热点简介

热点是一个授权用户访问某些网络资源的方法，但不提供数据流加密。要登录，用户可以使用几乎任何Web浏览器（HTTP或HTTPS协议），所以他们并不需要安装额外的软件。网关的正常运行时间和金额占的流量，每个客户端使用，也可以将此信息发送给RADIUS服务器。的热点系统可能会限制每个特定用户的比特率，总的交通量，正常运行时间和本文件中还提到其他一些参数。

HotSpot的系统，有针对性地提供在本地网络（本地网络用户访问互联网）的验证，但可能也被用于授权访问外网访问本地资源（外面的世界像一个认证网关访问您的网络）。它可以允许用户访问某些网页时不验证使用围墙花园功能。

首先，客户端必须获得一个IP地址。它可以在客户端上设置静态，或者从DHCP服务器租用。DHCP服务器可能提供的方法绑定借出的IP地址，客户端MAC地址，如果需要的话。不关心的热点系统客户端如何得到一个地址之前，他/她得到的热点登录页面。

此外，热点服务器可自动，透明地更改任何一个客户端的IP地址（是的，这意味着任何真正的IP地址）从所选的IP地址池到一个未使用的有效地址。如果用户是能够得到他/她的Internet连接，在他们的地方工作，他/她将能够得到他/她的工作中的热点网络连接。此功能提供了一种可能性，提供网络访问（例如，互联网接入）移动客户端都不愿意（或者是不允许的，没有资格不够或无法）来改变他们的网络设置。用户不会注意到换算（即用户的配置也不会有任何变化），但路由器本身会看到完全不同的（实际上是设置在每个客户端）从客户端发送的数据包的源IP地址（甚至防火墙mangle表'看'的翻译的地址）。这种技术被称为一对NAT，但也被称为“通用客户机”，因为这是如何在RouterOS软路由的版本2.8中，它被称为。

一到一对一NAT接受任何传入的地址从连接的网络接口，可将数据通过标准的IP网络路由进行网络地址转换。客户可以使用任何预先设定的地址。如果一个一对一NAT功能设置为一个公网IP地址翻译客户端的地址，然后在客户端，甚至可能运行服务器需要一个公共的IP地址或任何其他服务。这NAT改变后，它收到的每个数据包的源地址，由路由器（如源NAT，早在包路径，因此，即使防火墙mangle表，通常'看到'接收的数据包不变，只能'看'转换后的地址）。

注： 必须启用ARP模式接口上使用一到NAT

当启用一个接口上的热点，该系统会自动设定所需的一切，这是通过添加动态目的NAT规则，你可以观察工作的HotSpot系统登录页面显示所有客户端尚未登录。这些规则所需要的所有未经授权的用户的HTTP和HTTPS请求重定向到热点认证代理。也插入其他规则，将在后面叙述，在本说明书的一个特殊部分。

最常见的设置，打开任何HTTP页面将弹出热点servlet的登录页面（可定制广泛，稍后的说明）。其DNS名称正常的用户行为是打开网页，一个有效的DNS配置应设置热点网关本身（这是可能的重新配置网关，以便它不会需要本地DNS配置，但这样的配置不切实际，因此不建议使用）。

您可能不希望对于某些服务（例如让客户访问你的公司未经登记的Web服务器），甚至只需要授权多项服务（例如，用户被允许访问需要授权内部文件服务器或另一个限制区域）。这是可以做到通过设置围墙花园系统。

当一个未登陆围墙花园配置允许在用户请求服务，热点网关不拦截，或者在HTTP的情况下，只需将请求重定向到原来的目标。其他请求被重定向到热点的servlet（登录页面基建）。当用户登录时，此表有没有效果，他/她。

