Web驗證代理組態範例

簡介

本文說明如何設定Web驗證，以便使用代理程式。

必要條件

需求

思科建議您瞭解以下主題：

• 無線LAN控制器基本配置
• Web驗證安全

採用元件

本檔案中的資訊是根據思科無線LAN控制器7.0版及更新版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

網路管理員在網路上使用代理伺服器時，先將網路流量傳送到代理伺服器，然後由代理伺服器將流量中繼到網際網路。客戶端和代理伺服器之間的連線可以使用埠80以外的TCP埠進行通訊。此埠通常是TCP埠3128或8080。預設情況下，Web身份驗證僅偵聽埠80。因此，當HTTP GET離開電腦時，它會傳送到代理埠，但會被控制器丟棄。

本節介紹如何設定Web驗證以使用代理程式：

1. 設定思科無線LAN控制器(WLC)以監聽代理連線埠。
2. 設定代理自動組態(PAC)檔案，以直接傳回虛擬IP位址。
3. 建立預先驗證存取控制清單(ACL)，以便允許使用者端在Web驗證之前下載PAC檔案。

快速修複方法是，您可以手動設定Web瀏覽器以返回192.0.2.1。

以下各小節將詳細介紹這些流程。

設定WLC

此程式介紹如何將控制器偵聽的連線埠變更為Proxy伺服器偵聽的連線埠。

1. 導覽至Controller > General頁面。
   
   
2. 在「WebAuth Proxy重新導向連線埠」欄位中，輸入您希望WLC偵聽的連線埠以接受使用者端重新導向。
   
   
3. 從WebAuth Proxy Redirection Mode下拉式清單中選擇Disabled或Enabled:
   
   
   1. 如果選擇「Disabled」，則使用者端會顯示在正常的Web驗證頁面上，以進行直通或驗證。因此，如果您使用代理，則需要將所有客戶端瀏覽器配置為不使用192.0.2.1的代理（或WLC使用的其他虛擬IP地址）。 請參閱設定Web瀏覽器。
      
      
   2. 如果您選擇「Enabled」，則預設情況下WLC會監聽連線埠80、8080和3128，因此您不需要在WebAuth Proxy重新導向連線埠文字欄位中輸入這些連線埠。如果使用者端在這些連線埠上傳送HTTP GET，就會看到要求其將代理設定變更為自動的畫面。
      
      
4. 儲存組態。
   
   
5. 重新啟動控制器。

總而言之，在WebAuth Proxy重新導向連線埠中輸入連線埠號碼，以定義WLC偵聽的連線埠。啟用重新導向模式時，會將使用者端重新導向到代理設定畫面，並預期動態推送Web代理自動探索(WPAD)或PAC檔案以進行自動代理組態。如果禁用該功能，則客戶端將重定向到正常Web身份驗證頁面。

配置PAC檔案

WLC的虛擬IP位址需要傳回「direct」，才能讓Web Auth正確驗證使用者身分。直接表示代理伺服器不代理請求，並且客戶端具有直接訪問IP地址的許可權。這通常是由代理伺服器管理員在WPAD或PAC檔案中的代理伺服器上配置的。以下是PAC檔案的配置示例：

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "192.0.2.1"))   <-- (Line states return 1.1.1 directly)
      {
         return "DIRECT";
      }

      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

建立預先驗證ACL

在Web驗證服務組識別碼(SSID)上放置預先驗證ACL，以便無線使用者端可以在使用者端登入Web Auth之前下載PAC檔案。預先驗證ACL需要僅允許存取PAC檔案所在的連線埠。對代理埠的訪問使客戶端無需進行Web驗證即可訪問Internet。

1. 導覽至Security > Access Control List，以在控制器上建立ACL。
2. 建立規則以允許PAC下載埠上的流量在兩個方向上都到達Proxy。
   
   
   
   

   注意:不允許代理HTTP埠。

3. 在控制器上的WLAN組態中，不要忘記選擇剛建立為預先驗證ACL的ACL。
   
   

快速修復：配置Web瀏覽器

以下程式介紹如何手動設定例外狀況，以便使用者端Web瀏覽器直接連線到192.0.2.1。

1. 在Internet Explorer中，導航到工具> Internet選項。
   
   
2. 按一下Connections頁籤，然後按一下LAN Settings按鈕。
   
   
3. 在Proxy server區域中，選中Use a proxy server for your LAN覈取方塊，然後輸入伺服器偵聽的(IP)地址和埠。
   
   
   
   
4. 按一下「Advanced」，然後在「Exceptions」區域中輸入WLC的虛擬IP位址。
   

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。