关于云简portal认证数据交互问题
- 0关注
- 0收藏,149浏览
问题描述:
无线控制器对接云简平台,配置portal认证,中间的radius和portal交互数据是加密的吗,想通过行为管理抓取经过的流量来同步账号上线信息,不知道能不能同步成功
- 2026-04-07提问
- 举报
-
(0)
2. Portal交互:通常不加密。Portal服务器与客户端(用户浏览器)之间的HTTP/HTTPS交互由Portal认证方式决定。若使用HTTP,则用户名密码明文传输;若使用HTTPS,则加密。但Portal服务器与AC/设备之间的Portal协议报文(如H3C的CMCC/Portal 2.0)通常不加密,携带用户名等信息。
3. 实现账号上线信息同步的推荐方法:
* 首选:在云简平台或RADIUS服务器侧配置,将认证日志(如使用RADIUS Accounting)或成功认证消息实时同步给行为管理系统。
* 次选:在AC上配置`radius session-control enable`并设置行为管理系统作为RADIUS Session-Control服务器,AC会在用户上线/下线时主动发送会话控制报文。
* 不推荐:直接抓取并解密RADIUS流量,因需要共享密钥且过程复杂。抓取Portal流量(若为HTTP)可能获得用户名,但可靠性低。
需确认信息:您具体使用哪种Portal认证方式(如直接、二次地址重定向)及协议(HTTP/HTTPS)?行为管理系统是否需要实时上线信息?
- 2026-04-07回答
- 评论(0)
- 举报
-
(0)
这个方案可以实现,但前提是必须满足一些关键的技术条件。默认情况下,直接在链路上抓包解析是行不通的。
RADIUS和Portal的交互数据确实有加密,但方式不同:
Portal交互:用户手机浏览器与云简平台之间的Portal页面通信,目前基本都强制使用HTTPS加密,无法直接看到账号密码明文。
RADIUS协议(AC ↔ 云简平台):
默认情况:用户密码使用MD5加密传输,用户名和IP地址等关键信息是明文的。但这部分信息是行为管理设备可直接抓取并解析的,比如H3C ACG系列就支持这种解析。
高级配置:如果采用了RadSec(RADIUS over TLS),所有通信会基于证书加密,此时抓取的流量将完全无法解析。
关键前提:即使默认模式下密码是MD5加密的,也必须获得AC与RADIUS服务器之间配置的共享密钥(Shared Secret),才能将密码解密为可读的明文。没有这个密钥,抓到的密码只是一串乱码。
要实现这个目标,核心在于:行为管理设备必须部署在能同时看到AC与Portal/RADIUS服务器交互流量的路径上,并且AC到服务器的RADIUS通信不能使用RadSec。
下面这些条件会影响成功与否:
设备部署位置与流量可见性:行为管理设备必须串联在AC与云简平台之间的路径上,或者能通过端口镜像方式获得一份完整的流量副本。如果流量绕过了它,就抓不到任何数据。
传输模式确认:需要联系云简平台或查看AC配置,确认RADIUS传输使用的是标准UDP(端口1812/1813) 还是RadSec(端口2083)。如果是后者,抓包同步的方案就行不通了。
共享密钥获取:需要向云简平台管理员获取RADIUS共享密钥。这是解密密码的关键信息,用于在行为管理设备上解析认证包。
认证方法确认:尽量确保无线网络使用的认证方法是PAP(密码认证协议),因为它相对容易解析。如果使用了EAP-PEAP/MSCHAPv2等嵌套加密方式,解析难度会大大增加。
- 2026-04-07回答
- 评论(0)
- 举报
-
(0)
暂无评论
一、云简 Portal + RADIUS 加密情况(AC ↔ 云简平台)
1. RADIUS 协议(AC ↔ 云简)
- 密码加密:使用MD5 + 共享密钥加密,抓包看不到明文密码。
- 用户名、IP、MAC、NAS-IP 明文:这些字段不加密,可直接抓包解析。
- 端口:认证 1812 / 计费 1813(UDP)。
- RadSec 情况:如果云简 / AC 开启 RadSec(RADIUS over TLS),则整个 RADIUS 加密,无法抓包解析。
- 云简默认不开 RadSec,所以默认可抓。
2. Portal 协议(AC ↔ 云简)
- 云简用 H3C Portal 2.0/CMCC(TCP 2000 或 50100)。
- 默认不加密:报文里带用户名、IP、MAC、上线 / 下线状态。
- 云简一般不做 Portal 协议加密。
3. 用户浏览器 ↔ 云简 Portal 页面
- 现在云简强制 HTTPS(443)。
- 浏览器输入的账号密码全程加密,抓包看不到。
二、行为管理抓包同步账号上线:能不能成?
可行方案(两种)
方案 1:行为管理串接 / 镜像抓包(你问的这种)
- 把 AC ↔ 云简的流量镜像到行为管理(或串接)。
- 行为管理解析 RADIUS 报文(1812/1813):
- 识别 Access-Accept → 上线
- 识别 Accounting-Start/Stop → 上线 / 下线
- 提取:用户名、IP、MAC、NAS-IP(AC 地址)
- 不需要密码,行为管理只用来关联用户与 IP/MAC做行为审计。
- 新建 用户识别 → RADIUS 识别
- 开启 解析 RADIUS 认证 / 计费报文
- 即可自动同步在线用户表(用户名 + IP+MAC)
方案 2:云简 / AC 直接对接行为管理(更稳)
- 云简平台:配置行为管理同步(部分版本支持)
- AC 配置:将 RADIUS 日志 / 用户表同步到行为管理
- 比抓包更可靠,不受镜像影响。
三、你现在怎么配置(H3C ACG 为例)
- 确保行为管理能收到 AC ↔ 云简的流量:
- 核心交换机做端口镜像:镜像 AC 上联口 → 行为管理监听口
- ACG 配置:
- 用户管理 → 认证管理 → 第三方用户同步 → RADIUS 用户同步
- 启用:解析 RADIUS 认证 / 计费报文
- 监听接口:选镜像口
- 端口:1812、1813
- 查看效果:
- 用户 → 在线用户
- 能看到:用户名、IP、MAC、上线时间
四、一句话总结
- RADIUS:密码加密,用户名 / IP/MAC 明文 → 可抓可同步
- Portal 协议:明文 → 可抓可同步
- 浏览器→云简:HTTPS 加密 → 抓不到
- 行为管理可以通过镜像 RADIUS 流量,完美同步账号上线信息。
- 2026-04-07回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论