ROS軟路由論壇 ROSABC.com

 找回密碼
 會員注冊
查看: 22389|回復: 142
打印 上一主題 下一主題

[Hotspot熱點認證] [HotSpot介紹] HotSpot 是一種通過要求用戶認證來訪問某些網絡

  [復制鏈接]
跳轉到指定樓層
樓主
發表于 2013-4-21 03:37:47 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
ROS軟路由論壇
HotSpot 介紹

HotSpot 是一種通過要求用戶認證來訪問某些網絡資源的方法。用戶可以使用幾乎任何網頁瀏覽器(HTTP 或 HTTPS 協議)登陸,所以他們不需要安裝任何附加的插件。RouterOS 會自動計算正常運行時間以及每個客戶使用的流量,并且也能把這 個信息發送到 RADIUS 服務器。HotSpot 系統可以限制每個特定用戶的比特率,總流量,運行時間以及涉及的其他參數。

Hotspot 熱點 web 服務認證是一種友好的 web 方式的認證系統,在此種認證方式中,系統將自動要求未認證用戶打開認證 網頁,驗證通過后,便可連接到因特網,未認證用戶無論輸入任何一個網站地址,都會被強制到一個認證界面,要求用戶進 行認證。配置了 Walled Garden 特性后,允許用戶不需要提前認證就可以訪問一些網頁。

獲取地址

首先,一個客戶必須先獲得一個 IP 地址。它可以通過設置被靜態 IP 地址,或者獲取一個 DHCP 服務器的所分配的 IP 地址。 如果需要的話,DHCP 服務器可以提供綁定分發 IP 地址到客戶 MAC 地址的途徑。

此外,HotSpot 服務器能自動分配給任何客戶端的虛擬 IP 地址,分配來自 Hotspot 建立的 IP 池。這個特性對那些不愿意 修改 IP(或不清楚,缺乏網絡技術)。如果用戶和 Hotspot 網關不在相同子網,Hotspot 通過 ARP 廣播的方式強迫分配一 個 IP 給用戶,用戶不會注意到這個轉變(例如:在用戶配置不會有任何改變),但路由器本身則看到完全不同(在 hotspot host 中可以看到被轉化了的地址),這項技術叫做一對一 NAT,但它也以 RouterOS 2.8 版本中叫做的“即插即用”。

一對一 NAT 接收來自已連接網絡接口的任何向內地址,并完成一個網絡地址翻譯。客戶可以使用任何預先配置的地址(注 意要求配置網關)。如果一對一 NAT 特性被設置為翻譯一個客戶的地址為一個公網 IP 地址,那么這個客戶就甚至可以運行 一個服務器或任何其他需要公網 IP 地址的服務。這個 NAT 將在數據包被路由器接收后就立即改變包的源地址。

注意,你使用一對一 NAT 時,必須在該接口上啟用 arp 模式。

認證之前

當在一個接口上啟用 HotSpot 時,系統自動配置對所有未登陸用戶顯示登陸頁面。這個是通過添加動態目的 NAT 規則完成 的,你可以在一個運行中的 HotSpot 系統上觀察的到。這些規則是用來把未認證用戶的所有 HTTP 及 HTTPS 請求重定向到 HotSpot servlet(認證過程,例如:登陸頁面)。其他一些規則將在該章后面專門部分進行講述。

在配置好 Hotspot 后,打開任何 HTTP 頁面都會產生 HotSpot servlet 登陸頁面(可以通過自行定義登陸頁面),所有訪 問 Hotspot 網關以外的資源,都會跳轉到登陸頁面,因此必須在 HotSpot 網關配置一個合法的 DNS。

Walled Garden

有時希望對某些服務不要求認證(例如讓客戶不需要認證就訪問公司的服務器),或者一些服務要求認證(例如,用戶訪問 一個內部文件服務器或其他限制區域)。這些都可以通過 Walled Garden 系統實現。

