蓝海卓越WE认证(WEBPORTAL)原理及组网方式

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

WebPortal无线接入认证解决方案12020年4月19日蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (3)4.1 方案拓扑图 (4)4.2 方案特色说明 (5)五、产品介绍 (7)5.1 蓝海卓越室外型无线AP NS712-POE (7)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11)5.3 蓝海卓越Portal服务器产品 (14)六、典型客户案例 (16)6.1 合肥某商场 (16)6.2 XX市建设银行 (19)6.3 XX省图书馆 (21)6.4 郑州某宽带运营商 (23)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网，也能够使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

可是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不但在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：。

req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

蓝海卓越WEB认证（WEB PORTAL）原理及组网方式Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。

目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.下图是WEB认证的原理图(CHAP认证):本文所要描述的就是PortalServer的原理与算法.PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式:以下是部分源代码和说明.typedef struct portal_header{u_int8_t ver; //版本,在本例中为1u_int8_t type; //报文类型u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议u_int8_t rsv; //保留字段,恒为零u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的u_int16_t reqid; //应答IDu_int32_t userip; //用户的IPu_int16_t userport; //用户端口,恒为零u_int8_t errcode; //错误码,非常有用的字段u_int8_t attrnum; //属性个数}portal_header_t;定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性.以下是构造挑战报文的代码:sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码req_chap->ver=ver;req_chap->type=REQ_CHALLENGE;req_chap->auth_type=CHAP;req_chap->rsv=0x00;req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

wifi web认证原理WiFi Web认证是指在无线网络连接中，需要使用网页进行身份认证，才能够正常访问互联网。

这种认证方式广泛应用于公共场所，如咖啡馆、酒店、机场等，以控制网络访问权限和确保网络的安全性。

WiFi Web认证原理的基本思路是，在用户连接上WiFi网络后，首先无法直接访问互联网，而是被重定向到一个特定的网页，需要用户进行身份验证或者同意使用条款等操作，才能够获得网络访问权限。

下面将详细介绍WiFi Web认证的原理、工作流程和相关技术。

1. 原理WiFi Web认证原理基于Captive Portal（强制门户）技术。

当用户尝试连接Wi-Fi网络时，系统会自动检测用户的网络连接请求，在用户的设备与互联网之间建立一个“强制登陆页”，并将用户的访问请求重定向到该页面。

2. 工作流程WiFi Web认证的工作流程大致分为以下几个步骤：a. 用户连接WiFi网络：用户首先连接WiFi网络，并且开启浏览器访问任意网页时，系统会检测到这个请求并重定向到认证页面。

b. 页面重定向：用户访问的任意网页会被重定向到认证页面，这个页面通常是一个登录界面，要求用户提供身份验证信息或者点击同意使用条款。

c. 账号验证：用户输入身份验证信息（如用户名和密码）后，系统会进行账号验证，验证通过后可以获得网络访问权限。

d. 网络访问：用户成功认证后，系统会解除重定向，用户可以正常访问互联网。

3. 相关技术实现WiFi Web认证需要以下几个关键技术：a. DHCP：动态主机配置协议（DHCP）用于分配给用户设备一个IP地址，使其能够与网络通信。

b. DNS重导：当用户设备连接WiFi网络时，通过修改DNS服务器设置，将用户的所有DNS请求都重定向到认证页面，实现强制重定向。

c. 重定向：通过修改网络设备的IP过滤规则或者使用代理服务器，将用户访问的所有URL重定向到认证页面，实现访问限制。

d. RADIUS认证：远程拨号用户服务（RADIUS）用于验证用户的身份和访问权限，通常与WiFi接入控制系统（AC）配合使用。

NatShell蓝海卓越认证计费管理服务器系统简介：NatShell 蓝海卓越认证计费管理服务器是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的网络安全运营管理系统。

基于标准 RADIUS 协议的电信级认证计费管理服务器,采用最强大稳定的UNIX平台开发，达到业界最高稳定性，适合各种标准的网络接入环境,可实现拨号认证、记帐、记费等软件。

NatShell 蓝海卓越认证计费管理服务器是一套基于标准的RADIUS协议开发的宽带认证认证计费管理服务器。

它不仅支持PPPOE和SCG的认证计费方式，还支持最新的802.1X 接入控制技术，与其他厂商支持相应标准的产品兼容，结合NatShell安全VPN防火墙网关，可提供更加丰富的功能。

NatShell 蓝海卓越认证计费管理服务器在“高安全、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。

NatShell 蓝海卓越认证计费管理服务器以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，友好有Web访问管理的方式，为用户提供更好用、易用的方式，更贴心的使用形式。

为用户运营创造高稳定、高性能的运行环境，实现用户入网及认证、帮助网络管理者以最小投入获得更稳定易用的运营体验。

NatShell 蓝海卓越计费系统不仅可以作为电信运营接入记费平台,还可做为公司远程拨号管理平台、智能小区拨号管理平台，酒店计费管理平台,支持对PPP, PPPoE, PPTP, VPN, VoIP, ADSL, Cable Modem等多种接入方式进行计费管理。

NatShell 蓝海卓越计费系统的应用范围包括小区宽带运营,电信接入运营,酒店管理计费,学校VPN管理，学校学生网络接入管理，远程教育，VPN接入管理,公司内部管理等环境。

与业界各大厂商产品无缝兼容，目前已明确测试支持的接入设备厂商有：CISCO、LUCENT、3COM、华为、ROS等。

req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

蓝海卓越计费系统安装说明一、系统说明NatShell计费管理系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的网络安全运营管理系统。

NatShell计费管理系统是一套基于标准的RADIUS协议开发的宽带认证计费管理系统。

它不仅支持PPPOE和WEB PORTER的认证计费方式，还支持最新的802.1X接入控制技术，甚至还支持固定IP的计费认证方式，可与全世界200多家厂商的BRAS或网关产品进行对接认证，结合NatShell蓝海卓越的PPPOE服务器网关，可提供更加丰富的功能。

NatShell计费管理系统在“高安全、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。

NatShell计费管理系统以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，友好的Web访问管理的方式，为用户提供更好用、易用的方式，更贴心的使用形式。

NatShell计费管理系统为用户运营创造高稳定、高性能的运行环境，实现用户入网及认证、帮助网络管理者以最小投入获得更稳定易用的运营体验。

二、硬件要求NatShell计费管理系统本身即提供完整的操作及数据库程序，不需要额外安装，可大幅简化客户的安装工作，为保证使用效果，NatShell计费管理系统采用单独的硬件进行安装，不可与其他系统进行同时安装。

NatShell计费管理系统实体机硬件配置要求如下：主板：INTEL X86兼容主机板，推荐使用INTEL芯片的CPU产品CPU：与主板配套即可，建议采用主流的台式机产品或服务器产品，可以使用较早的产品，但过于古老的产品可能会带来兼容性问题内存：1G或更高的内存数据库硬盘：40G或更大的硬盘，用于安装数据库程序盘：512M以上电子盘、DOM盘或硬盘，用于安装基本系统网卡：建议使用INTEL千兆网卡，如无也可使用板载网卡，以系统能识别为准无需显示器、键盘、鼠标如无实体机环境，或是用于测试时方便，可以采用虚拟机环境，虚拟机建议使用VM WARE8.0版本。