Portal直接认证上下线过程简析

1、Portal直接认证上下线过程简析一、Portal直接认证上下线过程可以分为四个阶段.客户端、接入设备之间的交互过程（HTTP重定向）客户端访问任意IP地址（）的目的网页，AC作为接入设备在配置了 Portal认证的接口伪装成客户端想要访问的目的网页，并通过HTTP重定向将 Portal服务器的认证页面返回客户端。客户端、接入设备、Portal服务器之间的 交互过程（HTTP重定向）对应下图的HTTP-GET、HTTP重定向。.客户端、Portal服务器、接入设备之间的交互过程（认证前）客户端访问重定向的Portal服务器认证页面，输入用户名和密码，通过点击 上线提交用户名和密码给Portal

2、服务器。Portal服务器通过与接入设备交互INFO 报文获取客户端相关信息，Portal服务器通过与接入设备交互CHALLENGE报文协 商用于CHAP加密的Challenge （Portal服务器采用CHAP认证方式的情况，采用 PAP认证方式时没有此过程）。客户端、Portal服务器、接入设备之间的交互过 程（认证前）对应下图的HTTP上线请求、REQ_INFO、ACK_INFO、REQ_CHALLENGE、 ACK_CHALLENGE。. Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）Portal服务器通过REQ_AUTH向接入设备发起认证，接入设备与Radi

3、us服务 器进行通信，对用户信息进行认证，如果认证成功，接入设备回应Portal服务器 ACK_AUTH告知客户端认证成功，Portal服务器通过AFF_ACK_AUTH对此再进行 一次回应。最后，接入设备向Radius服务器发起计费开始过程。Portal服务器、 接入设备、Radius服务器之间的交互过程（认证中）对应下图的REQ_AUTH、 Access-Request、Access-Accept、ACK_AUTH、AFF_ACK_AUTH、Accouting- Request、 Accouting- Response o.客户端、Portal服务器、接入设备、Radius服务器之间的交互

4、过程（下线）客户端通过点击下线将下线请求告知 Portal服务器，Portal服务器通过 REQ_LOGOUT向接入设备发送下线请求报文，接入设备通过ACK_LOGOUT进行回 应。最后，接入设备向Radius服务器发起计费结束过程。客户端、Portal服务器、 接入设备、Radius服务器之间的交互过程（下线）对应下图的HTTP下线请求、 REQ_LOGOUT、ACK_LOGOUT、Accouting- Stop、Accouting- Response。二、组网图L72.1&.1Q8.122/24Vlan-inti! L92.L6821/加Vlan-intlO； 1S2.1M.10.1/24

5、VldndntlQt): 10,153.43.143/2410.153.41100/24二、组网图L72.1&.1Q8.122/24Vlan-inti! L92.L6821/加Vlan-intlO； 1S2.1M.10.1/24VldndntlQt): 10,153.43.143/2410.153.41100/24192.168,10.2/24Client19ZL&8.2J/24AC 作为 AP 网关(Vlan-int2： /24)和 Client 网关(Vlan-int10： /24),设置互联地址(Vlan-int100： 43/24)与 iMC 进行 通信，iMC的IP地址22提供Por

6、tal服务和AAA服务。三、抓包显示AP采用本地转发，在Client网关开启Portal认证，在AC的有线口对一次Portal 直接上下线过程进行抓包显示。.客户端、接入设备之间的交互过程(HTTP重定向)通过(ip.src = & ip.dst = ) | ( ip.src = & ip.dst = )对客户端与接入设备之间的交互报文进行过滤。，,口N jfiL Ihf-SOM11尸卜 ht tp 1”7 l，,口N jfiL Ihf-SOM11尸卜 ht tp 1”7 lq-4 |rtn-i55JJ kD0 taMW MS*S JWjkJP1M-LZHE= 9- iLnbKTJ jf祖.

