portal radius简单讲解

1、傲天技术，动联世界 技术应用部 邱自学 导 师：邱飞，吴近平Portal学习简介傲天技术，动联世界培训内容 PortalPortal概述概述 协议流程协议流程 配置配置 IptablesIptables 常见常见问题问题 傲天技术，动联世界Portal在英语中“入口”的意思。Portal认证也称为Web认证，Portal认证网站称为门户网站。PORTAL页面在显著的位置设置认证窗口，用户开机后获取IP地址，通过登陆PORTAL认证窗口进行认证，认证通过后即可访问Internet。PORTALPORTAL简介简介PORTALPORTAL概述概述傲天技术，动联世界免客户端软件对于像宾馆、酒店等公共

2、网络节点，免客户端软件是一个基本要求。新业务载体利用PORTAL认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放到PORTAL上。用户上网时就会强制地看到上述信息。PORTALPORTAL背景背景PORTALPORTAL认证优点认证优点傲天技术，动联世界 Authentication 认证，用于判定用户是否可以获得访问权，限制非法用户； Authorization 授权，授权用户可以使用哪些服务，控制合法用户的权限； Accounting 计账，记录用户使用网络资源的情况,为收费提供依据；傲天技术，动联世界 P Portalortal简介简介 协议流程协议流程 配置配置

3、IptablesIptables 常见问题常见问题 傲天技术，动联世界流程说明 首先wlan用户上网，AC侦测到http连接后，强制发送http重定向报文给wlan用户 Wlan用户接收到重定向报文后，按照重定向报文提供的目的IP地址访问portal 服务器，推送出认证页面 用户输入用户名密码给portal server Portal server向AC发送需要认证用户的用户名 AC向portal server发送认证挑战 Portal server回应认证挑战 AC向radius发起认证 如果认证成功，则AC把认证成功信息发送给portal服务器，推送出认证成功界面，认证成功。傲天技术，动联

4、世界pc发起http访问，该访问被AC连接，并直接返回重定向报文：http 302报文给PC，把pc直接重定向到portal server上过程然后PC根据http的重定向信息向portal server发起请求并获得认证页面，在认证页面中输入用户名密码后进行认证。整个过程对于AC来说和普通IP包的处理是相同的，由于实现配置了portal server的IP地址在白名单中，所以AC对这次访问不进行阻止，按照普通的IP包进行处理傲天技术，动联世界portal server得到用户名和密码后开始和AC联系，触发AC进行portal认证* Portal协议根据移动规定采用的是udp的2000端口进行

5、认证傲天技术，动联世界数据包的具体分析1.portal server向AC发送认证请求，数据包的类型为01，表示为认证请求报文。2.AC回应portal server的认证请求，并发送挑战给portal server3.portal server 通过挑战回应发送用户名和密码给AC*至此，AC已经得到了用户的用户名和密码，可以发起radius认证了傲天技术，动联世界4.radius认证数据包傲天技术，动联世界5.radius认证成功后返回给AC的access报文* *到这里，radius认证完成，AC已经确定用户认证通过傲天技术，动联世界7.AC通知portal server 认证通过，类型0

6、48.portal server回应AC，确认认证通过信息，类型07通过第7和第8个报文返回用户认证成功信息给portal 傲天技术，动联世界傲天技术，动联世界主动下线流程傲天技术，动联世界用户主动下线流程傲天技术，动联世界强制下线流程傲天技术，动联世界用户强制下线流程傲天技术，动联世界 portalportal简介简介 协议流程协议流程 配置配置 IptablesIptables 常见问题常见问题 傲天技术，动联世界Portal实例配置 配置eag： 配置portal server ，负责推出门户页面，也负责用户名和密码的预认证； 配置radius server，负责用户接入的认证、计费、授

7、权 配置监听端口，对进行监听的用户的上线的接口进行portal URL的映射，以便用户进行用户名和密码的输入； 配置白名单 配置NASIP 开启分布式和配置rdcpdc配置的实例； 开户EAG实例服务傲天技术，动联世界 P Portalortal简介简介 协议流程协议流程 配置配置 IptablesIptables 常见问题常见问题 傲天技术，动联世界sh-3.1# iptables -nvxL Chain CP_R1_F_AUTHORIZED_DEFAULT (4 references) pkts bytes target prot opt in out source destination

