HotSpot 介绍
HotSpot 介绍HotSpot 是一种通过要求用户认证来访问某些网络资源的方法。用户可以使用几乎任何网页浏览器(HTTP 或HTTPS协议)登陆,所以他们不需要安装任何附加的插件。RouterOS 会自动计算正常运行时间以及每个客户使用的流量,并且也能把这个信息发送到RADIUS 服务器。HotSpot 系统可以限制每个特定用户的比特率,总流量,运行时间以及涉及的其他参数。Hotspot 热点web 服务认证是一种友好的web 方式的认证系统,在此种认证方式中,系统将自动要求未认证用户打开认证网页,验证通过后,便可连接到因特网,未认证用户无论输入任何一个网站地址,都会被强制到一个认证界面,要求用户进行认证。配置了Walled Garden 特性后,允许用户不需要提前认证就可以访问一些网页。认证之前当在一个接口上启用 HotSpot 时,系统自动配置对所有未登陆用户显示登陆页面。这个是通过添加动态目的NAT 规则完成的,你可以在一个运行中的HotSpot 系统上观察的到。这些规则是用来把未认证用户的所有HTTP 及HTTPS 请求重定向到HotSpot servlet(认证过程,例如:登陆页面)。其他一些规则将在该章后面专门部分进行讲述。在配置好 Hotspot 后,打开任何HTTP 页面都会产生HotSpot servlet 登陆页面(可以通过自行定义登陆页面),所有访问Hotspot 网关以外的资源,都会跳转到登陆页面,因此必须在HotSpot 网关配置一个合法的DNS。Walled Garden有时希望对某些服务不要求认证(例如让客户不需要认证就访问公司的服务器),或者一些服务要求认证(例如,用户访问一个内部文件服务器或其他限制区域)。这些都可以通过Walled Garden 系统实现。当一个未登陆用户请求 Walled Garden中允许的服务时,HotSpot 网关不会阻拦它,或者如果是HTTP,就简单地把请求重定向到原来的目的(或定向到一个指定的父级代理)。为了执行 Walled Garden对HTTP 请求的特性,专门设计了一个嵌入的web 代理服务器,所有来自未认证用户的请求是从这个代理通过。注意嵌入的代理服务器还没有高速缓存功能。还要注意这个嵌入代理服务器是在system 软件功能包里并不需要web-proxy 功能包。它是在/ip proxy下面配置的。认证现在有 5 种不同的认证方法。你可以同时使用一个或多个:• HTTP PAP- 最简单的方法。显示HotSpot 登陆页并以纯文本格式获取认证信息(如:用户名和密码)。注意当在网络传输时,密码是没有加密的。• HTTP CHAP - 标准方式,在登陆页包含了CHAP 询问。CHAP MD5 散列询问与用户密码一起使用来计算将被发送到HotSpot 网关的字符串。散列结果(作为一个密码)与用户名一起通过网络发送到HotSpot 服务器(所以,密码是从来不以纯文本格式通过IP 网络发送的)。在客户端,MD5 算法通过JavaScript applet 执行,所以如果一个浏览器不支持JavaScript(比如,Internet Explorer 2.0 或一些PDA 浏览器),将不能认证用户。可以允许未加密密码,即打开HTTP PAP 认证方式被接受,但并不推荐使用这个特性(出于安全考虑)。• HTTPS - 与HTTP PAP 一样,但对加密传输使用了SSL 协议。HotSpot 用户只发送没有附加散列的密码(注意没有必要担心纯文本密码在网络上的暴露,因为传输本身是加密的)。在另一种情况,HTTP POST 方法(如果不可能,那么用HTTP GET 方法)用于向HotSpot 网关发送数据。• HTTP cookie - 在每次成功登陆之后,会有一个cookie 发送到web 浏览器,同时被添加到活动HTTP cookie列表。这个cookie 将与存储在HotSpot 网关的相比较,并仅当源MAC 地址及随机生成的ID 与存储在网关的相匹配。这个方法只可以与HTTP PAP, HTTP CHAP 或HTTPS方法一起使用,不然的话没有其他方式可以产生cookie。• MAC address - 将用客户端的MAC 地址与用户帐号同时作为用户名。HotSpot 可以通过询问本地用户数据库或RADIUS 服务器认证用户(本地数据库会被先询问,然后是RADIUS 服务器)。如果通过RADIUS 服务器认证HTTP cookie,那么路由器将在cookie 被第一次产生时发送相同的信息到服务器。如果认证在本地完成,那么符合该用户的信息将会被调用,否则将会调用 RADIUS中的参数。如果要知道更多关于RADIUS服务器工作的信息,请参见其相应的Radius手册。HTTPPAP 方法也使得通过请求页/login?username=username&password=password。如果你想使用 telnet 连接登陆,准确的HTTP 请求应该这样:GET/login?username=username&password=password HTTP/1.0配置菜单• /ip hotspot - HotSpot 上的特定界面(每个界面一个服务器)。HotSpot 服务器必须添加在这个目录中,HotSpot系统才能够在一个界面上工作。• /ip hotspot profile - HotSpot 服务器概要。影响HotSpot 客户登陆过程的设置在这里进行。多个HotSpot服务器可以使用同样的概要信息。• /ip hotspot host - 所有HotSpot 接口上的活动网络主机的动态列表。在这里你可以找到IP 地址与一对一NAT的绑定• /ip hotspot ip-binding - 将IP 地址绑定到主机HotSpot 接口的规则• /ip hotspot service-port - 一对一NAT 地址翻译助手• /ip hotspot walled-garden – HTTP 等级的Walled Garden 规则(DNS 名, HTTP 请求子串)• /ip hotspot walled-garden ip – IP 等级的Walled Garden 规则 (IP 地址,IP 协议)• /ip hotspot user –本地HotSpot 系统用户• /ip hotspot user profile – 本地HotSpot 系统用户组规则• /ip hotspot active - 所有已认证HotSpot 用户的动态列表• /ip hotspot cookie - 所有合法的HTTP cookie 动态列表下面是一个简单的 Hotspot 事例,HotSpot 网关应该至少有两个网络接口:1. HotSpot 接口,用于连接HotSpot 客户2. LAN/WAN 接口,用于访问网络资源。例如:DNS 和RADIUS 服务器应该可达下面的图表显示了一个简单的 HotSpot 设置。
HotSpot接口应该分配一个IP 地址。物理网络连接应该建立在HotSpot 用户的电脑和网关之间。它可以是无线(无线网卡需要在AP 上注册),或者有线的(NIC 网卡需要连接到一个集线器或一个交换机)。当 ISP 需要在有线或者无线网络中建立Hotspot 热点认证系统,如:小区、酒店、机场和其他公共场所。一个普通的Hotspot网络建立在一个外网接口和一个内部网络接口下,我们需要对内网用户作认证上网。注:在2.9 版本的RouterOS Hotspot 功能包采用的是端口代理的方式连接,在启用Hotspot 接口后UpNp 即插即用功能自动开启,通过在/ip hotspot host 列表中可以查询相应的信息。
页:
[1]