无线产品线 >> Web认证 >> 常见咨询 >> |
无线设备指标参数请参见锐捷官网
1、web认证介绍
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。
未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点,也就是 Web认证服务器,通常称为Portal 服务器。用户无需认证即可享受Portal 服务器上的服务,比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时,就必须通过浏览器在Portal
服务器上进行身份认证,只有认证通过后才可以使用网络资源。
2、一代和二代web认证的区别
目前只有二代web认证支持热备功能
ePortal 1.4以上版本支持二代功能
锐捷一代Web认证和二代Web认证的对比
认证角色
客户端:功能一样。
接入设备:锐捷一代Web认证里面,接入设备只做重定向,以及接收Portal Server下发的用户是否可上网的通知。锐捷二代Web认证里面,接入设备需要负责重定向、用户的认证、通告Portal
Server认证是否成功。
Portal Server:锐捷一代Web认证里面,PortalServer负责和客户端的页面交互、用户的认证、通告接入设备用户认证是否可上网。锐捷二代Web认证里面,Portal
Server负责和客户端的页面交互、通告接入设备用户的认证信息、接收接入设备通告的用户是否认证成功。
Radius Server:功能一样。
认证流程
锐捷二代Web认证将认证从Portal Server迁移到接入设备。
锐捷二代Web认证由于认证在接入设备上,因此就无需等待来自Portal Server发送的用户是否可上网的通告。
下线流程
锐捷一代Web认证中,计费结束报文是Portal Server发起的。锐捷二代Web认证中,计费结束报文是接入设备发起的。
3、AC web认证免认证访问资源最多可以配置多少个
100个【涉密】
4、AC web认证免认证用户个数最多可以配置多少个
100个【涉密】
5、AC的内置portal支持哪些终端
内置Portal服务器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。
支持苹果iOS、安卓和windows等主流智能终端操作系统。
6、AC内置eportal最大用户数
WS5302 750个、WS3302 300个、WS5708 7500个【涉密】
7、无线设备是否兼容移动portal协议1.0
支持,命令portal-server eportalv2 ip 192.168.33.128 url http://192.168.33.128/eportal/index.jsp fmt cmcc-normal
与第三方portal对接要求对端支持移动portal协议标准!
8、修改Web认证对重定向端口时需要注意哪些问题
在使用命令http
redirect port配置重定向端口时,不能配置1024以下的端口,否则会造成接入用户因为部分浏览器端口冲突而造成重定向不成功,从而导致WEB认证失败。
9、WEB认证流量检测
10.4(1T13)及10.4(1T13)以后版本WEB认证的流量检测功能修订为默认打开,默认的检测参数是15分钟0字节。也就是AC统计终端的流量,如果在15分钟内没有产生流量(0字节),则将用户下线,此时如果配置了RADIUS计费,则计费报文中的下线code是250。可以通过web-auth offline-detect flow
[idle-timeout minutes] [threshold bytes]”调整流量保活参数。
10、内置portal收藏在线页面url的注意点
内置portal收藏在线页面url的功能,如果中途用户的ip 改变,是不能使用之前的ip 收藏的url调出在线页面。
11、本地转发模式下使用内置portal的注意点
本地转发模式下,不能使用http redirect direct-site放行AC的ip 地址,否则会由于ACL表项冲突造成内置portal功能无法使用。
12、SAM开启抢占模式时,踢用户下线功能的注意点
无线设备上需要配置snmp
community读写团体名,否则会导致之前认证通过的用户无法被踢下线。
13、web认证中的流量保活是基于用户mac还是用户名
是基于用户的MAC地址。
14、AC的内置web是否支持只推送广告不用认证,或者是认证后推送广告
不支持。
15、web认证中在wlansec上配置acl是否需要放通DHCP报文
1B18版本不需要放行dhcp报文,开启web认证后默认放通DHCP报文,产生的表项优先级比acl高;
1b19版本需要在ACL中放行DHCP报文。
16、无线二代web认证,portal使用的协议和端口号
udp ,portal 设备的报文目的端口是2000,即AC发送报文的源端口是2000.
17、web认证中是否可以基于mac地址的免认证
目前版本不支持。
18、二代web认证中客户端发送的http get报文的url中可以携带哪些字段
wlanuserip:STA ip地址
wlanacname:wlanacname=ACN.CTY.PRO.OPE,属性名为严格小写,属性值为按照下列规定的AC名称。
统一规定全国AC的编码,其编码规则为ACN.CTY.PRO.OPE,其中:
ACN表示AC的名字,由4位数字组成,各省自己规划和分配。
CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左填零。
PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。
OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00
SSID:STA 连接的SSID名称
nasip:portal 添加AC的地址
mac: STA mac地址
t:web认证方式(1代、2代、内置)
url:跳转前的url
19、咨询无线web认证中无线用户的空口数据是否加密
如果只是配置web认证,那么空口是没有加密的。可以客户配置WPA2等实现。
20、二代web认证的时候,get报文的用户mac信息要求明文
URL模式是ruijie(默认) 的情况可以携带用户mac,字段是mac 。如果配置了portal key那么该值会变成密文。
21、内置web认证本地认证能否支持一个账号只允许单个用户登录
截止1b19 p2 180086 版本不能支持
22、本地转发NAT场景下用户WEB认证通过会无法弹出认证成功界面
用户场景:
ac----NAT---AP--sta
原因:
客户认证通过后,portal服务器返回的认证成功界面不再走AP、AC之间的capwap隧道。报文无法导致终端,导致终端无法显示认证成功界面。
23、是否有命令支持清空所有用户WEB认证表象
没有命令支持该功能。