WEB认证配置.doc

1. 21 Web认证配置1. 21.1 理解Web认证1. 21.1.1 Web认证概述1. Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。2. 未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。3. 如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。4. Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。2. 21.1.2 Web认证基本概念5. Web认证的基本概念主要有HTTP拦截、HTTP重定向。1. HTTP拦截6. HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。7. HTTP拦截之后，接入设备需要将用户的HTTP连接请求转向自己，于是接入设备和用户之间将建立起连接会话。接入设备将利用HTTP重定向功能，将重定向页面推送给用户，用户的浏览器上将弹出一个页面，这个页面可以是认证页面，也可以是下载软件的链接等等。8. 在Web认证功能中，连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截，哪些不需要，都是可以设置的。一般地，未经过认证的用户发出的HTTP请求报文会被拦截，已通过认证的用户将不被拦截。HTTP拦截是Web认证功能的基础，一旦发生了拦截，就会自动触发Web认证的过程。2. HTTP重定向9. 根据HTTP协议规定，正常情况下，用户的浏览器发出HTTP GET或HEAD请求报文后，如果接收一方能够提供资源，则以200报文响应，如果本地不能提供资源，则可以使用302报文响应。在302响应报文中，提供了一个新的站点路径，用户收到响应后，可以向这个新的站点重新发出HTTP GET或HEAD报文请求资源。10. HTTP重定向是Web认证的重要环节，是发生在HTTP拦截之后的，利用的就是HTTP协议中的302报文的特性。HTTP拦截过程将使得接入设备和用户之间建立起连接会话，随后用户将（本应发给其他站点的）HTTP GET或HEAD报文发给接入设备，接入设备收到后，回应以302报文，并且在302报文中加入重定向页面的站点路径，这样用户将向这个站点路径重新发出请求，就会获取到重定向的页面。3. 21.1.3 工作原理11. Web认证的典型组网方式如下图所示，它由三个基本角色组成：认证客户端、接入设备、WEB认证服务器。1. 图 1. Web认证工作原理 Web认证的角色：1. 认证客户端：安装于用户终端设备上的客户端系统，为运行HTTP协议的浏览器，上网时将发出HTTP请求；2. 接入设备：在网络拓扑中一般是接入层设备（例如在无线网络中可以是无线AP，或无线AC），一般与用户终端设备直接相连接，在接入设备上启动Web认证；3. Web认证服务器：包括提供Web服务的portal服务器，以及提供RADIUS认证功能的服务器。接受认证客户端认证请求的认证服务器端系统，提供免费门户服务和基于Web 认证的界面，与接入设备交互认证客户端的认证信息； Web认证过程主要过程：1. 在认证之前，接入设备将未认证用户发出的所有HTTP 请求都拦截下来，并重定向到Web认证服务器去，这样在用户的浏览器上将弹出一个认证页面；2. 在认证过程中，用户在认证页面上输入认证信息（用户名、口令、校验码等等）与Web认证服务器交互，完成身份认证的功能；3. 在认证通过后，Web认证服务器将通知接入设备该用户已通过认证，接入设备将允许用户访问互联网资源； 注意Web认证方案使用限制：l 只能在如下加密机制中开启Web认证：Open Authentication，Open Authentication + WEP或者WPA/WPA2-PSK。4. 21.1.4 协议规范12. 与HTTP重定向相关的功能参照HTTP 1.1协议（RFC1945）。2. 21.2 缺省配置13. 下表用来描述Web认证的缺省配置。功能特性缺省值设置HTTP重定向地址未设置HTTP重定向地址。设置HTTP重定向主页未设置HTTP重定向主页。设置接入设备与认证服务器之间的SNMP网管参数未设置SNMP网管参数。设置重定向的HTTP端口默认对用户发出的目的端口为80的HTTP报文进行重定向。设置每个未认证用户的最大HTTP会话数默认为3个。设置维持重定向连接的超时时间默认为3秒。设置免认证的网络资源范围未设置免认证的网络资源范围。设置在线用户信息的更新时间间隔默认为60秒。设置用户下线检测模式未设置基于用户流量来检测用户是否下线。3. 21.3 配置Web认证基本特性14. Web认证配置需要在接入设备上进行配置，在未作任何配置的情况下，接入设备的Web认证处在缺省状态，即没有开启Web认证。必须完成了所有的基本特性的配置，Web认证才能正常工作，以下章节描述如何配置Web认证的基本特性：1. n 设置HTTP重定向地址2. n 设置认证页面的主页3. n 设置接入设备与认证服务器之间的通信密钥4. n 设置接入设备与认证服务器之间的SNMP网管参数5. n 在端口上开启Web认证功能1. 