锐捷AP内置web认证

锐捷认证客户端无线认证功能使用说明一、限制列表锐捷网络RG-Supplicant（下文简称Su）软件从Su3.63版本开始支持无线认证功能。

此功能要依赖微软操作系统的相关无线组件，微软公司不同版本操作系统的无线组件功能上稍有差别，Su的无线功能对操作系统的依赖列表如下：A、Windows XP sp2系统可以使用Su的无线认证功能，但需要确保安装微软msxml6.msi补丁以及WindowsXP-KB918997-v6补丁，在使用Su的无线功能前还需要确保开启Wireless Zero Configuration服务，并确保此服务能正常使用。

B、Windows XP sp3系统不需要安装无线补丁即可使用Su的无线认证功能。

但要确保开启Wireless Zero Configuration服务，并确保此服务能正常使用。

C、Vista以及Vista Sp1系统默认就支持无线认证，不需要额外安装补丁，但需要确保WLAN AutoConfig服务被开启，并且此服务能正常使用。

D、Su的无线认证功能不支持在Windows 2000、XP（无补丁）、XP sp1以及Windows2003系统下使用。

Su支持的无线网络认证类型为WPA- Enterprise 以及WPA2- Enterprise，不支持共享式（WPA-Personal、WPA2-Personal）无线连接，开放式无线认证方案请使用原有的EAP-MD5进行认证，结合无线网络功能所支持的无线802.1x认证类型固定为PEAP-MSCHAPv2认证，暂不支持证书认证。

安全的无线认证功能不支持使用中文用户名以及中文服务名进行认证(Su以及微软操作系统自带无线客户端均不支持中文用户名认证)，这一点要同有线认证功能区分开。

原有的开放式无线认证支持使用中文用户名以及服务名进行认证。

二、无线客户端的使用方法Su在发到用户手上的时候，无线网络一般情况下是被定制好的，用户只需按照安装时的提示要求进行安装，然后重启系统即可使用。

OpenPortalServer开源Portal协议WEB认证服务器作者：LeeSonQQ:25901875E-Mail:LeeSon@OpenPortal官方交流群119688084该软件是基于华为AC/BAS PORTAL协议的服务端程序，Java编写，开源。

最新源代码下载地址：https:///lishuocool https:///SoftLeeSon/支持Huawei H3C Portal V1 V2协议PAP CHAP认证方式的Portal服务器-------------------------------------------------------------------------------------------新手安装配置说明：-------------------------------------------------------------------------------------------windows环境下：1.首先保证已有JDK1.7环境，MySQL环境,tomcat72.解压路径无中文及空格3.配置文件说明\webapps\ROOT\WEB-INF\classes\jdbc.properties首先修改该数据库配置文件创建openportalserver数据库UTF-8字符集导入数据库文件OpenPortalServer.sql后台账号：admin 密码:admin4.配置AC设备安装和配置Radius服务如果使用AC模拟器进行模拟测试则可忽略这步如果使用页面展示、本地接入用户认证方式不用配置radius5.运行bin/startup.bat 快捷方式6.浏览器http://服务器IP7.如果使用AC模拟器测试用户名密码随意如果真实环境（不用我废话了）-------------------------------------------------------------------------------------------Linux环境: 安装jdk1.7 mysql tomcat7 将解压目录下的webapps目录替换对接配置说明：超时设置3-5秒日志记录是否输出详细日志到文件验证码设置是否开启用户登陆的验证码用户心跳是否进行用户离线检测超时重复次数一次检查周期内用户在线检测超时几次算已经下线计费检测周期间隔多长时间检测一次用户是否在线，余额是否够认证方式页面展示,本地接入用户,外接radius自助注册开关是否允许自助注册接入用户，默认每个新用户给10分钟的时长设备账号对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain设备密码对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain-------------------------------------------------------------------------------------------本地用户认证模式则下面交换机不用设置[SWITCH] domain 设备账号密码就是交换机的账号密码-------------------------------------------------------------------------------------------以华为S5700交换机为例，配置信息详细说明：交换机配置如下配置步骤步骤1创建VLAN 并配置接口允许通过的VLAN，保证网络通畅。

锐捷网络认证系统使用说明
一、认证登陆
1.连接校园网，打开浏览器，会自动弹出上网认证界面，如果没有弹出，您可以输入http://10.100.10.251或http://1.1.1.1。

2.输入用户名和密码。

用户号是您的工号，密码默认为身份证后6位（X用数字0代替）。

服务选择“校园网络CampusNetwork”，单击“连接Login”即可。

二、密码修改
登陆后，单击界面左上角的“自动服务”，再找到“密码修改”链接，修改密码即可。

密码应具有一定的复杂度，并保管好密码。

三、密码重置
方法一：自助找回。

您事先要在自助服务平台（http://10.100.10.250:8080）上的安全中心登记您的邮箱，在忘记密码时就可以在登录界面使用“找回密码”功能，自行重置密码。

