网络准入认证系统分析
准入系统意义
有了华为准入认证系统，通过启用桌面管理功能，对于大规模的园区网络，必将夯实基础网络基础，基础运维人员将从大量繁杂的工作中解放出来，将精力放到更有意义工作上，基础网络运维必将迎来一个全新的局面。
无线：无线AP发射两个SSID，一个供内部员工使用，一个供外部访客使用。
采用802.1X认证方式。
连接无线SSID时，需要进行用户名和密码验证。
可以记住密码，以后就可以自动认证。
准入认证系统按照预先定义的认证规则进行检验，包括用户是否从绑定设备接入，是否达到允许用户接入设备数量上限等。
认证通过后，准入认证系统按照预先定义的授权规则，授予用户相应网络访问权限。
采用Portal认证方式。
连接无线SSID时，在弹出的WEB认证页面中上进行认证。
支持访客自助认证、审批认证、微信认证等。
认证通过后，准入认证系统按照预先定义的授权规则，授予用户相应网络访问权限。
采用802.1X认证方式。只需用户启用Wired
AutoConfig系统服务（默认为禁用）。用户接入网络时，像宽带连接一样，系统提示输入用户名和密码。
用户可以选择记住密码，以方便下次自动认证
与无线相同
MAC旁路认证
在启用了802.1X认证设备上配置MAC旁路认证功能后，终端首先会进行802.1x认证，一旦认证失败，则设备会将用户的MAC地址作为用户名和密码上送至认证服务器进行认证。
如果需要MAC快速通过认证，则可开启旁路认证过程中优先进行MAC认证功能。之后，端口将优先使用终端的MAC地址进行认证，在认证失败后再触发802.1x认证。
如果采用的的IP与准入系统品牌一致（思科或华为），IP电话可以被自动被识别，划到Voice语音Vlan，用户可以即插即用。
2. 如果是其它品牌IP电话，需要管理员事先统计IP电话的MAC地址，在后台将其手动划到Voice
Vlan中，IP电话经MAC旁路认证后，才可使用。
打印机等哑端，需要管理员事先统计哑终端的MAC地址，将其手动划到相应Vlan中，终端设备经MAC旁路认证后才可使用。
802.1X认证协议属于二层协议，对二层接入交换机要求较高，不同品牌交换机不能混用。这就涉及到目前公司现存的各种型号的二层交换机更换问题。
思科准入方案
华为准入方案
1、将非思科交换机全部更换。
2、将思科LanLite系列交换机替换
公司存在的以下思科交换机不支持准入系统：
思科2918交换机能实现802.1x认证，但是不支持对802.1x的eap认证报文进行透传，所以不能把报文转发到上层交换机上做认证。也不支持RADIUS下发的标准VLAN和ACL号属性，无法做到根据VLAN或ACL动态地进行权限控制。
思科2918交换机的802.1x认证仅能做到基于端口，做不到基于MAC。因此当准入交换机与终端间存在傻瓜交换机时，只要有一个终端认证通过，其他接入的终端均获得网络访问权。
思科2960系列Lan Lite版本交换机,不支持ACL动态权限控制。
共需替换二层交换机数量约XX台，成本约XX。
将所有二层交换机更换为华为。此方法需替换二层交换机数量巨大，同时考虑到上海方案已确定为思科，故此方案不可行。
不采用802.1X认证方式，全部采用Portal认证。
由于Portal与二层设备关系不大，所以无须更换二层交换机。由于Portal认证默认需要用户在Web网页上进行认证，为做到用户无感知认证体验，华为建议用户安装华为准入客户端进行自动认证。
两种认证方式原理
802.1X认证
802.1X认证协议属于二层协议，对二层接入交换机要求较高，由于交换机型号不一致，终端的802.1X
EAP认证报文无法透传到认证服务器，所以不同品牌交换机不能混用。
开启了802.1X认证的接入交换机，每个物理端口分为受控端口和非受控端口：
用户终端接到受控端口下，在认证通过前，只允许EAPoL认证报文通过，认证通过后，正常的数据（如DHCP）才可以通过,用户才可以获得IP地址正常上网。
非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，接收用户终端发出的EAPoL请求认证报文。
Portal认证
Portal认证也叫Web认证，即通过HTTP页面接受用户输入的用户名和密码，对用户进行认证，Portal认证使用的是三层协议，由于与二层设备关系不大，兼容性高，使用较为广泛。与802.1X认证相比，IP地址分配在认证之前，显然Portal认证没有802.1X认证方式严格。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。10993人阅读
转载需注明，本文地址：
简介和原理
& & & & 上个月跟某神秘部门一小哥吃饭时听说有人将wifi热点伪装成公共wifi（也叫Wlan，例如移动联通电信的CMCC、China-Unicom、China-Net等）来盗取用户数据，很好奇其实现方式。Google一番后发现，Wlan是基于Web认证实现的。简单说就是通过在路由器上一番设置，让未登录用户无论访问什么网址都显示登录页面，只有登录成功后才能正常上网。然而家庭用的路由器通常不具有那些复杂的功能，似乎只有上千块的路由器才有这些功能。但本文给出了一种使用家用路由器实现web认证的简单方法。
