HotSpot 介绍

用易-小卢

HotSpot 介绍
HotSpot 是一种通过要求用户认证来访问某些网络资源的方法。用户可以使用几乎任何网页浏览器（HTTP 或HTTPS协议）登陆，所以他们不需要安装任何附加的插件。RouterOS 会自动计算正常运行时间以及每个客户使用的流量，并且也能把这个信息发送到RADIUS 服务器。HotSpot 系统可以限制每个特定用户的比特率，总流量，运行时间以及涉及的其他参数。
Hotspot 热点web 服务认证是一种友好的web 方式的认证系统，在此种认证方式中，系统将自动要求未认证用户打开认证网页，验证通过后，便可连接到因特网，未认证用户无论输入任何一个网站地址，都会被强制到一个认证界面，要求用户进行认证。配置了Walled Garden 特性后，允许用户不需要提前认证就可以访问一些网页。
获取地址
首先，一个客户必须先获得一个IP 地址。它可以通过设置被静态IP 地址，或者获取一个DHCP 服务器的所分配的IP 地址。如果需要的话，DHCP 服务器可以提供绑定分发IP 地址到客户MAC 地址的途径。
此外，HotSpot 服务器能自动分配给任何客户端的虚拟IP 地址，分配来自Hotspot 建立的IP 池。这个特性对那些不愿意修改IP（或不清楚，缺乏网络技术）。如果用户和Hotspot 网关不在相同子网，Hotspot 通过ARP 广播的方式强迫分配一个IP 给用户，用户不会注意到这个转变（例如：在用户配置不会有任何改变），但路由器本身则看到完全不同（在hotspot host 中可以看到被转化了的地址），这项技术叫做一对一NAT，但它也以RouterOS 2.8 版本中叫做的“即插即用”。
一对一 NAT 接收来自已连接网络接口的任何向内地址，并完成一个网络地址翻译。客户可以使用任何预先配置的地址（注意要求配置网关）。如果一对一NAT特性被设置为翻译一个客户的地址为一个公网IP地址，那么这个客户就甚至可以运行一个服务器或任何其他需要公网IP地址的服务。这个NAT将在数据包被路由器接收后就立即改变包的源地址。
注意，你使用一对一 NAT 时，必须在该接口上启用arp 模式。