當一個未登陸用戶請求 Walled Garden 中允許的服務時,HotSpot 網關不會阻攔它,或者如果是 HTTP,就簡單地把請求 重定向到原來的目的(或定向到一個指定的父級代理)。

為了執行 Walled Garden 對 HTTP 請求的特性,專門設計了一個嵌入的 web 代理服務器,所有來自未認證用戶的請求是從 這個代理通過。注意嵌入的代理服務器還沒有高速緩存功能。還要注意這個嵌入代理服務器是在 system 軟件功能包里并不 需要 web-proxy 功能包。它是在/ip proxy 下面配置的。

認證

現在有 5 種不同的認證方法。你可以同時使用一個或多個:

-- HTTP PAP - 最簡單的方法。顯示 HotSpot 登陸頁并以純文本格式獲取認證信息(如:用戶名和密碼)。注意當 在網絡傳輸時,密碼是沒有加密的。

-- HTTP CHAP - 標準方式,在登陸頁包含了 CHAP 詢問。CHAP MD5 散列詢問與用戶密碼一起使用來計算將被發 送到 HotSpot 網關的字符串。散列結果(作為一個密碼)與用戶名一起通過網絡發送到 HotSpot 服務器(所以,密碼是從來不以純文本格式通過 IP 網絡發送的)。在客戶端,MD5 算法通過 JavaScript applet 執行,所以如果 一個瀏覽器不支持 JavaScript(比如,Internet Explorer 2.0 或一些 PDA 瀏覽器),將不能認證用戶。可以允 許未加密密碼,即打開 HTTP PAP 認證方式被接受,但并不推薦使用這個特性(出于安全考慮)。

-- HTTPS - 與 HTTP PAP 一樣,但對加密傳輸使用了 SSL 協議。HotSpot 用戶只發送沒有附加散列的密碼(注意 沒有必要擔心純文本密碼在網絡上的暴露,因為傳輸本身是加密的)。在另一種情況,HTTP POST 方法(如果不可能,那么用 HTTP GET 方法)用于向 HotSpot 網關發送數據。

-- HTTP cookie - 在每次成功登陸之后,會有一個 cookie 發送到 web 瀏覽器,同時被添加到活動 HTTP cookie 列表。這個 cookie 將與存儲在 HotSpot 網關的相比較,并僅當源 MAC 地址及隨機生成的 ID 與存儲在網關的相 匹配。這個方法只可以與 HTTP PAP, HTTP CHAP 或 HTTPS 方法一起使用,不然的話沒有其他方式可以產生 cookie。

-- MAC address - 將用客戶端的 MAC 地址與用戶帳號同時作為用戶名。

HotSpot 可以通過詢問本地用戶數據庫或 RADIUS 服務器認證用戶(本地數據庫會被先詢問,然后是 RADIUS 服務器)。 如果通過 RADIUS 服務器認證 HTTP cookie,那么路由器將在 cookie 被第一次產生時發送相同的信息到服務器。如果認證在本地完成,那么符合該用戶的信息將會被調用, 否則將會調用 RADIUS 中的參數。如果要知道更多關于 RADIUS 服務 器工作的信息,請參見其相應的 Radius 手冊。

HTTP PAP 方法也使得通過請求頁 /login--username=username&password=password。如果你想使用 telnet 連接登陸,準確 的 HTTP 請求應該這樣:GET /login--username=username&password=password HTTP/1.0

配置菜單

-- /ip hotspot - HotSpot 上的特定界面(每個界面一個服務器)。HotSpot 服務器必須添加在這個目錄中,HotSpot系統才能夠在一個界面上工作。

-- /ip hotspot profile - HotSpot 服務器概要。影響 HotSpot 客戶登陸過程的設置在這里進行。多個 HotSpot服務器可以使用同樣的概要信息。