7、41住14 31Mli 国 4同“QWpcf 上巧q ht tb Jos:q-4. Ad1H-Fft ，” CCT / MTG 1HTTP 订 Q TTIVU，融 *rt/9Ti;.!OT1A -!NnE-l1 9 tTLTp Fix *ZJ !54q-13J 晨OzTir 5(4!15出Tpwr1 Sltik4314i 1，工逢工崎喜稗Cd孑 1.3. J,1- k * a t - ， i _ fa m i ，上 n ,上，, We s . a j *；- _w _ ” , ik n & biibbibj .i- IrflorriTl F*5*川 *知所 *. JTfi ：

8、白,， 何匕 31云 CWL；1asM 白由AB, 3j( TrAmnsxln c?HErel ptmok？II src nrs; hrxp ，箱第 xt pwt：! imi!:*DJM .：4?.Iha. :i.ftUnUSfM JH*.wh a枚郎.弱 9/T共工 O1G, :0fl P*，drh1 二汕丁二二窣in 士；.LiJl1W U.DJM .：4?.Iha. :i.ftUnUSfM JH*.wh a枚郎.弱 9/T共工 O1G, :0fl P*，drh1 T TLB r1 不fit， O k- P Esy. B*rfirfc Fr -Nik沿 1L LhF 3-F Fri 7Q

9、ftytFB gn r-6也打 J7Q 龊 c 七皿 仁和酬凡。-l imMrew Ii. PG ihebXv JI 4：b C耐mMw绢：;心!*。收工，机 Jri uXU14)L 3m-gm PTCTEDCut WF*iwi % wc; 39m.2 0较，L4H,LA /j Hu 17Z.X4.10Q. 122 产UMI晒=12 Trqr4nli即0El Pr口CkE X： 口大二f d 3mh &5-U 旧t ：麻孙(”,一二 S3，； V4J . Li： WK *2金_j外|迫_刎413_封_，R C7TQ WaiBTtnl :ed751mi辛弓“IRfWi KE - ProSr Eb

10、HUM3rwuJU.uiLLls山 IT s T B F R t - Ih BL- bh 噌窘黑s:sHi FWEI柢聿 * CtM 2旬 Vd0U-iIMIEAOCIWJT HiHD aCG3Teh5*w“E (1 d-44 TTBiHM RUQjLflCPM*X P5?t4t 40 纥Hd 枇eflRElWniiUH 承卜 5批娟lelgw1* %N 3-z y! ij-u 4 uo 得K LCi & h阻惧fhq心阻8g 8、H W 01 0 ” IS M 11 AH所-Ml常-f.L Ji_ i j QZ_ 一通过(ip.src = 22 & ip.dst = 43 ) | ( ip.

11、src = 43 & ip.dst = 22 )对 Portal 服务器与接入设备之间的交 互报文进行过滤。3MLp/HIM 14.illu4fi.141 17J.14.iK. 12 J JTUT,ra-57 3Ci.13VU3.UI TEJkJM.l dM-itidll *卮,1klM地.如L*m9 浮酎/1k M门上，ISt10.1VVU1.34I 17X9.hIM.ITTm l：飒m HW.lS.lDfi.lbj枇，理LL!U卡 UN.QUBW I72.1SAIM-U2 ia.lM_43,UK力 顼丽】 10.1VI. Jl.UK .工皿 mM afLtiwm r5.iii_49.nli

12、n mm 机umlih 10.151.41. uir ff4M H:pn:s en Ff Ht Mes)b. 74- iw spcurtd ( 田：禹igmouH ;MU/ Clesia EVlrfllahj-Pf u? &-Z-1 bfr- = SJI Ja *.t= 3.X-p.-OCi.L 1&. ；Li_JJJ,l , 丁咻千：ID. I-1.4 1. 1-1 k IG. 11 J. -E i . ：-IJ b usr dativm mr：Dcol, r -c Ptwi!:3dig uk4-,1Z： 113iBtl-bl3 FT叨TC msrral TyiM3 11rtk247 17u

13、l231-3 i 110d ,“30 1774.104. 13Z WTJU 11=Stp iCejIfickiftS1J-理#Ta1 fini_axu.工。zrs 1.7. 127!.s ia_Ul.IPJ.at-lDfitliJIM orv1 t-Fi* hjlll gm11片10 ：i UH 百 T珏.-.-n中一43世二 j *-e：*B-PB44Hfi Clds-1. 5-vi)”岫珥 1TL4. IM. 1T i6=llL41_L-il wfuiAM a:匚“，虫工不住1*L 1-U4：12MlT7F讥 1，11 工J 177.14.1C, 177 WTL落D Qgl *共史庭r1

