首先,TL-AC1000的Portal认证功能需要与Web服务器、认证服务器和短信猫等设备共同工作。它为WEB服务器和认证服务器提供了通信接口,并对其工作提出了规范要求。
接下来,让我们详细了解一下TL-AC1000 Portal认证的流程。首先是无线终端连接Wi-Fi,访问任意外网,这将触发Portal认证。当无线客户端连接上AP发出的Wi-Fi信号后,打开浏览器访问任意外网,这时AP会拦截客户端访问外网的GET数据包,并重定向到WEB服务器。
重定向条目会包含一些有效信息,如WEB服务器域名、认证方式、客户端所属的VLAN、客户端MAC地址、客户端ip地址、客户端关联AP的MAC地址和IP地址等。这些信息将用于后续的认证过程。
接下来,无线终端根据重定向条目与WEB服务器建立连接。WEB服务器向无线终端返回认证页面,该页面必须满足以下规范:认证页面必须有一个Form的action属性指向AC IP:Port/portal/auth,其中AC IP为当前无线控制器AC的IP地址,Port为Portal服务端口。认证登录页面以Get方式提交Form表单,并且必须包含用户名、密码、VLAN、客户端MAC地址、客户端IP地址、客户端关联AP的MAC地址和IP地址等参数。
用户在认证登录页面填写用户名和密码后,点击“登录”按钮,无线终端将以GET的方式将相关信息提交给TL-AC1000。TL-AC1000在获取客户端提交的信息后,会从vlan、staMac、staIp、APMac、apIp等参数中确定需要进行认证的设备,并将所有参数提交给认证服务器进行认证。
认证服务器根据TL-AC1000提交的信息判断用户是否通过认证,并向TL-AC1000返回认证结果。TL-AC1000根据认证服务器返回的结果向无线终端返回相应的认证结果。如果认证成功,AC则根据之前的vlan、staMac、staIp、APMac、apIp参数信息对相应设备的上网数据给予放行。
总之,TL-AC1000的Portal认证功能为用户提供了安全、高效的认证方式。通过简化认证流程和规范要求,TL-AC1000可以帮助用户快速搭建安全的无线网络环境。同时,它还可以与其他认证设备无缝对接,满足多样化的应用需求。
在商场、酒店等环境,为了对终端进行广告推送,短信认证等,客户可以使用TL-AC1000的Portal认证功能配合第三方认证系统,包括提供Portal认证页面的WEB服务器、认证服务器、短信猫等系列设备。TL-AC1000提供与WEB服务器、认证服务器的通信接口,对WEB服务器的建立提出了一定的规范要求。
本文介绍TL-AC1000(适用于1.2.0 Build 20151125 Rel.51471及以后的软件版本)Portal认证流程以及Portal服务器搭建规范。
Portal认证流程图
流程及规范要求
第一步:无线终端连接Wi-Fi,访问任意外网
无线客户端连接上AP发出的Wi-Fi信号后,打开浏览器访问任意外网,触发portal认证;
第二步:AP拦截无线客户端访问外网的GET数据包,并重定向到WEB服务器
没有通过认证的无线客户端发往外网的GET数据包会被AP拦截,并且AP会向客户端返回一条重定向条目(假设WEB服务器域名为www.abc.com),重定向条目为HTTP://www.abc.com/?pagetype=xxx&vlan=xxx&staMac=xxx&staIp=xxx&apMac=xxx&apIp=xxx
该条目主要携带以下有效信息:
| 参数 |
说明 |
| www.abc.com |
WEB服务器域名 |
| pagetype |
标志不同的认证方式 |
| vlan |
客户端所属的VLAN |
| staMac |
客户端的MAC地址 |
| staIp |
客户端的IP地址 |
| apMac |
客户端关联AP的MAC地址 |
| apIp |
客户端关联AP的IP地址 |
第三步:无线终端访问WEB服务器
无线终端根据第二步返回的重定向条目与WEB服务器建立连接。
第四步:WEB服务器向无线终端返回认证页面
WEB服务器向无线终端返回认证登录页面,针对该认证登录页面,需满足以下规范:
1、认证页面必须有一个Form的action=http://AC IP:Port/portal/auth,其中AC IP为当前无线控制器AC的IP地址,Port为Portal服务端口。
2、认证登录页面以Get方式提交Form表单。
3、认证登录页面必须包含以下参数:
| 参数 |
说明 |
| username |
用户名 |
| password |
密码 |
| vlan |
客户端所属的VLAN(从第二步的URL中获取) |
| staMac |
客户端的MAC地址(从第二步的URL中获取) |
| staIp |
客户端的IP地址(从第二步的URL中获取) |
| apMac |
客户端关联AP的MAC地址(从第二步的URL中获取) |
| apIp |
客户端关联AP的IP(从第二步的URL中获取) |
第五步:无线终端向TL-AC1000提交用户名和密码
无线终端在认证登录页面填写用户名和密码后点击“登录”按钮,就以GET的方式将username、password、vlan、staMac、staIp、APMac、apIp等参数提交给TL-AC1000。
第六步: TL-AC1000向认证服务器提交认证信息
TL-AC1000在获取客户端提交的信息之后,从vlan、staMac、staIp、APMac、apIp参数中确定需要进行认证的设备,然后把所有的参数提交给认证服务器进行认证,目前认证协议支持Radius认证和本地认证。
第七步:认证服务器向TL-AC1000返回认证结果
认证服务器根据TL-AC1000提交的信息判断用户是否通过认证,并且向TL-AC1000返回认证结果。
第八步: TL-AC1000向无线终端返回认证结果
TL-AC1000根据认证服务器返回来的结果向无线终端返回相应的认证结果,若认证成功,AC则根据之前的vlan、staMac、staIp、APMac、apIp参数信息对相应设备的上网数据给予放行。
网页认证Demo
