无线/移动 : WLAN 安全

Web身份验证代理配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何配置Web验证为了与代理设置一起使用。

贡献用尼克塔特, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 无线局域网控制器基本配置
  • Web验证安全

使用的组件

本文档中的信息根据Cisco无线LAN控制器,版本7.0和以上。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

配置

首先有在他们的网络发送Web流量的一个代理服务器到代理服务器,然后中继流量到互联网的网络管理员。客户端和代理服务器之间的连接能使用TCP端口除端口80之外通信。此端口通常是TCP端口3128或8080。默认情况下, Web验证在端口80只侦听。因此,当HTTP GET留下计算机时,它发送到代理端口,但是由控制器丢弃。

此部分描述如何配置Web验证为了工作与代理设置:

  1. 配置Cisco无线LAN控制器(WLC)为了侦听在代理端口。
  2. 配置代理自动配置(PAC)文件为了返回直接的虚拟IP地址。
  3. 创建预先身份验证访问控制表(ACL)为了允许客户端在Web验证前下载PAC文件。

作为快速修复,您能手工配置Web浏览器为了返回1.1.1.1。

在这些进程中的每一的详细信息在下小节。

配置 WLC

此步骤描述如何更换控制器侦听到端口代理服务器侦听的端口。

  1. 导航对Controller>常规页。

    116052-config-webauth-proxy-01.png

  2. 在Webauth代理重定向端口字段,请输入端口您希望WLC细听客户端重定向。

  3. 选择已禁用或已启用从Webauth代理重定向模式下拉列表:

    1. 如果选择已禁用,提交客户端转接或验证的正常Web验证页。因此,如果使用一个代理,您需要配置所有客户端浏览器不使用代理1.1.1.1 (或其他虚拟IP地址WLC用途)。请参阅快速修复:配置Web浏览器

    2. 如果选择已启用,默认情况下WLC在端口80, 8080和3128侦听,因此您不必须输入那些端口在Webauth代理重定向波尔特文本字段。如果请求他们更改他们的代理设置到自动的客户端发送在这些端口的一HTTP GET,他们看到屏幕。

      116052-config-webauth-proxy-02.png

  4. 保存配置。

  5. 重新启动控制器。

总之,请输入在Webauth代理重定向波尔特的端口编号为了定义WLC侦听的端口。当重定向模式启用时,重定向客户端对代理设置屏幕并且期望动态地推送Web代理自动发现(WPAD)或自动代理配置的PAC文件。当禁用,客户端重定向对正常Web验证页。

配置PAC文件

WLC的虚拟IP地址需要返回的‘直接’为了正确验证Web的验证能用户。处理意味着代理服务器不代理请求,并且客户端有权限直接地提供援助到IP地址。这在WPAD或PAC文件的代理服务器通常配置由代理服务器管理员。这是PAC文件的一配置示例:

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "1.1.1.1"))   <-- (Line states return 1.1.1 directly)       {
         return "DIRECT";
      }
      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

创建预先身份验证ACL

放置预先身份验证ACL在Web验证服务设备识别器(SSID),以便无线客户端能下载PAC文件,在客户端登录Web验证前。预先身份验证ACL仅需要允许到PAC文件打开的端口。对代理端口的访问允许客户端到达互联网,不用Web验证。

  1. 导航对安全>访问控制表为了创建在控制器的ACL。
     
  2. 创建规则允许在PAC下载端口的流量对两个方向的代理。

    116052-config-webauth-proxy-03.png

    注意:请勿允许代理HTTP端口。

  3. 在控制器的WLAN配置中,请勿忘记选择您创建作为预先身份验证ACL的ACL。

    116052-config-webauth-proxy-04.png
     

快速修复:配置Web浏览器

此步骤描述如何手工配置例外,以便客户端Web浏览器提供援助直接地对1.1.1.1。

  1. 在Internet Explorer,请导航对工具> Internet选项

  2. 点击Connections选项,然后LAN Settings按钮

  3. 在代理服务器地区中,请检查使用代理服务器您的LAN,并且输入(IP)地址,并且服务器侦听的波尔特。

    116052-config-webauth-proxy-05.png

  4. 在例外地区点击高级按钮并且输入WLC的虚拟IP地址。

    116052-config-webauth-proxy-06.png

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

相关信息



Document ID: 116052