Aruba IAP的portal認證總結

Aruba IAP的portal認證總結

拓撲圖：

關於IAP的工做原理詳見

這裏使用的是Aruba的IAP 93作的實驗：

這已經在好幾個網站上發過了 呵呵

1.Aruba AP 93的主面板能夠看到，已經創建了2個SSID了。很少說登錄上來是很簡單操做的。再說WEB界面屏蔽了咱們對命令的不熟悉的困擾。但命令始終得掌握，它的強大WEB永遠都不能比，呵呵！

2.下面是我在Test的SSID的操做。基本信息配置包括SSID和訪問的用戶對象（員工，語音和來賓）以及客戶端的IP設置，這裏選得第一種方式：能夠經過AP/AC鏈接的DHCP獲取到地址。

3.安全設置，這裏使用captive portal認證，基本是一種開放式認證方式，這種認證主要用在賓館，校園或三大運營商的無線熱點的認證上網方式。
使用的數據庫是internal DB，經過內建的users用戶帳戶密碼來確認用戶，並最後受權用戶得到上網權限。
認證界面的配置很簡單，能夠不修改，但因爲此IAP太過弱小沒有Aruba入門級的620強大，所以難以接受這個登錄界面，也不能自定義（多是我沒掰熟 吧）。加密方式，也就是鏈接到SSID時要求輸入認證密碼（WPA,WPA2，WPA2-AES,WPA2-PSK,WPA2-TKIP等等方式），能夠 不勾選，那就是開放式一點就連，能不能上網得看你能不能在這個門戶網站輸正確用戶名。但貌似移動的CMCC在安卓登手機上能夠經過免輸用戶名密碼了，杯具 唉！

4.看，我內建的一個用戶名和密碼，用戶類型是Guest。

5.接入的訪問控制，也就是一些規則，說白了就是些訪問控制列表，我這裏確定是不安全的。沒有deny 來自非DHCP服務器的DHCP報文，還有其它的報文發送，很重要，這裏面固然有隱含拒絕，和思科同樣的。但我可不是這麼粗心的不防範這幾種常見的***，呵呵，實驗而已。其實我喜歡命令，着理解圖形界面，我以爲比較順手。命令就是在配置模式下：
wlan access-rule Test
rule 0.0.0.0 0.0.0.0 match tcp 80 80 permit
rule 0.0.0.0 0.0.0.0 match tcp 443 443 permit
rule 0.0.0.0 0.0.0.0 match udp 53 53 permit
rule 0.0.0.0 0.0.0.0 match udp 67 68 permit
意思是來自源的數據去往目的的匹配啥協議源端口是多少，目的端口是多少，而後放行，最後不匹配的就默認所有deny掉！

6.完成以後，從新點鏈接此SSID，而後隨便使一個IP，回車一下，就跳出這麼個IP地址，能夠看到一長串鏈接字符。這裏的註釋「無線路由器」，應該是 有線路由器，我只是拿它來作DHCP用的，我只是想測試下地址，看這個頁面是否激活，不巧用了這個有線路由器的管理地址。
輸入用戶名和密碼的窗口依稀可見！

7.中間的框框點上I agree，後面的框框輸入用戶名密碼而後login就能夠重定向到指定頁面，固然桶上已撥過號的網線是能夠跳轉到你的指定網站的！已經作過實驗了，這裏不想把舊帳酒出來了。

8.看重定向中，在數秒，作好它那就是一個神奇的網站！

9.這是作DHCP服務器的EDiMAX的路由其管理界面，個人電腦確定是沒有直連到它上面的。

10.默認無密碼，直接login就行。能夠看到地址池

11.下面是隨便輸入的地址，能夠再次看到

12.依然能跳轉到認證界面：

13.開始輸入用戶名密碼：

14.開始數秒，這會比以前的實踐經歷的長最後超時，由於沒法解析到一個確切的Web頁面

15.能夠看到，成功了！超時，不錯，沒有錯就是我想看到的！

16.能夠經過命令看到客戶端的地址，系統類型，網絡接入類型，6信道，802.11g/n。

17.清晰的看到TCP,UDP會話，對用的服務你們都懂得，呵呵！


配置文件 ：
virtual-controller-country CN
virtual-controller-key 85b93ef7014b04421b34b5e223054621c6c3aba7c9a30006a8
name Instant-C8:81:31
rf-band all
allow-new-aps



user test 7dfba772cc0b0e811f87a7c10ab13968 portal


mgmt-user admin f17cb86cce9967c99a3954a46f13f350

wlan ssid-profile Test
type guest
essid Test
opmode opensystem
rf-band all
captive-portal internal

wlan ssid-profile Guest
type guest
essid Guest
opmode opensystem
rf-band 2.4
captive-portal internal

enet-vlan guest

wlan access-rule Test
rule any any match any any any permit

wlan access-rule Guest
rule any any match any any any permit

wlan captive-portal
background-color 39168
banner-color 16777215
banner-text "Welcome to the Guest Network."
terms-of-use "Please read and accept terms and conditions and then login."
use-policy "This network is not secure and use it at your own risk."
authenticated

wlan external-captive-portal
server localhost
port 80
url "/"
auth-text "Authenticated"

 

附：

1、IAP之間是經過什麼形式進行通訊的？
IAP之間是利用8211端口經過PAPI協議進行相互管理，和Campus AP與控制器之間的通訊相似。
2、其餘IAP之間以及IAP和虛擬控制器進行是如何進行同步？
所 有位於同一個虛擬控制器組的IAP都必須在同一個二層Vlan中。主的虛擬控制器是經過

 

虛擬控制器選舉協議在同一組IAP之間選舉。若是虛擬控制器 Down機，那麼剩餘IAP中啓動時間最長的將會當即被選舉爲虛擬控制器，他們之間的選舉是經過二層的組播協議進行的，一旦IAP運行穩定後，IAP之間 只有少許的數據包交互。
3、當客戶端登陸到虛擬控制器上但同時虛擬控制器Down機，那麼客戶端的鏈接也會斷開，而不是自動鏈接到新的虛擬控制器上，這是爲何？
一 旦主的虛擬控制器Down機，那麼新的IAP會當即被選舉出來做爲虛擬控制器接替原控制器的角色。同時虛擬控制器也具備和其餘普通IAP同樣的RF特性， 因此鏈接暫時會中斷，只要從新鏈接就能夠（前提是鏈接IAP時是經過在瀏覽器中輸入「instant」，由虛擬控制器本身定向到虛擬控制器上。若是是經過 輸入IP地址的方式登陸到虛擬控制器，則須要知道新選擇出來的虛擬控制器的IP地址，而後用新的IP地址登陸）。
一旦虛擬控制器被選舉出來後，它每秒都會定時的向其餘IAP發送消息聲明本身還存活，同時新添加的IAP也經過這些定時的消息來發現虛擬控制器。當其餘IAP收不到這個更新報文，把麼其餘IAP會從新選擇虛擬控制器。而後新選舉的虛擬控制器會經過發送gratuitous ARP（免費ARP：ARP的一個特性，它是指主機發送ARP查找本身的IP地址。一般它發生在系統引導期間進行接口配置的時候。）來更新新添加的設備。
4、IAP支持何種漫遊？IAP和普通AP直接的漫遊有何區別？
IAP和普通AP的漫遊機制相同。ARM功能能夠經過多信道機制保證各類客戶端實現高性能、低延時的漫遊，還能保證各類客戶端具備公平的帶寬分配。因此，ARM能夠保證數據、語音和視頻流量具備流暢的體驗。