一、为什么需要Portal认证服务器？

在酒店、商场、校园等公共场所的Wi-Fi接入场景中，「portal认证」已成为用户上网的必经环节。通过自主搭建portal认证服务器（又称Captive Portal），企业可实现用户身份验证、上网行为管理及营销信息推送三大核心功能。相较于购买商业解决方案（如Aruba ClearPass或Cisco ISE），自建方案可节省70%以上的成本。

二、核心组件与工作原理

1. 系统架构组成

- 接入设备：支持802.1X协议的交换机/AP

- Radius服务器：负责用户鉴权（推荐FreeRADIUS）

- Web门户：PHP/Java开发的认证页面

- 数据库：MySQL/MariaDB存储用户凭证

- 防火墙联动：实现放行策略控制

2. 工作流程解析

```mermaid

sequenceDiagram

participant Client

participant AP

participant PortalServer

participant RadiusServer

Client->>AP: 发起HTTP请求

AP->>Client: 重定向至Portal页面

Client->>PortalServer: 提交认证信息

PortalServer->>RadiusServer: RADIUS Access-Request

RadiusServer-->>PortalServer: Access-Accept/Reject

PortalServer->>Client: 显示登录结果

```

三、详细部署步骤（基于CentOS7）

1. 基础环境准备

```bash

安装EPEL仓库与必要组件

yum install -y epel-release

yum install -y httpd mariadb-server php php-mysqlnd freeradius freeradius-utils

启动服务并设置开机自启

systemctl start httpd mariadb freeradius

systemctl enable httpd mariadb freeradius

MySQL安全初始化

mysql_secure_installation

创建radius数据库

mysql -u root -p <

CREATE DATABASE radius;

GRANT ALL ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'StrongPassword123';

FLUSH PRIVILEGES;

EOF

2. FreeRADIUS集成MySQL模块配置

修改`/etc/raddb/mods-available/sql`文件：

```sql

driver = "rlm_sql_mysql"

dialect = "mysql"

server = "localhost"

port = 3306

login = "radius"

password = "StrongPassword123"

radius_db = "radius"

导入数据库表结构

cd /etc/raddb/mods-config/sql/main/mysql/

mysql -u radius -p radius < admin.sql

mysql -u radius -p radius < schema.sql

启用SQL模块

ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/

3. Web门户开发要点（PHP示例）

创建`/var/www/html/auth.php`：

```php

$username = $_POST['username'];

$password = $_POST['password'];

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, "http://localhost:1812");

curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

curl_setopt($ch, CURLOPT_POSTFIELDS, [

'USER-NAME' => $username,

'USER-PASSWORD' => $password,

]);

$response = curl_exec($ch);

if (strpos($response, 'Access-Accept') !== false) {

header("Location: welcome.html");

} else {

header("Location: error.html");

}

?>

四、高级功能扩展方案

1. MAC地址免认证实现技巧

在`/etc/raddb/users`添加特殊规则：

DEFAULT Auth-Type := Accept

Simultaneous-Use := 3,

Fall-Through = Yes

DEFAULT Auth-Type := Reject

Reply-Message = "您的设备未在白名单中"

2. QoS带宽控制策略

通过Radius返回VSA属性：

Cisco-Avpair += "subscriber:qos-policy-in=VIP_UP_10M",

Cisco-Avpair += "subscriber:qos-policy-out=VIP_DOWN_50M"

五、生产环境优化建议

1. HA高可用架构设计

采用Keepalived+双机热备方案：

global_defs {

router_id LVS_DEVEL_PRI

vrrp_instance VI_1 {

state MASTER

interface eth0

virtual_router_id 51

priority 100

virtual_ipaddress {

192.168.100.200/24 dev eth0 label eth0:vip

}

2. HTTPS安全强化实践

使用Let's Encrypt免费证书：

certbot certonly --webroot -w /var/www/html -d portal.yourdomain.com

Apache SSL配置示例：

SSLEngine on

SSLCertificateFile /etc/letsencrypt/live/portal.yourdomain.com/fullchain.pem

SSLCertificateKeyFile /etc/letsencrypt/live/portal.yourdomain.com/privkey.pem

SSLProtocol All -SSLv2 -SSLv3

SSLCipherSuite HIGH:!aNULL:!MD5

六、常见故障排查指南

|故障现象|诊断命令|解决方案|

|---|---|---|

|用户无法弹出portal|tcpdump port 80 or port 3799|检查ACL放行规则是否允许UDP3799|

|Radius超时无响应|radtest test test localhost 0 testing123|验证shared-secret是否匹配|

|数据库连接失败|tail -f /var/log/freeradius/radius.log |修正my.cnf的bind-address设置|

---

通过本文的完整实践流程部署后即可获得一套企业级portal认证系统。建议每月执行以下维护操作：

1. 日志分析：使用ELK收集radius日志进行异常登录检测

2. 压力测试：ab工具模拟并发请求验证系统承载能力

3. 备份策略：mysqldump每日全量备份+binlog增量备份

对于超过500并发用户的场景推荐采用分布式架构设计（如Redis缓存会话状态），具体实施方案可关注后续更新内容。

TAG:portal认证服务器搭建,portal认证端口,服务器认证证书,portal认证服务器软件