围墙花园使用嵌入式代理服务器的HTTP请求。这意味着，所有的配置参数该PROY服务器也将有效的WalledGarden客户（以及启用透明代理的所有客户端）

目前有6种不同的身份验证方法。您可以使用一个或多个同时：

HTTP PAP - 最简单的方法，这表明热点登录页面，并期望得到认证信息（如用户名和密码）以纯文本。这种方法的另一个用途是硬编码的认证信息在servlet的登录页面，简单地创建相应的链接的可能性。

注意： 密码是不加密的，在网络上传输时，

HTTP CHAP - 标准的方法，其中包括登录页面CHAP挑战。CHAP MD5哈希挑战一起使用，用于计算字符串将被发送到的HotSpot网关与用户的密码。（作为密码的哈希结果）与用户名一起通过网络发送到热点服务（所以，密码是从来没有通过IP网络发送纯文本）。在客户端，MD5算法实现的JavaScript小应用程序，所以如果浏览器不支持JavaScript（如，例如，Internet Explorer 2.0或部分PDA的浏览器）或已JavaScipt的禁用，将无法对用户进行身份验证。打开HTTP PAP验证方法允许未加密的密码被接受，这是可能的，但不建议出于安全的考虑。

HTTPS- HTTP PAP一样，但使用SSL协议加密传输。热点用户无需额外的散列（注意，有没有必要担心明文密码在网络上曝光，作为传输本身是加密的），只是送他/她的密码。在这两种情况下，HTTP POST方法（如果不可能的，那么- HTTP GET方法）用于将数据发送到的HotSpot网关。

HTTP cookie的 - 每次成功登录后，一个cookie被发送到Web浏览器和相同的cookie被添加到活动HTTP Cookie列表。下一次相同的用户会尝试登录，网络浏览器，将发送的HTTP cookie保存。此cookie将被存储的热点网关和比较，只有源MAC地址和随机生成的ID存储在网关上的匹配，用户将自动登录时使用的登录信息（用户名和密码对）首先生成的cookie。否则，用户将被提示登录，认证成功的情况下，旧的cookie将被删除从局部热点活跃的Cookie列表，并新建一个不同的随机ID和到期时间将被添加到列表中，并发送到Web浏览器。它也可以清除cookie的使用手册上注销（而不是在默认的服务器页面，但你可以对它们进行修改执行此）。此方法只能一起使用HTTP的PAP，HTTP或HTTPS CHAP方法，否则就什么也没有生成饼干摆在首位。

MAC地址 - 尝试对客户端进行身份验证，只要他们出现在主机列表中（即，只要他们发送任何数据包的热点服务器），使用客户端的MAC地址作为用户名。

审讯 - 用户可以免费使用这项服务的收费是一段时间进行评估，只需要验证，在此之后的时期已经过去。热点可以被配置为允许一定量的时间每个MAC地址与所提供的用户配置文件的一些限制，可以自由使用。情况下，MAC地址，仍然有一些未使用的试用时间，登录页面将包含链接审判登录。配置的时间量（例如，这样一来，任何MAC地址可能没有注册使用，每天30分钟）的时间后自动复位。这样的用户的用户名（如激活的用户表，并在“登录”链接）是“T-XX：XX：XX：XX：XX：XX”（XX：XX：XX：XX：XX：XX他/她的MAC地址）。认证过程中不会要求RADIUS服务器的授权用户的权限。

热点咨询本地用户数据库或RADIUS服务器（本地数据库先咨询，然后 - 一个RADIUS服务器）来验证用户。通过RADIUS服务器的HTTP Cookie身份验证的情况下，路由器就会发送到服务器时使用的cookie首次产生相同的信息。如果验证在本地完成，该用户对应的档案，否则（RADIUS答复的情况下不包含该用户组）的默认配置文件用来设置默认值的参数，这些参数没有设置RADIUS访问接受的消息。如何相互作用与RADIUS服务器的工作原理的更多信息，请参见相应的手册部分。

