RouterOS 2.9 HotSpot 使用介绍
作者:佚名 来源:本站整理 发布时间:2008-6-19 10:08:19
热点服务认证系统是一种 web 的认证方式,在此种认证方式中,用户可以通过自设 IP 地址或 DHCP 获得一个地址,打开浏览器,无论输入一个什么地址,都会被强制到一个认证界面,要求用户进行认证,认证通过后,就可以访问其他站点了。
基于 web 认证的接入网关要维护一个 IP 地址列表,依照这个表对所有收到的每个 IP 包进行检查,查看 IP 包是否在允许通过之列,凡是开机后第一次进行 www 浏览的而没有通过认证的 IP 包,不被允许通过, 接入网关会将一个 web 的认证界面推给用户,让用户进行认证,认证通过后,就把该用户的 IP 地址加入到 IP 地址列表中,如果不是有权用户 HTTP 包文就丢弃,如果收到的包允许通过,就进行地址转换或直接使用公网地址替换原地址,而后送出。基于 web 认证的接入网关也是通过 RADIUS 进行认证,此时 WEB SERVER 作为 RADIUS 的 client 端。
下面是一个 HotSpot 认证系统的拓扑结构:
上面是用 HotSpot 做为认证网关,内网防火墙用户阻止用户的一些非法数据,保证认证网关的安全,过滤用户向外发出的相应病毒端口,控制用户对外的访问端口、数据、服务等。在内网设置防火墙是考虑到更多的病毒攻击和非法访问,以及过大的数据流量大多来至内网,当然你完全可以选择在认证网关前面增设一台对外的防火墙以保证网络更高的安全和稳定性。
主要特征:
● 用户通过时间与流量认证计费
● Cookie ( 存储用户的账号和密码 )
● 带宽控制功能
● 定额控制(连接超时时间 , 下载 / 上传传输)
● 实时用户状态信息显示
● 自定义认证 HTML 页 ( 可以由你自己设计认证页 )
● DHCP 服务器分配 IP 地址
● 简单的 RAIUS 客户端配置
● MikroTik RouterOS 能与 PPTP 隧道、 IPsec 以及其它的一些功能配合使用。
● 可以通过 Access Point 与以太网接入用户。
● 定时广播指定的 URL 链接
认证方法:
● 用户的账号与密码
● MAC 和 IP 地址
认证过程:
热点认证网关工作原理是,一个客户端必须通过网络提供者的认证注册处理,即在试图打开一个网页时,弹出一个登陆 web 窗口,输入账号和密码(如下面用户的帐号和密码同为 test ):
HotSpot 会在用户数据库中查询用户信息,如果存在用户的相关信息,便会弹出一个认证通过的 web 窗口。
当用户离线是可以打开状态页点击 log off (注销),退出认证 。
以上是 HotSpot 认证上网的几个基本过程,对于用户来说是非常直观、简洁、方便。
Winbox 管理
HotSpot 网关认证系统提供了一个基于 windows 平台的图形化远程控制软件 winbox ,让用户能轻松管理这套认证系统。
下面介绍一下 HotSpot 在 winbox 中的基本操作流程以及相应的功能。
当在 RouterOS 本机通过命令操作设置完网卡和 IP 后,即可使用 winbox 与 RouterOS 连接了。这是一个 winbox 的操作图像界面 :
HotSpot 的功能介绍
HotSpot 的管理和设置在 IP 中的 Hotspot 里,下面是 HotSpot 选项控制界面:
打开 HotSpot 后里面可以看到上面的标签栏分别有 Servers 、 Users 、 Active 、 Hosts 、 IP-bindings 、 Service-ports 、 Walled-garden 、 Cookies 。
在上面的解图中我们可以看到现在 HotSpot 中选中的为 Servers 的标签,在里面可以看到增添了一个 server1 的服务,指向的是 ether2 的网卡,在 address-pool 中显示的为 none ,说明 DHCP 没有启用,这个服务使用的 profile 为默认的。 RouterOS HotSpot 允许添加多个认证服务接口,实现多接口认证。
在下面简单介绍以下几种主要功能:
在服务的 profile 中,有一条默认的策略( default ),在这条策略中我们可以看到在 general 中设置内容包括
Name – profile 的名称
Hotspot Address – 认证网关的地址
DNS Name – 认证网关的域名
HTML Directory – 指定认证页的路径
Rate Limit – 速率
HTTP Proxy – HTTP 代理
HTTP Proxy Port – HTTP 代理端口
SMTP Server – 邮件服务器
在 profile 最后一个标签中的 Radius ,是用于与 Radius 计费服务器连接设置。
在 Users 选项中添加和删除掉用户帐号,并通过 profiles 设置用户类型。
上面的截图可以看到用户帐号管理的设置界面,在这里用于管理用户的帐号和类型。
上面可以看到添加一个 test 帐号的设置,在添加帐号时可以看到在里面有 Address
和 MAC Address ,这两个设置是用于绑定用户的 IP 和 MAC 地址,下面的 Routers 是用于帐号的路由选择。 Profile 是用户帐号的类型,通过在 profiles 中定义参数。
在后面的 Limits 标签中是用于设置用户的计时和流量参数。
下面的截图是关于用户的 profiles 的定义:
在这里面可以看到对用户帐号类型的各种定义,包括 IP 地址池的分配,连接超时时间,帐号共享数,账号的带宽设置等等。
上面的截图是设置该类型的帐号的定时广播功能,即向该类型定时打开指定的 URL 连接。这样可以向用户提醒一些紧急通知、广告宣传和缴付通知等。
在标签 Hosts 用于查看到登陆用户的 IP 、 MAC 、连接状态、流量等信息,为管理者提供用户连接的实时状态情况,能更好的管理访问用户。
在 HotSpot 通过设置 IP-Bindings 可以设置特殊用户,这些特殊用户可以分类为阻止认证或是绕过认证等。
不仅在认证方面的各种功能,还提供了 DNS 缓存、 Web 缓存、负载均衡、策略路由等等各种网络功能。同样提供了完善的日志记录功能,并且能对 CPU 、内存、流量、硬盘等的天、周、月、年的记录,达到管理者能完全的了解认证系统的运转情况,通过对日志数据的分析,急时对网络或服务器做出修改和调整 。
HotSpot 在对用户认证和管理方面都非常的完善,并具备自己所有的网关特色,能
对用户的上网线路进行优化,加快用户上网的访问速度。而其在价格上也是非常具有竞争力的一款路由认证软件,有极高的性价比。
ros路由里面HotSpot设置一步一步指导
[admin@MikroTik] > system reset
(系统自动复位清除设置并重新启动)
让我们来看看这个机器上有哪些网卡:
CODE
[admin@MikroTik] > /interface print
Flags: X – disabled, D – Dynamic, R - Running
# NAME TYPE MTU
0 X ether1 ether 1500
1 X ether2 ether 1500
你可以看到这个机器上有两张网卡显示,但是却是禁止的。
让我们来来给网卡指定名字,让以后看起来更方便
CODE
[admin@MikroTik] interface> set 0 name=”hotspot”
[admin@MikroTik] interface> set 1 name=”internet”
[admin@MikroTik] interface> print
Flags: X – disabled, D – Dynamic, R - Running
# NAME TYPE MTU
0 R internet ether 1500
1 R hotspot ether 1500
我们能根据名字更容易的查看某一张网卡的状态,让我们来给网卡指定IP地址。
设置routeros的inernet网卡的地址为192.168.1.2,设置网关为192.168.1.1,dns用你的isp给你的。我们用212.159.13.50
CODE
[admin@MikroTik] > /ip
[admin@MikroTik] ip> address add address=192.168.1.2/24 interface=inter
net
[admin@MikroTik] ip> route add gateway=192.168.1.1
[admin@MikroTik] ip> dns
[admin@MikroTik] ip dns> set primary-dns=212.159.13.50
[admin@MikroTik] ip dns> set secondary-dns=212.159.11.50
启用dns缓存
CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
现在设置hotspot这张网卡
CODE
[admin@MikroTik] ip> hotspot
[admin@MikroTik] ip hotspot> setup
Select interface on which to run HotSpot
Hotspot interface: hotspot
Enable universal client configuration?
Enable universal client: yes
这个功能是允许远程机器连接到即使他们使用完全不同的网络设置
CODE
Local address of hotspot network gateway: 10.5.50.1/24
Masquerade hotspot network: yes
Address pool of hotspot network will be: 10.5.50.2-10.5.50.254
ip address of smtp server: 192.168.1.3
我们必须输入你的ISP的smtp服务器的IP,如果你没有,你可以给一个“internet” 段的IP。
CODE
Use local DNS cache?
use local DNS cache: yes
Setup DNS Configuration
dns servers: 192.168.1.2
设置dns
CODE
Name of hotspot user: admin
Password for the user: admin
设置hotspot超级管理员的用户名和口令(一定要保证安全)
CODE
Select another port for (www) service
Another port for service: 8081
指定另外一个端口8081给winbox用
CODE
Use transparent web proxy for hotspot clients?
Use transparent web proxy: yes
使用web代理缓存
最后就设置好了。
以上是 HotSpot 认证上网的几个基本过程,对于用户来说是非常直观、简洁、方便。
Winbox 管理
HotSpot 网关认证系统提供了一个基于 windows 平台的图形化远程控制软件 winbox ,让用户能轻松管理这套认证系统。
下面介绍一下 HotSpot 在 winbox 中的基本操作流程以及相应的功能。
当在 RouterOS 本机通过命令操作设置完网卡和 IP 后,即可使用 winbox 与 RouterOS 连接了。这是一个 winbox 的操作图像界面 :
HotSpot 的功能介绍
HotSpot 的管理和设置在 IP 中的 Hotspot 里,下面是 HotSpot 选项控制界面:
打开 HotSpot 后里面可以看到上面的标签栏分别有 Servers 、 Users 、 Active 、 Hosts 、 IP-bindings 、 Service-ports 、 Walled-garden 、 Cookies 。
在上面的解图中我们可以看到现在 HotSpot 中选中的为 Servers 的标签,在里面可以看到增添了一个 server1 的服务,指向的是 ether2 的网卡,在 address-pool 中显示的为 none ,说明 DHCP 没有启用,这个服务使用的 profile 为默认的。 RouterOS HotSpot 允许添加多个认证服务接口,实现多接口认证。
在下面简单介绍以下几种主要功能:
在服务的 profile 中,有一条默认的策略( default ),在这条策略中我们可以看到在 general 中设置内容包括
Name – profile 的名称
Hotspot Address – 认证网关的地址
DNS Name – 认证网关的域名
HTML Directory – 指定认证页的路径
Rate Limit – 速率
HTTP Proxy – HTTP 代理
HTTP Proxy Port – HTTP 代理端口
SMTP Server – 邮件服务器
在 profile 最后一个标签中的 Radius ,是用于与 Radius 计费服务器连接设置。
在 Users 选项中添加和删除掉用户帐号,并通过 profiles 设置用户类型。
上面的截图可以看到用户帐号管理的设置界面,在这里用于管理用户的帐号和类型。
上面可以看到添加一个 test 帐号的设置,在添加帐号时可以看到在里面有 Address 和 MAC Address ,这两个设置是用于绑定用户的 IP 和 MAC 地址,下面的 Routers 是用于帐号的路由选择。 Profile 是用户帐号的类型,通过在 profiles 中定义参数。
在后面的 Limits 标签中是用于设置用户的计时和流量参数。
下面的截图是关于用户的 profiles 的定义:
在这里面可以看到对用户帐号类型的各种定义,包括 IP 地址池的分配,连接超时时间,帐号共享数,账号的带宽设置等等。
上面的截图是设置该类型的帐号的定时广播功能,即向该类型定时打开指定的 URL 连接。这样可以向用户提醒一些紧急通知、广告宣传和缴付通知等。
在标签 Hosts 用于查看到登陆用户的 IP 、 MAC 、连接状态、流量等信息,为管理者提供用户连接的实时状态情况,能更好的管理访问用户。
在 HotSpot 通过设置 IP-Bindings 可以设置特殊用户,这些特殊用户可以分类为阻止认证或是绕过认证等。
不仅在认证方面的各种功能,还提供了 DNS 缓存、 Web 缓存、负载均衡、策略路由等等各种网络功能。同样提供了完善的日志记录功能,并且能对 CPU 、内存、流量、硬盘等的天、周、月、年的记录,达到管理者能完全的了解认证系统的运转情况,通过对日志数据的分析,急时对网络或服务器做出修改和调整 。
HotSpot 在对用户认证和管理方面都非常的完善,并具备自己所有的网关特色,能对用户的上网线路进行优化,加快用户上网的访问速度。而其在价格上也是非常具有竞争力的一款路由认证软件,有极高的性价比。
本文出自 51CTO.COM技术博客
