概述
强制门户技术是一种位于网关上的功能,lan侧用户访问外网,强制先进行网关认证,认证通过,才可以访问外网。最近研究了一下这种技术,并在项目中实现,用于用户的web快速登陆
强制门户原理
我认为强制门户技术的核心是重定向
,重定向的方法有多种,比如基于MAC或IP的重定向、DNS重定向、HTTP重定向、WPAD等等,当然重定向的作用范围远不止强制门户技术。无论是何种重定向,本质上是利用通信协议的机制和规则,实现特定数据流的转发
我使用的是DNS重定向和HTTP重定向结合的方案,通过DNS重定向,将lan侧用户的外网访问请求指定到网关管理地址,网关HTTP进程接收特定的HTTP请求后,返回特定的重定向报文,lan侧客户端浏览器以重定向报文中指定的URL再次发起请求,以此将用户强制到网关的登陆页面。整个通信过程如下图
详细过程
这里有几个前提:
- 用户设备上网方式是DHCP获取地址,或者手动设置静态地址但必须设置DNS地址为网关地址,总之用户设备必须知道DNS服务器位于网关上
- 用户浏览器设置了默认主页,或者用户手动输入任意域名,而非ip地址
基于这样的前提,会有以下的几个过程:
- 当用户手动打开浏览器时,浏览器会无条件去访问默认主页,假如为
www.hao123.com
,但是主页是一个域名(domain name)而非一个ip地址,浏览器不知道主页www.hao123.com
的ip地址是多少,无法与该域名所在服务器建立tcp连接,所以需要通过DNS协议向DNS服务器查询域名对应的的ip - 由于用户设备上预先已经存在DNS服务器的地址,并且该地址是网关地址,用户设备会以www.hao123.com封装DNS query报文发往网关上的DNS Proxy进程。网关上的DNS Proxy进程查询当前wan侧连接情况,如果未连接,则封装一个ip地址为本机地址的DNS answer报文回复给用户
- 浏览器收到DNS answer报文后,便以此报文中的ip地址,向该地址发起tcp连接,并在连接建立之后,发起HTTP HEAD或GET请求,一般URL为空,或者为
/wpad.dat
,这个特殊URL是WPAD协议规定,该协议还未研究,只是PC机固定会发该URL - 网关上HTTP Server接收到该(/wpad.dat)特殊请求后,以状态码为301或307,Location为登录页面的URL封装HTTP应答报文,告诉浏览器将请求重定向到以Location指定的URL
- 浏览器以该Location为URL再次封装HTTP GET报文,请求该页面,完成强制登陆
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。