二代web认证
黄色底纹的请根据实际IP修改
11.X配置
1:配置aaa功能
Ruijie(config)#aaa new-model
Ruijie(config)#aaa accounting update
Ruijie(config)#aaa authentication web-auth default
group radius
Ruijie(config)#aaa accounting network default
start-stop group radius
2:配置web跳转页面、web认证跳转服务器(eportal服务器)
Ruijie(config)#radius-server host 192.168.3.1 key
ruijie------------------->配置SMP服务器地址,身份认证key为“ruijie”
Ruijie(config)#web-auth template eportalv2
Ruijie(config.tmplt.eportalv2)#ip 192.168.3.1
Ruijie(config.tmplt.eportalv2)#exit
Ruijie(config)#web-auth portal key ruijie ------>配置认证设备与认证服务器的通信密钥web认证key为"ruijie"
Ruijie(config)# web-auth template eportalv2
Ruijie(config.tmplt.eportalv2)#url http://192.168.3.1:80/smp/commonauth
Ruijie(config.tmplt.eportalv2)#exit
Ruijie(config)# interface range GigabitEthernet 1/1
Ruijie(config-if-range)# web-auth enable eportalv2
------>在接口上启用web认证
Ruijie(config-if-range)# exit
3:放行到网关arp选项
Ruijie(config)#http redirect direct-site 18.1.1.1
arp ------>将网关IP地址设置为免认证的网络资源范围,并开启arp选项,以保证在认证前,PC能完成DNS及ARP请求。
Ruijie(config)#http redirect direct-site 19.1.1.1 arp
------>交换机上存在多个网段的,需要将多个网段的网关都放通,才能保证PC完成ARP请求,进行DNS通讯。
4:设置免认证用户(srcIP)
Ruijie(config)#web-auth direct-host 20.1.1.2 arp ----->注意:下联网管交换机需要进行管理,需要设置为免认证用户,需要携带arp选项。
5:设置免认证用户(srcMAC)(可选)
Ruijie(config)#mac access-list extended mianrenzhen
Ruijie(config)#permit host 5124.3526.0023 any etype-any ----->基于ACL的免认证放行机制,如业务大厅的2台公用PC的MAC地址
Ruijie(config)#security global access-group mianrenzhen
6、配置认证用户无感知迁移(可选)
Ruijie (config) web-auth station-move auto
7:认证以及其他配置
Ruijie(config)#interface GigabitEthernet 1/1
Ruijie(config-if)web-auth enable eportalv2
Ruijie(config-if)arp-check
Ruijie(config)# snmp-server community ruijie rw
Ruijie(config)#radius dynamic-authorization-extension enable --- 配置支持radius扩展属性
Ruijie(config)#radius-server attribute 31 mac format ietf ----->定义RADIUS Calling-Station-ID属性为IETF格式。如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式
8:支持基于用户流量的检测(可选,根据客户需求选配)
offline-detect interval 6 threshold 0 ----->该功能主要是用来检测用户是否在线,此配置检查标准是:基于流量,如果在6分钟内(默认是480分钟,),用户流量为0(检查认证端口双向的流量),则认为用户下线。
10.X配置
1)配置AAA
2)配置服务器地址、重定向地址和通信秘钥
Ruijie(config)# portal-server eportalv2 ip 192.168.3.1 url http://192.168.3.1:80/smp/commonauth ------->(如果是ESS则将上述url里的smp修改成ess,如http://192.168.3.1:80/ess/commonauth)
Ruijie(config)# web-auth portal eportalv2 ------>配置使用锐捷二代web认证功能
Ruijie(config)# web-auth portal key ruijie ------>配置web认证key为“ruijie”
3)方通用户免认证资源、放通用户网关ARP、配置免认证IP。
Ruijie(config)# http redirect direct-site 192.168.5.1 ------> 在接入设备上设置免认证的网络资源范围,将公共服务器设置为直通的网站
Ruijie(config)# http redirect direct-site 192.168.4.1 arp ------>将网关IP地址设置为免认证的网络资源范围,并开启arp选项,以保证在认证前,PC能完成DNS及ARP请求。交换机上存在多个网段的,需要将多个网段的网关都放通,才能保证PC完成ARP请求,进行DNS通讯。
Ruijie(config)# web-auth direct-host 192.168.4.12 arp ------>在接入设备上设置无需认证用户IP地址,将192.168.4.12配置为免认证用户。若接口上开启arp check后,需要开启arp选项。
4)配置流量监测
Ruijie(config)# web-auth offline-detect flow interval 10 flow 100000------>配置基于流检测,10分钟没有超过100Kb的流量认为用户已经下线.(具体数值需要基于客户需求调整)
5)配置SNMP
6)WEB认证接口配置
10.X配置方法
一代web认证
接入交换机配置
1、WEB认证全局配置,
Ruijie(config)# http redirect homepage http://192.168.3.1:80/smp/commonauth ---->(如果是ESS则将上述url里的smp修改成ess,如http://192.168.3.1:80/ess/commonauth)
Ruijie(config)# snmp-server community ruijie
2、WEB认证接口配置