- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Nesta página
Exemplo: Configuração da autenticação cativa do portal em um switch da Série EX
Configuração da autenticação cativa do portal (procedimento CLI)
Projetando uma página de login de autenticação de portal cativo em switches
Exemplo: Configuração da autenticação cativa do portal em um switch da Série EX com suporte a ELS
Autenticação de portal cativo
Você pode controlar o acesso à sua rede por meio de um switch usando várias autenticações diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Você pode configurar a autenticação cativa do portal em um switch para redirecionar solicitações de navegador da Web para uma página de login que exige que o usuário insira um nome de usuário e senha. Para obter mais informações, leia este tópico.
Exemplo: Configuração da autenticação cativa do portal em um switch da Série EX
Você pode configurar a autenticação cativa do portal (posteriormente referida como portal cativo) em um switch para redirecionar as solicitações do navegador da Web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Este exemplo descreve como configurar um portal cativo em um switch da Série EX:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX que oferece suporte a um portal cativo
Versão 10.1 ou posterior do Junos OS para switches da Série EX
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Gerou um certificado SSL e o instalou no switch. Veja a geração de certificados SSL a serem usados para acesso seguro à Web (switch da Série EX).
Projete sua página de login cativo do portal. Veja a criação de uma página de login de autenticação de portal cativo em switches.
Visão geral e topologia
Este exemplo mostra a configuração necessária no switch para permitir o portal cativo em uma interface. Para permitir que uma impressora conectada à interface de portal cativa acesse a LAN sem passar pelo portal cativo, adicione seu endereço MAC à lista de permissões de autenticação. Os endereços MAC desta lista têm acesso permitido na interface sem portal cativo.
Topologia
A topologia para este exemplo consiste em um switch da Série EX conectado a um servidor de autenticação RADIUS. Uma interface no switch está configurada para portal cativo. Neste exemplo, a interface está configurada em múltiplos modos suplicantes.
Configuração
Para configurar o portal cativo em seu switch:
Configuração rápida da CLI
Para configurar rapidamente o portal cativo no switch após a conclusão das tarefas na seção Requisitos, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Procedimento
Procedimento passo a passo
Para configurar o portal cativo no switch:
Defina o endereço IP do servidor, o número da porta de autenticação do servidor e configure a senha secreta. A senha secreta do switch deve combinar com a senha secreta do servidor:
content_copy zoom_out_map[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
Configure a ordem de autenticação, fazendo o primeiro método de autenticação:
radius
content_copy zoom_out_map[edit] user@switch# set access profile profile1 authentication-order radius
Configure o endereço IP do servidor a ser tentado para autenticar o suplicante:
content_copy zoom_out_map[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
Habilite o acesso HTTP no switch:
content_copy zoom_out_map[edit] user@switch# set system services web-management http
Para criar um canal seguro para acesso à Web ao switch, configure um portal cativo para HTTPS:
Nota:Você pode habilitar o HTTP sem habilitar o HTTPS, mas recomendamos o HTTPS para fins de segurança.
Procedimento passo a passo
Associe o certificado de segurança com o servidor Web e habilite o acesso HTTPS no switch:
content_copy zoom_out_map[edit] user@switch# set system services web-management https local-certificate my-signed-cert
Configure um portal cativo para usar HTTPS:
content_copy zoom_out_map[edit] user@switch# set services captive-portal secure-authentication https
Habilite uma interface para um portal cativo:
content_copy zoom_out_map[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
Especifique o nome do perfil de acesso a ser usado para autenticação cativa do portal:
content_copy zoom_out_map[edit] user@switch# set services captive-portal authentication-profile-name profile1
(Opcional) Permita que clientes específicos contornem o portal cativo:
Nota:Se o cliente já estiver conectado ao switch, você deve limpar seu endereço MAC da autenticação cativa do portal usando o
clear captive-portal mac-address mac-address
comando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não será adicionada à tabela de comutação Ethernet e o bypass de autenticação não será permitido.content_copy zoom_out_map[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
Nota:Opcionalmente, você pode usar para limitar o escopo à interface.
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
(Opcional) Para redirecionar os clientes para uma página especificada em vez da página solicitada originalmente, configure a URL pós-autenticação:
content_copy zoom_out_map[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Resultados
Exibir os resultados da configuração:
[edit] user@switch> show system { services { web-management { http; https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----ABC123 ... ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; } } ethernet-switching-options { authentication-whitelist { 00:10:12:e0:28:22/48; } }
Verificação
Para confirmar que o portal cativo está configurado e funcionando corretamente, execute essas tarefas:
- Verificar se o portal cativo está habilitado na interface
- Verifique se o portal cativo está funcionando corretamente
Verificar se o portal cativo está habilitado na interface
Propósito
Verifique se o portal cativo está configurado na interface ge-0/0/10.