HTTP PAP法，也能够进行身份验证请求的页面：

/登录用户名=用户名和密码=密码

如果你要记录在使用telnet连接，确切的HTTP请求会是什么样子：

GET /登录用户名=用户名和密码=密码HTTP/1.0 

注意，请求是区分大小写的。

经过认证用户接入到互联网，并收到一定的局限性（这是特定的用户配置文件）。热点也可以执行一个one-to-NAT为客户端，使一个特定的用户也会收到相同的IP地址，而不管所使用的个人电脑。

系统会自动检测并请求重定向到一个代理服务器，客户端使用的是嵌入在路由器中的代理服务器（如果有的话，可以将它设置在他/她的设置，使用一个未知的代理服务器）。

可委托授权到RADIUS服务器作为本地数据库，它提供了类似的配置选项。对于任何用户需要的授权，RADIUS服务器第一次被质疑，如果没有收到答复，本地数据库进行检查。按照标准RADIUS服务器发送授权请求更改改变以前接受的参数。

MAC cookie是一个新的热点功能，旨在提高智能手机，笔记本电脑和其他移动设备的无障碍。

当启用MAC cookie功能（登录 = MAC-饼干，附加MAC-饼干 =是设置用户配置文件），以下操作是：

第一次成功登录。如果只有一台主机，如MAC，苹果的cookie记录的MAC地址，用户名和密码。Cookie超时设置等于MAC-cookie的超时值。

出现新的主机。热点检查是否有一个MAC主机的MAC地址和日志记录的用户名和密码的cookie记录。如果有一个以上的主机具有相同的MAC地址，用户将无法登录和MAC的cookie记录这个地址将被删除。

当用户注销 MAC cookie被删除下列情况：

用户请求 - 用户点击退出按钮。

管理员复位-断开从radius服务器或用户将从热点活动菜单

NAS要求 - 达到流量限制

会话超时

相同的代理未经授权的客户提供用于围墙的花园工厂，也可以用于授权的用户，向他们展示广告的弹出窗口。透明代理授权的用户可以监控http请求的客户端，并采取一些行动，如果需要的话。它使可能性即使客户端MAC地址，以及被记录在打开状态页面显示广告一次又一次

当时间已经到了显示广告，服务器客户端的Web浏览器重定向到的状态页面。只有请求，提供HTML内容，重定向（图像和其他内容将不会受到影响）。状态页面显示广告和未来的广告间隔是用来安排下一个广告。如果状态页面无法显示配置的超时，从此刻开始，当它计划要显示广告，客户端访问被阻止围墙的花园内（就像是未经授权的客户端）。客户端是畅通的，预定的页面时，终于露了出来。请注意，如果在浏览器中阻止弹出窗口，在状态页面上的链接可能会被用于手动打开广告。

虽然客户端被阻塞，FTP和其他服务是不允许的。因此要求客户开立的广告不是特别允许任何互联网活动由寨花园。

会计

的热点系统内部实现会计，你不需要做什么特别的东西，它的工作。为每个用户的计费信息可以被发送到RADIUS服务器。

/ IP热点 -热点服务器上特定的接口，每个接口（一台服务器）。热点服务器必须加入，这个菜单中为热点的系统接口/ IP热点轮廓-热点服务器配置文件。配置设置，从而影响登录过程的热点客户。一个以上的热点服务器可以使用相同的配置文件

/ IP热点 -动态主机的所有热点接口上活跃的网络主机列表。在这里你还可以找到一到NAT IP地址绑定

/ IP IP结合热点 -规则为热点接口上的主机与IP地址绑定

热点服务/ IP端口 -一到NAT地址翻译助手

/ IP热点围墙的花园 -花园寨规则在HTTP层（DNS名称，HTTP请求的子串）

/ IP热点围墙的花园IP -围墙花园规则在IP层（IP地址，IP协议）

热点用户/ IP -本地热点系统用户

/ IP热点 -本地用户配置文件的HotSpot系统用户配置文件（用户组）

/ ip的热点活动 -动态的所有身份验证热点用户列表

/ IP热点饼干 -所有有效的HTTP cookie的动态列表