portal2.0
Contentsportal2.0原理介绍1常见portal对接配置案例信锐nac配置23目录常见问题排查4
portal2.0原理介绍认证成功标准流程:1、终端重定向过程第一步:终端发起探测流量(部分安卓手机需要手动触发),此时在AC设备上需要放通dns流量,探测域名才会被正常解析,事例:第二步:终端和解析的地址进行tcp三次握手之后会发出http请求,此时AC设备会回复终端http302moved重定向至portal服务器,事例:
portal2.0原理介绍认证成功标准流程:1、终端重定向过程第三步:终端被重定向至portal服务器之后,终端直接与portal服务器交互,弹出portal页面。此时弹portal页面过程与AC设备无关,故需要注意在AC设备上需要放通portal服务器地址,事例:可通过在笔记本终端用wireshark抓包梳理此过程(过滤dnsorhttportcp)
portal2.0原理介绍wlan用户友商ac(客户端)Radius信锐nac(服务器)portal客户端重定向至portal服务器portal服务器推送portal页面至终端用户输入用户信息查询用户信息返回查询结果服务器告诉客户端:你去进行radius认证radiusrequestradiusaccept{客户端进行radius认证客户端告诉服务器:我认证成功了好,可以放通这个用户了告诉用户认证通过认证成功标准流程:2、portal认证过程
portal2.0原理介绍 MAC免认证 为了避免用户每次连接无线都需要弹出portal页面进行认证,信锐nac作为portal服务器或portal客户端时支持mac免认证功能。 原理是,终端连接SSID后portal客户端会发送一个携带用户mac地址和IP地址的radius报文到portal服务器,若此用户之前认证过了,且在免认证有效期内,则此用户无需再次弹出portal页面。
portal2.0原理介绍可根据原理介绍,通过过滤radiusorportal(没有portal插件则过滤radiusorudp.port==2000)来分析梳理下认证原理,附件:portal_sever.pcap
portal2.0原理介绍 可根据原理介绍,通过过滤radiusorportal(没有portal插件则过滤radiusorudp.port==2000)来分析梳理下认证原理,附件:portal_sever.pcap 对上图红色框中的7个报文做个解释(1-7代表红色框从上到下对应7个数报文):1、portal客户端首先发送一个radius报文给portal服务器。此报文属于portal客户端支持mac免认证(又称mac优先认证),携带终端mac地址去服务器检查此用户是否需要认证;2、portal服务器对portal客户端radius报文响应报文。若回复Accept,则代表此用户无需认证,不需要重定向。若回复Reject,则代表此用户需要认证;3、第三个报文是portal服务器向客户端发的第一个udp报文。此报文携带终端填写的用户名及密码信息,通过udp50100发送给客户端,请求此用户进行radius认证;4、portal客户端进行radius认证。portal客户端收到服务器发来的第一个udp报文,获取终端信息,将用户信息封装到radius报文内进行radius认证;5、此报文为radius认证成功报文;6、此报文为第二个udp报文。porta客户端告诉portal服务器,我认证好了;7、对上一个报文的确认报文。portal服务器告诉portal客户端,可以放通这个用户了。
Contentsportal2.0原理介绍1常见portal对接配置案例信锐nac配置23目录常见问题排查4
信锐nac配置nac作为portal服务器
信锐nac配置nac作为portal客户端
Contentsportal2.0原理介绍1常见portal对接配置案例信锐nac配置23目录常见问题排查4
常见portal对接配置案例对接H3C控制器
常见portal对接配置案例对接华为控制器1.新建portal服务器在安全管理---Portal认证---外置Portalserver页面,新建一个外置portal服务器;填写如下信息,其它默认。(1)服务器名称(2)URL:与信锐WAC上配置的Portal客户上一致(3)URL选项:勾选重定向URL、SSID、用户IP地址、用户MAC,这四个选项(4)共享密钥:与信锐WAC上配置的Portal客户上一致(5)IP地址:填写portal服务器的IP,并点击+2.放通portal服务器和DNS的IP地址如是微信认证,请看