[HotSpot介绍] HotSpot 是一种通过要求用户认证来访问某些网络

士大夫

学习一下。

klnshinibaba

楼主很给力，东西非常赞。

aa59950900

发放发放发放发放发放发放发放发放发放发放发放发放发放发放发放发放

天天

正在学习，谢谢

tornado0315

tSpot 是一种通过要求用户认证来访问某些

tornado0315

HotSpot 介绍  HotSpot 是一种通过要求用户认证来访问某些网络资源的方法。用户可以使用几乎任何网页浏览器（HTTP 或 HTTPS 协议）登陆，所以他们不需要安装任何附加的插件。RouterOS 会自动计算正常运行时间以及每个客户使用的流量，并且也能把这 个信息发送到 RADIUS 服务器。HotSpot 系统可以限制每个特定用户的比特率，总流量，运行时间以及涉及的其他参数。  Hotspot 热点 web 服务认证是一种友好的 web 方式的认证系统，在此种认证方式中，系统将自动要求未认证用户打开认证 网页，验证通过后，便可连接到因特网，未认证用户无论输入任何一个网站地址，都会被强制到一个认证界面，要求用户进 行认证。配置了 Walled Garden 特性后，允许用户不需要提前认证就可以访问一些网页。  获取地址  首先，一个客户必须先获得一个 IP 地址。它可以通过设置被静态 IP 地址，或者获取一个 DHCP 服务器的所分配的 IP 地址。 如果需要的话，DHCP 服务器可以提供绑定分发 IP 地址到客户 MAC 地址的途径。  此外，HotSpot 服务器能自动分配给任何客户端的虚拟 IP 地址，分配来自 Hotspot 建立的 IP 池。这个特性对那些不愿意 修改 IP（或不清楚，缺乏网络技术）。如果用户和 Hotspot 网关不在相同子网，Hotspot 通过 ARP 广播的方式强迫分配一 个 IP 给用户，用户不会注意到这个转变（例如：在用户配置不会有任何改变），但路由器本身则看到完全不同（在 hotspot host 中可以看到被转化了的地址），这项技术叫做一对一 NAT，但它也以 RouterOS 2.8 版本中叫做的“即插即用”。  一对一 NAT 接收来自已连接网络接口的任何向内地址，并完成一个网络地址翻译。客户可以使用任何预先配置的地址（注 意要求配置网关）。如果一对一 NAT 特性被设置为翻译一个客户的地址为一个公网 IP 地址，那么这个客户就甚至可以运行 一个服务器或任何其他需要公网 IP 地址的服务。这个 NAT 将在数据包被路由器接收后就立即改变包的源地址。  注意，你使用一对一 NAT 时，必须在该接口上启用 arp 模式。  认证之前  当在一个接口上启用 HotSpot 时，系统自动配置对所有未登陆用户显示登陆页面。这个是通过添加动态目的 NAT 规则完成 的，你可以在一个运行中的 HotSpot 系统上观察的到。这些规则是用来把未认证用户的所有 HTTP 及 HTTPS 请求重定向到 HotSpot servlet（认证过程，例如：登陆页面）。其他一些规则将在该章后面专门部分进行讲述。  在配置好 Hotspot 后，打开任何 HTTP 页面都会产生 HotSpot servlet 登陆页面（可以通过自行定义登陆页面），所有访 问 Hotspot 网关以外的资源，都会跳转到登陆页面，因此必须在 HotSpot 网关配置一个合法的 DNS。  Walled Garden  有时希望对某些服务不要求认证（例如让客户不需要认证就访问公司的服务器），或者一些服务要求认证（例如，用户访问 一个内部文件服务器或其他限制区域）。这些都可以通过 Walled Garden 系统实现。  当一个未登陆用户请求 Walled Garden 中允许的服务时，HotSpot 网关不会阻拦它，或者如果是 HTTP，就简单地把请求 重定向到原来的目的（或定向到一个指定的父级代理）。  为了执行 Walled Garden 对 HTTP 请求的特性，专门设计了一个嵌入的 web 代理服务器，所有来自未认证用户的请求是从 这个代理通过。注意嵌入的代理服务器还没有高速缓存功能。还要注意这个嵌入代理服务器是在 system 软件功能包里并不 需要 web-proxy 功能包。它是在/ip proxy 下面配置的。  认证  现在有 5 种不同的认证方法。你可以同时使用一个或多个：  -- HTTP PAP - 最简单的方法。显示 HotSpot 登陆页并以纯文本格式获取认证信息（如：用户名和密码）。注意当 在网络传输时，密码是没有加密的。  -- HTTP CHAP - 标准方式，在登陆页包含了 CHAP 询问。CHAP MD5 散列询问与用户密码一起使用来计算将被发 送到 HotSpot 网关的字符串。散列结果（作为一个密码）与用户名一起通过网络发送到 HotSpot 服务器（所以，密码是从来不以纯文本格式通过 IP 网络发送的）。在客户端，MD5 算法通过 JavaScript applet 执行，所以如果 一个浏览器不支持 JavaScript（比如，Internet Explorer 2.0 或一些 PDA 浏览器），将不能认证用户。