Web認(rèn)證的類型

當(dāng)用戶首次通過(guò)有線或無(wú)線連接到本地網(wǎng)絡(luò)，會(huì)被放置到一個(gè)受限訪問(wèn)的網(wǎng)絡(luò)環(huán)境中。管理員可以事先使用VLAN或DACL（下載訪問(wèn)列表）來(lái)定義該隔離網(wǎng)絡(luò)。為獲得對(duì)網(wǎng)絡(luò)的完全訪問(wèn)，可以使用瀏覽器發(fā)起任意的HTTP或HTTPS請(qǐng)求。一般來(lái)說(shuō)，Web認(rèn)證包括無(wú)線控制器本地網(wǎng)頁(yè)認(rèn)證、有線交換機(jī)中心網(wǎng)頁(yè)認(rèn)證、有線交換機(jī)本地網(wǎng)頁(yè)認(rèn)證等方式。

例如對(duì)于思科ISE（身份識(shí)別引擎）設(shè)備來(lái)說(shuō)，采用的是中心網(wǎng)頁(yè)認(rèn)證方式,ISE支持管理員、來(lái)賓和贊助商門戶。本例中使用了某款思科交換機(jī)來(lái)連接ISE設(shè)備、無(wú) 線 控 制 器、AP、Windows Server 2008 R2域控等網(wǎng)絡(luò)設(shè)備，這些設(shè)備分別規(guī)劃到不同的VLAN中，擁有各自的IP地址。交換機(jī)被添加到ISE的NAD設(shè)備列表中，作為ISE的客戶端且支持SNMP服務(wù)，便于ISE設(shè)備之間通訊。

配置重定向流量控制列表

為實(shí)現(xiàn)Web認(rèn)證，需要在交換機(jī)的全局配置模式下 執(zhí) 行“ip access-list extended WEB-REDIRECT”、“deny udp any any eq domain”、“deny udp any host xxx.xxx.xxx.xxx eq 8905”、“deny udp any host xxx.xxx.xxx.xxx eq 8906”、“deny udp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8905”、“deny tcp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8443”、“deny udp any host xxx.xxx.xxy.xxx eq 8905”、“deny tcp any host xxx.xxx.xxy.xxx eq 8905”、“permit ip any any”命令，創(chuàng)建名為“WEB-REDIRECT”的ACL，其主要作用是定義重定向列表，即被其Deny流量不進(jìn)行重定向，這些被屏蔽的流量包括DNS流量以及和ISE設(shè)備之間的準(zhǔn)入控制流量。這里的IP地址均為假設(shè)，可根據(jù)實(shí)際情況更改。

登錄到ISE管理界面，依 次 點(diǎn) 擊 菜 單“Policy”、“Results”項(xiàng)，在 左 側(cè) 依次 點(diǎn) 擊“Authorization”、“Downloadable ACLs” 項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸入新的DACL列表名稱（例如“zhongxinacl”），在“DACL Control”欄中輸入“Permit icmp any any”、“Permit udp any any eq domain”、“Permit icmp any any”、“Permit tcp any any eq 80”、“Permit tcp any any eq 443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8905”、“Permit tcp any host xxx.xxx.xxx.zzz eq 8905”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8909”、“Permit udp any host xxx.xxx.xxx.xxx eq 8905”、“Permit udp any host 202.100.1.254 eq 8905”、“Permit udp any host xxx.xxx.xxx.xxx eq 8906”、“Permit udp any host xxx.xxx.xxx.xxx eq 8909”，點(diǎn)擊“Submit”提交。

DACL的作用是定義允許通過(guò)的流量，用于中心網(wǎng)頁(yè)認(rèn)證，該列表和上述重定向列表功能剛好相反，兩者需要結(jié)合使用，即目標(biāo)流量既要在該列表中被放行，又要在重定向列表中被Deny。在左側(cè)點(diǎn)擊“Authorization”、“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕添加新的授權(quán)項(xiàng)目，輸入名稱（如“zxsq”）， 在“Common Tasks”欄中選擇“DACL Name”項(xiàng)，在右側(cè)列表中選擇上述“zhongxinacl”列表項(xiàng)。選擇“Web Authentication”項(xiàng)，選擇右側(cè)的“Centralized”項(xiàng)，啟用中心認(rèn)證功能,在“ACL”列表中選擇上述“WEBREDIRECT”重定向列表。這樣，在“Attributes Details”欄中就會(huì)顯示重定向所需的URL地址信息，即重定向到ISE設(shè)備上顯示來(lái)賓門戶頁(yè)面，接受ISE設(shè)備安全認(rèn)證。同理，創(chuàng)建名為“rzok”的授權(quán)項(xiàng)，選擇“DACL Name”項(xiàng)，選擇預(yù)先定義好的放行所有流量的ACL列表，并指定合適的VLAN號(hào)。這樣，當(dāng)認(rèn)證通過(guò)后可允許其正常訪問(wèn)網(wǎng)絡(luò)。