Ação
Use o comando show captive-portal interface interface-name detail
do modo operacional:
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
A saída confirma que o portal cativo está configurado na interface ge-0/0/10 com as configurações padrão para número de retries, período tranquilo, tempo de sessão de CP e tempo limite do servidor.
Verifique se o portal cativo está funcionando corretamente
Propósito
Verifique se o portal cativo está funcionando no switch.
Ação
Conecte um cliente à interface ge-0/0/10. Do cliente, abra um navegador da Web e solicite uma página web. A página de login do portal cativo que você projetou deve ser exibida. Depois de inserir suas informações de login e ser autenticado no servidor RADIUS, o navegador da Web deve exibir a página que você solicitou ou a URL pós-autenticação que você configurou.
Solução de problemas
Para solucionar problemas de portal cativo, execute essas tarefas:
Portal cativo de solução de problemas
Problema
O switch não retorna a página de login do portal cativo quando um usuário conectado a uma interface de portal cativa no switch solicita uma página da Web.
Solução
Você pode examinar os contadores ARP, DHCP, HTTPS e DNS — se um ou mais desses contadores não estiverem incrementando, isso fornece uma indicação de onde está o problema. Por exemplo, se o cliente não conseguir um endereço IP, verifique a interface do switch para determinar se o contador DHCP está aumentando — se o contador incrementa, o pacote DHCP foi recebido pelo switch.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Configuração da autenticação cativa do portal (procedimento CLI)
Configure a autenticação cativa do portal (posteriormente referido como portal cativo) em um switch da Série EX para que os usuários conectados ao switch sejam autenticados antes de serem autorizados a acessar a rede. Quando o usuário solicita uma página web, é exibida uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Gerou um certificado SSL e o instalou no switch. Veja a geração de certificados SSL a serem usados para acesso seguro à Web (switch da Série EX).
Acesso básico configurado entre o switch da Série EX e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Projete sua página de login cativo do portal. Veja a criação de uma página de login de autenticação de portal cativo em switches.
Este tópico inclui as seguintes tarefas:
- Configuração do acesso seguro para portal cativo
- Habilitando uma interface para portal cativo
- Configuração de desvio da autenticação de portal em cativeiro
Configuração do acesso seguro para portal cativo
Para configurar acesso seguro para portal cativo:
Habilitando uma interface para portal cativo
Para habilitar uma interface para um portal cativo:
[edit] user@switch# set services captive-portal interface interface-name
Por exemplo, para permitir o portal cativo na interface ge-0/0/10:
[edit] user@switch# set services captive-portal interface ge-0/0/10
Configuração de desvio da autenticação de portal em cativeiro
Para permitir que clientes específicos contornem o portal cativo:
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
Por exemplo, para permitir que clientes específicos contornem o portal cativo:
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
Opcionalmente, você pode usar para limitar o escopo à interface.set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
Se o cliente já estiver conectado ao switch, você deve limpar seu endereço MAC da autenticação cativa do portal usando o clear captive-portal mac-address mac-address
comando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não será adicionada à tabela de comutação Ethernet e o bypass de autenticação não será permitido.
Projetando uma página de login de autenticação de portal cativo em switches
Você pode configurar a autenticação cativa do portal em seu switch para redirecionar todas as solicitações de navegador da Web para uma página de login que exige que os usuários insiram um nome de usuário e senha antes que eles possam acessar. Após a autenticação bem-sucedida, os usuários podem acessar a rede e redirecionados para a página original solicitada.
O Junos OS oferece um modelo personalizável para a janela de portal cativo que permite que você projete e modifique facilmente a aparência da página de login do portal cativo. Você pode modificar os elementos de design do modelo para alterar a aparência da página de login do seu portal cativo e adicionar instruções ou informações à página. Você também pode modificar qualquer um dos elementos de design de uma página de login cativa do portal.
A primeira tela exibida antes da página de login cativa exige que o usuário leia os termos e condições de uso. Ao clicar no botão Concordar, o usuário pode acessar a página de login cativo do portal.
Figura 1 mostra um exemplo de uma página de login cativa do portal:
Tabela 1 resume os elementos configuráveis de uma página de login cativa do portal.
