无线控制器上的Web认证.PDFVIP

无线控制器上的Web 认证 介绍2 先决条件2 要求2 使用的组件2 WEB 认证过程2 WEB 认证作为一项安全功能特性2 WEB 认证如何工作3 如何配置内部（本地）WEB 认证使用无线控制器内部认证页面3 如何配置自定义本地认证页面的WEB 认证3 覆盖全局配置4 重定向问题4 如何配置外部（本地）WEB 认证使用外部认证页面5 WEB 认证直通5 有条件的WEB 重定向6 初始页面的WEB 重定向6 MAC 地址过滤失败后进行WEB 认证6 集中WEB 认证（CENTRAL WEB AUTHENTICATION - CWA ）7 WEB 认证的外部用户认证（RADIUS）7 如何设置有线访客的WLAN 8 登录页面的证书 10 上传WEB 认证证书到无线控制器 10 证书颁发机构和无线控制器上的其它证书 10 如何使证书匹配URL 11 解决证书问题 11 如何检查 11 要检查的内容 12 SSL 输出 12 其他情况的疑难解答 13 HTTP 代理服务器以及它是如何工作的 15 基于HTTP 的WEB 认证（不是HTTPS） 15 介绍 本文档介绍了在无线控制器 （WLC ）上进行Web 认证的过程。 先决条件 要求 思科建议您拥有配置无线控制器的基本知识。 使用的组件 本文件中的信息适用于所有类型的无线控制器硬件。 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 Web 认证过程 Web 认证作为一项安全功能特性 Web 认证是第 3 层的安全特性。它能够为任何运行浏览器的客户端站点提供用户友好的安 全性。它也可以和任何预共享密钥（PSK）安全机制 （第2 层安全策略）相结合。虽然Web 认证和PSK 的组合会显着降低用户友好度，并且不常使用，但它在加密用户流量方面仍然具 有优势。Web 认证是一种不加密后续传输数据的认证方法。 在无线控制器软件版本7.4 被安装和配置之前，Web 认证无法与802.1x/RADIUS （远程认证 拨入用户服务）结合使用。然而，需要注意的是客户端必须同时通过dot1x 和Web 认证。 这并不针对访客，而是为员工（即使用802.1x 的用户）增加了一个web 认证入口。没有一 个集所有功能于一身的服务集标识符（SSID ）能够为员工做dot1x 认证或者为访客提供web 的门户网站。 Web 认证如何工作 802.11 的认证过程是开放的，所以您可以很容易地进行验证和关联。在那之后，客户端只是 处于关联状态，但在无线控制器上并不处于运行状态。对于 802.11 此时你始终处于 WEBAUTH_REQD 状态，无法访问任何网络资源（无法进行 ping 及其他操作）。你必须通过 DHCP 获取IP 地址与DNS 服务器的地址。 您必须在浏览器中键入一个有效的URL。客户端通过DNS 协议解析该URL。然后，客户端向 该网站的 IP 地址发送 HTTP 请求。无线控制器会拦截该请求，通过 IP 地址欺骗的方式返回 Web 认证的登录页面。对于外部 Web 认证情况， 无线控制器会回复一个包括您网站的 IP 地址和该页面已移动的状态信息的HTTP 响应。无线控制器使用被移动到外部Web 服务器上 的页面。当您通过身份验证后，默认情况下，您将获得访问所有的网络资源的权限，并被重 定向到最初请求的 URL （除非在无线控制器上配置了强制重定向的地址）。综上所述，无线 控制器允许客户端在WEBAUTH_REQD 状态下解析DNS 并自动获取IP 地址。 提示：如果你想在无线控制器上监听除 80 端口以外的其他端口，可以使用 config network web-auth-port port number创建一个到此端口上的重定向。一个例子是访问控制服务器 （ACS ）的网络接口，它工作在2002 号端口或者其他类似的应用。 如何配置内部（本地）Web 认证使用无线控 制器内部认证页面 如果您需要为WLAN 配