配置有線模式下的認(rèn)證策略

當(dāng)某個(gè)外來(lái)用戶使用其自己的電腦設(shè)備接入到本公司的網(wǎng)絡(luò)后。因?yàn)槠湓谟蛑袥](méi)有對(duì)應(yīng)的賬戶信息，交換機(jī)就會(huì)向其發(fā)送EAPRequest信息，請(qǐng)求其賬戶信息，該用戶多次無(wú)響應(yīng)后，就會(huì)執(zhí)行MAB認(rèn)證，即將用戶主機(jī)的MAC地址作為賬戶名和密碼，發(fā)送給ISE設(shè)備進(jìn)行認(rèn)證，但是在ISE上沒(méi)有該主機(jī)的MAC賬戶信息，如果采用默認(rèn)策略，必然無(wú)法通過(guò)。為此可以在ISE的管理界面上點(diǎn)擊“Policy”、“Result”項(xiàng)，在工具欄上點(diǎn)擊“Authentication”按鈕，在對(duì)應(yīng)的“MAB”策略的第三列右側(cè)點(diǎn)擊倒三角形按鈕，在打開面板中的“Use”列中點(diǎn)擊“+”按鈕，在“Internal Endpoints”標(biāo) 簽 中 的“if authentication failed”列表中選擇“Continue”項(xiàng)。

這樣，即使該機(jī)沒(méi)有經(jīng)過(guò)MAB認(rèn)證，依然可以讓其通過(guò)。點(diǎn)擊工具欄上的“Authorization”按 鈕，在“Default”欄中點(diǎn)擊“Edit”鏈接，在第二列中點(diǎn)擊“+”按鈕，在打開的“Profiles”面板中選擇“Standard”節(jié)點(diǎn)，在其中選擇上述“zxsq”授權(quán)項(xiàng)目，讓其取代默認(rèn)的“PermitAccess”授權(quán)策略。這樣，當(dāng)外來(lái)用戶的主機(jī)通過(guò)MAB認(rèn)證后，卻沒(méi)有找到任何授權(quán)策略，只能依靠默認(rèn)的授權(quán)策略，執(zhí)行重定向操作，在賓客門戶網(wǎng)頁(yè)進(jìn)行認(rèn)證處理。當(dāng)用戶輸入了正確的賬戶名和密碼后，就可以順利訪問(wèn)網(wǎng)絡(luò)了。為此可以創(chuàng)建與之對(duì)應(yīng)的策略來(lái)實(shí)現(xiàn)，在策略列表中首行右側(cè)點(diǎn) 擊“Edit”、“Insert New RuleAblove”項(xiàng)，在最頂部插入新的策略。

配置有線模式下的授權(quán)策略

在“Rule Name”欄中輸入名稱（如“WebRule1”），在“Conditions”欄點(diǎn)擊“+”按鈕，在“User Identity Groups”中選擇“Employee”組。并根據(jù)需要設(shè)置合適的條件。在“Permissions”欄中選擇合適的授權(quán)，如“Web_AUTHENED”，允許訪問(wèn)所有網(wǎng)絡(luò)資源。因?yàn)槭褂昧薎SE內(nèi)置的“Employee”組，所以需要在其中添加新的賬戶。點(diǎn)擊 菜 單“Administration”、“Identities”項(xiàng)，在 左 側(cè)點(diǎn) 擊“users”，在 右 側(cè) 點(diǎn)擊“Add”按鈕，創(chuàng)建名為“user1”的賬戶，為其設(shè)置密碼，并放置到“Employee”組。

點(diǎn)擊“Administration”、“Web Portal Management”、“Settings” 項(xiàng)，在 左 側(cè)點(diǎn) 擊“Guest”、“Multi-Portal Configurations”、“DefaultGuestPortal” 項(xiàng)，在右側(cè)的“Operations”面板中取消“Enable Self-Provisioning Flow” 項(xiàng) 的選擇狀態(tài)。當(dāng)外來(lái)的客戶機(jī)連接到交換機(jī)上后，即可執(zhí)行以上認(rèn)證。在交換機(jī)上執(zhí)行“show authentication sessions interface fa0/10”命令，在返回信息中的“mab”欄中顯示“Authc Success”，說(shuō)明 MAB認(rèn)證通過(guò)。在“URL Redirect ACL”欄中顯示得到的重定向控制列 表。 在“URL Redirect”欄中顯示其獲得的重定向地址。假設(shè)連接到交換機(jī)“fa0/10”接口上。當(dāng)該客戶訪問(wèn)內(nèi)網(wǎng)中某個(gè)網(wǎng)址時(shí)，會(huì)重定向到ISE的賓客門戶網(wǎng)頁(yè)，輸入上述“User1”名稱和密碼，就可以認(rèn)證通過(guò)了。