14、丙in.#klM暨 31 旧H4EIN. IJJ.i1T.5S14-LL 17九上4.1曲H fbI圈M% m.filn 1D0.13T 3.H.1H.HI.119 UMMJUdAvTl崛-W3(f 3 魅4 1-4fl)1九 12祖 in.!kl.4；S.J.l!蜂上 MflTU. U.B PiSFEal Li4 iUhAjau.iaoLi*iJKMasLmiiikui.4i.uimstvilm工心u*hm 曰on？工口硼、Ml.U.llK. 137鹤IHH时diRUJMW 口 礼05，1 立M-M-皿。0M-MMq】hwtmCmmehI嘘aduMiiwtjm H.&WF4* la.iiiu

15、O.m ”汰u前,q】 mmifs uri. xii目JTZD.llUTVVUULlDO.UlUOLlHUl.OllUMUf:MJU我NJ讹1*|11/13切41：”川4， 1同力. Gam 344i 2* bQff wi vi ra CL MB4wct ctpturX 工 iLMl, S)ii. fln:i i#.l|l.-I. Il (14.土彳J*,* wuw 1* ,Ptocnl,. Ire irc ; 5140 口6MM &*t *wt I -csco9(cp- GE4CN?ggw $ 上 g Ifh 抄 i ggw $ 上 g Ifh hifcliATgso81Q8帆4“QB诉 9

16、MM91-11brn画304J.he3trn412加F日_，； f 占二 EgNo.266号REQ_AUTH报文显示Portal服务器向接入设备发起认证，随后接 入设备与Radius服务器进行Radius报文交互，No.267为Access-Request认证请 求报文，No.269为Access-Accept认证接受报文，No.270为接入设备回应Portal 服务器ACK_AUTH报文告知客户端认证成功，No.272为Portal服务器通过 AFF_ACK_AUTH 报文进行一次回应。No.271 为 Start 类型(Acct-Status-Type=1) 的 Accounting-Re

17、quest 计费请求报文，No.279 为 Accounting-Response 计费响应 报文。4.客户端、Portal服务器、接入设备、Radius服务器之间的交互过程(下 线)通过(ip.src = 22 & ip.dst = 43 ) | ( ip.src = 43 & ip.dst = 22 )对 Portal 服务器与接入设备之间和接 入设备与Radius服务器之间的交互报文进行过滤。1 中” 3 II tV wr 10 O U IQ m. i3i eJ471T, JJTiSJJ 1QbE1 中” 3 II tV wr 10 O U IQ m. i3i eJ471T, JJTiS

18、JJ 1QbE,O.UVW UiaiKri 1L111U1,M1 177.M.lBe.Ul 214SVOXriiUU ITVcU.ini. UZ UkT9.&IT *4*千虬 鸣叫ln_iJ3,O-14l 工增-工.1M, 1黑 K酒TAl,1MIK 北JLcnMOKP* g九 1-MJ 期工收 Im Jut0=s-Agefetc(3)口小入 me1M IL.jniQL IQ.llJ.iluUa 1?2-1-1DO. 121 FTU3W) WEA1 lfiB MjEJUrTh2Q IT. J?ZLJ IQJlf MF ir2rlt.lOO. 11； 1AC-1U1 iCC0UFt1riq-i*

19、W!-tC* dWi. 1-2JJJI.-： 1D.14 9.A1.PW14KTtl*TTStlram 11mu，HAT* 1Q.411印 171M. lOtii IM 10_llK41.fi43U4) ACCDunr) L1g= 1 蛔3第3M1g黄；4-U-LlJ &JM lTi1J：6 171.14. IDO. 12： 10.131all,jl3 SiMZW 17, lQ.HL4I.lil 1T7.1. UZ 叩 TFEI 工l!LL.100-if：Ll-mIRL4 MT也Urt ngwi (-flflj) 叩 nn (DiZIJ中时SiJ4 FQTEaI*归，$1ZT*WtGl) bA

20、SLM *ccGunr1ii ii|jwiir(1) ClUhli， fr-rw 1T*= 94 的阿日 即 Ir.事* nh*tfpwi 1rl. he811配配”!l Ie h: brotwcill wte 4 % l 1.T2.131 r WFr M量.gmp Frpt Koi ,. ire -grt ;讨IB及1*|4*4 ；*M $v )t3W-Ju 3； 口 Kilo ，dt txn。0三日*02 和芒里 Q|.国显电网 M No.474号REQ_LOGOUT报文显示客户端通过点击下线将下线请求告知Portal 服务器后，Portal服务器向接入设备发送下线请求报文，No.477为

