上网行为管理-web认证服务

一、实验拓扑

实验器材

1、H3C AC一台

2、windows10 一台

3、网络net:cloud0

二、实验配置和结果验证

AC配置

在物理主机输入对应的IP地址进入AC的可视化界面

点击网络配置,配置接口

ge0

ge1

点击基础网络配置在接口ge1上DHCP服务

打开策略配置，配置源nat

使用Windows查看是否获取IP地址

Windows主机可以获取IP地址，并且可以正常上网

点击用户管理，配置web认证服务

点击用户管理，配置用户组织结构

配置用户组

配置用户

在认证策略中启用用户组

进入高级选项修改伪portal,使用HTTP 302

使用Windows打开网页则需要登录认证

输入用户名和密码，登录成功后可以继续访问

在认证管理中可以修改认证界面，可以根据喜好进行修改

再次使用Windows访问随机页面，使用抓包工具测试

可以看到Windows和京东服务器进行了tcp的三次握手建立连接

任何开始发送HTTP 请求，服务器并返回HTTP包这个包的状态码为302为重定向

点击这个报文

可以看到location一栏中有IP为192.168.1.254的地址，这个地址是ac的地址

进行分析报文

Windows主机又与192.168.1.254进行三次握手建立连接

通过这个可以推出AC web认证之一伪portal抑制 HTTP 302工作原理

在高级选项中选择htlm-refresh

再次进行抓包

可以看到Windows与服务器建立三次握手之后开始发送HTTP报文

点开服务器回应的报文

可以看到服务器回应的HTTP报文中数据部分包含的HTML代码

<meta http-equiv="refresh" content="0; url='http://192.168.1.254:8008/portal/local/index.html?uplcyid=1&weburl=http%3A%2F%2Fwww.923gw.com%2Fa%2Fjd.php'">

meta 标签作用：http-equiv="refresh" 是 HTTP -equiv 元标签的一种用法，用于控制页面自动刷新或跳转。

content 属性解析：0 表示延迟时间（秒），这里 0 即页面加载后立即执行跳转；

url= 后面是目标跳转地址，浏览器会自动跳转到这个 URL。地址里的 http%3A%2F%2F 是 http:// 的 URL 编码（%3A 对应 :，%2F 对应 / ），实际解码后完整地址是带参数的业务链接，可能用于特定系统的页面跳转、带参数传值等场景（比如企业内网门户、业务系统定向访问 ）。

     通过分析可以得知AC web认证另外一种html-refresh工作原理就是通过html代码重定向到AC对应的认证页面后面就和HTTP 302原理相同

三、实验总结

     本实验通过 H3C AC、Windows 10 主机及 cloud0 网络搭建拓扑，探究 AC 的 web 认证功能及相关机制。

      实验先配置 AC 接口，在 ge1 上启用 DHCP 服务，设置源 NAT，确保 Windows 主机能获取 IP 并正常上网。随后配置用户组织结构、用户组和用户，在认证策略中启用用户组，分别采用伪 portal 的 HTTP 302 和 html-refresh 两种方式进行认证。

     当使用 HTTP 302 时，Windows 访问网页需登录，抓包可见与服务器三次握手后，服务器返回 302 状态码的 HTTP 包，location 指向 AC 地址，Windows 再与 AC 建立连接完成认证。采用 html-refresh 时，服务器回应的 HTTP 报文含 HTML 代码，通过 meta 标签实现 0 秒自动跳转到 AC 认证页面，完成认证。

       实验结果表明，两种方式均能实现 web 认证，验证了 AC web 认证中伪 portal 的 HTTP 302 和 html-refresh 的工作原理，即通过重定向引导主机到 AC 认证页面，完成认证后允许访问网络。