对于WEB认证的接入方式

OpenPortalServer开源Portal协议WEB认证服务器作者：LeeSonQQ:25901875E-Mail:LeeSon@OpenPortal官方交流群119688084该软件是基于华为AC/BAS PORTAL协议的服务端程序，Java编写，开源。

最新源代码下载地址：https:///lishuocool https:///SoftLeeSon/支持Huawei H3C Portal V1 V2协议PAP CHAP认证方式的Portal服务器-------------------------------------------------------------------------------------------新手安装配置说明：-------------------------------------------------------------------------------------------windows环境下：1.首先保证已有JDK1.7环境，MySQL环境,tomcat72.解压路径无中文及空格3.配置文件说明\webapps\ROOT\WEB-INF\classes\jdbc.properties首先修改该数据库配置文件创建openportalserver数据库UTF-8字符集导入数据库文件OpenPortalServer.sql后台账号：admin 密码:admin4.配置AC设备安装和配置Radius服务如果使用AC模拟器进行模拟测试则可忽略这步如果使用页面展示、本地接入用户认证方式不用配置radius5.运行bin/startup.bat 快捷方式6.浏览器http://服务器IP7.如果使用AC模拟器测试用户名密码随意如果真实环境（不用我废话了）-------------------------------------------------------------------------------------------Linux环境: 安装jdk1.7 mysql tomcat7 将解压目录下的webapps目录替换Portal认证服务核心引擎接口路径为根目录的html文件采用GET提交，Json信息返回！-------------------------------------------------------------------------------------------对接配置说明：超时设置3-5秒日志记录是否输出详细日志到文件验证码设置是否开启用户登陆的验证码用户心跳是否进行用户离线检测超时重复次数一次检查周期内用户在线检测超时几次算已经下线计费检测周期间隔多长时间检测一次用户是否在线，余额是否够认证方式页面展示,本地接入用户,外接radius自助注册开关是否允许自助注册接入用户，默认每个新用户给10分钟的时长设备账号对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain设备密码对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain-------------------------------------------------------------------------------------------本地用户认证模式则下面交换机不用设置[SWITCH] domain 设备账号密码就是交换机的账号密码-------------------------------------------------------------------------------------------以华为S5700交换机为例，配置信息详细说明：交换机配置如下配置步骤步骤1创建VLAN 并配置接口允许通过的VLAN，保证网络通畅。

WLAN测试标准WLAN测试标准中国移动通信集团福建有限公司漳州分公司网络优化中心2012年06月1WLAN测试工具及测试选点方法1.1测试设备名称数量备注测试便携电脑（安装Windows XP 或Windows 7）1台内置Intel无线网卡或外置USB/PCMCIA无线网卡(支持802.11a/b/g协议)WLAN智能测试分析仪表或软件(CDS、EastDragon业务测试软件、NetStumbler、FTP等) 1套要求能够测试WLAN场强、信噪比；能够分析出测试区域内的干扰情况及同邻频干扰情况、能够测试Web认证成功率、时延、下线成功率、FTP上传下载速率、时延等1.2测试选点方法测试应覆盖高校的全部热点区域，教学区、图书馆、宿舍、等需要增加测试次数。

在各热点不同覆盖区域中至少选取5个采样测试点，测试点均匀分布，而且应考虑用户使用习惯，尽量选择用户的平常接入区域。

2WLAN测试用例测试项目测试编号测试子项目备注WLAN无线网络检测1.1 场强信噪比检测1.2 同邻频干扰检测1.3 网络ping包成功率测试1.4 网络ping包时延测试WLAN宽带上网测试2.1 FTP上下行速率测试2.2 网站访问成功率2.3 网站访问首页刷新时延基于WEB 认证方式的接入测试3.1 WEB认证接入成功率3.2 WEB认证接入时延3.3 WEB认证下线成功率测试项目标准信号强度-75dBm 信噪比24dBm-40dBmWeb认证接入成功率95% Web认证下线成功率95% 门户网站登录成功率95% 门户网站登录时延4s FTP下载成功率95%FTP平均下载速率200KB/SFTP上传成功率95%FTP平均上传速率120KB/S ping服务器丢包率（%） 4ping服务器时延（ms）40终端pingAC丢包率（%） 3终端pingAC时延（ms）30 2.1场强信噪比检测1-1编号项目WLAN无线网络检测场强信噪比检测分项目目的测试规定区域内网络覆盖情况指标定义：AP覆盖区域内的信号强度及信噪比预置条件：1、AP正常运行2、天线正确安装或者天馈系统符合标准3、使用专业测试仪器测试流程：1、明确某个AP覆盖的区域2、在AP覆盖区边缘选取测试点3、使用工具测试该点信号稳定后的场强、信噪比预期结果：1、信号强度大于-75dBm2、信噪比在24dBm-40dBm之间2.2同邻频干扰检测编1-2号项目WLAN无线网络检测同邻频干扰检测分项目目的测试网络覆盖区域内的WLAN信号同邻频干扰情况指标定义：WLAN网络指定覆盖区域的信号是否同频信号干扰或邻频信号干扰预置条件：1、AP正常运行2、天线正确安装或者天馈系统符合标准3、使用专业测试仪器测试流程：1、明确某个AP覆盖的区域2、在AP覆盖区边缘选取测试点3、对于有多个AP同时使用的信道，进行单信道测试，查看是否有同频干扰4、观察是否有AP工作在相邻信道上，查看是否有邻频干扰预期结果：1、同频干扰小于-80dBm；2、邻频干扰小于-70dBm。