8、 0 0 FW_FILTER all - * * /0 /0 Chain CP_R1_F_DEFAULT (1 references) pkts bytes target prot opt in out source destination 0 0 FW_FILTER all - * * /0 /0 source IP range 98-98 20 1200 FW_FILTER all - * * /0 /0 destination IP range 98-

9、98 0 0 ACCEPT all - * * /0 0 0 ACCEPT udp - * * /0 /0 udp spt:67 dpt:68 0 0 ACCEPT udp - * * /0 /0 udp spt:68 dpt:67 0 0 DROP all - * * /0 /0 Chain CP_R1_GP_F_AUTH_ebr1-1-1 (1 references) pkts bytes target prot opt in out source d

10、estination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 1 /0 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * /0 /0 match-set CP_R1_AUTHORIZED_SET src 20 1200 RETURN all - * * /0 /0 Chain CP_R1_GP_F_AUTH_ebr1-1-1_IN (1 references) pkts bytes target prot opt in out sourc

11、e destination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * /0 1 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * /0 /0 match-set CP_R1_AUTHORIZED_SET dst 20 1200 RETURN all - * * /0 /0 Chain EAP_PRE_AUTH_R1_F (1 references) pkts bytes target prot opt in out source desti

12、nation 38891 3726629 RETURN all - * * /0 /0 傲天技术，动联世界sh-3.1# iptables -nvxL -t nat Chain CP_DNAT (1 references) pkts bytes target prot opt in out source destination 291 23185 CP_R1_GP_N_AUTH_ebr1-1-1 all - ebr1-1-1 * /0 /0 252 20194 CP_R1_N_DEFAULT all - ebr1-1-1 * 0.0.0.

13、0/0 /0 927207 45338691 RETURN all - * * /0 /0 Chain CP_R1_GP_N_AUTH_ebr1-1-1 (1 references) pkts bytes target prot opt in out source destination 35 2755 CP_R1_N_AUTHORIZED_DEFAULT all - * * 1 /0 0 0 CP_R1_N_AUTHORIZED_DEFAULT all - * * /0 /0 match-set

14、 CP_R1_AUTHORIZED_SET src 252 20194 RETURN all - * * /0 /0 Chain CP_R1_N_AUTHORIZED_DEFAULT (2 references) pkts bytes target prot opt in out source destination 39 2991 FW_DNAT all - * * /0 /0 Chain CP_R1_N_DEFAULT (1 references) pkts bytes target prot opt in out source de

15、stination 0 0 FW_DNAT all - * * /0 /0 source IP range 98-98 1 60 FW_DNAT all - * * /0 /0 destination IP range 98-98 0 0 ACCEPT all - * * /0 0 0 DNAT tcp - * * /0 /0 tcp dpt:443 to::4267 0 0 DN

16、AT tcp - * * /0 /0 tcp dpt:8080 to::4267 1 64 DNAT tcp - * * /0 /0 tcp dpt:80 to::4267 250 20070 RETURN all - * * /0 /0 Chain EAP_PRE_AUTH_R1_N (1 references) pkts bytes target prot opt in out source destination 927500 45356025 RETURN a

17、ll - * * /0 /0 傲天技术，动联世界 P Portalortal简介简介 协议流程协议流程 配置配置 IptablesIptables 常见问题常见问题 傲天技术，动联世界 Q:portal认证页面无法推出A：1):请确认网关是否能够ping通，并且ping是否丢包.2):请确认是否能和portal服务器正确连接，白名单是否添加，可使用ping命令检查。并确认外置portal server已经正确的配置了AC的相关数据。3):可以在sta浏览器中直接输入portal地址,检查是否可以打开页面,如无法打开,请确认portal页面地址是否正确.常见问题傲天技术，动联世界Q: portal认证页面无法推出,但浏览器中直接输入地址可以打开A:1):直接在sta浏览器中输入eag重定向监听ip+冒号+端口(非portal的页面地址)组成的网址(形如:3990),检查是否可以跳转到portal页面.如不能,请确认eag服务是否开启,配置的portal地址是否正确,修改配置后是否重启eag服务.2):请确认captive portal 中是否监听sta所在下行接口,确认captive portal配置中的重定向ip/端口 和 eag的重定向监听ip/端口是否一致.常见问题常见问题Q：用