方法二：持身份证等有效证件到东区逸夫楼608现代教育技术中心办公室办理重置手续。

如何使用锐捷认证无线上网
锐捷认证是一种常见的无线上网认证方式，许多学校、企事业单位和公共场所都采用这种认证方式来保障网络安全。

本文将详细介绍如何使用锐捷认证无线上网。

第一步：打开无线网络连接
首先，在电脑或移动设备中打开无线网络连接，找到可用的无线网络列表。

第二步：选择要连接的网络
在无线网络列表中，找到并选择要连接的锐捷认证无线网络。

通常，这些网络名称(SSID)前面会标有锐捷或学校/公司名称，并且可能需要输入账号和密码才能连接。

第三步：打开浏览器
第四步：输入账号和密码
第五步：点击认证按钮
输入完账号和密码后，点击认证按钮进行认证。

如果账号和密码正确且网络正常，您将会被成功认证并获得访问网络的权限。

第六步：备注或保存认证信息
一些锐捷认证系统可能会要求用户选择是否保存认证信息或备注个人设备名称。

这样，在下次连接同一个网络时，可以直接选择之前保存的认证信息，而无需重复输入账号和密码。

第七步：浏览网络
温馨提示：
1.锐捷认证无线上网通常会在一段时间后自动断开连接，因此，如果
网络中断，请重新进行认证并重新连接网络。

总结：
使用锐捷认证无线上网并不复杂，只需要按照以上步骤进行操作即可。

锐捷认证是一项重要的安全措施，可以保护无线网络免受未经授权的访问
和攻击。

配置指南-安全本分册介绍安全配置指南相关内容，包括以下章节：1. AAA2. RADIUS3. TACACS+4. 802.1x5. Web认证6. SCC7. 全局IP+MAC绑定8. PASSWORD-POLICY9. 端口安全10. STORM CONTROL11. SSH12. URPF13. CPP14. DHCP Snooping15. DHCPv6 Snooping16. ND Snooping17. ARP Check18. DAI19. IP Source Guard20. IPv6 Source Guard21. SAVI22. 防网关ARP欺骗23. NFPP24. DoS保护25. Snooping跨设备同步1 AAA1.1 概述AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。

AAA以模块方式提供以下服务：认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local（本地）等。

身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。

授权：授权用户可使用哪些服务。

AAA授权通过定义一系列的属性对来实现，这些属性对描述了用户被授权执行的操作。

这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

记账：记录用户使用网络资源的情况。

当AAA记账被启用时，网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。

每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用户名身份认证、线路密码身份认证等。

RG-RAP1200(FE)无线设备文档版本 V1.0 归档日期 2021-12-15版权声明copyright © 2021 锐捷网络保留对本文档及本声明的一切权利。

未得到锐捷网络的书面许可，任何单位和个人不得以任何方式或形式对本文档的部分或全部内容进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

、、和其他锐捷网络商标均为锐捷网络的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

免责声明您所购买的产品、服务或特性等应受商业合同和条款的约束，本文档中描述的部分或全部产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，锐捷网络对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

锐捷网络保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。

本手册仅作为使用指导。

锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

前言读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●锐捷睿易官方网站：https:///●锐捷睿易在线客服：https:///?p=smb●锐捷网络官方网站服务与支持版块：https:///service.aspx●7天无休技术服务热线：4001-000-078●锐捷睿易技术论坛：/●常见问题搜索：https:///service/know.aspx●锐捷睿易技术支持与反馈信箱：*********************.cn●锐捷网络服务公众号：【锐捷服务】扫码关注本书约定1. 图形界面格式约定界面图标解释举例《》按钮点击《保存配置》按钮> 分级页面，子菜单项依次点击“无线管理 > 无线设置”“”配置项，提示信息，链接按钮等提示“保存配置成功” 点击“开启”选项点击“忘记密码”链接2. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：警告表示用户必须严格遵守的规则。

:8080/c8/OT82JSMlIWgnai4g.html锐捷划分vlan视频/v_show/id_XMTE5MzM0NTE2.html锐捷路由器telnet远程登录配置s29>ens29#cons29(config)#enable service web-server --全局开启web功能s29(config)# int vlan 1s29(config-if)# ip add 192.168.1.254 255.255.255.0--配置管理地址,假设管理vlan为1，管理地址为192.168.1.254s29(config-if)#no shuts29(config-if)#exits29(config)#enable secret level 15 0 ruijie --配置特权密码,假设密码为ruijie s29(config)#ends29#wr可选配置:s29(config)# username ruijiersc password ruijiersc --配置登录用户名和密码s29(config)# username ruijiersc privilege 15 --给用户名ruijiersc赋予管理员权限s29(config)# ip http authentication local --采用本地配置的用户名密码登录webs29(config)# ip http port 8080 --配置web登录端，本示例采用8080若不想采用本地用户名密码认证，则做如下配置:s29(config)#no ip http authentication或者s29(config)# ip http authentication enable设备登录：1) 浏览器中输入管理地址，提示如下界面：2)输入特权密码，用户名任意。

配置本地认证时，输入配置的用户名密码。

3)Web界面显示注意：目前支持web管理的交换机包括S23系列，S26系列，S27系列，S29系列，支持版本为10.2（4）及以上版本。

锐捷无线网络身份认证方案一、面临挑战无线局域网络产业发展、技术革新及大量WiFi移动终端设备的出现，促使企业的工作方式向移动化转型，随之涌现出大量部署在移动终端上的企业应用，无线网络上承载了越来越多的关键应用。

