在WAP571或WAP571E上配置強制網路門戶

目標

強制網路門戶(CP)允許您限制對無線網路的訪問，直到驗證無線使用者。使用者開啟Web瀏覽器時，系統會將其重新導向到登入頁面，其中必須輸入其使用者名稱和密碼。可授權兩種型別的使用者訪問您的網路；經過身份驗證的使用者和訪客。通過身份驗證的使用者必須提供與本地資料庫或RADIUS伺服器資料庫匹配的使用者名稱和密碼。訪客不需要提供使用者名稱或密碼。

本文介紹如何在無線接入點(WAP)上配置強制網路門戶。

適用裝置

• WAP500系列 — WAP571、WAP571E

軟體版本

• 1.0.0.15 - €“WAP571、WAP571E

配置強制網路門戶

可以通過設定嚮導設定強制網路門戶的基本設定，也可以通過基於Web的實用程式配置高級設定。對於快速的基本設定，可以使用設定嚮導啟用該功能。請參閱以下步驟：

附註：以下影象是從WAP571捕獲的。

使用安裝嚮導

步驟1.登入到基於Web的實用程式，然後按一下Run Setup Wizard。

附註：如果這是您第一次設定WAP，則安裝嚮導將自動彈出。

步驟2.按照安裝嚮導螢幕中的說明操作。有關使用安裝嚮導逐步配置WAP的資訊，請按一下此處獲取說明。

步驟3.出現Enable Captive Portal - Create Your Guest Network螢幕後，選擇Yes，然後按一下Next。

步驟4.輸入訪客網路名稱，然後點選下一步。

附註：預設訪客網路名稱為ciscosb-guest。

步驟5.選擇無線訪客網路的安全型別。

附註：最佳安全性（WPA2個人 — AES）選擇如下示例。

步驟6.輸入安全金鑰，然後按一下下一步。

步驟7.輸入訪客網路的VLAN ID，然後按一下Next。

步驟8.（可選）如果您有一個特定網頁，要在使用者從歡迎頁面接受服務條款後顯示，請選中Enable Redirect URL覈取方塊。輸入URL，然後按一下Next。

附註：該URL可以是您的公司網站。

步驟9.檢查並確認設定，然後按一下「Submit」。

步驟10.出現「Device Setup Complete（裝置安裝完成）」螢幕後，按一下Finish關閉安裝嚮導。

現在，您應該已經配置了WAP強制網路門戶功能的基本設定。

使用基於Web的實用程式

要在WAP上配置強制網路門戶的高級設定，必須執行以下幾個步驟：

• 全域性啟用強制網路門戶 — 這允許強制網路門戶生效。

• 建立強制網路門戶例項 — 強制網路門戶例項是一組引數，用於控制使用者登入到虛擬接入點(VAP)的方式。

• 將強制網路門戶例項與VAP關聯 — 嘗試訪問VAP的使用者必須遵循為該例項配置的引數。

• 自定義Web門戶 — Web門戶是當使用者嘗試登入VAP時重定向的網頁。

• 建立本地組 — 可以將本地組分配給接受屬於該組的使用者的例項。

• 建立本地使用者 — 本地使用者被新增到本地組，並允許訪問組配置到的強制網路門戶。

全域性啟用強制網路門戶

步驟1.在基於Web的實用程式中，選擇Captive Portal > Global Configuration。

步驟2.（可選）在Authentication Timeout欄位中輸入在WAP關閉身份驗證會話之前使用者必須輸入身份驗證資訊的秒數。

步驟3.（可選）如果希望WAP和客戶端之間的HTTP資訊使用除預設埠以外的其他埠，請在「Additional HTTP Port」欄位中輸入要新增的HTTP埠號。HTTP和其他Internet協定使用埠來確保裝置知道查詢特定協定的位置。選項為80，介於1025和65535之間，或輸入0以禁用。HTTP埠和HTTPS埠不能相同。

步驟4.（可選）如果您想讓WAP和客戶端之間的HTTP資訊使用除預設埠以外的其他埠，請在「Additional HTTPS Port」欄位中輸入要新增的HTTPS埠號。選項為443，介於1025和65535之間，或輸入0以禁用。HTTP埠和HTTPS埠不能相同。

