ROS的hotspot认证.docVIP

RouterOS 2.9 HotSpot 使用说明 2007年08月08日 上午 11:35 热点服务认证系统是一种 web 的认证方式，在此种认证方式中，用户可以通过自设 IP 地址或 DHCP 获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。 ????? 基于 web 认证的接入网关要维护一个 IP 地址列表，依照这个表对所有收到的每个 IP 包进行检查，查看 IP 包是否在允许通过之列，凡是开机后第一次进行 www 浏览的而没有通过认证的 IP 包，不被允许通过， 接入网关会将一个 web 的认证界面推给用户，让用户进行认证，认证通过后，就把该用户的 IP 地址加入到 IP 地址列表中，如果不是有权用户 HTTP 包文就丢弃，如果收到的包允许通过，就进行地址转换或直接使用公网地址替换原地址，而后送出。基于 web 认证的接入网关也是通过 RADIUS 进行认证，此时 WEB SERVER 作为 RADIUS 的 client 端。 下面是一个 HotSpot 认证系统的拓扑结构： ????????? 上面是用 HotSpot 做为认证网关，内网防火墙用户阻止用户的一些非法数据，保证认证网关的安全，过滤用户向外发出的相应病毒端口，控制用户对外的访问端口、数据、服务等。在内网设置防火墙是考虑到更多的病毒攻击和非法访问，以及过大的数据流量大多来至内网，当然你完全可以选择在认证网关前面增设一台对外的防火墙以保证网络更高的安全和稳定性。 主要特征： ● 用户通过时间与流量认证计费 ● Cookie ( 存储用户的账号和密码 ) ● 带宽控制功能 ● 定额控制（连接超时时间 , 下载 / 上传传输限制） ● 实时用户状态信息显示 ● 自定义认证 HTML 页 ( 可以由你自己设计认证页 ) ● DHCP 服务器分配 IP 地址 ● 简单的 RAIUS 客户端配置 ● MikroTik RouterOS 能与 PPTP 隧道、 IPsec 以及其它的一些功能配合使用。 ● 可以通过 Access Point 与以太网接入用户。 ● 定时广播指定的 URL 链接 认证方法： ● 用户的账号与密码 ● MAC 和 IP 地址 ??认证过程： 热点认证网关工作原理是，一个客户端必须通过网络提供者的认证注册处理，即在试图打开一个网页时，弹出一个登陆 web 窗口，输入账号和密码（如下面用户的帐号和密码同为 test ）： HotSpot 会在用户数据库中查询用户信息，如果存在用户的相关信息，便会弹出一个认证通过的 web 窗口。 当用户离线是可以打开状态页点击 log off （注销），退出认证 。 以上是 HotSpot 认证上网的几个基本过程，对于用户来说是非常直观、简洁、方便。 Winbox 管理 ?? HotSpot 网关认证系统提供了一个基于 windows 平台的图形化远程控制软件 winbox ，让用户能轻松管理这套认证系统。??? 下面介绍一下 HotSpot 在 winbox 中的基本操作流程以及相应的功能。 当在 RouterOS 本机通过命令操作设置完网卡和 IP 后，即可使用 winbox 与 RouterOS 连接了。这是一个 winbox 的操作图像界面 : HotSpot 的功能介绍 HotSpot 的管理和设置在 IP 中的 Hotspot 里，下面是 HotSpot 选项控制界面： 打开 HotSpot 后里面可以看到上面的标签栏分别有 Servers 、 Users 、 Active 、 Hosts 、 IP-bindings 、 Service-ports 、 Walled-garden 、 Cookies 。 在上面的解图中我们可以看到现在 HotSpot 中选中的为 Servers 的标签，在里面可以看到增添了一个 server1 的服务，指向的是 ether2 的网卡，在 address-pool 中显示的为 none ，说明 DHCP 没有启用，这个服务使用的 profile 为默认的。 RouterOS HotSpot 允许添加多个认证服务接口，实现多接口认证。 在下面简单介绍以下几种主要功能： 在服务的 profile 中，有一条默认的策略（ default ），在这条策略中我们可以看到在 general 中设置内容包括 Name – profile 的名称 Hotspot Address – 认证网关的地址 DNS Name – 认证网关的域名 HTML Directory – 指定认证页的路径 Rate Limit –