认证之前
当在一个接口上启用 HotSpot 时，系统自动配置对所有未登陆用户显示登陆页面。这个是通过添加动态目的NAT 规则完成的，你可以在一个运行中的HotSpot 系统上观察的到。这些规则是用来把未认证用户的所有HTTP 及HTTPS 请求重定向到HotSpot servlet（认证过程，例如：登陆页面）。其他一些规则将在该章后面专门部分进行讲述。
在配置好 Hotspot 后，打开任何HTTP 页面都会产生HotSpot servlet 登陆页面（可以通过自行定义登陆页面），所有访问Hotspot 网关以外的资源，都会跳转到登陆页面，因此必须在HotSpot 网关配置一个合法的DNS。
Walled Garden
有时希望对某些服务不要求认证（例如让客户不需要认证就访问公司的服务器），或者一些服务要求认证（例如，用户访问一个内部文件服务器或其他限制区域）。这些都可以通过Walled Garden 系统实现。
当一个未登陆用户请求 Walled Garden中允许的服务时，HotSpot 网关不会阻拦它，或者如果是HTTP，就简单地把请求重定向到原来的目的（或定向到一个指定的父级代理）。
为了执行 Walled Garden对HTTP 请求的特性，专门设计了一个嵌入的web 代理服务器，所有来自未认证用户的请求是从这个代理通过。注意嵌入的代理服务器还没有高速缓存功能。还要注意这个嵌入代理服务器是在system 软件功能包里并不需要web-proxy 功能包。它是在/ip proxy 下面配置的。
认证
现在有 5 种不同的认证方法。你可以同时使用一个或多个：
• HTTP PAP- 最简单的方法。显示HotSpot 登陆页并以纯文本格式获取认证信息（如：用户名和密码）。注意当在网络传输时，密码是没有加密的。
• HTTP CHAP - 标准方式，在登陆页包含了CHAP 询问。CHAP MD5 散列询问与用户密码一起使用来计算将被发送到HotSpot 网关的字符串。散列结果（作为一个密码）与用户名一起通过网络发送到HotSpot 服务器（所以，密码是从来不以纯文本格式通过IP 网络发送的）。在客户端，MD5 算法通过JavaScript applet 执行，所以如果一个浏览器不支持JavaScript（比如，Internet Explorer 2.0 或一些PDA 浏览器），将不能认证用户。可以允许未加密密码，即打开HTTP PAP 认证方式被接受，但并不推荐使用这个特性（出于安全考虑）。
• HTTPS - 与HTTP PAP 一样，但对加密传输使用了SSL 协议。HotSpot 用户只发送没有附加散列的密码（注意没有必要担心纯文本密码在网络上的暴露，因为传输本身是加密的）。在另一种情况，HTTP POST 方法（如果不可能，那么用HTTP GET 方法）用于向HotSpot 网关发送数据。
• HTTP cookie - 在每次成功登陆之后，会有一个cookie 发送到web 浏览器，同时被添加到活动HTTP cookie列表。这个cookie 将与存储在HotSpot 网关的相比较，并仅当源MAC 地址及随机生成的ID 与存储在网关的相匹配。这个方法只可以与HTTP PAP， HTTP CHAP 或HTTPS方法一起使用，不然的话没有其他方式可以产生cookie。
• MAC address - 将用客户端的MAC 地址与用户帐号同时作为用户名。
HotSpot 可以通过询问本地用户数据库或RADIUS 服务器认证用户（本地数据库会被先询问，然后是RADIUS 服务器）。
如果通过RADIUS 服务器认证HTTP cookie，那么路由器将在cookie 被第一次产生时发送相同的信息到服务器。如果认证在本地完成，那么符合该用户的信息将会被调用，否则将会调用 RADIUS中的参数。如果要知道更多关于RADIUS服务器工作的信息，请参见其相应的Radius手册。
HTTPPAP 方法也使得通过请求页/login?username=username&password=password。如果你想使用 telnet 连接登陆，准确的HTTP 请求应该这样：GET/login?username=username&password=password HTTP/1.0
配置菜单
• /ip hotspot - HotSpot 上的特定界面（每个界面一个服务器）。HotSpot 服务器必须添加在这个目录中，HotSpot系统才能够在一个界面上工作。
• /ip hotspot profile - HotSpot 服务器概要。影响HotSpot 客户登陆过程的设置在这里进行。多个HotSpot服务器可以使用同样的概要信息。
• /ip hotspot host - 所有HotSpot 接口上的活动网络主机的动态列表。在这里你可以找到IP 地址与一对一NAT的绑定
• /ip hotspot ip-binding - 将IP 地址绑定到主机HotSpot 接口的规则
• /ip hotspot service-port - 一对一NAT 地址翻译助手
• /ip hotspot walled-garden – HTTP 等级的Walled Garden 规则（DNS 名， HTTP 请求子串)
• /ip hotspot walled-garden ip – IP 等级的Walled Garden 规则 (IP 地址，IP 协议)
• /ip hotspot user –本地HotSpot 系统用户
• /ip hotspot user profile – 本地HotSpot 系统用户组规则
• /ip hotspot active - 所有已认证HotSpot 用户的动态列表
• /ip hotspot cookie - 所有合法的HTTP cookie 动态列表
下面是一个简单的 Hotspot 事例，HotSpot 网关应该至少有两个网络接口：
1. HotSpot 接口，用于连接HotSpot 客户
2. LAN/WAN 接口，用于访问网络资源。例如：DNS 和RADIUS 服务器应该可达
下面的图表显示了一个简单的 HotSpot 设置。

HotSpot接口应该分配一个IP 地址。物理网络连接应该建立在HotSpot 用户的电脑和网关之间。它可以是无线（无线网卡需要在AP 上注册），或者有线的（NIC 网卡需要连接到一个集线器或一个交换机）。
当 ISP 需要在有线或者无线网络中建立Hotspot 热点认证系统，如：小区、酒店、机场和其他公共场所。一个普通的Hotspot网络建立在一个外网接口和一个内部网络接口下，我们需要对内网用户作认证上网。
注：在2.9 版本的RouterOS Hotspot 功能包采用的是端口代理的方式连接，在启用Hotspot 接口后UpNp 即插即用功能自动开启，通过在/ip hotspot host 列表中可以查询相应的信息。