外部Web认证服务器与无线局域网无线控制器配置举例.pdfVIP

外部Web 认证服务器 与无线局域网无线控制器配置举例 简介 2 先决条件 2 要求2 组件使用2 背景资料 2 外部WEB 认证过程3 网络设置 4 配置5 为访客用户创建一个动态接口5 创建一个预认证的ACL 7 在无线控制器上的本地数据库创建访客用户9 在无线控制器上配置外部WEB 认证10 为访客用户配置WLAN 12 验证14 故障排查16 重定向到外部WEB 认证服务器的客户端收到一个证书警告16 错误：“无法显示网页”（ERROR: PAGE CANNOT BE DISPLAYED ）16 简介 本文档说明了如何配置无线网无线控制器使用一个外部的Web 服务器进行Web 认证。 先决条件 要求 确保你满足下列要求，然后再尝试配置： * 轻量级无线接入点和思科无线控制器的配置知识。 * 轻量级接入点协议（LWAPP）/控制和配置无线接入点协议（CAPWAP ）的知识。 * 关于如何设置和配置外部 Web 服务器的知识 * 关于如何设置和配置DHCP 和DNS 服务器的知识 组件使用 本文档中的信息是基于这些软件和硬件版本： * 运行 版本的4400 系列无线控制器 * 思科Aironet 1131AG 系列轻量接入点 * 思科Aironet 802.11a/b/g CardBus 无线适配器，运行3.6 版软件 * 外部Web 服务器上承载的Web 认证登录页面 * DNS 服务器负责地址解析和DHCP 服务器分配给无线客户端IP 地址 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 背景资料 Web 认证是一个 3 层的安全功能，使无线控制器不允许转发一个特定的客户端的 IP 流量 （DHCP 和 DNS 相关的数据包除外），直到该客户端已正确地提供了一个有效的用户名和密 码。这是一个简单的验证方法，对于客户端无需安装请求或实用工具。 Web 认证可以使用： * 在无线控制器上的默认登录窗口 * 无线控制器上修改后的的登录窗口 * 配置外部Web 服务器的定制的登录窗口（外部Web 认证） * 下载到无线控制器中的自定义的登录窗口 在本文档中，无线局域网无线控制器配置了使用登录脚本从外部Web 服务器认证。 外部Web 认证过程 外部Web 认证的认证登录页面存储在外部Web 服务器上。当无线客户端尝试访问具有启用 外部Web 认证的WLAN 网络时，事件发生的顺序如下： 1. 用户打开一个网页浏览器并输入一个URL，例如。 2. 客户端发送这个URL 的DNS 请求以便获得目的IP 地址。 3. 无线控制器传送DNS 请求到DNS 服务器，DNS 服务器通过DNS 答复响应，DNS 答复中包 含目的地 的IP 地址。该答复被转发到无线客户端。 4. 客户端然后尝试以目的IP 地址打开一个TCP 连接。向 的IP 地址发送一个 TCP SYN 包。 5. 无线控制器配置了客户端的规则，因此可以作为 的代理。它向客户端发 送回一个以 的IP 地址作为源地址的TCP SYN-ACK 包。客户端回送一个TCP ACK 数据包以完成TCP 三次握手并完全建立TCP 连接。 6. 客户端发送一个HTTP GET 包到 。无线控制器拦截这个数据包并发送重定 向处理。HTTP 应用网关准备HTML 正文发送回客户端，把它作为客户端请求的HTTP GET 的 答复。这个 HTML 正文使得客户端访问无线控制器的默认网页网址，例如 http://Virtual-Server-IP/ login.html。 7. 然后，客户端启动HTTPS 连接发送重定向到 的URL。这是无线控制器的虚拟IP 地 址。客户端验证服务器证书或忽略它以便启用SSL 隧道。 8. 由于启用了外部Web 身份验证，无线控制器将客户端重定向到外部Web 服务器。 9. 外部 Web 认证登录网址附加了参数，如 AP_Mac_Address ， client_url （ ） 和action_URL 。 注：action_URL 告诉Web 服务器，存储在无线控制器上的用户名和密码。用户凭据必须送 回无线控