以下是我从锐捷官网找到的:
Web认证:WEB认证是一种基于网页的认证,未认证用户HTTP报文都会被接入NAS设备截获。交换机伪装成用户期望访问的站点,与用户建立TCP连接后,通过HTTP重定向将预先设定好的认证页面推送给用户,eportal服务器携带用户的认证信息,向radius服务器发认证请求,radius 服务器返回认证成功或失败信息,如果认证成功后,由web portal服务器向NAS设备通过SNMP下发IP+MAC或者IP的绑定信息,同时发记账开始信息到radius服务器开始记账,以达到用户在线认证,且不用安装认证客户端的目的。
通过对web认证的上线和下线原理了解到,用户web认证的前提是http报文被拦截,然后通过http重定向到eportal服务器进行认证,前期条件:
1)用户的能够获取IP地址 ---->交换机默认放行DHCP 和DNS报文,只要交换机接口下开启WEB认证,默认交换机会放通DHCP及DNS报文
2)用户有网关的ARP信息(只有有网关的arp信息,才能发出跨网段地址的tcp链接和http请求)并和网关以及eportal通信;PC客户端无法获取网关的ARP信息,从而导致PC无法发出TCP请求,进而无法发出HTTP。这种情况在测试过程中较为常见 ---->配置直通地址(不受802.1x和web认证控制)放行用户网关IP地址和eportal服务器以及非受控站点报文;该直通地址通过匹配报文的目的IP,对某些目的IP为直通地址的IP报文即使未认证也给予放行,同时配置对网关地址的ARP报文放通。
3)用户访问网站的链接能够通过DNS服务器解析成IP地址---->DNS解析正常,交换机默认放行DHCP 和DNS报文,只要交换机接口下开启WEB认证,默认交换机会放通DHCP及DNS报文。