基于RouterOS Hotspot搭建校園網(wǎng)Web認(rèn)證系統(tǒng)

孫利國(guó)

摘 要：提出了一種通過(guò)Web認(rèn)證的網(wǎng)絡(luò)接入技術(shù)，實(shí)現(xiàn)了針對(duì)用戶進(jìn)行身份認(rèn)證、用戶策略、帶寬控制和權(quán)限的管理。

關(guān)鍵詞：web認(rèn)證；hotspot熱點(diǎn)認(rèn)證；routeros

當(dāng)前校園網(wǎng)絡(luò)資源、應(yīng)用的數(shù)量和規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)用戶的數(shù)量也呈現(xiàn)劇增的趨勢(shì)。由此帶來(lái)的網(wǎng)絡(luò)管理、尤其是網(wǎng)絡(luò)安全問(wèn)題日益突出。傳統(tǒng)的無(wú)身份認(rèn)證的網(wǎng)絡(luò)已經(jīng)不能滿足當(dāng)前校園網(wǎng)絡(luò)發(fā)展的需要，特別是缺乏有效的計(jì)費(fèi)和認(rèn)證方式。為此筆者提出了一種高效、低成本的網(wǎng)絡(luò)解決方案，即利用RouterOS Hotspot熱點(diǎn)認(rèn)證系統(tǒng)搭建校園網(wǎng)Web認(rèn)證系統(tǒng)。

1 使用RouterOS hotspot的優(yōu)勢(shì)

1.1 hotspot支持二層和三層的認(rèn)證

與ppoe驗(yàn)證方式相比，pppoe是基于二層鏈路的認(rèn)證，也就是只能在二層設(shè)備傳輸，如果有三層設(shè)備就無(wú)法穿透，而hotspot是基于三層的ip驗(yàn)證，所以能在二層和三層網(wǎng)絡(luò)中進(jìn)行傳輸。

1.2 無(wú)需安裝客戶端軟件

只要通過(guò)瀏覽器進(jìn)行身份驗(yàn)證就可以使用網(wǎng)絡(luò)，用戶還可以通過(guò)瀏覽器查詢已使用的時(shí)間、流量、費(fèi)用等相關(guān)信息。

1.3 高效的帶寬控制功能

RouterOS最顯著的特征之一就是帶寬控制，可根據(jù)實(shí)際需求對(duì)用戶組、單個(gè)用戶定義帶寬屬性，還可為特定的用戶保留帶寬或不進(jìn)行登錄認(rèn)證、對(duì)用戶實(shí)際使用情況進(jìn)行動(dòng)態(tài)的調(diào)整。

1.4 強(qiáng)大的管理功能

支持DHCP和靜態(tài)地址，可將MAC地址與用戶賬號(hào)綁定、用戶賬號(hào)與IP地址綁定、IP地址與MAC地址綁定，從而一定程度上保障了網(wǎng)絡(luò)的安全性；可設(shè)置定時(shí)打開(kāi)指定的URL，比如校園內(nèi)部緊急通知、廣告宣傳、繳費(fèi)通知等。為管理者提供上網(wǎng)用戶的實(shí)時(shí)連接狀態(tài)，例如登錄用戶的IP、MAC、流量使用、連接狀態(tài)。對(duì)特殊用戶可設(shè)置免認(rèn)證以及阻止認(rèn)證等強(qiáng)大的認(rèn)證功能。

1.5 完善的日志記錄功能

可實(shí)現(xiàn)對(duì)CPU、磁盤(pán)、內(nèi)存使用、流量等的天、周、月、年的記錄從而使管理者對(duì)認(rèn)證系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，報(bào)表系統(tǒng)還可對(duì)用戶的上網(wǎng)行為進(jìn)行監(jiān)測(cè)、分析。

1.6 可支持多種計(jì)費(fèi)方式

可以將不同類(lèi)型的用戶分組管理，針對(duì)用戶組設(shè)置不同的業(yè)務(wù)類(lèi)型，可依據(jù)流量、時(shí)間設(shè)置計(jì)費(fèi)方式。還可設(shè)置上網(wǎng)時(shí)段、上網(wǎng)時(shí)間等。從而提供了靈活的控制手段以實(shí)現(xiàn)方便快捷的對(duì)上網(wǎng)用戶進(jìn)行深入管理。