& & & & 原理的话还比较简单，无线路由器A（下简称路由器A）连接互联网，笔记本（下简称PC）通过wifi连接路由器A，无线路由器B（下简称路由器B）通过网线连接PC（如图1-1）。将路由器B的工作模式设成“无线AP”（如图1-2）。由PC合路由器B组成一个内网，在该内网中PC充当Router，路由器B只是一个无线交换机，因此PC便可完全控制该子网。
图1-1 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
& & & & 本文介绍的方法是在Ubuntu12.04下实现的，需要用到以下设备和工具：
& & & & 0、一台笔记本（或台式）电脑，要求电脑有一个无线网卡和一个有线网卡。
& & & & 1、两个普通无线路由器，网线两三根。
& & & & 2、iptables
& & & & 3、dhcp3-server
& & & & 4、Apache
& & & & 5、python2.7
& & & & 6、webpy（一个python库，django也可以）
& & & & 7、一只闲的蛋疼的程序猿
& & & & 其中电脑用于充当路由器，一个无线路由器用于提供互联网接入，另一个用于伪装热点，iptables用于实现转发功能，dhcp3-server是DHCP服务器，Apache用于充当web服务器，python2.7和webpy用于实现一些简单的登录网页，一只闲的蛋疼的程序猿用于完成这些工作。各位看官自行准备这些东西。
配置DHCP服务器
& & & & 就是将你的笔记本配置成DHCP服务器，在网络中充当Router。
& & & & 1、固定有线端口IP地址
在PC上运行
sudo gedit /etc/network/interfaces
插入以下内容
iface eth0 inet static
address 192.168.4.5
netmask 255.255.255.0
network 192.168.4.0
broadcast 192.168.1.255
gateway 192.168.4.1
这里应注意我的有线端口叫“eth0”，各位应根据自己情况自行修改。
& & & & 2、配置DHCP服务
编辑isc-dhcp-server
sudo gedit /etc/default/isc-dhcp-server增加如下内容
INTERFACES=&eth0&
编辑dhcpd.conf
sudo gedit /etc/dhcp/dhcpd.conf增加如下内容
ddns-update-
ignore client-
subnet 192.168.4.0 netmask 255.255.255.0 {
option routers 192.168.4.5;
option subnet-mask 255.255.255.0;
next-server 192.168.4.5;
filename=&pxelinux.0&;
option time-offset -18000; # Eastern Standard Time
range 192.168.4.10 192.168.4.100;#子网ip从192.168.4.10到192.168.4.100
default-lease-time 21600;
max-lease-time 43200;
启动DHCP服务，运行：
sudo service isc-dhcp-server start如果终端中显示如下形式消息则成功，否则启动失败。
isc-dhcp-server start/running, process XXXX如果启动失败，可以运行以下命令察看Log分析原因
sudo tail -f /var/log/syslog | grep dhcpd
配置路由器B
开始这一步前应确保上一步已经配置成功了。
然后打开路由器B的设置页面，将“工作模式”改为“无线AP”（如图1-2），等待路由器重启完成后再将“LAN口设置”中的“类型”改为“动态IP（DHCP）”，如图3-3-1。
& & & & & & & & & & & & & & & & & & & & & & & & 图3-3-1
修改完成后，在PC上打开浏览器访问“192.168.4.10”，如果能打开路由器B的配置页面则设置成功。
如果设置成功，你可以尝试使用手机通过wifi链接路由器B，此时在手机上只能打开路由器B的设置页面，而不能访问互联网，要想能够访问互联网还需设置转发规则。
设置转发规则（一）
& & & & 开启ip转发
sudo gedit /etc/sysctl.conf
找到net.ipv4.ip_forward= 1，取消这一行的注释，保存后再运行
& & & & 设置规则
sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
这时再回到手机上，打开浏览器应该就可以正常访问互联网了，但是我们离要实现web验证的目标还差那么一丢丢。
设置转发规则（二）
& & & & 要想实现web验证功能，我们就要让未经验证的终端不能上网，同样我们也使用iptables的转发功能，运行：