这在提高企业生产效率的同时，也对无线网络的安全性提出了更高要求。

在大型连锁商业机构中，如联合办公、Shopping Mall、银行网点、多分支连锁门店，过去分布式无线网络架构互相协调能力差、用户难以做统一的身份认证及访问权限控制，所带来的管理和安全上的缺陷越来越明显。

而无线网络用户却期待在各种场景下，包括办公室、生产线、仓库、园区、联合办公空间、连锁商超、跨区域网点等中都能获得便捷的访问体验，实现SSO 单点登录及全网漫游。

面对以上问题，为向集中式无线控制管理模式转型、降低运营维护成本、加固无线网络的安全性、优化移动终端接入体验，多分支企业商业对实现总部及分支的无线网络统一认证的需求也变为刚性。

二、解决方案1. 锐捷无线网络身份认证解决方案概述宁盾锐捷无线网络身份认证方案是一个轻量级、中心化的无线Portal接入认证服务平台。

支持多分支统一接入，通过在数据中心部署一套宁盾一体化无线认证平台，结合锐捷无线设备，建立多分支统一认证中心。

总部集中式控制，分支个性化运营，总部至分支可无线漫游，让用户在任何节点、任何时间都可以获得同样便捷的信息接入和快速响应，有效提高业务的灵活性和竞争力。

另外可保证跨地域漫游用户与无线网内部用户的逻辑隔离，允许无线漫游访问的同时，有效提高业务的安全性。

它提供了健全的无线身份认证访问控制，防止未经授权用户的接入，而对合法接入的用户基于其身份做访问权限控制，实现所有类型无线用户集中化认证及管理。

用户认证成功后，由宁盾一体化无线认证平台将用户的访问权限下发到锐捷无线设备上，实现用户接入锐捷无线网络后只能访问指定资源，同时和上网行为管理设备联动，实现用户上网行为可实名审计，保障网络信息资源的安全。

4 管理4.1 RIPT（边缘智能感知）4.1.1 非认证模式4.1.2 WEB认证模式4.2 Band Select 5G优先接入AC L3sw POE AP1STA1G0/5 G0/21测试说明（含经验、教训、建议、小技巧、注意事项）：备注：4.3 用户管理4.3.1 同区域有相同使用需求的用户终端统一接入到相同的AP上AC L3sw POE AP2从STA G0/6AP3AP1G0/7主STA从STA，地址段为10.1.1.0/24给三个AP下发不同的ssid，使得都能够接入sta AC 上配置：vlan 19704.3.2 基于用户数的负载均衡AC L3sw POE AP2STA2G0/6AP1STA1相连，连入AC。

4.3.3 基于流量的负载均衡AC L3sw POE AP2STA2G0/6AP1STA1相连，连入AC。

配置要点说明：测试参考数据：补充测试图片等直观数据，若无留空4.4 公平调度开启公平调度结果如下测试说明（含经验、教训、建议、小技巧、注意事项）：4.5 Qos 限速功能4.5.1 Qos 限速功能（基于wlan 、ap 和用户）ACL3sw POEAP1STA2G0/5STA1PCG0/21测试参考数据：补充测试图片等直观数据，若无留空4.6 远程探针STA1POEPCGi 0/1Gi 0/1Fa 0/2Fa 0/24Fa 0/5AP2Fa 0/6测试步骤：4.7 RF PingSTAAC POEFa 0/2Fa 0/5测试步骤：4.8 射频资源管理(RRM)4.8.1 支持信道自动调整4.8.1.1 支持非wifi 信号干扰检测并调整信道 ACPOEFa 0/2Fa 0/5AP2Fa 0/6测试步骤：4.8.1.2 支持友商AP识别ACPOEFa 0/2Fa 0/5AP2Fa 0/6友商AP测试步骤：4.8.2 支持功率自动调整ACPOEFa 0/2Fa 0/5AP2Fa 0/64.9 AP接入管理4.9.1 通过AP的MAC地址进行AP设备合规性检查4.9.2 通过密码、证书、序列号方式进行ap接入认证4.10 非法AP有线端口检测。

功能介绍:Web认证就是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。

未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。

在指定的web站点进行认证操作。

锐捷Web认证有2个版本,不同版本的Web认证流程不同,我们将其分别称为锐捷一代Web认证与锐捷二代Web认证。

此外我司在设备端也实现了一个简易版的portal服务器功能,称为内置web认证。

适用场景说明Web认证就是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。

适合无线终端不想或不能安装认证客户端(特别就是手机、平板电脑等)但就是又想对网络中的客户做准入控制优点:无线终端不需要安装客户端,使用web浏览器即可缺点:需要增加radius服务器(用于储存客户端用户名与密码的设备)、内置portal服务功能比较弱一、组网需求客户需要通过使用AP内部提供的页面对无线用户进行认证,启用AP内置Web认证功能。

