解答一:
它叫做 Captive portal,请自行wiki
算了,还是简单说一下吧
实现方法不止一种
方案一
DNS跳转,把客户端所有的dns请求都解析为认证服务器的ip,然后认证服务器上有404跳转
或者用dns url跳转,直接把dns解析为认证页面的地址
方案二
http跳转,对所有的http请求返回302或者301跳转,目标是认证页面。在网关上就可以实现
方案三
ip跳转,既把所有的ip包里的目标地址改为认证服务器,然后在认证服务器上做404跳转(因为用户有可能访问http://example.com/notexist这样在认证服务器上不存在的地址,所以需要404跳转),目标同样是认证页面,在网关上也可以实现
(参考自 知乎)
解答二:
有个东西叫做bas(broadband access sever)做控制,ac一般透传vlan到bas,由bas控制用户。用户需要在bas通过aaa,否则是不能上网的,即使你有貌似合法的ip。
WLAN用户接入流程
流程描述:
1) 用户通过标准的DHCP协议,通过AC获取到规划的IP地址。
2) 用户打开IE,访问某个网站,发起HTTP请求。
3) AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。并在强制Portal URL中加入相关参数,具体请参见《中国移动WLAN业务PORTAL协议规范》。
4) Portal服务器向WLAN用户终端推送WEB认证页面。
5) 用户在认证页面上填入帐号、密码等信息,提交到Portal服务器。
6) Portal服务器接收到用户信息,向Radius发出用户信息查询请求。
7) Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。
8) 如查询成功,Portal服务器按照CHAP流程向AC请求Challenge。如果查询失败,Portal直接返回提示信息给用户,流程至此结束。
9) AC返回Challenge,包括Challenge ID和Challenge。
10) Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password,和帐号一起提交到AC,发起认证。
11) AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器,由中央RADIUS用户认证服务器进行认证。
12) 中央RADIUS服务器根据用户信息判断用户是否合法(对于省内预付费卡用户,还需要判断用户接入地和归属地是否一致)。RADIUS对用户密码分别进行 静态密码和动态密码两次密码认证。如果其中一次成功,RADIUS向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权。如果两次 都失败,RADIUS向AC返回认证失败报文。
13) AC返回认证结果给Portal服务器。(以及相关业务属性。)
14) Portal服务器根据认证结果,推送认证结果页面。如果成功,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单 次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒。如果失败,页面提示用户失败原因。
15) Portal服务器回应AC收到认证结果报文。如果认证失败,则流程到此结束。
16) 认证如果成功,AC发起计费开始请求给中央RADIUS用户认证服务器。
17) 中央RADIUS回应计费开始响应报文,并将响应信息返回给AC。用户上线完毕,开始上网。
18) 在用户上网过程中,为了保护用户计费信息,每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息。
19) 中央RADIUS计费服务器回应实时计费确认报文给AC。
20) 当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
21) 中央RADIUS计费服务器回应AC的计费结束报文。
( 参考文章)
解答三:
wifidog
它叫做 Captive portal,请自行wiki
算了,还是简单说一下吧
实现方法不止一种
方案一
DNS跳转,把客户端所有的dns请求都解析为认证服务器的ip,然后认证服务器上有404跳转
或者用dns url跳转,直接把dns解析为认证页面的地址
方案二
http跳转,对所有的http请求返回302或者301跳转,目标是认证页面。在网关上就可以实现
方案三
ip跳转,既把所有的ip包里的目标地址改为认证服务器,然后在认证服务器上做404跳转(因为用户有可能访问http://example.com/notexist这样在认证服务器上不存在的地址,所以需要404跳转),目标同样是认证页面,在网关上也可以实现
(参考自 知乎)
解答二:
有个东西叫做bas(broadband access sever)做控制,ac一般透传vlan到bas,由bas控制用户。用户需要在bas通过aaa,否则是不能上网的,即使你有貌似合法的ip。
WLAN用户接入流程
流程描述:
1) 用户通过标准的DHCP协议,通过AC获取到规划的IP地址。
2) 用户打开IE,访问某个网站,发起HTTP请求。
3) AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。并在强制Portal URL中加入相关参数,具体请参见《中国移动WLAN业务PORTAL协议规范》。
4) Portal服务器向WLAN用户终端推送WEB认证页面。
5) 用户在认证页面上填入帐号、密码等信息,提交到Portal服务器。
6) Portal服务器接收到用户信息,向Radius发出用户信息查询请求。
7) Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。
8) 如查询成功,Portal服务器按照CHAP流程向AC请求Challenge。如果查询失败,Portal直接返回提示信息给用户,流程至此结束。
9) AC返回Challenge,包括Challenge ID和Challenge。
10) Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password,和帐号一起提交到AC,发起认证。
11) AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器,由中央RADIUS用户认证服务器进行认证。
12) 中央RADIUS服务器根据用户信息判断用户是否合法(对于省内预付费卡用户,还需要判断用户接入地和归属地是否一致)。RADIUS对用户密码分别进行 静态密码和动态密码两次密码认证。如果其中一次成功,RADIUS向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权。如果两次 都失败,RADIUS向AC返回认证失败报文。
13) AC返回认证结果给Portal服务器。(以及相关业务属性。)
14) Portal服务器根据认证结果,推送认证结果页面。如果成功,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单 次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒。如果失败,页面提示用户失败原因。
15) Portal服务器回应AC收到认证结果报文。如果认证失败,则流程到此结束。
16) 认证如果成功,AC发起计费开始请求给中央RADIUS用户认证服务器。
17) 中央RADIUS回应计费开始响应报文,并将响应信息返回给AC。用户上线完毕,开始上网。
18) 在用户上网过程中,为了保护用户计费信息,每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息。
19) 中央RADIUS计费服务器回应实时计费确认报文给AC。
20) 当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
21) 中央RADIUS计费服务器回应AC的计费结束报文。
( 参考文章)
解答三:
wifidog
一. 用户上线
1. 用户访问网络,通过iptables将未认证的用户dnat到wifidog进程,wifidog通过307报文将用户重定向到认证服务器
2. 用户打开认证服务器登录页面,输入用户名密码,发送认证请求
3. 认证成功的话服务器会发送302报文,携带token信息重定向到wifidog页面。认证失败的话会返回失败页面
4. 用户携带token信息向wifidog发起认证请求,wifidog再向认证服务器发起请求,认证成功后授权,并将用户重定向到成功页面
二. 保活和下线
1. wifidog会定时向认证服务器发送保活消息
2. 当用户主动请求下线后,wifidog此时并没有下线
3. 当wifidog再次发起保活请求时,认证服务器会告诉它用户已下线,此时wifidog会将用户下线
来源:oschina
链接:https://my.oschina.net/u/347219/blog/318527