以下資訊顯示在強制網路門戶配置計數器區域中，無法進行配置。

• 例項計數 — 在WAP裝置上配置的CP例項數。WAP上最多可以配置兩個CP。

• 組計數 — 在WAP裝置上配置的CP組數。最多可以配置兩個組。無法刪除預設組。

• 使用者計數 — 在WAP裝置上配置的CP使用者的數量。WAP上最多可以配置128個使用者。

步驟5.按一下Save。

附註：更改會儲存到啟動配置中。

例項配置

步驟6.在基於Web的實用程式中，選擇Captive Portal > Instance Configuration。

步驟7.在Captive Portal Instances下拉選單中，您應該注意wiz-cp-inst1例項。您可以選擇此名稱，也可以為例項配置建立新名稱。

步驟8。（可選）在Instance Name欄位中，輸入組態的名稱，然後按一下Save。

附註：在此示例中，建立一個新例項。

附註：最多可以建立兩個配置。如果已經建立了兩個例項，則必須選擇要編輯的例項。

步驟9. 「例項配置」視窗顯示附加資訊。例項ID是一個不可配置的欄位，其中顯示當前例項的例項ID。

步驟10.選中Administrative Mode中的Enable覈取方塊以啟用CP例項。

步驟11.從Protocol下拉選單中，選擇要用於身份驗證過程的協定。

• HTTP — 不加密身份驗證過程中使用的資訊。

• HTTPS — 為身份驗證過程中使用的資訊提供加密。

附註：本範例中使用的是HTTP。

步驟12.從Verification下拉選單中選擇要使用的CP身份驗證方法。

• 訪客 — 使用者無需提供任何身份驗證。

• 本地 — WAP針對儲存在WAP上的本地資料庫檢查使用者提供的身份驗證資訊。

• RADIUS - WAP針對遠端RADIUS伺服器的資料庫檢查使用者提供的身份驗證資訊。

時間分配器：如果您選擇Local或Guest，請跳至Step 28。

步驟13.（可選）如果要將驗證使用者重新導向至已設定的URL，請勾選Enable Redirect覈取方塊。如果禁用此選項，則驗證使用者將看到特定於區域設定的歡迎頁面。

步驟14。（可選）輸入要將驗證使用者重定向到的URL。

附註：只有在步驟13中啟用重新導向時，此步驟才適用。

步驟15.在Away Timeout欄位中，輸入使用者可以從WAP解除關聯並保留在WAP驗證使用者端清單上的時間量（以分鐘為單位）。如果使用者連線到WAP的時間超過Away Timeout值，則必須重新授權使用者才能使用WAP。

步驟16.在Session Timeout欄位中，輸入WAP在終止會話之前等待的時間量（以分鐘為單位）。值為0表示不強制超時。

步驟17.在Maximum Bandwidth Upstream欄位中，輸入客戶端可通過強制網路門戶傳送資料的最大上傳速度(Mbps)。

步驟18.在Maximum Bandwidth Downstream欄位中，輸入客戶端可通過強制網路門戶接收資料的最大下載速度(Mbps)。

步驟19.從User Group Name下拉選單中，選擇要分配給CP例項的組。屬於您選擇的組的任何使用者都可以訪問WAP。

附註：步驟12中的驗證模式必須為Local或RADIUS才能分配組。

步驟20.從「RADIUS IP網路」下拉選單中，選擇RADIUS客戶端使用的網際網路協定型別。

IPv4 — RADIUS客戶端的地址格式為xxx.xxx.xxx.xxx(192.0.2.10)。

IPv6 - RADIUS客戶端的地址格式為xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx(2001:DB8::CAD5:7D91)。

步驟21。（可選）如果要使用全域RADIUS伺服器清單進行身份驗證，請選中Enable Global RADIUS覈取方塊。如果要使用單獨的一組RADIUS伺服器，請取消選中該覈取方塊，然後在此頁面上配置RADIUS伺服器。

