AC内置Portal外置Web的Portal认证实现

AC内置Portal外置Web的Portal认证实现 chenpengl2016 05 05 内容提要 Portal认证基础 Portal认证实现类型 内置portal 外置web 方案实现 注意事项 Portal功能概述 Portal即门户 访问网络前弹出的认证页面 是上网前的 一道坎 所谓Portal认证 即指用户在上网前 必须通过浏览器进行web认证 通过认证的客户端才被允许访问网络 触发Portal认证的源头为客户端访问网页的HTTP请求 在用户通过Portal认证之前 除DHCP DNS ARP以外的所有数据流量 均被拦截 不予转发 根据拦截用户流量的位置不同 可以分为准入认证和准出认证 无线AC AP实现的是准入认证 Portal认证基础 Portal认证基础 完成Portal认证的几个关键阶段 无线连接 IP获取 终端能够获取到正确的IP及DNS 重定向 Redirect 过程 这个用户没有认证 不能让他上网 HTTP302报文中携带RedirectURL AP拦截用户的数据后 将目的IP换为AC的IP 将报文发往AC Portal认证基础 认证 Authentication 过程 1 2 3 用户名密码 用户名密码 认证结果 Accept Reject 4 5 Portal认证基础 Portal认证实现类型 外置Portal 外置Radius服务器AC重定向 NAS设备内置Portal 外置Radius服务器AC重定向 PortalServer NAS设备内置Portal 外置页面服务器 外置Radius服务器AC重定向 PortalServer NAS设备内置Portal 外置页面服务器 AC本地账户认证AC重定向 PortalServer 认证服务器内置Portal AC本地帐户认证AC重定向 PortalServer 认证服务器外置Portal AC本地帐户认证AC重定向 认证服务器 内置Portal 外置Web 外置Radius 1 组件2 功能承载3 与AC本地账户认证差异 内置Portal 外置Web 外置Radius 用户访问网站 经过AC重定向到WebServer WebServer推送统一的认证页面 用户填入用户名 密码 提交页面 WebServer上的认证页面提交后自动post到AC上的http ext captive portal html 其中表示AC的无线地址 AC上的内置PortalServer提取出用户名密码 向Radius认证服务器发认证请求 Radius认证服务器回复认证结果给AC AC根据认证结果 http将用户推送到WebServer上的页面 认证成功 推送到下线页面 认证失败 则推送到认证失败页面 内置Portal 外置Web 外置Radius 用户点击下线页面中的注销按钮 发起下线请求到WebServer WebServer上的下线页面通过htmlaction动作将请求发给AC上的http ext cp logout html 其中表示内置portal的url重定向头部 通过redirecturl head配置 AC处理用户下线请求 下线成功 推送到WebServer上的下线成功页面 WebServer推送下线成功页面给用户 方案实现 注意事项 1 service2003上架设web服务器并确认可以访问 资料参考百度经验 2 在web服务器的主目录中导入制作好的htm文件 详细参见提供的portal DCN文件包 3 在AC上增加相关配置完成与外置web服务器的对接 方案实现 注意事项 方案实现 注意事项 方案实现 注意事项 方案实现 注意事项 方案实现 注意事项 AC 172 30 0 167WEB 172 30 0 28RADIUS 172 30 0 21 与RADIUS对接的配置 config模式下 radius serverauthenticationhost172 30 0 21key0ciscoradius serveraccountinghost172 30 0 21key0ciscoaaa accountingenableaaaenableradiusnas ipv4172 30 0 167config模式下 aaagroupserverradiuschenpenglserver172 30 0 21 方案实现 注意事项 与外置WEB服务器和外置RADIUS对接 captive portalenableauthentication typeinternalfree resource1destinationipv4172 30 0 28 32sourceanyconfiguration1enableradiusaccountingprotocolhttpradius acct serverchenpenglradius auth serverchenpenglredirecturl headhttp 172 30 0 167free resource1ext web serverenableext web serverlogin urlhttp 172 30 0 28 portal logon htmext web serverlogin failure urlhttp 172 30 0 28 portal logonFail htmext web serverlogout urlhttp 172 30 0 28 portal logonSuccess htmext web serverlogout success urlhttp 172 30 0 28 portal logoffSuccess htminterfacews network1 方案实现 注意事项 1 例中172 30 0 28为webserver的IP 172