收藏 分享(赏)
下载资源 加入VIP,免费下载

portal radius简单讲解.ppt

上传人:精品资料 文档编号:10824947 上传时间:2020-01-13 格式:PPT 页数:29 大小:923.77KB
下载 相关 举报
portal radius简单讲解.ppt_第1页
第1页 / 共29页
portal radius简单讲解.ppt_第2页
第2页 / 共29页
portal radius简单讲解.ppt_第3页
第3页 / 共29页
portal radius简单讲解.ppt_第4页
第4页 / 共29页
portal radius简单讲解.ppt_第5页
第5页 / 共29页
点击查看更多>>
资源描述

1、技术应用部 邱自学导 师:邱飞,吴近平,Portal学习简介,培训内容,Portal在英语中“入口”的意思。Portal认证也称为Web认证,Portal认证网站称为门户网站。 PORTAL页面在显著的位置设置认证窗口,用户开机后获取IP地址,通过登陆PORTAL认证窗口进行认证,认证通过后即可访问Internet。,PORTAL简介PORTAL概述,免客户端软件 对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求。 新业务载体 利用PORTAL认证的门户功能,运营商可以将小区广播、广告、信息查询、网上购物等业务放到PORTAL上。用户上网时就会强制地看到上述信息。,PORTAL背景P

2、ORTAL认证优点,RADIUS协议简介,RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称,是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议,与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。 Authentication认证,用于判定用户是否可以获得访问权,限制非法用户; Authorization授权,授权用户可以使用哪些服务,控制合法用户的权限; Accounting计账,记录用户使用网络资源的情

3、况,为收费提供依据;,Portal简介 协议流程 配置 Iptables 常见问题,流程说明,首先wlan用户上网,AC侦测到http连接后,强制发送http重定向报文给wlan用户 Wlan用户接收到重定向报文后,按照重定向报文提供的目的IP地址访问portal 服务器,推送出认证页面 用户输入用户名密码给portal server Portal server向AC发送需要认证用户的用户名 AC向portal server发送认证挑战 Portal server回应认证挑战 AC向radius发起认证 如果认证成功,则AC把认证成功信息发送给portal服务器,推送出认证成功界面,认证成功。

4、,pc发起http访问,该访问被AC连接,并直接返回重定向报文:http 302报文给PC,把pc直接重定向到portal server上,过程,然后PC根据http的重定向信息向portal server发起请求并获得认证页面,在认证页面中输入用户名密码后进行认证。 整个过程对于AC来说和普通IP包的处理是相同的,由于实现配置了portal server的IP地址在白名单中,所以AC对这次访问不进行阻止,按照普通的IP包进行处理,portal server得到用户名和密码后开始和AC联系,触发AC进行portal认证,* Portal协议根据移动规定采用的是udp的2000端口进行认证,数据

5、包的具体分析,1.portal server向AC发送认证请求,数据包的类型为01,表示为认证请求报文。,2.AC回应portal server的认证请求,并发送挑战给portal server,3.portal server 通过挑战回应发送用户名和密码给AC,*至此,AC已经得到了用户的用户名和密码,可以发起radius认证了,4.radius认证数据包,5.radius认证成功后返回给AC的access报文,*到这里,radius认证完成,AC已经确定用户认证通过,7.AC通知portal server 认证通过,类型04,8.portal server回应AC,确认认证通过信息,类型0

6、7,通过第7和第8个报文返回用户认证成功信息给portal server,主动下线流程,用户主动下线流程,强制下线流程,用户强制下线流程,portal简介 协议流程 配置 Iptables 常见问题,Portal实例配置,配置eag: 配置portal server ,负责推出门户页面,也负责用户名和密码的预认证; 配置radius server,负责用户接入的认证、计费、授权 配置监听端口,对进行监听的用户的上线的接口进行portal URL的映射,以便用户进行用户名和密码的输入; 配置白名单 配置NASIP 开启分布式和配置rdcpdc配置的实例; 开户EAG实例服务,Portal简介 协

7、议流程 配置 Iptables 常见问题,sh-3.1# iptables -nvxL Chain CP_R1_F_AUTHORIZED_DEFAULT (4 references)pkts bytes target prot opt in out source destination 0 0 FW_FILTER all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_F_DEFAULT (1 references)pkts bytes target prot opt in out source destination 0 0 FW_FILTER all - * *

8、 0.0.0.0/0 0.0.0.0/0 source IP range 192.1.1.198-192.1.1.198 20 1200 FW_FILTER all - * * 0.0.0.0/0 0.0.0.0/0 destination IP range 192.1.1.198-192.1.1.198 0 0 ACCEPT all - * * 0.0.0.0/0 169.254.2.1 0 0 ACCEPT udp - * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT udp - * * 0.0.0.0/0 0.0.0.0/0 udp