時間分配器：如果啟用全域RADIUS，請跳至步驟28。

附註：在本範例中，全域RADIUS未啟用。

步驟22.（可選）如果要追蹤和測量WAP網路上客戶端的時間和資料使用情況，請選中Enable RADIUS Accounting覈取方塊。

附註：如果步驟21中啟用了「全域RADIUS」覈取方塊，則無需配置其他RADIUS伺服器。

步驟23.在Server IP Address-1欄位中，輸入您要用作主要伺服器的RADIUS伺服器的IP位址。IP地址應符合IPv4或IPv6各自的地址格式。

步驟24。（可選）您可以配置最多三個備份RADIUS伺服器，在找到匹配項之前，將依次檢查這些伺服器。如果未找到匹配項，將拒絕使用者訪問。在Server IP Address — （2到4）欄位中，輸入在主伺服器身份驗證失敗時要使用的備份RADIUS伺服器的IP地址。

步驟25.在Key-1欄位中，輸入WAP裝置用來對主RADIUS伺服器進行驗證的共用金鑰。這需與RADIUS伺服器上設定的金鑰相同。

步驟26.在其餘的Key欄位(2-4)中，輸入WAP裝置用來對各自的備份RADIUS伺服器進行身份驗證的共用金鑰。

附註：區域設定計數是一個不可配置的欄位，顯示與此例項關聯的區域設定數。

步驟27。（可選）要刪除當前例項，請選中Delete Instance覈取方塊。

步驟28.按一下「Save」。

將例項與VAP關聯

步驟29.在基於Web的實用程式中，選擇Captive Portal > Instance Association。

步驟30.按一下要與單選區域中的例項相關聯的單選按鈕。

附註：在本示例中，選擇無線電1(5 GHz)。

步驟31.從Instance Name下拉選單中選擇例項配置，以便與給定VAP關聯。

附註：在本示例中，步驟8中建立的Instance1用於VAP 1（虛擬接入點2）。

步驟32.按一下「Save」。

自定義Web門戶

區域設定（身份驗證網頁）是WAP使用者在嘗試訪問Internet時看到的網頁。Web Portal Customization頁面允許您自定義區域設定並將其分配給強制網路門戶例項。

步驟33.在基於Web的實用程式中，選擇Captive Portal > Web Portal Customization。

步驟34.從Captive Portal Web Locale下拉選單中選擇Create以建立新的區域設定。

步驟35.在Web Locale Name欄位中輸入區域設定的名稱。

步驟36.從「強制網路門戶例項」下拉選單中選擇與區域設定關聯的強制網路門戶例項。您可以將多個區域設定關聯到單個強制網路門戶例項。使用者可以點選連結切換到其他區域設定。

步驟37.按一下儲存以建立新的區域設定。

附註：「Web門戶定製」頁面顯示其他資訊。

• 區域設定ID是一個不可配置的欄位，顯示當前區域設定的ID號。

• 例項名稱是一個不可配置的欄位，顯示與區域設定關聯的強制網路門戶例項名稱。

步驟38.從「背景影象名稱」下拉選單中，選擇要在區域設定背景中顯示的影象。按一下Upload/Delete Custom Image按鈕新增您自己的映像。如需詳細資訊，請前往上傳/刪除自訂映像一節。

步驟39.從Logo Image Name下拉選單中，選擇要顯示在頁面左上角的影象。

步驟40.在Foreground Color欄位中，輸入區域設定的前景顏色的6位超文本傳輸協定(HTML)代碼。

步驟41.在Background Color欄位中，輸入區域設定的背景顏色的6位HTML代碼。

步驟42.在分隔符欄位中，輸入將頁首與頁體分隔的水平線顏色的6位HTML代碼。

步驟43.在Locale Label欄位中輸入區域設定的描述名稱。如果您有多個區域設定，則這是您按一下以在區域設定之間更改的連結的名稱。例如，如果您有英語和西班牙語的區域設定，則您可能要在您的區域設定名稱中表示它。

步驟44.在Locale欄位中輸入區域設定的縮寫。

步驟45.從Account Image下拉選單中，選擇要在登入欄位上方顯示的影象。

步驟46.在Account Label欄位中，輸入要求使用者輸入其使用者名稱的說明。

步驟47.在User Label欄位中，輸入使用者名稱文本框的標籤。

步驟48.在「Password Label」欄位中，輸入密碼文本框的標籤。

步驟49.在Button Label欄位中，輸入使用者按一下以提交使用者名稱和密碼的按鈕的標籤。

步驟50.在字型欄位中，輸入用於區域設定的字型名稱。可以輸入多個用逗號分隔的字型名稱。如果客戶端裝置找不到第一個字型樣式，則使用下一個字型。如果字型名稱中有多個由空格分隔的單詞，請使用單引號將字型名稱括起來。例如，「MS UI Gothic」、€™arial、無襯線等。