21.3.1 设置HTTP重定向地址15. 要成功应用Web认证功能，必须设置HTTP重定向的IP地址。当接入设备发现未认证用户试图通过HTTP访问网络资源时，接入设备将用户的访问请求重定向到认证页面，通过认证页面，引导用户向认证服务器发起认证。16. 一般情况下，认证页面是认证服务器所提供的，因此HTTP重定向的地址就应该是认证服务器的地址。设置了这个HTTP重定向地址以后，这个地址将被设置为一个特殊的免认证的网络资源，未认证用户才可以直接与这个地址进行HTTP通讯。17. 缺省情况下，没有设置HTTP重定向的IP地址。若要设置HTTP重定向的IP地址，请按如下的步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect ip-address 设置HTTP重定向的IP地址。Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。18. 如果要清除HTTP重定向的IP信息，在全局配置模式下，执行no http redirect。19. 配置举例：20. # 设置认证服务器的IP地址为。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect Ruijie(config)# show http redirect& 说明认证服务器也可以是个综合门户服务器，综合门户服务器除了能够提供Web认证外，还能够提供SU客户端软件的下载。当一个用户需要使用802.1x认证上网时，在未安装SU客户端软件情况下，只要通过浏览器上网就能被重定向到这个综合门户服务器，下载并按照SU客户端后，就可以使用802.1x认证上网了。具体详见“802.1X配置”中相关的章节。2. 21.3.2 设置HTTP重定向主页21. 要成功应用Web认证功能，必须配置HTTP重定向的主页，也就是认证页面（或者是综合门户主页）。当用户在进行Web认证时，将向用户弹出这个页面的信息，用户通过这个页面进行Web认证。22. 缺省时，没有设置HTTP重定向主页。设置HTTP重定向主页URL，请按照如下的步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect homepage url-string设置认证页面的主页URL为url-string，必须以“http:/”或“https:/”开头，不区分大小写，最大长度为255个字符。Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。23. 如果要清除认证页面的主页地址，在全局配置模式下，执行no http redirect homepage。24. 配置举例：25. # 设置认证页面的主页为/login.html。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect homepage /login.htmlRuijie(config)# show http redirect& 说明主页地址也可以是个综合门户服务器，综合门户服务器除了能够提供Web认证外，还能够提供SU客户端软件的下载。当一个用户需要使用802.1x认证上网时，在未安装SU客户端软件情况下，只要通过浏览器上网就能被重定向到这个综合门户服务器，下载并按照SU客户端后，就可以使用802.1x认证上网了。详见“802.1X配置”中相关章节。 注意如果用户在浏览器的地址栏上直接输入服务器的主页地址，则可以不经过重定向直接访问该主页，也可以下载该页面上的资源。但是，由于未经重定向，接入设备中没有该用户的信息，以及缺少接入设备和认证服务器之间必要的安全参数，用户的认证操作将会失败。因此，如果是要进行认证的话，不要直接访问服务器的页面。 3. 21.3.3 设置接入设备与认证服务器之间的通信密钥26. 要成功应用Web认证功能，必须设置接入设备与认证服务器进行通信的密钥。当接入设备发现未认证用户在访问网络资源时，接入设备将通过重定向功能，向用户弹出认证页面，通过认证页面，引导用户向认证服务器发起认证。在认证过程中，接入设备与认证服务器间通过密钥对部分数据进行加密，以加强安全性。27. 缺省情况下，没有设置接入设备与认证服务器进行通信的密钥。如果要设置接入设备与认证服务器进行通信的密钥，请按如下的步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# web-auth portal key key-string设置接入设备与认证服务器进行通信的密钥；密钥最大长度为255个字符。Step 3Ruijie(config)# show web-auth查看Web认证全局配置信息和统计信息。28. 如果要清除接入设备与认证服务器进行通信的密钥，在全局配置模式下，执行no web-auth key。29. 配置举例：30. #设置接入设备与服务器进行通信的密钥为web-auth。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# web-auth portal key web-authRuijie(config)# show web-auth4. 21.3.4 设置接入设备与认证服务器之间的SNMP网管参数31. 