& & & &&iptables -t nat -A PREROUTING -s 192.168.4.11/32 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8886
& & & & 这行命令实现的是将ip地址为192.168.4.11的终端80端口的通讯转发到PC的8086端口，这样该终端就不能正常上网了，由于子网ip范围是从192.168.4.10到192.168.4.100，其中192.168.4.10是路由器B，那么我们就应该对192.168.4.11到192.168.4.100的所有ip都进行转发，这样他们就都不能上网了。
使用webpy完成web验证功能
& & & & 创建一个叫”j.py“的Python脚本，写入以下内容：
import web
urls = (&/.*&, &hello&)
app = web.application(urls, globals())
class hello:
def GET(self):
return &&&
&meta http-equiv=&Content-Language& content=&zh-CN&&
&meta HTTP-EQUIV=&Content-Type& CONTENT=&text/ charset=gb2312&&
&meta http-equiv=&refresh& content=&0.1;url=http://192.168.6.28:8888/login/hahaha/heheh&&
&title&&/title&
if __name__ == &__main__&:
& & & & 再创建一个叫&s.py&的Python脚本，写入以下内容：
import web
urls = (&/.*&, &hello&)
app = web.application(urls, globals())
class hello:
def GET(self):
#f = open(&login.html&)
&meta http-equiv=&Content-Language& content=&zh-CN&&
&meta HTTP-EQUIV=&Content-Type& CONTENT=&text/ charset=gb2312&&
&title&&/title&
&form action=&& method=&post&&
&p&username&input type=&text& name=&name& /&&/p&
&p&password&input type=&text& name=&pwd& /&&/p&
&input type=&submit& value=&Login& /&
if __name__ == &__main__&:
& & & & 执行
python ./j.py 8886
python ./s.py 8888
& & & & 这回在链接路由器B的其他终端上无论打开一个什么网址都会显示如图7-1-1的网页。
& & & & & & & & & & & 图7-1-1
& & & & 如果你感觉太麻烦的话，完全可以不用理会“j.py”，只需要执行“python ./s.py 8886”也行（注意是8886）。
& & & & 还是简单解释一下吧，iptables将80端口的所有通讯全部转发到了8886端口上，也就是说无论链接路由器B的终端通过80端口访问什么网址，都会指向PC的8886端口。我们在PC上开一个Python的web应用监听8886端口，无论其访问什么url都打开同样的一个登陆页面，这样就实现了简单的web验证功能。至于为什么要用j.py跳转一下，是因为如果不跳转的话即使浏览器中打开了我们设定的登陆页面，但是地址栏里还是会显示用户打开的原始网址，感觉不爽（说的不清楚，诸位自己体验下吧）。
& & & & 当然如果要伪装成CMCC的话，你可以将路由器B的SSID修改成“CMCC“，再将登陆页面写成跟CMCC的登陆页面一样的样式。这样一般用户是无法识别的，造成的后果就是轻则wifi帐号被盗，重则被钓鱼各种帐号外泄。
一些后续工作
前面的操作只实现了显示web认证页面的功能，我们还可以在&s.py&的hello类里实现POST方法，获取终端提交的表单，验证其账户合法性，并通过web.ctx.ip获取终端ip，再通过subprocess执行语句删除针对该IP的转发规则（就像下面那样）。
iptables -t nat -D PREROUTING -s 192.168.4.11/32 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8886
还需要说明的是本文中使用的只是一个测试的方法，实际操作中应将所有端口都转发，而不是仅仅转发80端口。而且还可以将PC配置为DNS服务器，这样就可以完全控制网络了。我觉得现实中的黑客有可能就是在PC上配置了DNS服务，那样子他们就能把用户访问的网站替换成黑客的钓鱼网站。
PS：不知道我们计算机网络老师看了这个能不能期末给我算个过啊！
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：108616次
积分：1549
积分：1549
排名：千里之外
原创：35篇
评论：76条