路由器WiFi Portal认证分类和原理

什么是portal认证

Portal认证是一种常见的网络认证方法,通常在公共Wi-Fi网络中使用。当你连接到一个需要认证的Wi-Fi网络时,打开浏览器会自动跳转到一个特定的登录页面,这个页面称为Portal页面。在该页面上,你需要提供登录凭据或者同意特定的使用条款,然后才能正常使用互联网。

portal认证的场景

Portal认证在许多场景中被广泛应用,特别是在公共网络和共享网络环境中。以下是几个常见的Portal认证场景:

  • 公共Wi-Fi热点
    在咖啡馆、餐厅、机场、酒店、图书馆等公共场所提供的无线网络通常采用Portal认证。用户需要通过认证页面提供凭据或同意使用条款,然后才能访问互联网。
  • 教育机构
    学校、大学和其他教育机构经常在校园范围内提供无线网络。为了控制网络访问和确保只有授权用户可以使用,这些机构使用Portal认证,要求学生和教职工提供凭据来连接到网络。
  • 企业内部网络
    许多公司和组织在其内部办公场所提供无线网络。Portal认证可用于控制员工和访客对内部网络的访问权限,以保护网络安全和资源。
  • 宿舍和公寓
    学生宿舍和公寓楼通常提供共享的无线网络。Portal认证可用于管理住户对网络的访问,并追踪网络使用情况。
  • 需要用户认证的服务
    某些在线服务可能要求用户通过Portal认证来访问和使用其服务。这可以是为了验证用户的身份、控制访问权限或遵守法规和政策。

portal认证的分类

portal认证流程图

由于portal认证设备有多种类型,主要分为单路由器场景、AP+AC场景、外置服务器场景等,虽然场景分为这么多种,但弹出portal页面的方式是类似的,只是重定向页面位置和触发通过认证的方式不一样。

  • 单台路由器场景
    该场景下所有的服务都在单台路由器中,包括portal页面、认证服务等,比如常见的广告路由器、红包wifi等。
  • AP+AC场景
    该场景主要运用在大型网络中,网络中包含AC控制器和多台AP。
  • 外置服务器场景
    一般AC还支持和外部portal服务器对接,实现计费功能,以下为最简单的外置portal对接流程,行业标准做法叫做AAA认证,包含了认证、计费、授权。

portal认证步骤

Portal认证的原理可以简单概括为以下几个步骤:

  • 重定向

当用户连接到一个需要认证的Wi-Fi网络时,其网络流量会被重定向到一个特定的Portal认证页面。这个重定向可以通过网络路由器、防火墙或其他网络设备完成。

  • 登录页面显示
    一旦用户的流量被重定向到Portal认证页面,用户的浏览器会显示该页面。这个页面通常由网络管理员设置,用于用户认证和授权访问互联网。
  • 用户认证

在Portal认证页面上,用户需要提供有效的认证凭据来验证其身份。这可以包括用户名和密码、临时凭证、短信验证码或其他身份验证信息。

  • 认证服务器验证
    一旦用户在Portal页面上提交了认证凭据,这些凭据会被发送到认证服务器进行验证。认证服务器与Portal认证系统相连,负责验证用户的身份和凭据是否正确。
  • 认证结果返回
    认证服务器会将认证结果返回给Portal认证系统。如果认证成功,Portal认证系统将允许用户访问互联网,并将用户的流量从Portal页面重定向到正常的互联网连接。否则,如果认证失败,用户可能需要重新提供凭据或无法访问互联网。
  • 记录和授权
    Portal认证系统通常会记录用户的认证信息和访问行为,以供网络管理员进行监控和管理。此外,系统还可以根据认证结果为用户分配不同的访问权限或应用特定的策略,例如限制访问时间或流量配额。

认证页面弹出原理

当手机连接WiFi后,系统会发起联网探测报文,该报文采用http协议,如果路由器将该报文拦截回复了http 302报文,手机将会自动弹出认证页面,目前安卓、ios、windows都支持自动弹出认证页面。

如何让路由器能够回复http 302报文成了portal认证的核心技术点,在不同的应用场景实现还有所区别,这里讲解主要的使用场景。

  • 路由模式
    如果路由器只是简单的作为路由模式使用,可以基于三层报文拦截和重定向,重定向可以基于应用层和内核。 基于应用层的重定向

如果是基于应用层,需要开启另外的web服务器或者复用当前的配置web服务器,比如wifidog就内置了web服务器,对于所有未认证终端的tcp报文都重定向到本地web服务器,在服务器中实现302重定向,重定向可以通过iptables DNAT规则实现。

基于应用层的重定向要求web服务器性能较高,特别是多终端的场景会出现web服务器占用高的情况,像wifidog这种极简web服务器一般是不满足需求的。

基于内核的重定向
为了提高性能和降低延时,我们往往通过内核态直接封包进行重定向,通过内容识别后组件302重定向报文,直接发送给终端,这样终端不用和本地web服务器建立tcp连接,大大提高性能。

  • 桥模式
    在AC AP场景下,AP是一个桥设备,为了能够实现三层重定向,还需要通过二层转三层的从定向,需要借助于ebtables规则,然后再通过iptables规则实现重定向,当然二层也可以通过内核直接实现重定向,原理和路由模式类似。

OpenWrt中portal认证package

在OpenWrt中,有几个常用的Portal认证软件包可用于实现认证功能。以下是一些常见的Portal认证软件包:

  • CoovaChilli
    CoovaChilli是一个开源的Portal认证软件,可以与OpenWrt集成。它提供了一套完整的认证和访问控制功能,支持基于用户名和密码、临时凭证、社交媒体认证等多种认证方式。
  • NoDogSplash
    NoDogSplash是另一个常用的Portal认证软件包,适用于OpenWrt。它提供了简单但功能强大的认证和重定向功能,支持用户认证、接受使用条款等功能。
  • WiFiDog
    WiFiDog是一款用于公共无线网络的开源认证和访问控制系统,也可在OpenWrt上使用。它支持基于Web的认证、社交媒体认证和短信认证等多种认证方式。
  • HotspotSystem
    HotspotSystem是一个商业化的Portal认证解决方案,也提供了适用于OpenWrt的软件包。它提供了全面的认证、授权和计费功能,适用于各种公共Wi-Fi场景。
如需转载请保留该博客链接!程序员TT » 路由器WiFi Portal认证分类和原理

相关文章

评论 (0)