无线产品线 >> Web认证 >> 常见咨询 >>

无线设备指标参数请参见锐捷官网

1、web认证介绍

     Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。 未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点,也就是 Web认证服务器,通常称为Portal 服务器。用户无需认证即可享受Portal 服务器上的服务,比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时,就必须通过浏览器在Portal 服务器上进行身份认证,只有认证通过后才可以使用网络资源。

 

2、一代和二代web认证的区别

目前只有二代web认证支持热备功能

ePortal 1.4以上版本支持二代功能

锐捷一代Web认证和二代Web认证的对比

认证角色

客户端:功能一样。

接入设备:锐捷一代Web认证里面,接入设备只做重定向,以及接收Portal Server下发的用户是否可上网的通知。锐捷二代Web认证里面,接入设备需要负责重定向、用户的认证、通告Portal Server认证是否成功。

Portal Server:锐捷一代Web认证里面,PortalServer负责和客户端的页面交互、用户的认证、通告接入设备用户认证是否可上网。锐捷二代Web认证里面,Portal Server负责和客户端的页面交互、通告接入设备用户的认证信息、接收接入设备通告的用户是否认证成功。

Radius Server:功能一样。

认证流程

锐捷二代Web认证将认证从Portal Server迁移到接入设备。

锐捷二代Web认证由于认证在接入设备上,因此就无需等待来自Portal Server发送的用户是否可上网的通告。

下线流程

锐捷一代Web认证中,计费结束报文是Portal Server发起的。锐捷二代Web认证中,计费结束报文是接入设备发起的。

 

3、AC web认证免认证访问资源最多可以配置多少个

100个【涉密】

 

4、AC web认证免认证用户个数最多可以配置多少个

100个【涉密】

 

5、AC的内置portal支持哪些终端

内置Portal服务器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。

支持苹果iOS、安卓和windows等主流智能终端操作系统。

 

6、AC内置eportal最大用户数

WS5302 750个、WS3302 300个、WS5708 7500个【涉密】

 

7、无线设备是否兼容移动portal协议1.0

支持,命令portal-server eportalv2 ip 192.168.33.128 url http://192.168.33.128/eportal/index.jsp fmt cmcc-normal

与第三方portal对接要求对端支持移动portal协议标准!

 

8、修改Web认证对重定向端口时需要注意哪些问题

在使用命令http redirect port配置重定向端口时,不能配置1024以下的端口,否则会造成接入用户因为部分浏览器端口冲突而造成重定向不成功,从而导致WEB认证失败。

 

9、WEB认证流量检测

10.4(1T13)及10.4(1T13)以后版本WEB认证的流量检测功能修订为默认打开,默认的检测参数是15分钟0字节。也就是AC统计终端的流量,如果在15分钟内没有产生流量(0字节),则将用户下线,此时如果配置了RADIUS计费,则计费报文中的下线code是250。可以通过web-auth offline-detect flow [idle-timeout minutes] [threshold bytes]调整流量保活参数。

 

10、内置portal收藏在线页面url的注意点

内置portal收藏在线页面url的功能,如果中途用户的ip 改变,是不能使用之前的ip 收藏的url调出在线页面。

 

11、本地转发模式下使用内置portal的注意点

本地转发模式下,不能使用http redirect direct-site放行AC的ip 地址,否则会由于ACL表项冲突造成内置portal功能无法使用。

      

12、SAM开启抢占模式时,踢用户下线功能的注意点

无线设备上需要配置snmp  community读写团体名,否则会导致之前认证通过的用户无法被踢下线。 

 

13、web认证中的流量保活是基于用户mac还是用户名

是基于用户的MAC地址。 

 

14、AC的内置web是否支持只推送广告不用认证,或者是认证后推送广告

不支持。 

 

15、web认证中在wlansec上配置acl是否需要放通DHCP报文

1B18版本不需要放行dhcp报文,开启web认证后默认放通DHCP报文,产生的表项优先级比acl高;

1b19版本需要在ACL中放行DHCP报文。 

 

16、无线二代web认证,portal使用的协议和端口号 

udp ,portal 设备的报文目的端口是2000,即AC发送报文的源端口是2000. 

 

17、web认证中是否可以基于mac地址的免认证

目前版本不支持。

 

18、二代web认证中客户端发送的http get报文的url中可以携带哪些字段

http://192.168.1.43/artest.php?wlanuserip=192.168.168.2&wlanacname=Ac_14144b5ced2b&ssid=RGTEST&nasip=192.168.1.224&mac=7831c1d00888&t=wireless-v2-plain&url=http://1.1.1.1/

wlanuserip:STA ip地址

wlanacname:wlanacname=ACN.CTY.PRO.OPE,属性名为严格小写,属性值为按照下列规定的AC名称。

统一规定全国AC的编码,其编码规则为ACN.CTY.PRO.OPE,其中:

ACN表示AC的名字,由4位数字组成,各省自己规划和分配。

CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左填零。

PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。

OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00

SSID:STA 连接的SSID名称

nasip:portal 添加AC的地址

mac: STA mac地址

t:web认证方式(1代、2代、内置)

url:跳转前的url

 

19、咨询无线web认证中无线用户的空口数据是否加密

如果只是配置web认证,那么空口是没有加密的。可以客户配置WPA2等实现。

 

20、二代web认证的时候,get报文的用户mac信息要求明文

URL模式是ruijie(默认) 的情况可以携带用户mac,字段是mac 。如果配置了portal key那么该值会变成密文。

 

21、内置web认证本地认证能否支持一个账号只允许单个用户登录

截止1b19 p2 180086 版本不能支持

 

22、本地转发NAT场景下用户WEB认证通过会无法弹出认证成功界面

      用户场景:

ac----NAT---AP--sta

原因:

客户认证通过后,portal服务器返回的认证成功界面不再走AP、AC之间的capwap隧道。报文无法导致终端,导致终端无法显示认证成功界面。

 

23、是否有命令支持清空所有用户WEB认证表象

没有命令支持该功能。