基于RouterOS Hotspot搭建校园网Web认证系统作者：孙利国来源：《无线互联科技》2014年第08期摘要：提出了一种通过Web认证的网络接入技术，实现了针对用户进行身份认证、用户策略、带宽控制和权限的管理。

关键词：web认证；hotspot热点认证；routeros当前校园网络资源、应用的数量和规模在不断扩大，网络用户的数量也呈现剧增的趋势。

由此带来的网络管理、尤其是网络安全问题日益突出。

传统的无身份认证的网络已经不能满足当前校园网络发展的需要，特别是缺乏有效的计费和认证方式。

为此笔者提出了一种高效、低成本的网络解决方案，即利用RouterOS Hotspot热点认证系统搭建校园网Web认证系统。

1 使用RouterOS hotspot的优势1.1 hotspot支持二层和三层的认证与ppoe验证方式相比，pppoe是基于二层链路的认证，也就是只能在二层设备传输，如果有三层设备就无法穿透，而hotspot是基于三层的ip验证，所以能在二层和三层网络中进行传输。

1.2 无需安装客户端软件只要通过浏览器进行身份验证就可以使用网络，用户还可以通过浏览器查询已使用的时间、流量、费用等相关信息。

1.3 高效的带宽控制功能RouterOS最显著的特征之一就是带宽控制，可根据实际需求对用户组、单个用户定义带宽属性，还可为特定的用户保留带宽或不进行登录认证、对用户实际使用情况进行动态的调整。

1.4 强大的管理功能支持DHCP和静态地址，可将MAC地址与用户账号绑定、用户账号与IP地址绑定、IP 地址与MAC地址绑定，从而一定程度上保障了网络的安全性；可设置定时打开指定的URL，比如校园内部紧急通知、广告宣传、缴费通知等。

为管理者提供上网用户的实时连接状态，例如登录用户的IP、MAC、流量使用、连接状态。

对特殊用户可设置免认证以及阻止认证等强大的认证功能。

1.5 完善的日志记录功能可实现对CPU、磁盘、内存使用、流量等的天、周、月、年的记录从而使管理者对认证系统运转情况进行实时监测，报表系统还可对用户的上网行为进行监测、分析。

赞普科技：Mydradius酒店宽带上网认证计费管理系统方案一、前言随着互联网应用和手提电脑的普及，客人需要简单方便，随时随地的宽带接入，客房宽带接入已经明确作为4、5星酒店的基本服务，同时也为酒店带来新的可观的营运收入。

因此，酒店成为宽带公共接入的热点，吸引众多宽带接入运营商的投资。

Mydradius酒店宽带上网认证计费管理系统是一套专业的酒店宽带计费系统，不仅完全适合酒店运作，而且也考虑到运营上与酒店的合作运营模式。

二、webPortal方式认证Web Portal通过启动一个Web页面输入用户名/密码，实现身份认证。

Web认证目前已经成为酒店网络平台的认证计费标准方式，通过Web页面，实现对用户是否有使用网络权限的认证。

Web认证方式有以下优点：无需特殊的客户端软件，降低网络维护工程量；无需多层数据封装，保证效率。

三、计费运营的必要性3．1 多样化的收费方案是酒店宽带运营盈利的关键酒店推出的服务必须让顾客满意，这对酒店宽带服务也是如此。

单一化的收费方案往往因为缺少个性化服务，而受到客人的质疑。

其后果是一部分客人干脆就不上网，而必须上网的客人心里则感到不满意。

客人带着意见离开，这是每一个酒店管理者所不愿看到的。

因此要做到既能使酒店收益也能让客人满意，就必须推出多种服务方案。

比较成功的酒店宽带收费模式是比较灵活的：既可以包天，也可以按小时计费与按流量计费。

对于长时间需要上网的顾客来讲，包天就可能节省客人的开支，如果只按时间计费，顾客就会不满意。

而一般的客人不可能需要长时间的上网，他就选择按时间收费，即使每小时的使用费贵一点，他也可能接受，因为酒店已经提供了个性化的服务。

3．2 成为可盈利型酒店宽带运营的可行性方案为了解决以上的困扰，酒店不但需要引入宽带上网，而且要对网络进行合理而且有效的管理，同时，酒店作为集商务、娱乐于一身的场所，还需要提供多种的网络增值服务给客人（如 VOD 点播、在线游戏、旅游咨询服务等），而所有的一切都需要一套完善而成熟的计费管理系统来实现。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

