无线局域网控制器Web身份验证配置示例-Cisco.PDF

无线局域网控制器 Web 身份验证配置示例 目录 简介 先决条件 要求 使用的组件 规则 Web 身份验证 Web认证过程 网络设置 配置用于 Web 身份验证的控制器 创建 VLAN 接口 配置内部Web验证的WLC 添加 WLAN 实例 三种方式验证Web验证的用户 配置您的WLAN客户端使用Web验证 客户端配置 客户端登录 Web 身份验证故障排除 ACS 故障排除 与IPv6桥接的Web验证 相关信息 简介 本文解释Cisco如何实现Web验证并且显示如何配置一个Cisco 4400系列无线局域网(WLAN)控制器 (WLC)支持内部Web验证。 先决条件 要求 本文档假设您已对 4400 WLC 进行了初始配置。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行版本的一4400系列WLC 思科安全访问控制服务器(ACS)版本4.2在Microsoft® Windows 2003服务器安装 Cisco Aironet 1131AG系列轻量接入点 Cisco Aironet 802.11 a/b/g运行版本4.0的CardBus无线适配器 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 Web 身份验证 Web验证是造成控制器不允许IP数据流的第3层安全功能(除了DHCP和DNS相关的数据包)从特定的 客户端，直到该客户端正确地供应了一个有效用户名和密码。它是一种不需要请求者或客户端实用 程序的简单身份验证方法。Web 身份验证通常由希望部署访客接入网络的客户使用。典型的部署可 能包括如 T-Mobile 或 Starbuck 之类的“热点”位置。 请记住，Web 身份验证不提供数据加密。Web 身份验证通常用作仅关注连接性的“热点”或校园环境 的简单访客接入。 Web验证可以执行使用： 在WLC的默认登录窗口 默认登录窗口的修正的版本在WLC的 您在外部 Web 服务器上配置的自定义登录窗口（外部 Web 身份验证） 您下载到控制器的自定义登录窗口 在本文中，内部Web验证的无线局域网控制器配置。 Web认证过程 这是什么发生，当用户连接对为Web验证配置的WLAN ： 用户打开Web浏览器并且输入URL，例如， 。客户端将发出该 URL 的 DNS 请求，以获取目标 IP。WLC绕过DNS请求到DNS服务器，并且DNS服务器响应有的上一 步DNS回复，包含目的地的IP地址。这，反过来，转发给无线客户端。 然后，客户端尝试打开与目标 IP 地址之间的 TCP 连接，它派出TCP Syn信息包被注定对 的IP地址。 WLC有为客户端配置的规则并且能作为的一个代理。它退还TCP SYN-ACK数 据包给有来源的客户端作为的IP地址。客户端发回 TCP ACK 数据包，以完成 三次 TCP 握手，从而完全建立 TCP 连接。 客户端发送被注定的HTTP GET数据包对。WLC截断此数据包并且为重定向处 理发送它。HTTP 应用程序网关准备 HTML 主体并将其作为客户端 HTTP GET 请求的应答返回 。此HTML使客户端去WLC的默认网页URL，例如， http:// Virtual-Server-IP/login.html。 客户端断开TCP连接用IP地址，例如， 。 现在客户端要去/login.html。所以，客户端设法打开一TCP连接用WLC的虚拟IP地 址。它将 的 TCP SYN 数据包发送至 WLC。 WLC 返回 TCP SYN-ACK，而客户端则发回 TCP ACK 至 WLC，以完成握手。 客户端发送被注定的/login.html的一HTTP GET对为了为登录页请求。 此请求由 WLC 的 Web 服务器确认允许，该服务器返回默认登录页。客户端将在浏览器窗口接 收登录页，用户可以前往该窗口并登录。 这是链路到在解释Web 认证过程的Cisco支持社区的一个视频： 在Cisco无线LAN控制器(WLCs)的Web验证 网络设置 本文档使用以下网络设置： 配置用于 Web 身份验证的控制器 在本文中， WLAN为Web验证配置并且被映射对专用VLAN。以