接入设备和认证服务器之间通过SNMP/MIB对认证用户进行管理，在接入设备上，使用MIB来管理认证用户表，认证服务器通过访问这个MIB，可以获取用户相关的统计信息，以及进行控制用户的上线、下线的操作。当用户下线时，接入设备将发送SNMP-Inform消息给认证服务器。32. 因此要成功应用Web认证功能，必须设置接入设备与认证服务器之间的SNMP网管通信参数。请按如下的步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# snmp-server community community-string rw设置SNMP Community，认证服务器可以使用这个Community管理接入设备上的在线用户。community-string：Community字符串；rw：由于需要对MIB进行Set操作，因此需要设置成RW，支持读写操作；Step 3Ruijie(config)# snmp-server enable traps web-auth设置接入设备允许向外发送Web认证的消息，消息类型包括Trap和Inform。web-auth：即Web认证的消息；Step 4Ruijie(config)# snmp-server host ip-address inform version 2c community-string web-auth设置发送Web认证消息的目的主机，类型、版本、Community等参数。ip-address：目的主机地址，也就是认证服务器的地址；inform：设置发送SNMP-Inform类型的消息。由于接入设备在用户下线的时候向认证服务器发送消息，为了防止消息丢失，所以采用SNMP-Inform而不是SNMP-Trap。version 2c：SNMPv2以后的版本才支持SNMP-Inform类型，因此这里不能设置为SNMPmunity-string：发送SNMP-Inform消息使用的Community字符串。web-auth：指明发送Web认证消息采用上述的参数；33. SNMP的配置命令和其他具体内容参见“SNMP配置”中的相关章节。34. 配置举例：35. #设置接入设备与服务器（IP地址为）的SNMP网管通信参数，设置SNMP Community为web-auth，以及发送SNMP-Inform消息使用的参数。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# snmp-server community web-auth rwRuijie(config)# snmp-server enable traps web-authRuijie(config)# snmp-server host inform version 2c web-auth web-auth& 说明这里列出的SNMP通信参数是以SNMPv2的设置为例的，如果要求接入设备和认证服务器之间的SNMP网管通信有更高的安全性，可以考虑采用SNMPv3。这样，SNMP Community的设置需要改为SNMP User，并且SNMP-Inform的版本也需要改为SNMPv3版本的，另外还需要设置和SNMPv3相关的安全参数，具体参见“SNMP配置”中相关的章节，这里不再进行详细介绍。5. 21.3.5 在WLAN上开启Web认证功能36. Web认证是基于WLAN的，默认情况下，WLAN未开启Web认证功能，此时这个端口下所连接的用户不进行Web认证。37. 在端口上启动Web认证功能，将该端口设置为Web认证受控口，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入WLAN安全配置模式。Step 3Ruijie(wlansec)# webauth开启Web认证功能。38. 如果要在WLAN上关闭Web认证功能，在WLAN安全配置模式下，使用no webauth。39. 配置举例：40. # 在端口WLAN 1上启动Web认证功能。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# wlansec 1Ruijie(wlansec)# webauth4. 21.4 配置Web认证可选特性41. 除了Web认证的基本特性外，其他选项是可选的，但也可能为特定的应用所必需。当未对可选选项进行配置时，这些可选选项将使用默认配置值。以下章节描述如何配置Web认证的可选特性：6. n 设置重定向的HTTP端口7. n 设置每个未认证用户的最大HTTP会话数8. n 设置维持重定向连接的超时时间9. n 设置免认证的网络资源范围10. n 设置在线用户信息的更新时间间隔11. n 设置无需认证用户IP范围12. n 设置用户下线检测模式1. 21.4.1 设置重定向的HTTP端口42. 当用户访问网络资源时（例如使用浏览器上网），此时用户会发出HTTP报文，接入设备通过拦截来自用户的HTTP报文，来判断用户是否在访问网络资源。当接入设备检测到未认证的用户在访问网络资源时，将阻止用户访问网络资源，并向用户弹出认证页面。43. 缺省情况下，接入设备通过拦截用户发出的端口号为80的HTTP报文，来检测用户是否在访问网络资源。