepage: http://172.20.1.100:8888/eportal /index.jsp // Portal 服务器的认证主页URL
session-limit: 255
timeout: 3
Direct sites: ------>开放免认证访问资源
Address MASK ARP Binding
---------------- ---------------- -----------
172.18.10.1 255.255.255.255 Off
Direct hosts: ------>免认证用户
Address Mask Port Binding ARP Binding
---------------------------------------- ---------------- ------------- -----------
192.168.20.1 255.255.255.255 Off
7、显示 二代web认证和内置web认证相关的配置和统计信息
Ruijie#show web-auth portal
V2 Portal Information:
Portal Server: eportalv2
IPv4 Address: 192.168.33.76 ------>portal地址
Redirect-URL: http://192.168.33.76/eportal/index.jsp ------>web重定向地址
UDP Port: 50100
URL Format:ruijie
status: Enable
Intra Portal Information:
Server name : iportal
Page suite name : default
Announcement page url :
Homepage url :
Authentication method list: default
Accounting method list : default
WS#show web-auth portal v2
常见咨询
1、web认证介绍
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。 未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点,也就是 Web认证服务器,通常称为Portal 服务器。用户无需认证即可享受Portal 服务器上的服务,比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时,就必须通过浏览器在Portal 服务器上进行身份认证,只有认证通过后才可以使用网络资源。
2、一代和二代web认证的区别
目前只有二代web认证支持热备功能
ePortal 1.4以上版本支持二代功能
锐捷一代Web认证和二代Web认证的对比
认证角色
客户端:功能一样。
接入设备:锐捷一代Web认证里面,接入设备只做重定向,以及接收Portal Server下发的用户是否可上网的通知。锐捷二代Web认证里面,接入设备需要负责重定向、用户的认证、通告Portal Server认证是否成功。
Portal Server:锐捷一代Web认证里面,PortalServer负责和客户端的页面交互、用户的认证、通告接入设备用户认证是否可上网。锐捷二代Web认证里面,Portal Server负责和客户端的页面交互、通告接入设备用户的认证信息、接收接入设备通告的用户是否认证成功。
Radius Server:功能一样。
认证流程
锐捷二代Web认证将认证从Portal Server迁移到接入设备。
锐捷二代Web认证由于认证在接入设备上,因此就无需等待来自Portal Server发送的用户是否可上网的通告。
下线流程
锐捷一代Web认证中,计费结束报文是Portal Server发起的。锐捷二代Web认证中,计费结束报文是接入设备发起的。
3、AC web认证免认证访问资源最多可以配置多少个
100个
4、AC web认证免认证用户个数最多可以配置多少个
100个
5、AC的内置portal支持哪些终端
内置Portal服务器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。
支持苹果iOS、安卓和windows等主流智能终端操作系统。
6、AC内置portal最大用户数
WS5302 750个、WS3302 300个、WS5708 7500个,详细参数可以参见官网对应产品参数。
7、无线设备是否兼容移动portal协议1.0
支持,命令portal-server eportalv2 ip 192.168.33.128 url http://192.168.33.128/eportal/index.jsp fmt cmcc-normal
与第三方portal对接要求对端支持移动portal协议标准! portal服务器ip地址和url根据实际情况进行修改。
8、修改Web认证对重定向端口时需要注意哪些问题
在使用命令http redirect port配置重定向端口时,不能配置1024以下的端口,否则会造成接入用户因为部分浏览器端口冲突而造成重定向不成功,从而导致WEB认证失败。
9、WEB认证流量检测功能
10.4(1T13)及10.4(1T13)以后版本WEB认证的流量检测功能修订为默认打开,默认的检测参数是15分钟0字节。也就是AC统计终端的流量,如果在15分钟内没有产生流量(0字节),则将用户下线,此时如果配置了RADIUS计费,则计费报文中的下线code是250。
可以通过“web-auth offline-detect flow [idle-timeout minutes] [threshold bytes]”调整流量保活参数。
10、内置portal收藏在线页面url的注意点
内置portal收藏在线页面url的功能,如果中途用户的ip 改变,是不能使用之前的ip 收藏的url调出在线页面。
11、本地转发模式下使用内置portal的注意点
本地转发模式下,不能使用http redirect direct-site放行AC的ip 地址,否则会由于ACL表项冲突造成内置portal功能无法使用。
12、SAM开启抢占模式时,踢用户下线功能的注意点
无线设备上需要配置snmpcommunity读写团体名,否则会导致之前认证通过的用户无法被踢下线。
13、web认证中的流量保活是基于用户mac还是用户名
是基于用户的MAC地址。
14、AC的内置web是否支持只推送广告不用认证,或者是认证后推送广告
不支持。
15、web认证中在wlansec上配置acl是否需要放通DHCP报文
1B18版本不需要放行dhcp报文,开启web认证后默认放通DHCP报文,产生的表项优先级比acl高;
1b19版本需要在ACL中放行DHCP报文。
16、无线二代web认证,portal使用的协议和端口号
udp ,portal服务器的报文目的端口是2000,即AC发送报文的源端口是2000.