网络中没有radius服务器,认证账号也创建在AP上。

二、组网拓扑三、配置要点部署web认证前,请确保前期网络部署已经完成,数据通信都正常。

下面的配置只截取的web认证的相关配置1、启用内置portal AAA认证2、配置本地帐号3、放通网关与sta的arp报文4、开启内部重定向端口5、在AP上对wlan1开启web认证四、配置步骤1、启用内置portal AAA认证ruijie#config terminalruijie (config)#aaa new-model ------>启用AAA认证功能ruijie (config)#aaa accounting network default start-stop none ------>关闭审计功能ruijie (config)#aaa authentication iportal default local ------>内置portal使用本地账号认证,local表示本地2、配置本地帐号ruijie (config)#username ruijie password ruijie ------>配置本地帐号ruijie,密码ruijie。

OpenPortalServer 开源Portal协议WEB认证服务器作者：LeeSonQQ:25901875E-Mail:LeeS on@ OpenPortal 官方交流群119688084该软件是基于华为AC/BAS PORTA协议的服务端程序，Java编写，开源。

最新源代码下载地址：https:///lishuocool https://git.oschi na. net/SoftLeeS on/ 支持Huawei H3C Portal V1 V2 协议PAP CHAP认证方式的Portal服务器新手安装配置说明: windows环境下：1.首先保证已有JDK1.7环境，MySQL环境，tomcat72.解压路径无中文及空格3.配置文件说明\webapps\ROOT\WEB-INF\classes\jdbc.properties首先修改该数据库配置文件创建openportalserver数据库UTF-8字符集导入数据库文件Ope nPortalServer.sql后台账号：admin 密码:admin4.配置AC设备安装和配置Radius服务如果使用AC模拟器进行模拟测试则可忽略这步如果使用页面展示、本地接入用户认证方式不用配置radius5.运行bin/startup.bat 快捷方式6.浏览器http://服务器IP7.如果使用AC模拟器测试用户名密码随意如果真实环境（不用我废话了）Linux环境：安装jdk1.7 mysql tomcat7 将解压目录下的webapps目录替换对接配置说明:超时设置3-5秒日志记录是否输出详细日志到文件验证码设置是否开启用户登陆的验证码用户心跳是否进行用户离线检测超时重复次数一次检查周期内用户在线检测超时几次算已经下线计费检测周期间隔多长时间检测一次用户是否在线，余额是否够认证方式页面展示，本地接入用户，外接radius自助注册开关是否允许自助注册接入用户，默认每个新用户给10分钟的时长设备账号对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain设备密码对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain1■•色的■srflM■rrnwR■卡・：a卓定■为帚麻Mhf »JME||rA Anol*-v (BASUPW 101BAi - «DOG=M ・SUMC 19216・2 ioo，u・・ SuKf 川nd・2 hrw ・・・OpenPortalServer网络接入认证系统OpenPortalServer网络接入认证系统(!)■ ±MWAaUM0 O»MPortal RMIAVUM0 OpMPortal RiMAWUMII*'®C 19216・2 IOOX>・肿lo<).rKW<n •[S991—面交换机不用设置 [SWITCH] domain 设备账号密码以华为 S5700 交换机为例，配置信息详细说明：交换机配置如下配置步骤步骤 1创建VLAN 并配置接口允许通过的VLAN ,保证网络通畅。

RGOS™用户配置指导手册WEB配置目录第一章Web配置指导 (3)1.1 进入Web管理 (3)1.2 Web管理设置 (4)1.3 各个菜单项说明 (6)1.3.1 快速配置 (6)1.3.1.1 快速配置 (6)1.3.2 接口设置 (11)1.3.2.1 LAN口设置 (11)1.3.2.2 WAN口设置 (13)1.3.2.3 公网模式配置 (14)1.3.2.4 端口监控 (14)1.3.2.5 WAN口线路检测 (15)1.3.2.6 电信网通线路选择 (16)1.3.3 网络安全 (17)1.3.3.1 防火墙设置 (17)1.3.3.2 病毒防御 (19)1.3.3.3 防攻击 (20)1.3.3.4 Telnet/Web访问保证 (22)1.3.3.5 WEB端口配置 (22)1.3.4 ARP安全 (23)1.3.4.1 免费ARP设置 (23)1.3.4.2 可信任ARP设置 (24)1.3.4.3 ARP表 (24)1.3.4.4 ARP欺骗嫌疑主机设置 (27)1.3.5 网络选项 (27)1.3.5.1 DNS设置 (27)1.3.5.2 路由设置 (28)1.3.5.3 负载均衡 (29)1.3.5.4 NAT参数设置 (30)1.3.5.5 域名过滤 (31)1.3.5.6 端口映射 (32)1.3.5.7 时间段设置 (34)1.3.6 带宽控制 (35)1.3.6.1 帮助指南 (35)1.3.6.2 WAN口线路限速 (36)1.3.6.3 游戏识别列表 (42)1.3.6.4 p2p阻断设置 (43)1.3.6.5 流量统计 (45)1.3.7 DHCP服务 (47)1.3.7.1 配置DHCP服务器 (47)1.3.7.2 配置静态IP绑定 (48)1.3.7.3 DHCP服务－查看状态 (49)1.3.8 系统设置 (49)1.3.8.1 系统日期设置 (49)1.3.8.2 恢复出厂设置 (50)1.3.8.3 重启路由器 (50)1.3.8.4 日志服务 (51)1.3.8.5 系统口令设置 (51)1.3.9 系统状态 (52)1.3.9.1 NAT会话数 (52)1.3.9.2 系统信息 (53)1.3.9.3 接口信息 (53)1.3.9.4 日志信息 (54)1.3.9.5 导入导出配置 (54)1.3.10 联动配置 (56)1.3.10.1 联动交换机配置V1版本 (56)1.3.10.2 联动交换机配置V2版本 (58)1.3.10.3 配置联动的交换机 (60)1.3.10.4 安全地址绑定 (75)1.3.10.5 操作重要提示 (76)1.3.11 系统升级 (77)1.3.11.1 HTTP本地升级 (77)1.3.11.2 HTTP远程升级 (78)1.3.11.3 版本主要新功能说明 (82)第一章 Web配置指导本章节说明使用Web管理界面的方法，您可以使用这个Web管理界面来管理您的路由器的常用功能。

