孫利國

摘 要：提出了一種通過Web認證的網絡接入技術，實現(xiàn)了針對用戶進行身份認證、用戶策略、帶寬控制和權限的管理。

關鍵詞：web認證；hotspot熱點認證；routeros

當前校園網絡資源、應用的數量和規(guī)模在不斷擴大，網絡用戶的數量也呈現(xiàn)劇增的趨勢。由此帶來的網絡管理、尤其是網絡安全問題日益突出。傳統(tǒng)的無身份認證的網絡已經不能滿足當前校園網絡發(fā)展的需要，特別是缺乏有效的計費和認證方式。為此筆者提出了一種高效、低成本的網絡解決方案，即利用RouterOS Hotspot熱點認證系統(tǒng)搭建校園網Web認證系統(tǒng)。

1 使用RouterOS hotspot的優(yōu)勢

1.1 hotspot支持二層和三層的認證

與ppoe驗證方式相比，pppoe是基于二層鏈路的認證，也就是只能在二層設備傳輸，如果有三層設備就無法穿透，而hotspot是基于三層的ip驗證，所以能在二層和三層網絡中進行傳輸。

1.2 無需安裝客戶端軟件

只要通過瀏覽器進行身份驗證就可以使用網絡，用戶還可以通過瀏覽器查詢已使用的時間、流量、費用等相關信息。

1.3 高效的帶寬控制功能

RouterOS最顯著的特征之一就是帶寬控制，可根據實際需求對用戶組、單個用戶定義帶寬屬性，還可為特定的用戶保留帶寬或不進行登錄認證、對用戶實際使用情況進行動態(tài)的調整。

1.4 強大的管理功能

支持DHCP和靜態(tài)地址，可將MAC地址與用戶賬號綁定、用戶賬號與IP地址綁定、IP地址與MAC地址綁定，從而一定程度上保障了網絡的安全性；可設置定時打開指定的URL，比如校園內部緊急通知、廣告宣傳、繳費通知等。為管理者提供上網用戶的實時連接狀態(tài)，例如登錄用戶的IP、MAC、流量使用、連接狀態(tài)。對特殊用戶可設置免認證以及阻止認證等強大的認證功能。

1.5 完善的日志記錄功能

可實現(xiàn)對CPU、磁盤、內存使用、流量等的天、周、月、年的記錄從而使管理者對認證系統(tǒng)運轉情況進行實時監(jiān)測，報表系統(tǒng)還可對用戶的上網行為進行監(jiān)測、分析。

1.6 可支持多種計費方式

可以將不同類型的用戶分組管理，針對用戶組設置不同的業(yè)務類型，可依據流量、時間設置計費方式。還可設置上網時段、上網時間等。從而提供了靈活的控制手段以實現(xiàn)方便快捷的對上網用戶進行深入管理。

2 Hotspot認證過程

當客戶端第一次打開瀏覽器時都被強制跳轉到一個登陸web登錄頁，要求輸入賬號和密碼。HotSpot會在用戶數據庫中查詢用戶信息，如果存在用戶的相關信息，便會彈出一個認證通過的web頁。當用戶離線是可以打開狀態(tài)頁點擊log off（注銷），退出認證。，對于用戶來說是非常直觀、簡潔、方便。通過修改html格式的認證系統(tǒng)文件，可以提供設計你自己的認證頁面。

3 Hotspot配置步驟

3.1 建立hotspot熱點認證系統(tǒng)前的準備工作

（1）安裝RouterOS。（2）配置IP地址及默認網關。（3）NAT地址轉換。（4）配置默認網關。（5）添加DNS。（6）建立ip pool和DHCP服務器。通過以上六個步驟的配置，客戶機已經可以從RouterOS服務器獲取正確的IP、網關和DNS，并能連接互聯(lián)網了。

3.2 Hotspot熱點認證系統(tǒng)的配置過程

（1）先進入ip hotspot user profile設置用戶分組規(guī)則。依次選IP/Hotspot/Users/Profiles/General/Add（+），只要確立用戶組策略的名稱（Name）和IP地址池（Address Pool）就可以了。OpenStatus Page選項用于確定何時顯示用戶登陸狀態(tài)頁， 該項一般選擇Http Login，即在用戶WEB登陸時顯示。

（2）然后在ip hotspot user添加用戶的帳號。依次選IP/Hotspot/Users/“+”只要確定Server、Name、Password和Profile即可。

（3）進入ip hotspot server profile 配置服務器規(guī)則。依次選IP/Hotspot/Servers/Profiles/Add（+）在General標簽中，設置服務策略的名稱（Name）、Hotspot認證網關的地址（ Hotspot Address，一般輸入內網卡的IP地址）以及認證網頁的HTML文件目錄（HTML Directory，選用默認的hotspot目錄即可）。此外，還要在Login標簽中設置用戶登陸的驗證方式，一般選HT TP CHAP和HTTP PAP方式。

（4）在ip hotspot server添加并啟用hotspot服務。依次選IP/Hotspot/Servers/Add（+），設置服務器的名稱、hotspot認證接口（選內網接口）、IP地址池和服務策略。

4 結語

RouterOS Hotspot熱點認證系統(tǒng)不僅能夠解決網絡身份認證問題，而且為網管提供了強大的網絡管理功能。通過實踐證明RouterOS Hotspot熱點認證系統(tǒng)是建立低成本、高性能安全網關的首選應用型系統(tǒng)。

[參考文獻]

[1]崔北亮編著，.Router OS全攻略[M].電子工業(yè)出版社.

[2]HotSpot Gateway[OL].http：//www.mikrotik.com/Documentation/manual_2.7/IP/Hotspot.html.

[3]（美）多伊爾，（美）卡羅爾，著.葛建立，吳劍章，譯.TCP/IP路由技術（第一卷）（第二版）.人民郵電出版社.