17、web认证中是否可以基于mac地址的免认证
10.x版本不支持
18、二代web认证中客户端发送的http get报文的url中可以携带哪些字段
wlanuserip:STA ip地址
wlanacname:wlanacname=ACN.CTY.PRO.OPE,属性名为严格小写,属性值为按照下列规定的AC名称。
统一规定全国AC的编码,其编码规则为ACN.CTY.PRO.OPE,其中:
ACN表示AC的名字,由4位数字组成,各省自己规划和分配。
CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左填零。
PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。
OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00
SSID:STA 连接的SSID名称
nasip:portal 添加AC的地址
mac: STA mac地址
t:web认证方式(1代、2代、内置)
url:跳转前的url
19、咨询无线web认证中无线用户的空口数据是否加密
如果只是配置web认证,那么空口是没有加密的。可以客户配置WPA2等实现。
20、二代web认证的时候,get报文的用户mac信息要求明文
URL模式是ruijie(默认) 的情况可以携带用户mac,字段是mac ;如果配置了portal key那么该值会变成密文。
21、内置web认证本地认证能否支持一个账号只允许单个用户登录
不支持。
22、是否有命令支持清空所有用户WEB认证表象
10.X没有命令支持该功能。
23、Web认证重定向可能不支持部分型号手机浏览器
例如:由于访问手机QQ浏览器导航页的网址标签时,浏览器会先向QQ自有的服务器发送验证请求,被重定向后依然会向服务器发送验证请求(而不是按预期的跳转到portal的认证页面),因此Web认证重定向功能在手机QQ浏览器无法正常生效。当前在小米手机部分自带浏览器、欧鹏浏览器也碰到过此类问题,可以尝试更换浏览器测试。
24、web认证浏览器开代理,终端无法重定向
客户有线网络配置了http代理导致发出的报文都是TCP 8002 通过在ac上配置http redirect port 8002 重定向成功。
25、AC跟认证服务器跨公网部署,出现服务器上踢用户下线不成功,记账报文上处的是AC私网地址,如何解决?
10.x没有解决方法,最好不要将AC和服务器跨公网部署。
26、AC上如何修改发送portal报文的地址?