可以允 许未加密密码，即打开 HTTP PAP 认证方式被接受，但并不推荐使用这个特性（出于安全考虑）。  -- HTTPS - 与 HTTP PAP 一样，但对加密传输使用了 SSL 协议。HotSpot 用户只发送没有附加散列的密码（注意 没有必要担心纯文本密码在网络上的暴露，因为传输本身是加密的）。在另一种情况，HTTP POST 方法（如果不可能，那么用 HTTP GET 方法）用于向 HotSpot 网关发送数据。  -- HTTP cookie - 在每次成功登陆之后，会有一个 cookie 发送到 web 浏览器，同时被添加到活动 HTTP cookie 列表。这个 cookie 将与存储在 HotSpot 网关的相比较，并仅当源 MAC 地址及随机生成的 ID 与存储在网关的相 匹配。这个方法只可以与 HTTP PAP， HTTP CHAP 或 HTTPS 方法一起使用，不然的话没有其他方式可以产生 cookie。  -- MAC address - 将用客户端的 MAC 地址与用户帐号同时作为用户名。  HotSpot 可以通过询问本地用户数据库或 RADIUS 服务器认证用户（本地数据库会被先询问，然后是 RADIUS 服务器）。 如果通过 RADIUS 服务器认证 HTTP cookie，那么路由器将在 cookie 被第一次产生时发送相同的信息到服务器。如果认证在本地完成，那么符合该用户的信息将会被调用， 否则将会调用 RADIUS 中的参数。如果要知道更多关于 RADIUS 服务 器工作的信息，请参见其相应的 Radius 手册。  HTTP PAP 方法也使得通过请求页 /login--username=username&password=password。如果你想使用 telnet 连接登陆，准确 的 HTTP 请求应该这样：GET /login--username=username&password=password HTTP/1.0  配置菜单  -- /ip hotspot - HotSpot 上的特定界面（每个界面一个服务器）。HotSpot 服务器必须添加在这个目录中，HotSpot系统才能够在一个界面上工作。  -- /ip hotspot profile - HotSpot 服务器概要。影响 HotSpot 客户登陆过程的设置在这里进行。多个 HotSpot服务器可以使用同样的概要信息。  -- /ip hotspot host - 所有 HotSpot 接口上的活动网络主机的动态列表。在这里你可以找到 IP 地址与一对一 NAT的绑定  -- /ip hotspot ip-binding - 将 IP 地址绑定到主机 HotSpot 接口的规则  -- /ip hotspot service-port - 一对一 NAT 地址翻译助手  -- /ip hotspot walled-garden – HTTP 等级的 Walled Garden 规则（DNS 名， HTTP 请求子串)  -- /ip hotspot walled-garden ip – IP 等级的 Walled Garden 规则 (IP 地址，IP 协议)  -- /ip hotspot user –本地 HotSpot 系统用户  -- /ip hotspot user profile – 本地 HotSpot 系统用户组规则  -- /ip hotspot active - 所有已认证 HotSpot 用户的动态列表  -- /ip hotspot cookie - 所有合法的 HTTP cookie 动态列表 下面是一个简单的 Hotspot 事例，HotSpot 网关应该至少有两个网络接口：  1. HotSpot 接口，用于连接 HotSpot 客户  2. LAN/WAN 接口，用于访问网络资源。例如：DNS 和 RADIUS 服务器应该可达.   下面的图表显示了一个简单的 HotSpot 设置。 本帖隐藏的内容     HotSpot 接口应该分配一个 IP 地址。物理网络连接应该建立在 HotSpot 用户的电脑和网关之间。它可以是无线（无线网卡需要在 AP 上注册），或者有线的（NIC 网卡需要连接到一个集线器或一个交换机）。  当 ISP 需要在有线或者无线网络中建立 Hotspot 热点认证系统，如：小区、酒店、机场和其他公共场所。一个普通的 Hotspot网络建立在一个外网接口和一个内部网络接口下，我们需要对内网用户作认证上网。  注：在 2.9 版本的 RouterOS Hotspot 功能包采用的是端口代理的方式连接，在启用 Hotspot 接口后 UpNp 即插即用功 能自动开启，通过在/ip hotspot host 列表中可以查询相应的信息。

nxlzp88

学习一下。。。

yc5845265

大神  大神 大神  大神 大神  大神 大神  大神 大神  大神 大神  大神   

tanying

看一下怎么设置！！！

kofzjs@163.com

我要学习，谢谢大哥~