RouterOS 2.9 HotSpot 使用说明(图文)热点服务认证系统是一种web 的认证方式，在此种认证方式中，用户可以通过自设IP 地址或DHCP 获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。

基于web 认证的接入网关要维护一个IP 地址列表，依照这个表对所有收到的每个IP 包进行检查，查看IP 包是否在允许通过之列，凡是开机后第一次进行www 浏览的而没有通过认证的IP 包，不被允许通过，接入网关会将一个web 的认证界面推给用户，让用户进行认证，认证通过后，就把该用户的IP 地址加入到IP 地址列表中，如果不是有权用户HTTP 包文就丢弃，如果收到的包允许通过，就进行地址转换或直接使用公网地址替换原地址，而后送出。

基于web 认证的接入网关也是通过RADIUS 进行认证，此时WEB SERVER 作为RADIUS 的client 端。

下面是一个HotSpot 认证系统的拓扑结构：上面是用HotSpot 做为认证网关，内网防火墙用户阻止用户的一些非法数据，保证认证网关的安全，过滤用户向外发出的相应病毒端口，控制用户对外的访问端口、数据、服务等。

在内网设置防火墙是考虑到更多的病毒攻击和非法访问，以及过大的数据流量大多来至内网，当然你完全可以选择在认证网关前面增设一台对外的防火墙以保证网络更高的安全和稳定性。

主要特征：●用户通过时间与流量认证计费●Cookie ( 存储用户的账号和密码)●带宽控制功能●定额控制（连接超时时间, 下载/ 上传传输限制）●实时用户状态信息显示●自定义认证HTML 页( 可以由你自己设计认证页)●DHCP 服务器分配IP 地址●简单的RAIUS 客户端配置●MikroTik RouterOS 能与PPTP 隧道、IPsec 以及其它的一些功能配合使用。

●可以通过Access Point 与以太网接入用户。

1.1认证方式1.1.1绑定认证大客户专线主要采用此认证方式。

用户采取不认证不计费方式，ip、arp报文触发用户上线后即可访问网络。

1,设置认证计费方案：aaaauthentication-scheme noneauthentication-mode noneaccounting-scheme noneaccounting-mode none2,设置认证域：domain zhuanxianauthentication-scheme noneaccounting-scheme noneservice-type hsiip-pool zhuanxian3,设置用户固定IP地址：ip pool zhuanxian localgatewaysection 0 .X .Xexcluded-ip-address .Xdns-server 211.137.82.4 secondary4,设置用户接入认证：interface GigabitEthernetX/X/X.Xuser-vlan Xbasaccess-type layer2-subscriber default-domain authentication zhuanxianauthentication-method bindstatic-user interface GigabitEthernet vlan X detect domain-name zhuanxian1.1.2PPPOE认证小区宽带等使用固定账号适合开展PPPOE拨号上网方式。

认证成功后动态获取IP地址，采用radius认证计费上网。

1,设置radiusradius-server source interface LoopBack0radius-server group radiusradius-server authentication 218.200.239.183 1812 weight 0radius-server accounting 218.200.239.183 1813 weight 0 radius-server shared-key itellinradius-server source interface LoopBack0radius-server attribute translateradius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send2,设置虚模板〔需与radius侧一致，也可不配置认证方式，VT0确认无认证〕interface Virtual-Template0ppp chap password cipher CMNET!@#3,设置认证计费方案：aaaauthentication-scheme radiusaccounting-scheme radius4,设备地址池ip pool zhuanxian localgatewaysection 0 .X .Xdns-server 211.137.82.4 secondary5,设置认证域：domain pppoeauthentication-scheme radiusaccounting-scheme radiusservice-type hsiradius-server group radiusip-pool pppoe16,设置用户接入认证：interface GigabitEthernetX/X/X.Xdescription To XXXXpppoe-server bind virtual-template 0user-vlan XXX XXX QinQ Xbasaccess-type layer2-subscriber default-domain authentication pppoe1.1.3二层web认证WLAN校园网业务多数使用二层web认证方式。