Ruijie Reyee Series Access Points Web-Based Configuration Guide_R61Copyright StatementRuijie Networks©2021Ruijie Networks reserves all copyrights of this document. Any reproduction, excerption, backup, modification, transmission, translation or commercial use of this document or any portion of this document, in any form or by any means, without the prior written consent of Ruijie Networks is prohibited.Exemption StatementThis document is provided “as is”. The contents of this document are subj ect to change without any notice. Please obtain the latest information through the Ruijie Networks website. Ruijie Networks endeavors to ensure content accuracy and will not shoulder any responsibility for losses and damages caused due to content omissions, inaccuracies or errors.PrefaceThank you for using our products.AudienceThis manual is intended for:●Network engineers●Technical support and servicing engineers●Network administratorsObtaining TechnicalAssistance●Ruijie Networks Website: https:///●Technical Support Website: https:///support ●Case Portal: https://●Community: https://●Technical Support Email: *****************************●Skype: *****************************Related DocumentsConventionsThis manual uses the following conventions:Configuration Guide Overview 1 OvervieweWeb is a Web-based network management system that manages or configures devices. You can access eWeb via browsers such as Google Chrome.Web-based management involves a Web server and a Web client. The Web server is integrated in a device, and is used to receive and process requests from the client, and return processing results to the client. The Web client usually refers to a browser, such as Google Chrome IE, or Firefox.1.1 ConventionsIn this document, texts in bold are names of buttons (for example, OK) or other graphical user interface (GUI) elements (for example, DHCP Security).2 Configuration Guide2.1 PreparationScenarioAs shown in the figure below, an administrator can access the device from a browser and configure the device through the eWeb management system.Figure 2-1-1 Data Exchange PrincipleDeliver or requestcommandsthrough AJAX.Administrator Return dataWebserviceDeviceDeployment↘Configuration Environment RequirementsClient requirements:●An administrator can log into the eWeb management system from a Web browser to manage devices. The client refersto a PC or some other mobile endpoints such as laptops or tablets.●Google Chrome, Firefox, IE10.0 and later versions, and some Chromium-based browsers (such as 360 ExtremeExplorer) are supported. Exceptions such as garble or format error may occur if an unsupported browser is used.●1024 x 768 or a higher resolution is recommended. If other resolutions are used, the page fonts and formats may not bealigned and the GUI is less artistic, or other exceptions may occur.●The client IP address is set in the same LAN network as the device IP address, such as 192.168.120.X. The subnetmask is 255.255.255.0. The default management address of the device is 192.168.120.1. Alternatively, you can set the IP assignment mode to Obtain an IP address automatically.Server requirements:●You can log into the eWeb management system through a LAN port or from Ruijie Cloud on an external network.●The device is enabled with Web service (enabled by default).The device is enabled with login authentication (enabled by default).To log into the eWeb management system, open the Google Chrome browser, and enter 192.168.120.1 into the address bar, and press Enter .Figure 2-1-2 Login PageEnter the password and click Login .2.2 Network SetupYou will enter the Network Setup page without login at initial setup.2.2.1 Discover DeviceThe page displays online device count and network status.You can add the device to My Network before configuring the network. If the device works in the standalone mode, this feature is not supported.Figure 2-2-1 Discover Device2.2.2 Add to My NetworkSelect the target device and click Add to My Network. If the target device is not configured yet, you can add the device directly without a password.Figure 2-2-2 Add Device to My Network2.2.3 Create Network & ConnectIf the device is configured for the first time, the network name, management password and SSID are required. If the device is already configured, the management password will not be displayed here. You can navigate to Network> Password to change the management password.If the device is detected disconnected to Ruijie Cloud, the Ruijie Cloud page will be embedded for you to bind your account after the device accesses the Internet successfully. If the device is already connected to Ruijie Cloud, the eWeb homepage will be displayed after this step.Figure 2-2-3 Create NetworkClick Create Network & Connect, and it takes about 60 seconds to deliver and activate settings. The following message will appear after Internet connection is set up.Figure 2-2-4 Connect to InternetIf the Internet connection failed, please follow the instruction in the prompt message.Figure 2-2-5 Failed Connection2.2.4 Cloud ServiceThe Network Setup module requires a Ruijie Cloud account. If you are a new user, please register an account first at the Ruijie Cloud website.Figure 2-2-6 Log In with Ruijie Cloud AccountIf the device works in