9、 spt:68 dpt:67 0 0 DROP all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_GP_F_AUTH_ebr1-1-1 (1 references)pkts bytes target prot opt in out source destination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 1.1.1.11 0.0.0.0/0 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 0.0.0.0/0 0.0.0.0/0 match-set CP_R1_AUTHORIZED_

10、SET src 20 1200 RETURN all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_GP_F_AUTH_ebr1-1-1_IN (1 references)pkts bytes target prot opt in out source destination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 0.0.0.0/0 1.1.1.11 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 0.0.0.0/0 0.0.0.0/0 match-set CP_R1_AUTHORIZE

11、D_SET dst 20 1200 RETURN all - * * 0.0.0.0/0 0.0.0.0/0 Chain EAP_PRE_AUTH_R1_F (1 references)pkts bytes target prot opt in out source destination 38891 3726629 RETURN all - * * 0.0.0.0/0 0.0.0.0/0,sh-3.1# iptables -nvxL -t natChain CP_DNAT (1 references)pkts bytes target prot opt in out source desti

12、nation 291 23185 CP_R1_GP_N_AUTH_ebr1-1-1 all - ebr1-1-1 * 0.0.0.0/0 0.0.0.0/0 252 20194 CP_R1_N_DEFAULT all - ebr1-1-1 * 0.0.0.0/0 0.0.0.0/0 927207 45338691 RETURN all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_GP_N_AUTH_ebr1-1-1 (1 references)pkts bytes target prot opt in out source destination 35 2755

13、 CP_R1_N_AUTHORIZED_DEFAULT all - * * 1.1.1.11 0.0.0.0/0 0 0 CP_R1_N_AUTHORIZED_DEFAULT all - * * 0.0.0.0/0 0.0.0.0/0 match-set CP_R1_AUTHORIZED_SET src 252 20194 RETURN all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_N_AUTHORIZED_DEFAULT (2 references)pkts bytes target prot opt in out source destination

14、39 2991 FW_DNAT all - * * 0.0.0.0/0 0.0.0.0/0 Chain CP_R1_N_DEFAULT (1 references)pkts bytes target prot opt in out source destination 0 0 FW_DNAT all - * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.1.1.198-192.1.1.198 1 60 FW_DNAT all - * * 0.0.0.0/0 0.0.0.0/0 destination IP range 192.1.1.198-192.1.1

15、.198 0 0 ACCEPT all - * * 0.0.0.0/0 169.254.2.1 0 0 DNAT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:169.254.2.1:4267 0 0 DNAT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:169.254.2.1:4267 1 64 DNAT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:169.254.2.1:4267 250 20070 RETURN all - * * 0.0.0.0/0 0

16、.0.0.0/0 Chain EAP_PRE_AUTH_R1_N (1 references)pkts bytes target prot opt in out source destination 927500 45356025 RETURN all - * * 0.0.0.0/0 0.0.0.0/0,Portal简介 协议流程 配置 Iptables 常见问题,Q:portal认证页面无法推出 A:1):请确认网关是否能够ping通,并且ping是否丢包. 2):请确认是否能和portal服务器正确连接,白名单是否添加,可使用ping命令检查。并确认外置portal server已经正确的

17、配置了AC的相关数据。 3):可以在sta浏览器中直接输入portal地址,检查是否可以打开页面,如无法打开,请确认portal页面地址是否正确.,常见问题,Q: portal认证页面无法推出,但浏览器中直接输入地址可以打开 A:1):直接在sta浏览器中输入eag重定向监听ip+冒号+端口(非portal的页面地址)组成的网址(形如http:/10.1.1.1:3990),检查是否可以跳转到portal页面.如不能,请确认eag服务是否开启,配置的portal地址是否正确,修改配置后是否重启eag服务. 2):请确认captive portal 中是否监听sta所在下行接口,确认captiv

18、e portal配置中的重定向ip/端口 和 eag的重定向监听ip/端口是否一致.,常见问题,Q:用户在连接多Portal机制时候出现的问题 A:需要手动开启: configure terminal 节点下 set notice sta info to portal enable .否则在Portal切换的时候出现失灵的状况。,近期工作总结,参与测试了消防AP参与测试中华电信的用例测试参与测试移动的用例测试进行基础练习参与学习测试无线射频陕西移动抽检测试测试CPE打流,以后工作计划,弥补自己动手能力上的不足加强无线部分的学习,重点加强无线基础知识的学习多参与用例测试,增加自己的测试经验,谢谢!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报