无线局域网无线控制器Web认证配置举例.pdf

无线局域网无线控制器Web认证配置举例 简介 2 先决条件 2 要求 2 组件使用 2 WEB认证 2 WEB认证过程 3 网络设置 4 配置无线控制器WEB认证 4 创建一个 VLAN接口 5 配置无线控制器内部WEB认证 6 添加WLAN实例 7 WEB认证验证用户的三种方式 9 本地认证 10 使用 RADIUS服务器的Web认证 11 设置 ACS 12 输入 RADIUS服务器信息到思科无线控制器 13 配置WLAN的 RADIUS服务器 15 验证 ACS 15 使用 LDAP服务器的Web认证 17 配置无线客户端使用WEB认证 19 客户端配置 20 客户端登录 22 WEB认证故障排查 23 ACS 的故障排除 23 WEB认证与 IPV6桥接 24 简介 本文档介绍了思科如何实现 Web 认证，并演示了如何配置一台思科 4400 系列无线局域网 无线控制器（WLC），以支持内部Web认证。 先决条件 要求 本文档假定您已经具有思科 4400 无线控制器的初始配置。 组件使用 本文档中的信息是基于这些软件和硬件版本： * 运行 版本的 4400系列无线控制器 * 思科安全访问控制服务器（ACS）4.2版，安装在Microsoft?Windows 2003服务器上 * 思科 Aironet 1131AG系列轻量接入点 * 思科 Aironet 802.11a/b/g CardBus无线适配器，运行 4.0版软件 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 Web认证 Web 认证是一个 3 层的安全功能，使无线控制器不允许转发一个特定的客户端的 IP 流量 （DHCP 和 DNS 相关的数据包除外），直到该客户端已正确地提供了一个有效的用户名和密 码。这是一个简单的验证方法，对于客户端无需安装请求或实用工具。Web 认证通常用于 客户需要部署来宾接入网络。典型的部署包括“热点”位置，例如 T-Mobile公司或星巴克。 请记住，Web 认证不提供数据加密服务。Web 认证通常被用作来宾访问或简单的“热点” 服务，例如在校园环境，客户唯一担心的是网络连通而不是数据安全。 Web认证可以使用： * 在无线控制器上的默认登录窗口 * 无线控制器上修改后的的登录窗口 * 配置外部Web服务器的定制的登录窗口（外部Web认证） * 下载到无线控制器中的自定义的登录窗口 在本文档中，无线局域网无线控制器配置了内部Web认证。 Web认证过程 当用户连接到配置为Web认证的WLAN时： * 用户打开一个网页浏览器并输入一个 URL，例如 。客户端发送这个 URL的 DNS请求以便获得目的 IP地址。无线控制器传送 DNS请求到 DNS服务器，DNS服务 器通过 DNS答复响应，DNS答复中包含目的地 的 IP地址。该答复被转发到 无线客户端。 * 客户端然后尝试以目的 IP地址打开一个 TCP连接。向 的 IP地址发送一个 TCP SYN包。 * 无线控制器配置了客户端的规则，因此可以作为 的代理。它向客户端发送 回一个以 的 IP地址作为源地址的 TCP SYN-ACK包。客户端回送一个 TCP ACK 数据包以完成 TCP三次握手并完全建立 TCP连接。 * 客户端发送一个 HTTP GET包到 。无线控制器拦截这个数据包并发送重定向 处理。HTTP应用网关准备 HTML正文发送回客户端，把它作为客户端请求的 HTTP GET的答 复。这个 HTML 正文使得客户端访问无线控制器的默认网页网址，例如 http://Virtual-Server-IP/ login.html。 * 客户端关闭 IP地址的 TCP连接。 * 现在客户端将访问 /login.html。因此，客户端尝试打开一个到无线控制器虚 拟 IP地址的 TCP连接。它发送一个 TCP SYN包到无线控制器的虚拟 IP地址 。 * 无线控制器以 TCP SYN-ACK响应，客户端回送一个 TCP ACK到无线控制器以便完成握手。 * 客户端发送一个 HTTP GET到 的/login.htm以请求登录页面。 * 这个请求被无线控制器的 Web 服务器允许，服务器响应回并发回默认登录页。客户端收 到登录页面并在浏览器窗口显示，用户可以继续登录操作。 这里是思科支持社区上的一个视