the standalone mode, log in and the account will be bound with Ruijie Cloud automatically. If the device works in the self-organizing network mode, the following page will appear.Figure 2-2-7 Select TemplateFigure 2-2-8 Confirm Device StatusFigure 2-2-9 Enable ServicesClick Apply Config. The following page will appear after configuration is delivered successfully.Figure 2-2-10 CompleteAfter the above step, click Ruijie Cloud to configure the device on Ruijie Cloud. Then exit from Ruijie Cloud and enter the eWeb page again.Upon the configuration, check the network and wireless settings of each device for consistency.2.3 Work ModeThe eWeb menu varies with different work modes. The EG device works in the Router mode and the EAP device works in the AP mode by default. The work mode is displayed on the Route > Overview page.Figure 2-3-1 Device OverviewFigure 2-3-2 Work Mode2.3.1 Router ModeThe Router mode indicates NAT forwarding.The EG device in the Router mode of a router contains networking, network setup and routing features including VPN and behavior management.The AP in the Router mode contains networking, network setup and some radio features.2.3.2 AP ModeThe AP mode refers to fit AP mode. All WAN ports are enabled with DHCP by default. You can configure a WAN port with a static IP address or enable PPPoE manually.2.4 Self-Organizing NetworkClick the current work mode, and the following page will appear. You can enable or disable self-organizing network here.Figure 2-4-1 Self-Organizing Network2.4.1 EnableIf self-organizing network is enabled, the device in the network will be discovered and discover other devices. These devices will form a network and be synchronized with network settings.The menu on the left contains all network settings, including wireless management, switch management and system management.Figure 2-4-2 Enable Self-Organizing NetworkIf there is a wireless router enabled with self-organizing network in the network, the Router module will appear in the menu on the left. Click Router , and a horizontal menu will be displayed. Figure 2-4-3 Router Menu2.4.2DisableIf self-organizing network is disabled, the device will work in the standalone mode.After self-organizing network is disabled, a horizontal menu will be displayed vertically on the left. Figure 2-4-4 Disable Self-Organizing Network3 eWeb Configuration3.1 OverviewThe Overview page displays login device, wireless information and network status. Figure 3-1 Overview3.2 Basic WirelessThe APs module allows you to group, upgrade and delete APs.Figure 3-2-1 AP ListA. Group ManagementClick Expand, and all groups will be displayed on the left column. You can add, delete, edit and search groups. Up to 8 groups can be added.Figure 3-2-2 Group ManagementB. Advanced Search and List FilterClick Advanced Search, and you can search APs by SN, model, software version, MAC address and IP address.Click List Filter, and you can select columns to be displayed in the list.C. Batch ActionSelect the target devices and click Batch Action. The following actions are available:Figure 3-2-3 Batch ActionUpgrade Device: If there is a new version available, you can upgrade the devices in batches.Delete Device: You can delete the devices in batches.Change Group: You can move the devices from one group to another. The devices will be applied with the new group settings.3.2.1 ConfigurationFigure 3-2-4 ConfigurationSelect the target device and click Manage in the Action column, and the AP management page will be displayed.3.2.2 OverviewThe Overview page displays the information including memory usage, online clients, status, device details, wireless information and interface details.Figure 3-2-5 Overview3.2.3 Basics3.2.3.1 WANThe WAN module allows you to configure WAN settings. WAN settings support multiple lines, and you can configure a specific line as needed.Figure 3-2-6 WAN Settings3.2.3.2 LANThe LAN module contains LAN Settings, Port VLAN, DHCP Clients and Static IP Addresses. LAN SettingsThe LAN module allows you to set the IP address of the LAN port and DHCP status.Figure 3-2-7 LAN SettingsFigure 3-2-8 Add IP AddressIn the AP mode, the Port VLAN function is available on page for the AP supporting Port VLAN. Figure 3-2-9 Port VLAN↘Port VLANThe Port VLAN page displays VLAN information. This page is displayed only when the AP is enabled with port VLAN in the AP mode.Figure 3-2-10 Port VLAN↘DHCP ClientsThe DHCP Clients page displays DHCP clients. This page is displayed only in the router mode.Figure 3-2-11 DHCP ClientsClick Convert to Static IP in the Action column to convert a DHCP-assigned IP address to a static IP address. Alternatively, select DHCP-assigned IP addresses and click Batch Convert to convert more than one IP address.Static IP AddressesThe Static IP Addresses module allows you to add, delete and edit static IP addresses. This page is displayed only in the router mode.Figure 3-2-12 Static IP AddressesClick Add to add a static IP address manually. In the displayed dialog box, configure settings and click OK.Figure 3-2-13 Add Static IP Address3.2.3.3 PoEThe PoE page displays PoE status and power consumption. Figure 3-2-14 PoE3.2.4 Security3.2.4.1 ARP ListThe ARP List page displays ARP entries.Figure 3-2-15 ARP ListClick Add