10.x不支持修改。
27、二代web认证是否必须要配置web portal key
smp以及ess上是必须要配置web portal key的;如果是对接第三方服务器的,需要按照服务器要求来(设备跟服务器上保持一致即可,要么两边都配置要么都不配置)。需要注意,配置了portal key后,url是加密的。
28、AC跨公网管理AP(NAT场景)是否支持内置WEB认证?(比如AC在公网,ap在分支,ap nat后到ac上线)
终端的认证成功页面是AC跟无线用户直接交互的,本地转发终端跟AC跨nat组网,终端无法直接跟AC通信,会出现认证可以成功,但是终端页面无法显示认证成功页面,可能是空白或者是404。
如果是集中转发,终端到AC的页面请求通过capwap封装,可以正常显示认证成功页面。
参数调整
1、Web认证环境里开放特定资源
在某些应用中,需要用户接入无线网络后,无需认证就可以访问某些网络资源(如某些内网网站等)。
可以通过配置,将这部分站点的IP地址添加到免认证网络资源中即可。
命令如下: http redirect direct-site x.x.x.x(x.x.x.x为免认证资源IP地址)
2、AC是否支持web认证和WPA-PSK部署在同一个SSID
支持。用户需要先通过WPA认证再通过Web认证才能访问网络。
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#web-auth portal eportalv2
Ruijie(config-wlansec)#webauth
Ruijie(config-wlansec)#security wpa enable
Ruijie(config-wlansec)# security wpa ciphers aes enable
Ruijie(config-wlansec)# security wpa akm psk enable
Ruijie(config-wlansec)# security wpa akm psk set-key ascii 12345678
Ruijie(config-wlansec)#end
Ruijie#write
3、AC内置ePortal如何定制页面
1)、使用tftp工具把无线设备的的内置portal文件导出到电脑。
命令举例:copy flash:portal/zip/default.zip tftp://192.168.1.1/new.zip ---->导出到电脑上保存为new.zip
2)、修改元素后,导入new.zip压缩包覆盖源文件,然后再导回AC中
copy tftp://192.168.1.1/ new.zip flash:portal/zip/new.zip ---->不能写成default.zip
3)、然后确认是否导入成功:
Ruijie# cd portal/zip
Ruijie#dir
4)、应用新的web页面包
10.x版本修改方法:
Ruijie (config)#portal-server iportal page-suite new ---->不要写成new.zip
Ruijie (config)#end
Ruijie#write
用户可定制如下系统默认的页面名
4、主备eportal功能配置案例
1)配置web-auth AAA认证
aaa new-model
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius
2)配置radius服务器
radius-server host 192.168.33.244 key ruijie
3)在AC上配置认证页面的主页地址
portal-server eportal-1 ip 172.16.1.251 urlhttp://172.16.1.251:80/eportal/index.jsp
portal-server eportal-2 ip 172.16.1.252 urlhttp://172.16.1.252:80/eportal/index.jsp
web-auth portal-type v2 eportal-1
web-auth portal-type v2 eportal-2
4)开启portal服务器检测功能
web-auth portal-check <---必须同时开启AC的dhcp snooping功能,否则会导致终端无法弹出认证页面
4)开放免认证访问资源
http redirect direct-arp 172.18.10.1 <---必须开放网关arp
5)在AC上对wlan1开启web认证功能
wlansec 1
web-auth portal-type v2 eportal-1 <---主portal服务器
web-auth portal-type v2 eportal-2 <---备portal服务器
webauth
6)配置snmp服务器(eportal,SAM)
snmp-server host 172.16.1.251 traps version 2c ruijie
snmp-server host 172.16.1.252 traps version 2c ruijie
snmp-server host 192.168.33.244 traps version 2c ruijie
snmp-server enable traps web-auth
snmp-server community ruijie rw
注:目前只有10.4(1T13)及以上的版本支持主备portal功能,并且只能使用在二代web认证,portal服务器只能是我司的。
5、AC内置eportal本地认证配置案例
1)配置web-auth AAA认证
aaa new-model
aaa authentication iportal default local <---内置portal使用本地账号认证
aaa accounting network default start-stop none <---关闭审计功能
2)配置本地账号
username xxx password xxx -----10.x创建本地账号命令
3)放通网关和sta的arp报文
http redirect direct-arp 172.16.100.254 <---必须开放网关arp
4)在AC上对wlan1开启web认证功能
wlansec 1
web-auth portal iportal
webauth
注:热备环境下不支持web 一代认证及内置web认证
6、没有测试终端,如何探测radius服务器是否存活?
下面的示例定义一个IPv4环境下的RADIUS安全服务器主机,开启主动探测功能,检测间隔周期默认为60分钟。
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi idle-time 60 key ruijie
关闭对记账UDP口的检测,命令如下:
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi ignore-acct-port idle-time 60 key ruijie
7、Web认证部分地址免认证配置案例
配置方法如下:
1.将制定IP地址配置为直通(10.X不支持基于MAC地址),web-auth redirect direct-host 172.16.8.1;
2.使客户端可以获取到指定的IP地址,例如使用DHCP SERVER 2003作为DHCP server,可以在【作用域】添加指定IP地址的保留信息,在保留信息中配置IP地址与MAC的绑定。如果用交换机的可以采用开启dhcp snooping,然后再进行静态绑定。
