portal学习理解.docVIP

portal简介 portal是用来进行网页认证的认证机制，在认证成功前用户不能真正上网，只能查看到portal server的页面，如图： 访问任何页面都会被强制转换到如图所示的portal 页面，需要手动输入用户名和密码后才能够正常上网。 Portal的优点是用户不需要安装专门的客户端就可以直接进行认证和上网。 Portal协议流程 Portal认证拓扑图如下： 认证流程如下： 如图： 首先wlan用户上网，AC侦测到http连接后，强制发送http重定向报文给wlan用户 Wlan用户接收到重定向报文后，按照重定向报文提供的目的IP地址访问portal 服务器，推送出认证页面 用户通过认证界面，输入用户名密码给portal server Portal server向AC发送需要认证用户的用户名 AC向portal server发送认证挑战 Portal server回应认证挑战 AC向radius发起认证 如果认证成功，则AC把认证成功信息发送给portal服务器，推送出认证成功界面，同时AC上下发规则，认证成功。 下面按照一次实际抓包来分析一次实际认证过程： 如上抓图，分别为从AC端口的抓包和从PC端口的抓包 首先在PC的IE上数据url地址后，pc发起http访问，该访问被AC连接，并直接返回重定向报文：http 302报文给PC，把pc直接重定向到portal server上去，如图： 然后PC根据http的重定向信息向portal server发起请求并获得认证页面，在认证页面中输入用户名密码后进行认证。 整个过程对于AC来说和普通IP包的处理是相同的，由于实现配置了portal server的IP地址在白名单中，所以AC对这次访问不进行阻止，按照普通的IP包进行处理 使用tcp.port eq 7080作为过滤条件可以看到pc和portal server交互的整个过程 portal server得到用户名和密码后开始和AC联系，出发AC进行portal认证，如图： Portal协议根据移动规定采用的是udp的2000端口进行认证的具体的数据包分析如下 第一个包： 如图，portal server向AC发送认证请求，数据包的类型为01，表示为认证请求报文。 第二个包 AC回应portal server的认证请求，并发送挑战给portal server 注：挑战（chanllenge）是网络上认证的一种常用手段，由于网络中数据传输有可能被第三方侦听，所以明文的用户名和密码在网络上传输不安全，采用的办法是挑战方把一段随机字符串发送给被挑战方，被挑战方使用该字符串作为密钥加密字符后把被加密过的字符返回给挑战方，挑战方再使用自己的字符串进行解密得到密码。由于每次连接的随机字符串可能不通所以即使有个别情况下被监听也能够保证密码安全 第三个包： 如图：portal server 通过挑战回应发送用户名和密码给AC 至此，AC已经得到了用户的用户名和密码，可以发起radius认证了 第四个数据包即为radius认证数据包： 第五个数据包为，radius认证成功后返回给AC的access报文： 到这里，radius认证完成，AC已经确定用户认证通过，然后通过第7和第8个报文返回用户认证成功信息给portal server： 第七个报文：AC通知portal server 认证通过，类型04 第八个报文：portal server回应AC，确认认证通过信息，类型07： Portal server收到认证成功请求后，会推送认证成功界面给PC，pc上就弹出了认证成功页面 认证过程中还可能存在各种错误的情况，在移动测协议中对错误码也有明确的规定，见附件： 我们的portal配置方法 portal设置只能使用web界面进行配置，如下(采用的济南的环境作为例子)： 首先选择一个ID，随意选取即可，一般会选择0， 用户名和密码随便写。 认证服务器IP地址填入设备公网IP地址，对于济南环境我们的公网IP即为vrrp上行虚IP地址 认证服务器接口写3990 然后在接口列表中点选要使用portal 认证的接口，济南环境对wlan虚接口进行认证，所以直接选择wlan1接口即可。 然后点击确定。 在白名单中写入需要允许用户直接访问的IP地址，例如portal server的地址。 ID需要和上一步的ID一致 Mode选择IP 起始IP和结束IP根据实际情况进行填写，如果只有一个IP地址则起始IP和结尾IP相同。 Port如果不写则表示对所有端口都允许通过，如果写入具体端口号，则只允许这个端口号的数据包通过。 配置portal，设置eag为开启