21、接入设备通过 ACK_LOGOUT 报文进行回应。No.478 为 Stop 类型(Acct-Status-Type=2)的 Accounting-Request 计费请求报文，No.479 为 Accounting-Response 计费响应报文。四、debugging 显示通过在 AC 上开启 debugging： debugging portal tcp-cheat、debugging portal packet interface vlan10、debugging radius packet，对一次 Portal 直接上下线过程 进行 debugging 显示。.客户端、接入设备之间的

22、交互过程(HTTP重定向)该阶段为debugging portal tcp-cheat显示，客户端()与接入设 备()通过 TCP 三次握手建立连接过程：LISTEN-SYN_RECVD-ESTABLISHED, 随后客户端通过HTTP-GET访问的页面内容时，接入设备向客户端重定向 Portal服务器的认证页面，客户端对认证页面进行访问。*Apr 18 15:01:41:519 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: Source MAC = 0024-d636-18b2*Apr 18 15:01:41:549 2014 AC TCPCHEAT/7/TCPCHE

23、AT_DEBUG: A connection of c0a80a02 added!*Apr 18 15:01:41:590 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: State of connection with source IP is LISTEN!*Apr 18 15:01:41:610 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: State of connection with source IP changed from LISTEN to SYN_RECVD!*Apr 18 15:01:41:660 2014 AC TCPCH

24、EAT/7/TCPCHEAT_DEBUG: State of connection with source IP is SYN_RECVD!*Apr 18 15:01:41:680 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: State of connection with source IP changed from SYN_RECVD to ESTABLISHED!*Apr 18 15:01:41:701 2014 AC TCPCHEAT/7/TCPCHEAT_DEBUG: State of connection with source IP is ESTABLI

25、SHED!.客户端、Portal服务器、接入设备之间的交互过程（认证前）该阶段为 debugging portal packet interface vlan10 显示。Portal packet head:Type:9 SN:96 ReqId:0 AttrNum:1 ErrCode:0 UserIP:/Portal服务器发送给接入设备的客户端IP地址为的REQ_INFO 报文（Type:9）。Portal packet head:Type:10 SN:96 ReqId:0 AttrNum:3 ErrCode:0 UserIP:接入设备发送给Portal服务器的客户端IP地址为的ACK_INF

26、O 报文（Type:10）。Portal packet head:Type:1 SN:96 ReqId:0 AttrNum:0 ErrCode:0 UserIP:/Portal服务器发送给接入设备的客户端IP地址为的 REQ_CHALLENGE 报文（Type:1）。Portal packet head:Type:2 SN:96 ReqId:3 AttrNum:3 ErrCode:0 UserIP:/接入设备发送给Portal服务器的客户端IP地址为的ACK_CHALLENGE 报文（Type:2）。Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）该阶段为 debugg

27、ing portal packet interface vlan10、debugging radius packet 显示。Portal packet head:Type:3 SN:96 ReqId:3 AttrNum:4 ErrCode:0 UserIP:192,168.10.2/Portal服务器发送给接入设备的客户端IP地址为的REQ_AUTH 报文（Type:3）。1 User-name 10 portal01Apr 18 15:01:54:989 2014 AC RDS/7/DEBUG: Send: IP=22, UserIndex=3, ID=10, RetryTimes=0, C

28、ode=1, Length=251接入设备发送给Radius服务器的用户名为portal01的Access-Request认证 请求报文（Code=1）。1 User-name 10 portal01Apr 1815:01:55:3722014 AC RDS/7/DEBUG:Receive:IP=22,Code=2,Length=344/Radius服务器发送给接入设备的用户名为portal01的Access-Accept认证接 受报文（Code=2）。Portal packet head:Type:4 SN:96 ReqId:3 AttrNum:5 ErrCode:0 UserIP:192,

29、168.10.2/接入设备发送给Portal服务器的客户端IP地址为的ACK_AUTH 报文（Type:4）。Portal packet head:Type:7 SN:96 ReqId:3 AttrNum:0 ErrCode:0 UserIP:/Portal服务器发送给接入设备的客户端IP地址为的 AFF_ACK_AUTH 报文（Type:7）。1 User-name 10 portal0140 Acct-Status-Type 6 1Apr 18 15:01:55:845 2014 AC RDS/7/DEBUG: Send: IP=22, UserIndex=3, ID=11, RetryTimes=0, Code=4, Length=232/接入设备发送给Radius服务器的用户名为portal01的S