2 Hotspot認(rèn)證過(guò)程

當(dāng)客戶端第一次打開(kāi)瀏覽器時(shí)都被強(qiáng)制跳轉(zhuǎn)到一個(gè)登陸web登錄頁(yè)，要求輸入賬號(hào)和密碼。HotSpot會(huì)在用戶數(shù)據(jù)庫(kù)中查詢用戶信息，如果存在用戶的相關(guān)信息，便會(huì)彈出一個(gè)認(rèn)證通過(guò)的web頁(yè)。當(dāng)用戶離線是可以打開(kāi)狀態(tài)頁(yè)點(diǎn)擊log off（注銷(xiāo)），退出認(rèn)證。，對(duì)于用戶來(lái)說(shuō)是非常直觀、簡(jiǎn)潔、方便。通過(guò)修改html格式的認(rèn)證系統(tǒng)文件，可以提供設(shè)計(jì)你自己的認(rèn)證頁(yè)面。

3 Hotspot配置步驟

3.1 建立hotspot熱點(diǎn)認(rèn)證系統(tǒng)前的準(zhǔn)備工作

（1）安裝RouterOS。（2）配置IP地址及默認(rèn)網(wǎng)關(guān)。（3）NAT地址轉(zhuǎn)換。（4）配置默認(rèn)網(wǎng)關(guān)。（5）添加DNS。（6）建立ip pool和DHCP服務(wù)器。通過(guò)以上六個(gè)步驟的配置，客戶機(jī)已經(jīng)可以從RouterOS服務(wù)器獲取正確的IP、網(wǎng)關(guān)和DNS，并能連接互聯(lián)網(wǎng)了。

3.2 Hotspot熱點(diǎn)認(rèn)證系統(tǒng)的配置過(guò)程

（1）先進(jìn)入ip hotspot user profile設(shè)置用戶分組規(guī)則。依次選IP/Hotspot/Users/Profiles/General/Add（+），只要確立用戶組策略的名稱(chēng)（Name）和IP地址池（Address Pool）就可以了。OpenStatus Page選項(xiàng)用于確定何時(shí)顯示用戶登陸狀態(tài)頁(yè)， 該項(xiàng)一般選擇Http Login，即在用戶WEB登陸時(shí)顯示。

（2）然后在ip hotspot user添加用戶的帳號(hào)。依次選IP/Hotspot/Users/“+”只要確定Server、Name、Password和Profile即可。

（3）進(jìn)入ip hotspot server profile 配置服務(wù)器規(guī)則。依次選IP/Hotspot/Servers/Profiles/Add（+）在General標(biāo)簽中，設(shè)置服務(wù)策略的名稱(chēng)（Name）、Hotspot認(rèn)證網(wǎng)關(guān)的地址（ Hotspot Address，一般輸入內(nèi)網(wǎng)卡的IP地址）以及認(rèn)證網(wǎng)頁(yè)的HTML文件目錄（HTML Directory，選用默認(rèn)的hotspot目錄即可）。此外，還要在Login標(biāo)簽中設(shè)置用戶登陸的驗(yàn)證方式，一般選HT TP CHAP和HTTP PAP方式。

（4）在ip hotspot server添加并啟用hotspot服務(wù)。依次選IP/Hotspot/Servers/Add（+），設(shè)置服務(wù)器的名稱(chēng)、hotspot認(rèn)證接口（選內(nèi)網(wǎng)接口）、IP地址池和服務(wù)策略。

4 結(jié)語(yǔ)

RouterOS Hotspot熱點(diǎn)認(rèn)證系統(tǒng)不僅能夠解決網(wǎng)絡(luò)身份認(rèn)證問(wèn)題，而且為網(wǎng)管提供了強(qiáng)大的網(wǎng)絡(luò)管理功能。通過(guò)實(shí)踐證明RouterOS Hotspot熱點(diǎn)認(rèn)證系統(tǒng)是建立低成本、高性能安全網(wǎng)關(guān)的首選應(yīng)用型系統(tǒng)。

[參考文獻(xiàn)]

[1]崔北亮編著，.Router OS全攻略[M].電子工業(yè)出版社.

[2]HotSpot Gateway[OL].http：//www.mikrotik.com/Documentation/manual_2.7/IP/Hotspot.html.

[3]（美）多伊爾，（美）卡羅爾，著.葛建立，吳劍章，譯.TCP/IP路由技術(shù)（第一卷）（第二版）.人民郵電出版社.