Elemento | Declaração da CLI | Descrição |
---|---|---|
Cor de fundo do footer | footer-bgcolor hex-color | O código hexadecimal HTML para a cor de fundo do rodapé de página de login do portal cativo. |
Mensagem do Footer | footer-message text-string | Texto exibido no rodapé da página de login do portal cativo. Você pode incluir informações sobre direitos autorais, links e informações adicionais, como instruções de ajuda, avisos legais ou uma política de privacidade O texto padrão mostrado no rodapé é Copyright @2010, Juniper Networks Inc. |
Cor do texto do footer | footer- text-color color | Cor do texto no rodapé. A cor padrão é branca. |
Forma de cabeçalho de cor de fundo | form-header-bgcolor hex-color | O código hexadecimal HTML para a cor de fundo da barra de cabeçalho na parte superior da área de forma da página de login do portal cativo. |
Mensagem de cabeçalho de formulário | form-header-message text-string | Texto exibido no cabeçalho da página de login do portal cativo. O texto padrão é Captive Portal User Authentication . |
Cor do texto do cabeçalho do formulário | form-header- text- color color | Cor do texto no cabeçalho do formulário. A cor padrão é preta. |
Rótulo de botão de reset de formulário | form-reset-label label-name | Usando o Reset botão, o usuário pode limpar os campos de nome de usuário e senha no formulário. |
Formulário enviar rótulo de botão | form-submit-label label-name | Usando o Login botão, o usuário pode enviar as informações de login. |
Cor de fundo do cabeçalho | header-bgcolor hex-color | O código hexadecimal HTML para a cor de fundo do cabeçalho de página de login do portal cativo. |
Logotipo da Header | header-logo filename | Nome de arquivo do arquivo que contém a imagem do logotipo que você deseja aparecer no cabeçalho da página de login do portal cativo. O arquivo de imagem pode estar no formato PDF, JPEG ou PNG. Você pode enviar um arquivo de imagem do logotipo para o switch. Copie o logotipo do diretório /var/tmp no switch (durante o commit, os arquivos são salvos em locais persistentes). Se você não especificar uma imagem do logotipo, o logotipo da Juniper Networks será exibido. |
Mensagem de cabeçalho | header-message text-string | Texto exibido no cabeçalho da página. O texto padrão é User Authentication. |
Cor do texto do cabeçalho | header-text- colorcolor | Cor do texto no cabeçalho. A cor padrão é branca. |
URL pós-autenticação | post-authentication-url url | URL à qual os usuários são direcionados para autenticação bem-sucedida. Por padrão, os usuários são direcionados para a página que haviam solicitado originalmente. |
Para projetar a página de login do portal cativo:
Agora você pode confirmar a configuração.
Para as opções personalizadas que você não especifica, o valor padrão é usado.
Consulte também
Configuração da autenticação de portal cativo (procedimento CLI) em um switch da Série EX com suporte a ELS
Essa tarefa usa o Junos OS para switches com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, consulte Configurando a autenticação de portal cativo (Procedimento CLI). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Configure a autenticação cativa do portal (posteriormente referido como portal cativo) em um switch para que os usuários conectados ao switch sejam autenticados antes de terem permissão para acessar a rede. Quando o usuário solicita uma página web, é exibida uma página de login que exige que o usuário insira um nome de usuário e uma senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte a ELS.
Gerou um certificado SSL e o instalou no switch. Veja a geração de certificados SSL a serem usados para acesso seguro à Web (switch da Série EX).
Configure o acesso básico entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Projete sua página de login cativo do portal. Veja a criação de uma página de login de autenticação de portal cativo em switches.
Este tópico inclui as seguintes tarefas:
- Configuração do acesso seguro para portal cativo
- Habilitando uma interface para portal cativo
- Configuração de desvio da autenticação de portal em cativeiro
Configuração do acesso seguro para portal cativo
Para configurar acesso seguro para portal cativo:
Habilitando uma interface para portal cativo
Para habilitar uma interface para uso com autenticação cativa do portal:
[edit] user@switch# set services captive-portal interface interface-name
Configuração de desvio da autenticação de portal em cativeiro
Você pode permitir que clientes específicos contornem a autenticação cativa do portal:
[edit] user@switch# set switch-options authentication-whitelist mac-address
Opcionalmente, você pode usar para limitar o escopo à interface.set switch-options authentication-whitelist mac-address interface interface-name
Se o cliente já estiver conectado ao switch, você deve limpar seu endereço MAC da autenticação cativa do portal usando o clear captive-portal mac-address session-mac-addr
comando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não é adicionada à tabela de comutação Ethernet e o bypass de autenticação não é permitido.
Exemplo: Configuração da autenticação cativa do portal em um switch da Série EX com suporte a ELS
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Configurando a autenticação cativa do portal em um switch da Série EX. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Você pode configurar a autenticação cativa do portal (posteriormente referida como portal cativo) em um switch para redirecionar as solicitações do navegador da Web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode continuar com a solicitação original da página e posterior acesso à rede.
Este exemplo descreve como configurar um portal cativo em um switch da Série EX:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Junos OS Versão 13.2X50 ou posterior para switches da Série EX
Um switch da Série EX com suporte para ELS
Antes de começar, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte a ELS.