44. 要新增接入设备拦截用户发出的特定端口号的HTTP报文，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect port port-num设置对用户发出的特定目的端口号的HTTP请求进行重定向。最大允许配置10个不同的目的端口号，端口号80也含在该总数量范围内。Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。45. 如果要在删除对用户发出的特定目的端口号的HTTP请求进行重定向，在全局配置模式下，使用no http redirect port port-num。46. 配置举例：47. # 设置对用户发出的特定目的端口号为8080的HTTP请求进行重定向。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect port 8080Ruijie(config)# show http redirect48. # 设置不对用户发出的特定目的端口号为80的HTTP请求进行重定向。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# no http redirect port 80Ruijie(config)# show http redirect 注意接入设备上常用的管理协议端口（例如22、23、53）以及系统内部保留的端口，不允许被设置为重定向端口。实际上，除了80端口外，HTTP协议很少会使用小于1000的端口号。为了避免与知名TCP协议端口冲突，除非必要，尽量不要设置较小端口号的端口作为重定向端口。2. 21.4.2 设置每个未认证用户的最大HTTP会话数49. 未认证的用户在访问网络资源时，用户PC会发出HTTP会话连接请求，HTTP报文会被接入设备拦截，并通过重定向要求用户进行Web认证。为了防止同一个未认证用户发起过多的HTTP连接请求，以节约接入设备的资源，需要在接入设备上限制未认证用户的最大HTTP会话数。50. 由于用户在认证时，会占用一个HTTP会话，而用户的其他应用程序也可能占用着HTTP会话，因而不建议设置未认证用户的最大HTTP会话数为1。缺省情况下，未认证用户的最大HTTP会话数为255。51. 要更改未认证用户的最大HTTP会话数，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect session-limit session-num port port-session-num设置每个未认证的最大HTTP全局会话数为session-num，取值范围1-255。设置每个未认证的最大HTTP端口会话数为port-session-num，取值范围1-300Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。52. 如果要恢复未认证用户的最大HTTP会话数为3，在全局配置模式下，使用no http redirect session-limit。53. 配置举例：54. # 设置未认证用户的最大HTTP会话数为4。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect session-limit 4Ruijie(config)# show http redirect& 说明如果一个用户在进行Web认证时，出现经常无法弹出认证页面的情况，则很可能是受到最大HTTP会话数的限制了。此时，应该建议用户暂时关闭一些可能会占用HTTP会话的应用程序，然后再进行Web认证。3. 21.4.3 设置维持重定向连接的超时时间55. 设置维持重定向连接的超时时间。因为未认证的用户通过HTTP访问网络资源时，其TCP连接请求将被拦截，实际上是与接入设备建立起TCP连接。在连接建立后，接入设备需要等待用户发出的HTTP的GET/HEAD报文，然后回复HTTP重定向报文后才能关闭连接。设置这个限制可以防止用户不发GET/HEAD报文，而又长时间占用TCP连接。缺省情况下，维持重定向连接的超时时间为3秒。56. 要更改维持重定向连接的超时时间，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect timeout seconds 设置维持重定向连接的超时时间（秒）；seconds，取值范围1-10。Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。57. 如果要恢复维持重定向连接的超时时间为3秒，在全局配置模式下，使用no http redirect timeout。58. 配置举例：59. # 设置维持重定向连接的超时时间为4秒。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect timeout 4Ruijie(config)# show http redirect4. 21.4.4 设置免认证的网络资源范围60. 在端口上启动Web认证后，未认证用户需先通过Web认证，才能访问网络资源。如果允许未认证用户，也可以访问一些免认证的网络资源，需要使用此命令设置免认证的网络资源。