-- /ip hotspot host - 所有 HotSpot 接口上的活動網絡主機的動態列表。在這里你可以找到 IP 地址與一對一 NAT的綁定

-- /ip hotspot ip-binding - 將 IP 地址綁定到主機 HotSpot 接口的規則

-- /ip hotspot service-port - 一對一 NAT 地址翻譯助手

-- /ip hotspot walled-garden – HTTP 等級的 Walled Garden 規則(DNS 名, HTTP 請求子串)

-- /ip hotspot walled-garden ip – IP 等級的 Walled Garden 規則 (IP 地址,IP 協議)

-- /ip hotspot user –本地 HotSpot 系統用戶

-- /ip hotspot user profile – 本地 HotSpot 系統用戶組規則

-- /ip hotspot active - 所有已認證 HotSpot 用戶的動態列表

-- /ip hotspot cookie - 所有合法的 HTTP cookie 動態列表 下面是一個簡單的 Hotspot 事例,HotSpot 網關應該至少有兩個網絡接口:

1. HotSpot 接口,用于連接 HotSpot 客戶

2. LAN/WAN 接口,用于訪問網絡資源。例如:DNS 和 RADIUS 服務器應該可達.


下面的圖表顯示了一個簡單的 HotSpot 設置。
游客,如果您要查看本帖隱藏內容請回復



HotSpot 接口應該分配一個 IP 地址。物理網絡連接應該建立在 HotSpot 用戶的電腦和網關之間。它可以是無線(無線網卡需要在 AP 上注冊),或者有線的(NIC 網卡需要連接到一個集線器或一個交換機)。

當 ISP 需要在有線或者無線網絡中建立 Hotspot 熱點認證系統,如:小區、酒店、機場和其他公共場所。一個普通的 Hotspot網絡建立在一個外網接口和一個內部網絡接口下,我們需要對內網用戶作認證上網。

注:在 2.9 版本的 RouterOS Hotspot 功能包采用的是端口代理的方式連接,在啟用 Hotspot 接口后 UpNp 即插即用功 能自動開啟,通過在/ip hotspot host 列表中可以查詢相應的信息。


沙發
發表于 2013-5-11 20:27:03 | 只看該作者
ROS軟路由論壇
種通過要求用戶認證來訪問
板凳
發表于 2013-5-25 14:23:05 | 只看該作者
hgjhfggggggggggggg
地板
發表于 2013-5-25 22:03:02 | 只看該作者
該分配一個 IP 地址。物理網絡連接應該建立在 HotSpot 用戶的電腦和網關之間。它可以是無線(無線網卡需要在 AP 上注冊),或者有線的(NIC 網卡需要連接到一個集線器或一個交換
5
發表于 2013-5-28 11:15:22 | 只看該作者
fdfsdfsdfdsfsdfsd
6
發表于 2013-6-1 14:35:07 | 只看該作者
學習一下,呵呵
7
發表于 2013-6-2 01:13:53 | 只看該作者
學習學習
8
發表于 2013-6-2 16:59:39 | 只看該作者
正好學習一下如何用WEB認證
9
發表于 2013-6-22 00:26:31 | 只看該作者
我使用 MikroTik RouterOS 通過 PPPoE 連接到互聯網(基于 ADSL 撥號),為了了內網的用戶得到優質的網絡環境,通 過對流量上下行流量進行優先控制,保證特定的網絡用戶得到優質的網絡帶寬。
10
發表于 2013-6-22 01:15:04 | 只看該作者
學習一下,呵呵
您需要登錄后才可以回帖 登錄 | 會員注冊

本版積分規則

ROS教程版塊已全面開放,
即使是新注冊的初級會員也可閱讀全部內容。

不良信息舉報Q:2000617 點擊留言

不良信息舉報Q:2000617|Archiver|小黑屋|ROS軟路由論壇 ROSABC.com

GMT+8, 2020-1-26 04:17 , Processed in 0.164222 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
美女任你摸-美女禁区-美女销魂