to add an IP-MAC binding. In the displayed dialog box, enter or select an IP address and a MAC address and click OK.Figure 3-2-16 Add IP-MAC Bindingdialog box, click OK. The message "Delete operation succeeded." is displayed.3.2.5 Advanced3.2.5.1 Local DNSThe Local DNS module allows you to configure a local DNS server.Figure 3-2-17 Local DNS3.2.5.2 PoE SettingsThe PoE Settings module allows you to configure the PoE mode.Figure 3-2-18 PoE Settings3.2.5.3 Other SettingsThe Other Settings module allows you to perform other settings, such as Enable RIP&RIPng, Enable Advanced and Disable ICMPv6 Error.Figure 3-2-19 Other Settings3.2.6 Diagnostics3.2.6.1 Network Check Figure 3-2-20 Network CheckClick Start, and click OK in the confirmation box. After the test finishes, the result will be displayed. Figure 3-2-21 ResultIf any problem occurs, the result will be displayed as follows:Figure 3-2-22 Issue & AdvicePlease fix the problem by taking the suggested action.3.2.6.2 AlarmsThe Alarms module allows you to view and manage alarms in the network.Figure 3-2-23 AlarmsClick Unfollow in the Action column to unfollow an alarm. In the confirmation box, click OK. Figure 3-2-24 Unfollow AlarmClick View Unfollowed Alarm, and you can view and follow the alarm again.Figure 3-3-25 Re-follow Alarm3.2.6.3 Network ToolsThe Network Tools module provides the following network tools to detect the network status: Ping, Traceroute, and DNS Lookup.Figure 3-2-26 Ping Test and ResultFigure 3-2-27 Traceroute Test and ResultFigure 3-2-28 DNS Lookup Test and Result3.2.6.4 Fault CollectionThe Fault Collection module allows you to collect faults by one click and download the fault information to the local device. Figure 3-2-29 Fault Collection3.2.7 System3.2.7.1 Session TimeoutThe Session Timeout module allows you to set the session timeout period.Figure 3-2-30 Session Timeout3.2.7.2 Backup & Import & ResetBackup & ImportThe Backup & Import module allows you to import a configuration file and apply the imported settings. It also allows exporting the configuration file to generate a backup.Figure 3-2-31 Backup & ImportRestoreThe Restore module allows you to restore the device to factory settings. Figure 3-2-32 RestorePlease exercise caution if you want to restore the factory settings. Figure 3-2-33 Confirm RestoreClick OK to restore all default values. This function is recommended when the network configuration is incorrect or the network environment is changed.3.2.7.3 UpgradeOnline UpgradeClick Upgrade Now. The device downloads the upgrade package from the network, and upgrades the current version. The upgrade operation retains configuration of the current device. Alternatively, you can select Download File to the local device and import the upgrade package on the Local Upgrade page.Figure 3-2-34 Online UpgradeFigure 3-2-35 Upgrade PromptLocal UpgradeClick Browse to select an upgrade package, and click Upload. After uploading and checking the package, the device displays the upgrade package information and a prompt asking for upgrade confirmation. Click OK to start the upgrade.Figure 3-2-36 Local Upgrade3.2.7.4 RebootThe Reboot module allows you to reboot the device immediately.Figure 3-2-37 RebootClick Reboot, and click OK in the confirmation box. The device is rebooted and you need to log into the eWeb management system again after the reboot. Do not refresh the page or close the browser during the reboot. After the device is successful ly rebooted and the eWeb service becomes available, you will be redirected to the login page of the eWeb management system.3.3 WiFiThe WiFi module allows you to configure WiFi settings for all devices.3.3.1 WiFi SettingsThe WiFi Settings module allows you to configure the primary WiFi.Figure 3-3-1 WiFi Settings3.3.2 Guest WiFiThe guest WiFi is disabled by default. You can enable guest WiFi on this page or homepage.AP isolation is enabled by default and cannot be edited.Set a schedule, and the guest WiFi will be enabled only during this period time. When the time expires, the guest WiFi will be disabled.Figure 3-3-2 Guest WiFiFigure 3-3-3 Enable Guest WiFi3.3.3 WiFi ListThe WiFi List displays all WiFi networks. The primary WiFi is also listed here and cannot be deleted.Figure 3-3-4 WiFi ListClick Add to add a WiFi network. In the displayed dialog box, configure settings and click OK. Figure 3-3-5 Add WiFiYou can click in the upper right corner to see description about each configuration item.3.3.4 Healthy ModeThe Healthy Mode module allows you to enable health mode and set a schedule. Figure 3-3-6 Healthy Mode3.4 Wireless ClientsThe Clients module displays the wireless clients.Figure 3-4-1 Wireless Client ListClick Advanced Search, and you can search clients by SN and MAC address. This is a fuzzy search. You can enter an incomplete MAC address or part of an SN. Figure 3-4-2 Advanced Search3.5 Blacklist/WhitelistThe Blacklist/Whitelist module allows you to configure wireless global or SSID-based client blacklist and whitelist. Blacklist and whitelist can achieve full match or prefix match (OUI).3.5.1 Global Blacklist/WhitelistFigure 3-5-1 Global Blacklist/WhitelistClick Add to add a blacklisted or whitelisted client. In the displayed dialog box, configure settings and click OK.。

