关于云简portal认证数据交互问题

这个方案可以实现，但前提是必须满足一些关键的技术条件。默认情况下，直接在链路上抓包解析是行不通的。

RADIUS和Portal的交互数据确实有加密，但方式不同：

• Portal交互：用户手机浏览器与云简平台之间的Portal页面通信，目前基本都强制使用HTTPS加密，无法直接看到账号密码明文。

• RADIUS协议（AC ↔ 云简平台）：

  • 默认情况：用户密码使用MD5加密传输，用户名和IP地址等关键信息是明文的。但这部分信息是行为管理设备可直接抓取并解析的，比如H3C ACG系列就支持这种解析。

  • 高级配置：如果采用了RadSec（RADIUS over TLS），所有通信会基于证书加密，此时抓取的流量将完全无法解析。

  • 关键前提：即使默认模式下密码是MD5加密的，也必须获得AC与RADIUS服务器之间配置的共享密钥（Shared Secret），才能将密码解密为可读的明文。没有这个密钥，抓到的密码只是一串乱码。

要实现这个目标，核心在于：行为管理设备必须部署在能同时看到AC与Portal/RADIUS服务器交互流量的路径上，并且AC到服务器的RADIUS通信不能使用RadSec。

下面这些条件会影响成功与否：

• 设备部署位置与流量可见性：行为管理设备必须串联在AC与云简平台之间的路径上，或者能通过端口镜像方式获得一份完整的流量副本。如果流量绕过了它，就抓不到任何数据。

• 传输模式确认：需要联系云简平台或查看AC配置，确认RADIUS传输使用的是标准UDP（端口1812/1813） 还是RadSec（端口2083）。如果是后者，抓包同步的方案就行不通了。

• 共享密钥获取：需要向云简平台管理员获取RADIUS共享密钥。这是解密密码的关键信息，用于在行为管理设备上解析认证包。

• 认证方法确认：尽量确保无线网络使用的认证方法是PAP（密码认证协议），因为它相对容易解析。如果使用了EAP-PEAP/MSCHAPv2等嵌套加密方式，解析难度会大大增加。

加密的