Portal直接认证上下线过程简析

Portal直接认证上下线过程简析 一、Portal直接认证上下线过程可以分为四个阶段 1.客户端、接入设备之间的交互过程（HTTP重定向） 客户端访问任意IP地址（1丄1.1）的目的网页，AC作为接入设备在配置了 Portal认证的接口伪装成客户端想要访问的目的网页，并通过HTTP重定向将 Portal服务器的认证页面返回客户端。客户端、接入设备、Portal服务器之间的 交互过程（HTTP重定向）对应下图的HTTP・GET、HTTP重定向。 2.客户端、Portal服务器、接入设备之间的交互过程（认证前） 客户端访问重定向的Portal服务器认证页面，输入用户名和密码，通过点击 上线捉交用户名和密码给Portal服务器。Portal服务器通过与接入设备交互INFO 报文获取客户端相关信息，Portal服务器通过与接入设备交互CHALLENGE报文协 商用于CHAP加密的Challenge （Portal服务器采用CHAP认证方式的情况，采用 PAP认证方式时没有此过程）。客户端、Portal服务器、接入设备之间的交互过 程（认证前）对应下图的HTTP上线请求、REQ_INFO、ACK」NFO、REQ_CHALLENGE、 ACK_CHALLENGEo 3・Portal服务器、接入设备、Radius服务器之间的交互过程（认证中） Portal服务器通过REQ_AUTH向接入设备发起认证，接入设备M Radius服务 器进行通信，对用户信息进行认证，如果认证成功，接入设备回应Portal服务器 ACK_AUTH告知客户端认证成功，Portal服务器通过AFF_ACK_AUTH对此再进行 一次回应。最后，接入设备向Radius服务器发起计费开始过程。Portal服务器、 接入设备、Radius服务器之间的交互过程（认证中）对应下图的REQ_AUTH、 Access-Request Access-Accept ACK_AUTH AFF_ACK_AUTH、Accouting- Request Accouting- Responseo 4.客户端、Portal服务器、接入设备、Radius服务器之间的交互过程（下 线） 客户端通过点击下线将下线请求告知Portal服务器，Portal服务器通过 REQ_LOGOUT向接入设备发送下线请求报文,接入设备通过ACK_LOGOUT进行冋 应。最后，接入设备向Radius服务器发起计费结朿过程。客户端、Portal服务器、 接入设备、Radius服务器之间的交互过程（下线）对应下图的HTTP下线请求、 REQ_LOGOUT、ACK_LOGOUT Accouting-Stop、Accouting-Response。 代入点备 HTTP* MTTPhltdl* REQ MO ACK MO ACKCMAliesGe REC AUTm ACK AUTH http yr tty RBOlOGOuT ACK.UOOOUT A” ACK AUTM 二、组网图 AC Vlan-int2 192.168.2.1/24 Vlan-intlO 192.168.10.1/24 Vlan-intlOO 10.153.43.143/24 iMC 172.16.100.122/24 10.153.43.100/24 192.168.2.2/24 192.168.10.2/24 Client AC 作为 AP 网关Vlan-int2 192.168.2.1/24和 Client 网关Vlan-intlO 192.168.10.1/24,设置互联地址Vlan-intlOO 10.153.43.143/24与 iMC 进行 通信,iMC的IP地址172.16.100.122提供Portal服务和AAA服务。 三、抓包显示 AP釆用本地转发，在Client网关开启Portal认证，在AC的有线口对一次Portal 直接上下线过程进行抓包显示。 1. 客户端、接入设备之间的交互过程HTTP重定向 通过ip.src 192.168.10.2 ip.dst l.l.l.l || ip.src 1.1.1.1 ip.dst 192.168.10.2 对客户端与接入设备之间的交互报文进行过滤。 0X0 Ox Teo n }.iMm M MW if 典 ISMt* z jinn M 2.US440 V9 1.1 W 1M.10.2 ta US X.lIt 1M.10.J U2 la wFv Lbm*. ll2M tyaefCMtta K9fnQ込4,1 竹”0 UX48 XM.10.1 KFw M ・0呗iw. g M4 g“IWW4 mwiW 1.19M lyMMM-sta Mttad]Ml9・,lavwo WtTFM cn / HTTFA.l XM. 10.2KOF4y bTW/X8 X g Qt/ww。 1.1W ►w W M *VE Mtcel W，6 ・ WCI 1.1.2.1 a.l..De Mts XW.1M. 10. 1*2.IM. 10. YramolstlcR comrl ”鉄ec€l. VC crt Mtp W. M V 戶amxyS OMD.l ACfet M2. 9 4“ R0Vtt VFMear vtmcb1 JH tY dAtA ・ 权・、25 Z2・\r、/ 000 *000 mw *000 bw* ooe No.25、No.26、No.27为TCP三次握手建立连接的过程（配置了 Portal认证 的接口会接受任何未上线客户端的TCP连接，伪装成客户端想要访问的目的网 页）,No.28号报文显示客户端通过HTTP-GET试图访问1.1.1.1的页面内容，No.29 号报文显示接入设备向客户端重定向Portal服务器的认证页面，报文中包含认证 页面的URL信息，随后客户端对认证页面进行访问。 2. 客户端、Portal服务器、接入设备之间的交互过程（认证前） 通过ip.src 192.168.10.2 ip.dst 172.16.100.122 || ip.src 172.16.100.122 ip.dst 192.168.10.2 对客户端与 Portal 服务器之间的交互报 文进行过滤。 taw Fr Lm IW・ * Itl H MB 10 M a tel I ・■* YVX ■〜4八 8 ir F.777W5 *F・M.100・XJT ,3・*・*0・y 82・o