设置了免认证的网络资源，如果某网站属于免认证的网络资源，那么所有用户（包括未认证用户）都可以访问该网站。缺省情况下，没有设置免认证的网络资源，未认证用户不能访问网络资源。61. 要设置免认证的网络资源，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# http redirect direct-site ip-address ip-mask arp设置免认证的网络资源，最大允许配置50个。如果接入设备启用了ARP CHECK功能，那么需要对免认证的网络资源范围进行ARP绑定，需要配置arp关键字。Step 3Ruijie(config)# show http redirect查看HTTP重定向的配置。62. 如果要取消设置免认证的网络资源，在全局配置模式下，使用no http redirect direct-site ip-address ip-mask arp。63. 配置举例：64. # 设置校园网内某免费网址172.16.x.x为免认证的网络资源。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# http redirect direct-site 65. Ruijie(config)# show web-auth& 说明设置免认证的网络资源和设置无需认证用户共享资源，这两者总和不能超过50个。此外，实际可用数量也会受其它安全功能占用表项的影响而减少。因此，如果需要设置的地址较多，请尽量使用IP地址+掩码的方式进行设置。对于开启ARP Check情况，需要将二层接入设备下联PC的网关设置为免认证的网络资源。 注意设置免认证的网络资源功能的生效条件如下：1. 在Web认证受控口上生效；2. 全局打开支持SU客户端下载功能后，在802.1x受控口上生效（具体详见“802.1X配置”中相关的章节）；3. 其他情况均不生效；4. 不受GSN、ACL设置影响，即无法使用GSN阻断或使用ACL过滤该免认证的IP地址；5. 21.4.5 设置在线用户信息的更新时间间隔66. 接入设备维护着在线用户信息，接入设备需要定时地更新在线用户信息，包括在线时间等，以监控在线用户使用网络资源的情况，比如：用户的在线时间大于或等于在线时限，该用户会被停止使用网络。缺省情况下，接入设备每60秒更新一次在线用户的信息。67. 要更改在线用户信息的更新时间间隔，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# web-auth update-interval seconds设置在线用户信息的更新时间间隔为seconds秒，取值范围30-3600秒。Step 3Ruijie(config)# show web-auth查看Web认证全局配置信息和统计信息。68. 如果要恢复在线用户信息的更新时间间隔为60秒，在全局配置模式下，使用no web-auth update-interval。69. 配置举例：70. # 设置在线用户信息的更新时间间隔为30秒。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# web-auth update-interval 30Ruijie(config)# show web-auth6. 21.4.6 设置无需认证用户IP范围71. 如果用户属于无需认证用户IP范围，那么该用户不需要通过Web认证，也能访问所有可达的网络资源。缺省时，没有设置无需认证用户，所有用户都必须先通过Web认证，才能访问网络资源。72. 要设置无需认证用户，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# web-auth direct-host ip-address ip-mask port interface-name arp设置无需认证用户，最大允许配置50个。如果设置了port选项，则将用户IP与接入设备的端口进行绑定。如果接入设备启用了ARP CHECK功能，那么需要对免认证的用户IP范围进行ARP绑定，需要配置arp关键字。Step 3Ruijie(config)# show web-auth查看Web认证全局配置信息和统计信息。73. 如果要取消无需认证的用户，在全局配置模式下，使用no web-auth direct-host ip-address ip-mask。74. 配置举例：75. # 设置IP地址为的用户为无需认证的用户。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# web-auth direct-host Ruijie(config)# show web-auth 注意设置无需认证用户功能的生效条件如下：1. 在Web认证受控口上生效；2. 其他情况均不生效；3. 不受GSN、ACL设置影响，即无法使用GSN阻断或使用ACL过滤该用户的IP地址；7. 21.4.7 设置用户下线检测模式76. 设置可以基于流量来检测用户是否下线，如果在15分钟内，用户流量都没有增加，则认为用户下线。此命令仅用来辅助检测用户是否下线，会存在一些误检的风险。77. 当前检测用户是否下线有以下三种方式：78. 1) 用户点击认证页面上的“下线”按钮；79. 2) 基于链接的检测模式，当接入设备检测到用户端口LinkDown后，在1分钟内没有再次检测到用户端口LinkUp，则认为用户下线；80. 3) 基于用户流量的检测模式，在15分钟内用户流量没有增加，则认为用户下线；81. 这三种方式中，1）和2）都是强制检测，3）是可选检测。即在默认情况下，是通过1）和2）来检测用户是否下线。缺省时，没有设置基于流量来检测用户是否下线。82. 要设置无需认证用户，请按照如下步骤：命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# web-auth offline-detect-mode flow设置基于流量检测用户是否下线。Step 3Ruijie(config)# show web-auth查看Web认证全局配置信息和统计信息。83. 如果关闭基于用户流量来检测用户是否下线，在全局配置模式下，使用no web-auth offline-detect-mode flow。84. 配置举例：85. # 设置基于用户流量来检测用户是否下线。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# web-auth offline-detect-mode flowRuijie(config)# show web-auth5. 21.5 显示Web认证配置和状态86. 以下章节描述如何查看Web认证的配置和状态：13. n 查看HTTP重定向的配置14. n 查看免Web认证的用户范围15. n 查看接口上的Web认证配置信息16. n 查看Web认证用户的信息1. 21.5.1 查看HTTP重定向的配置在特权模式下使用如下命令查看HTTP重定向的配置：命令作用Step 1Ruijie# show http redirect查看HTTP重定向的配置。以下例子是查看HTTP重定向的配置：Ruijie# show http redirectHTTP redirection settings: server: 23 port: 80 8000 homepage: 23:8888/ePortal/index.jsp session-limit: 10 timeout: 5Direct sites: Address MASK ARP Binding - - - 15 55 On 20 55 Off 40 55 Off 01 Off 01 55 OffDirect hosts: Address Mask Port ARP Binding - - - - 55 Fa0/1 On2. 21.5.2 查看免Web认证的用户范围在特权模式下使用如下命令查看免Web认证的用户范围：命令作用Step 1Ruijie# show web-auth direct-host查看免Web认证的用户范围。以下例子是查看免Web认证的用户范围：Ruijie# show web-auth direct-hostdirect-host Address Mask Port ARP Binding - - - - 55 Fa0/2 On 1 55 Fa0/10 On Fa0/16 Off3. 21.5.3 查看接口上的Web认证配置信息在特权模式下使用如下命令查看接口上的认证配置信息：命令作用Step 1Ruijie# show web-auth port-control接口上的认证配置信息。以下例子是查看接口上的认证配置信息：Ruijie# show web-auth port-controlPort Control- - FastEthernet 0/1 On FastEthernet 0/2 Off FastEthernet 0/3 Off .4. 21.5.4 查看Web认证用户的信息在特权模式下使用如下命令查看所有用户或是指定用户的在线信息：命令作用Step 1Ruijie# show web-auth user ip-address查看所有用户或是指定用户的在线信息。以下例子是查看所有用户或是指定用户的在线信息：Ruijie# show web-auth user Current user num : 4 Address Online Time Limit Time Used Status - - - - - 1 On 0d 01:00:00 0d 00:15:10 Active 3 On 0 0d 00:00:59 Active 5 Off 0 0 Create 6 Off 0d 01:00:00 0d 01:00:00 DestroyRuijie# show web-auth user 1 Address : 1 Mac : 00d0.f800.2233 Port : Fa0/2 Online : On Time Limit : 0d 01:00:00 Time Used : 0d 00:15:10 Time Start : 2009-02-22 20:05:10 Status : Active6. 21.6 配置支持中国移动定制Web认证87. 中国移动客户定制Web认证功能，在客户端接入无线网路时，经接入设备HTTP重定向后，由portal服务器提供认证Web页面，并与接入设备进行