Gerou um certificado SSL e o instalou no switch. Veja a geração de certificados SSL a serem usados para acesso seguro à Web (switch da Série EX).
Acesso básico configurado entre o switch da Série EX e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Projete sua página de login cativo do portal. Veja a criação de uma página de login de autenticação de portal cativo em switches.
Visão geral e topologia
Este exemplo mostra a configuração necessária no switch para permitir o portal cativo em uma interface. Para permitir que uma impressora conectada à interface de portal cativa acesse a LAN, adicione seu endereço MAC à lista de permissão de autenticação e atribua-o a uma VLAN, vlan1. Os endereços MAC desta lista têm acesso permitido na interface sem autenticação cativa do portal.
Topologia
A topologia para este exemplo consiste em um switch da Série EX conectado a um servidor de autenticação RADIUS. Uma interface no switch está configurada para portal cativo. Neste exemplo, a interface está configurada em múltiplos modos suplicantes.
Configuração
Para configurar o portal cativo em seu switch:
Configuração rápida da CLI
Para configurar rapidamente o portal cativo no switch após a conclusão das tarefas na seção Requisitos, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
Procedimento
Procedimento passo a passo
Para criar um canal seguro para acesso à Web ao switch, configure um portal cativo para HTTPS:
Procedimento passo a passo
Associe o certificado de segurança com o servidor Web e habilite HTTPS no switch:
content_copy zoom_out_map[edit] user@switch# set system services web-management https local-certificate my-signed-cert
Nota:Você pode habilitar o HTTP em vez de HTTPS, mas recomendamos que você habilite HTTPS para fins de segurança.
Configure um portal cativo para usar HTTPS:
content_copy zoom_out_map[edit] user@switch# set services captive-portal secure-authentication https
Habilite uma interface para um portal cativo:
content_copy zoom_out_map[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(Opcional) Permita que clientes específicos contornem a autenticação cativa do portal:
Nota:Se o cliente já estiver conectado ao switch, você deve limpar seu endereço MAC da autenticação cativa do portal usando o
clear captive-portal mac-address mac-address
comando após adicionar seu endereço MAC à lista de permitidos. Caso contrário, a nova entrada para o endereço MAC não será adicionada à tabela de comutação Ethernet e o bypass de autenticação não será permitido.content_copy zoom_out_map[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
Nota:Opcionalmente, você pode usar para limitar o escopo à interface.set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0
(Opcional) Para redirecionar os clientes para uma página especificada em vez da página solicitada originalmente, configure a URL pós-autenticação:
content_copy zoom_out_map[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
Resultados
Exibir os resultados da configuração:
[edit] user@switch# show system { services { web-management { https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----\ABC123 ABC123ABC123ABC123 ... ABC123 ----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; custom-options { post-authentication-url http://www.my-home-page.com; } } } switch-options { authentication-whitelist { 00:10:12:e0:28:22/48 { vlan-assignment vlan1; } } }
Verificação
Para confirmar que a autenticação cativa do portal está configurada e funcionando corretamente, execute essas tarefas:
- Verificar se o portal cativo está habilitado na interface
- Verifique se o portal cativo está funcionando corretamente
Verificar se o portal cativo está habilitado na interface
Propósito
Verifique se o portal cativo está configurado na interface ge-0/0/10.
Ação
Use o comando show captive-portal interface interface-name detail
do modo operacional:
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Significado
A saída confirma que o portal cativo está configurado na interface ge-0/0/10
, com as configurações padrão para número de retries, período tranquilo, tempo limite de sessão de CP e tempo limite do servidor.
Verifique se o portal cativo está funcionando corretamente
Propósito
Verifique se o portal cativo está funcionando no switch.
Ação
Conecte um cliente à interface ge-0/0/10. Do cliente, abra um navegador da Web e solicite uma página web. A página de login do portal cativo que você projetou deve ser exibida. Depois de inserir suas informações de login e ser autenticado no servidor RADIUS, o navegador da Web deve exibir a página que você solicitou ou a URL pós-autenticação que você configurou.
Solução de problemas
Para solucionar problemas do portal cativo, execute esta tarefa:
Portal cativo de solução de problemas
Problema
O switch não retorna a página de login cativa do portal quando um usuário conectado a uma interface de portal cativa no switch solicita uma página web.
Solução
Você pode examinar os contadores ARP, DHCP, HTTPS e DNS — se um ou mais desses contadores não estiverem incrementando, isso fornece uma indicação de onde está o problema. Por exemplo, se o cliente não conseguir um endereço IP, você pode verificar a interface do switch para determinar se o contador DHCP está incrementando — se o contador incrementar, o pacote DHCP foi recebido pelo switch.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0