密级：公开文档归属：产品管理部使用对象：全员RG-WS6108高性能无线控制器产品介绍V2.3锐捷网络股份有限公司版权所有侵权必究目录1 产品图片 (1)2 产品概述 (2)3 产品特性 (3)4 技术参数 (7)5 订购信息 (11)1 产品图片图1-1RG-WS61082 产品概述RG-WS6108高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6108起始支持32个无线接入点的管理，通过license 的升级，最大可支持320个AP的管理。

RG-WS6108可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6108产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

3 产品特性高智能的无线体验终端智能识别RG-WS6108内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6108协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

锐捷无线AC配置手册21.1理解Web认证21.1.1Web认证概述Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。

未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。

如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。

Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2Web认证基本概念Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。

这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。

例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。

HTTP拦截之后，接入设备需要将用户的HTTP连接请求转向自己，于是接入设备和用户之间将建立起连接会话。

接入设备将利用HTTP 重定向功能，将重定向页面推送给用户，用户的浏览器上将弹出一个页面，这个页面可以是认证页面，也可以是下载软件的链接等等。

在Web认证功能中，连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截，哪些不需要，都是可以设置的。

一般地，未经过认证的用户发出的HTTP请求报文会被拦截，已通过认证的用户将不被拦截。

HTTP拦截是Web认证功能的基础，一旦发生了拦截，就会自动触发Web认证的过程。

21.1.2.2HTTP重定向根据HTTP协议规定，正常情况下，用户的浏览器发出HTTP GET 或HEAD请求报文后，如果接收一方能够提供资源，则以200报文响应，如果本地不能提供资源，则可以使用302报文响应。

哈哈哈哈哈哈哈哈哈哈哈哈哈AC的配置：1.环回口地址2.划分vlan：用户vlan，APvlan和管理vlan可以相同3.管理vlan的IP地址4.设置端口为trunk5.创建信号（wlan-config 1 ruijie）6.创建组（ap-group 组名）7.在组中添加信号（interface-mapping 1 vlan号）8.连接AP，将AP加入组（ap-config，ap-group）9.默认路由的设置10.如果地址在AC上，建立DHCP11.加密（wpa，wpa2，wep）12.Web认证和802.1x认证13.端口的裁剪（进入接口下配置）14.查看ap的配置Show ap-config running15.查看有无发射无线信号telnet到apap（config）：show dot11 mbssid16.无线边缘感知，自愈功能AC（config）：link-check disableAp-config ap1Ac（config-ap）：ript-local17.聚合口配地址先进入聚合口：int a 1 no sw再进入端口划入聚合口：int r g0/1-2No swPort-g 1进入聚合口配地址：int a 1 ip add18.Web认证Aa newAaacc net default start-stop group radiusAaauthe login default localAaauthe enable default enableAaauthe web-auth default group radiusPortal-server eportalv2 ip 172.16.100.100 urlhttp://172.16.100.100:80/ess/webauthservlet Radius dynamic-authorization-extension enableRadius-server host 172.16.100.100 key ruijieRadius-server key ruijieWeb-auth portal key ruijieWeb-abth portal eportalv2http redirect direct-size 8.8.8.8（DNS）http redirect direct-site 用户网关arphttp redirect direct-site 172.16.100.100httpredirect homepage http://172.16.100.100:80/ess/webauthservlethttp redirect port 8081http redirect 172.16.100.100snmp-server host 172.16.100.100 informs version 2c ruijie web-authsnmp-server host 172.16.100.100 traps version 2c ruijiesnmp-sserver enable traps web-authsnmp-server community ruijierwwlansec 1web-auth portal eportalv2webauth注意：本地转发：wlan-config 1 tunnel local交换机改为native vlan 如果是psk加密。

锐捷AP内置web认证内置Web认证配置（本地认证） >>功能介绍：Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。

未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点。

在指定的web站点进行认证操作。

锐捷Web认证有2个版本，不同版本的Web认证流程不同，我们将其分别称为锐捷一代Web认证和锐捷二代Web认证。

此外我司在设备端也实现了一个简易版的portal服务器功能，称为内置web认证。

适用场景说明Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。

适合无线终端不想或不能安装认证客户端（特别是手机、平板电脑等）但是又想对网络中的客户做准入控制优点：无线终端不需要安装客户端，使用web浏览器即可缺点：需要增加radius服务器（用于储存客户端用户名和密码的设备）、内置portal服务功能比较弱一、组网需求客户需要通过使用AP内部提供的页面对无线用户进行认证，启用AP内置Web认证功能。

网络中没有radius服务器，认证账号也创建在AP上。

二、组网拓扑三、配置要点部署web认证前，请确保前期网络部署已经完成，数据通信都正常。

下面的配置只截取的web认证的相关配置1、启用内置portal AAA认证2、配置本地帐号3、放通网关和sta的arp报文4、开启内部重定向端口5、在AP上对wlan1开启web认证四、配置步骤1、启用内置portal AAA认证ruijie#config terminalruijie (config)#aaa new-model ------>启用AAA认证功能ruijie (config)#aaa accounting network default start-stop none ------>关闭审计功能ruijie (config)#aaa authentication iportal default local ------>内置portal使用本地账号认证，local表示本地2、配置本地帐号ruijie (config)#username ruijie password ruijie ------>配置本地帐号ruijie，密码ruijie。