步驟51.在Browser Title欄位中，輸入要在瀏覽器標題欄中顯示的文本。

步驟52.在Browser Content欄位中，輸入要在頁面標題中顯示的文本。

步驟53.在內容欄位中，輸入指示使用者執行什麼操作的文字。此欄位顯示在使用者名稱和密碼文本框的下方。

步驟54.在接受使用策略欄位中，輸入使用者如果要訪問WAP必須同意的條款。

步驟55.在Accept Label欄位中，輸入文本，指示使用者檢查他們是否已經閱讀並接受驗收使用策略。

步驟56.在No Accept Text欄位中，輸入提示使用者提交登入憑據但不接受「接受使用策略」的文本。

步驟57.在Work In Progress Text欄位中，輸入WAP檢查給定憑證時顯示的文本。

步驟58.在拒絕文本欄位中，輸入使用者身份驗證失敗時顯示的文本。

步驟59.在Welcome Title欄位中，輸入成功驗證使用者端時顯示的標題文字。

步驟60.在歡迎內容欄位中，輸入顯示給已連線到網路的使用者端的文字。

步驟61。（可選）要刪除當前區域設定，請選中Delete Locale覈取方塊。

步驟62.按一下「Save」。

步驟63。（可選）要檢視當前的區域設定，請按一下Preview。如果進行了更改，請在預覽前按一下Save以更新更改。

附註：強制網路門戶登入螢幕類似於以下影象：

建立本地組

非來賓強制網路門戶要求使用者根據使用者名稱和密碼登入。WAP建立一個包含一組本地使用者的本地組。然後將本地組附加到例項。作為本地組成員的本地使用者能夠通過強制網路門戶獲得訪問許可權。預設本地組始終處於活動狀態，無法刪除。最多可以向WAP新增兩個額外的本地組。

步驟64.在基於Web的實用程式中，選擇Captive Portal > Local Groups/Users。

步驟65.從Captive Portal Groups下拉選單中選擇Create。

步驟66.在「組名稱」欄位中輸入本地組的名稱。

步驟67.按一下Add Group儲存組。

附註：您可以在標題為「例項配置」的步驟19中將本地組分配給例項。

建立本地使用者

本地使用者被新增到本地組中。這些使用者能夠訪問其本地組已配置例項的強制網路門戶。在Local Users頁面中配置的一些資訊也在Instance Configuration頁面中配置。為本地使用者配置的值優先於為例項配置的值。可在本地資料庫中配置最多128個授權使用者。

步驟68.從Captive Portal Users下拉選單中選擇Create。

步驟69.在User Name欄位中，輸入要新增的使用者名稱。

步驟70.按一下Add User建立新使用者。「本地使用者設定」視窗顯示其他資訊。

步驟71.在User Password欄位中，輸入與使用者相關的密碼。

步驟72.（可選）要使密碼以明文顯示，請選中Show Password as Clear Text覈取方塊。如果取消選中此覈取方塊，則會遮蔽密碼。

步驟73.在Away Timeout欄位中，輸入使用者可以從WAP解除關聯並保留在WAP驗證使用者端清單上的時間量（以分鐘為單位）。如果使用者連線到WAP的時間超過Away Timeout，則必須重新授權才能使用WAP。

步驟74.在Group Name欄位中，按一下您想要使用者加入的本地群組。

步驟75.在Maximum Bandwidth Upstream欄位中，輸入客戶端可通過強制網路門戶傳送資料的最大上傳速度(Mbps)。

步驟76.在Maximum Bandwidth Downstream欄位中，輸入客戶端可通過強制網路門戶接收資料的最大下載速度(Mbps)。

步驟77。（可選）要刪除本地使用者，請選中Delete User覈取方塊。

步驟78.按一下「Save」。

現在，您應該已經配置了WAP571或WAP571E的高級強制網路門戶設定。