配置無(wú)線Web認(rèn)證策略

上面談了在有線網(wǎng)絡(luò)環(huán)境中對(duì)來(lái)賓用戶進(jìn)行Web認(rèn)證的方法。接下來(lái)分析在無(wú)線網(wǎng)絡(luò)環(huán)境中如何對(duì)來(lái)賓用戶進(jìn)行Web認(rèn)證。在交換機(jī)上連接思科某款無(wú)線控制器，其分配在指定的VLAN中。當(dāng)然，需要事先將無(wú)線控制器添加到ISE的設(shè)備列表中，并進(jìn)行必要的設(shè)置，這里限于篇幅不再贅述。登錄到該無(wú)線路由器上，在其管理界面工具欄上點(diǎn)擊“SECURITY”按鈕，在左側(cè)點(diǎn)擊“Access Control Lists”、“Access Control Lists”項(xiàng)，在 右側(cè)點(diǎn)擊“New”按鈕，輸入新的ACL列表名稱（例如“Redirectwx”），該列表的作用是在重定向時(shí)可以正常訪問(wèn)的流量。

打開該列表項(xiàng)，點(diǎn)擊“Add New Rule”按鈕，在新建規(guī)則窗口中的“Protocol”列表中選擇“UDP”項(xiàng)，在“Destination Port”列表中選擇“DNS”項(xiàng)，在“Action”列表中選擇“Permit”項(xiàng)，點(diǎn)擊“Apply”按鈕保存。同理，創(chuàng)建與之類似新的規(guī)則，不同的是在“Source Port”列表中選擇“DNS”，表示放行DNS流量。之后創(chuàng)建新的規(guī)則，在“Destinations”列表中選擇“IP Address”項(xiàng)，輸入ISE設(shè)備的IP地址。在“Action”列表中選擇“Permit”項(xiàng)，放行去往ISE設(shè)備的流量。和有線設(shè)備不同，無(wú)線設(shè)備必須針對(duì)不同的認(rèn)證方式創(chuàng)建專用的WLAN，在工具欄上點(diǎn)擊“WLANs”按 鈕，在“Create new”列表右側(cè)點(diǎn)擊“Go”按 鈕，創(chuàng) 建 新 的 WLAN，在“Profile name”輸入名稱，在“SSID”欄中輸入服務(wù)服務(wù)集標(biāo)識(shí)名（如“wxrz”）。

設(shè)置無(wú)線WLAN屬性信息

在該WLAN屬性窗口的“General”中 的“Interace/Interface Group(G)” 列表中選擇目標(biāo)VLAN。在“Security”中的“Layer2”標(biāo)簽中的“Layer 2 Security”列表中選擇“None”項(xiàng)，取消二層安全。在“Layer3”標(biāo)簽中選擇“Web Policy”項(xiàng)，在“Preauthentication ACL”列表中選擇上述“Redirectwx”列表，這樣，在重定向時(shí)只有這些流量可以放行。在“Over-ride Global Config”欄 中 選 擇“Enable”項(xiàng)，在“Web Auth type”列表中選擇“External(Re-direct to external server)” 項(xiàng)， 在“URL”欄 中 輸 入“https://xxx.xxx.xxx.xxx:8443/questportal/login.action”，其 中“xxx.xxx.xxx.xxx” 為ISE設(shè)備地址,這樣，可將來(lái)賓訪問(wèn)重定向到ISE服務(wù)器。

在“AAA Server”標(biāo)簽中的“Authentication Servers”和“Accounting Servers” 欄中選擇3A服務(wù)器，即ISE服務(wù)器地址,在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項(xiàng)，其余保持默認(rèn)。注意，在配置之后必須在界面上部點(diǎn)擊“Save Configuration”按鈕，否則掉電后信息將消失。之后登錄到ISE管理界面，點(diǎn)擊菜單“Policy”、“Results”項(xiàng)，在左 側(cè) 點(diǎn) 擊“Authorization”、“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”創(chuàng)建新的授權(quán)策略。輸入名稱（如“Wxsq”），選擇“Airespace ACL Name”項(xiàng)，輸入ACL列表名。該列表可在無(wú)線控制上創(chuàng)建好，例如可放行所有訪問(wèn)等。

在ISE中管理無(wú)線Web認(rèn)證策略

接著按照上面談到的方法，在授權(quán)列表頂部添加新的規(guī)則。在“Rule Name”欄中輸入其名稱（例 如“WxwebRule1”）， 在“Condtions”欄中點(diǎn)擊“+”按 鈕， 在“User Identity Groups”類型中選擇“Employee”組。并根據(jù)需要為其設(shè)置合適的條件，例如“Device?:Location”（設(shè)備地址）位于B城市等。在“Permissions” 欄 中 為其選擇合適的授權(quán)，例如“Wireless_Web”，允許訪問(wèn)所有網(wǎng)絡(luò)資源。當(dāng)完成以上設(shè)置后，在客戶機(jī)上就可以搜索到上述WLAN的SSID信息，當(dāng)連接到該SSID后，發(fā)起針對(duì)內(nèi)網(wǎng)的HTTP訪問(wèn)請(qǐng)求，就可以重定向到ISE的來(lái)賓門戶網(wǎng)頁(yè)，輸入預(yù)設(shè)的賬戶和密碼，就可以順利訪問(wèn)網(wǎng)絡(luò)資源了。