《2022年无线用户Portal认证维护手册参考 .pdf》由会员分享,可在线阅读,更多相关《2022年无线用户Portal认证维护手册参考 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、无线用户 Portal 认证维护手册内部公开1 无线用户 Portal 认证维护手册H3C Technologies Co., Ltd. H3C技术有限公司版权所有侵权必究All rights reserved名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 5 页 - - - - - - - - - 无线用户 Portal 认证维护手册内部公开2 1 特性概述PORTAL 在英语中的原意是入口的意思。在IT 行业一般将PORTAL 称为门户网站,所以PORTAL 认证通常
2、也称为WEB 认证。PORTAL页面在显著的位置设置认证窗口,用户开机后即获取IP 地址,通过登陆 PORTAL 认证窗口进行认证,认证通过后即可访问Internet。 H3C的 WLAN 支持 Portal认证方式。1.1 无线接入和 Portal 认证过程从 802.11 协议本身,没有和Portal认证产生任何的关系,因此无线用户接入和Portal认证是独立的两个过程。 Portal是基于 Http 的,因此WLAN 用户接入WLAN 后获取 IP 地址是第一步,其后才能进一步进行Portal认证。 下面的流程,是无线用户接入WLAN 后的 Portal认证过程: (1) Web Cli
3、ent和 Web Kernel 可以看做一个整体,就是Portal Server。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 无线用户 Portal 认证维护手册内部公开3 流程说明:1. 无PPortal Server 与设备间交互用户信息。设备上需要有用户的ARP ,如果没有就学习。等待 15秒后重新交互。用户上线的认证过程Portal KernelACWeb ClientWeb浏览器(1) 用户http报文请求(2
4、) 设备回应 Web Client 的地址( 3 )向Web Client 请求网页(4 )CODE_ PP_ DEVICE_ REQUEST(5 ) CODE_ PP_ DEVICE _ RESPONSE(6 ) CODE_ PP_ DOMAIN_ REQUEST(7 ) REQ_ INFO(8 ) ACK_ INFO(9 ) CODE_PP_ DOMAIN_ RESPONSE(12 ) CODE _ PP_ LOGIN_REQUEST( 13 ) REQ_ INFO(14 ) ACK_ INFO(15 ) REQ_CHALLENGE(16 ) ACK_CHALLENGE(17 ) REQ_
5、 AUTH(18 )RADIUS 认证过程(19 ) ACK_ AUTH( 21 ) AFF_ ACK_ AUTH(20) CODE _PP_ LOGIN_ RESPONSE(10 )Web Client 回应浏览器的网页(11) 发起认证请求(24) CODE_PP_HANDSHAKE _RESPONSE(25) CODE _PP_HANDESHAKE _RESPONSE( 23 )WEB 浏览器发心跳请求(26 )回应Web 浏览器心跳请求RADIUS 下线过程(1)Web浏览器发起下线请求( 2 )CODE_PP_ LOGOUT_ REQUEST(3 ) REQ_ LOGOUT(4 )
6、ACK_ LOGOUT( 5 )CODE_PP_ LOGOUT _ REPONSE(22 ) 通知WEB浏览器上线成功( 6 ) 通知Web浏览器下线成功浏览器中输入一个IP地址,向该地址发起 HTTP 请求。AC 仿冒该 IP 地址为源地址,向用户浏览器发送响应报文。使用 Redirect Rule 用 户 浏 览 器 与 Web client 建立连接,发起获 取 认 证 页 面 的 请求。重定向成功,用户弹出Portal 认证页面。用户输入用户名及密码发给服务器认证。设备添加 User Rule 二次地址方式在此获取外网 IP 地址。用户上线,在线过程种需要保持心跳。(内置 Portal
7、 Server没有心跳机制)用户的下线过程。设备删除 User Rule 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - 无线用户 Portal 认证维护手册内部公开4 2 特性维护指导2.1 维护命令介绍本小节主要介绍和该特性相关的常用的调试命令:维护命令命令说明debug portal acl 用户上线后转发有问题可以开debug portal connection 用户上下线有问题可以开debug portal packe
8、t 用户上下线有问题可以开debug portal server 本地 portal 认证用户上下线有问题可以开debug portal tcp-cheat http 重定向有问题可以开debug portal all 一般遇到问题可以都打开,只关闭acl(避免信息过多)debugging radius packet AAA 的 radius 开关,用户上下线有问题可以开display portal connection statistics 显示 portal 用户连接统计信息display portal tcp-cheat statistics 显示 portal 仿冒模块统计信息2.2
9、本地 Portal 弹不出认证页面2.2.1 可能原因分析本地 Portal原理:有三个模块组成了Portal认证(仿冒模块、认证模块和本地Portal server )。仿冒模块主要建立TCP仿冒链接管理,也是后面所有的功能的前提,否则所有的报文会被丢弃。 可能问题: (1) 仿冒模块限速,仿冒模块为了避免攻击,每秒中只能上送cpu 256个报文,超过的部分将被丢弃; (2) 仿冒模块存在当前用户的一个老的连接(只会根据Station的地址进行判断),这个老连接一直未释放,从而不能接受新的TCP 连接,这个可以通过命令查看当前是否存在旧的连接;(如果出现这个问题,可能需要8 分钟左右才可以恢
10、复) (3) 如果不是上面的两个,需要进行本地portal server的调试 2.2.2 现场处理建议(1) 需要启动下面的调试信息进行收集: debug portal acl interface xxx (xxx为 VLAN接口) ; debug portal tcp-cheat 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - 无线用户 Portal 认证维护手册内部公开5 debug portal server 如果出现“ Failed to process HTTP packet:under-attack”,则说明为问题1。 (2) 如果出现长时间无法推出页面的现象,则可以使用display portal tcp-cheat statistics察看是否已经存在有网卡IP 地址相关的表项。如果有,则说明为问题2。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -