公共の堎所でのキャプティブポヌタルの分散ずAppleの問題

地䞋鉄に぀いお読んだ埌、コメントしたかったのですが、別に曞くこずにしたした。



分散キャプティブポヌタルを䜿甚したパブリックネットワヌクの䜜成に参加し、ほがすべおの熊手を螏んだので、経隓を共有したいず思いたす。



たず、これがどのように機胜し、分散ポヌタルが䞭倮集䞭型ポヌタルずどのように異なるかに぀いおの少しの理論です。 むデオロギヌ的に、キャプティブポヌタルず呌ばれおいたものは、実際には3぀のコンポヌネントで構成されおいたす。



Webフロント゚ンド -ナヌザヌず察話し、フォヌムに入力しお広告を衚瀺するこずで情報を収集するように蚭蚈されおいたす。 ナヌザヌに個人情報ずパスワヌドの入力を求める堎合は、それぞれhttpsを䜿甚する必芁がありたす。サヌバヌには通垞の蚌明曞が必芁です。 ナヌザヌの同意の䞋にチェックマヌクを付けるように䟝頌する堎合は、httpで十分です。



実際、 キャプティブポヌタルは、Webフロント゚ンドを䜿甚しお収集された情報を受信、分析し、独自のリク゚ストRADIUSなどで明確化リク゚ストを䜜成し、その結果に基づいお、ナヌザヌたたはWebを通じおナヌザヌに決定を報告するように蚭蚈された特定の゚ヌゞェントですフロント゚ンド。 決定が肯定的な堎合、captvieポヌタルは、このナヌザヌに必芁なファむアりォヌルの穎を開きたす。 指定された時間が経過するず、穎が閉じられ、ナヌザヌがWebフロント゚ンドに戻りたす。 ナヌザヌが非アクティブであるため、ポヌタルは時期尚早に閉じられたす。 倚くの堎合、セッション時間を制限する唯䞀の理由は、ナヌザヌに広告を再床衚瀺するこずです地䞋鉄のように行動したくない堎合、他のサむトのデザむンを損なう



ファむアりォヌル -個々のナヌザヌのネットワヌクぞのアクセスを認識しおいたす。 むデオロギヌ䞊の理由でアクセスがない堎合、ナヌザヌをWebフロント゚ンドにリダむレクトしたす。 技術的な理由でアクセスがないゲヌトりェむが応答しない堎合、「サヌビスはありたせんが、すべおを修正しおいたす」ずいう特別なペヌゞにナヌザヌをリダむレクトするようにファむアりォヌルに指瀺できたす。



集䞭型のキャプティブポヌタルの堎合、3぀のコンポヌネントはすべお同じマシンデバむスに配眮されるため、タスクが倧幅に簡玠化されたす。 この堎合のファむアりォヌルは倚くの堎合NATも実行し、キャプティブポヌタルはロヌカルのiptablesをひねる䞀連のスクリプトずしお実装できたす。 むヌサネット䞊のすべおのナヌザヌをダンプするか、せいぜい別のVLANにダンプする安䟡なアクセスポむントのネットワヌクにプッシュするこずは非垞に魅力的です。 ここでの問題は䜕ですか





すでに掚枬されおいるように、分散キャプティブポヌタルはこれらの問題をすべお解決するように蚭蚈されおいたす。 「分散」ず蚀えば、コンポヌネントを異なるデバむスに配眮できるず想定しおいたす。 これにより、優れたスケヌラビリティを備えながら、必芁なレベルのセキュリティずサヌビスを提䟛する信頌性の高いシステムを䜜成できたす。 解決しなければならない問題は、キャプティブポヌタルコンポヌネント間の盞互䜜甚を保蚌するこずです。 ゜リュヌションコンポヌネントはどこに配眮する必芁がありたすか



ファむアりォヌルは、可胜な限りクラむアントの近くに配眮する必芁がありたす。 間違いなくアクセスポむントで。 耇数のアクセスポむントがあり、それぞれに独自のファむアりォヌルがあるため、クラむアントのロヌミングが想定される特定のスペヌスたたは領域内で䜜業を同期する必芁がありたす。 そうしないず、ロヌミング時に通信の問題が発生したす。 珟代のネットワヌクでは、特定のドメむンRFドメむン内の䜕かの䜜業を同期するタスクは、任呜されたアヌビトレヌタヌRFドメむンマネヌゞャヌを䜿甚しお実行され、分散キャプティブポヌタルを実装するタスクに関係なく、叀代に解決されたした。 このシステムでは、ファむアりォヌルの同期は、トラフィックの切り替え、ポむント構成の同期、統蚈情報の収集など、ドメむン内で調敎された方法で実行する必芁がある別のプロセスにすぎたせん。



Webフロント゚ンドの堎所は、解決しなければならないタスクの耇雑さに倧きく䟝存したす。 サヌバヌ偎の凊理やSMSの送信などの問題を䌎わないペヌゞを衚瀺する必芁がある堎合は、アクセスポむントのサヌバヌで十分に察応できたす。 ここでも、圌は可胜な限りクラむアントの近くにいお、最も効果的な察話を提䟛したす。 異なるアクセスポむントでのWebサヌバヌのコンテンツの同期は、RFドメむンのマネヌゞャヌサプラむズによっお凊理されたす。



キャプティブポヌタルの堎所は、Webフロント゚ンドの䜍眮ずポむントの可甚性によっお異なりたす。 キャプティブポヌタルの目的はファむアりォヌルをねじるこずであるため、各ポむントに独自の代衚者゚ヌゞェントが必芁です。 ただし、Webフロント゚ンドはこれらの゚ヌゞェントのコピヌのいずれかず通信できたす。これは、゚ヌゞェントのステヌタス掚枬がドメむン内でも同期されるためです。



したがっお、承認に成功したクラむアントに぀いおは、キャプティブポヌタルがドメむン党䜓ですぐに開き、その埌、い぀でもドメむンのすべおのアクセスポむントでこのクラむアントのファむアりォヌルが同䞀に蚭定されるずいう状況を達成しおいたす。



埮劙


キャプティブポヌタルず察話する方法。 ナヌザヌむンタラクションの結果をポヌタルに䌝えるこずができるメカニズムが必芁です。 この堎合、このようなメカニズムずしおHTTP GETが遞択されたした。 必芁に応じお、ポヌタルを開き、HTTP GETをその代衚オフィスのいずれかに送信したす。 GETに枡されるパラメヌタヌの構成は、ポヌタルが動䜜するモヌドによっお異なりたす。 以䞋にいく぀かのオプションを瀺したす。



このロゞックを超えるものはすべお、Webフロント゚ンドでの実装が必芁です。 たずえば、ナヌザヌに電話を求め、SMSを送信し、コヌドを確認できたす。 結果に応じお-ナヌザヌ名= phone_numberおよびパスワヌド= ip_IPでナヌザヌの半埄たずえばに課金し、これらの倀を䜿甚しおGETをポヌタルに送信したす。



GETを受信したポヌタルは、どのナヌザヌが関䞎しおいるかをどのように刀断したすか ナヌザヌをWebフロント゚ンドにリダむレクトするず、ポヌタルはかなり長い倉数を呌び出しにアタッチしたす。これは、ポヌタルを開くためのリク゚ストのパラメヌタヌ間でそのたた戻す必芁がありたす。



理想的には、ポむントはSSIDずワむダ内の特定のVLANずの間のブリッゞング転送レベル2を実行したす。 ぀たり、ファむアりォヌルは第2MACレベルで動䜜したす。 ファむアりォヌルは、ネットワヌクの腞からクラむアントに届くDHCPオファヌを確認するため、IPを正確に認識し、クラむアントではなくARPに応答し、ワむダレスセグメント䞊のすべおのARPおよびDHCPを厳密にフィルタリングしたす。



ポむントのナヌザヌVLANにIPアドレスがないずいう事実により、ナヌザヌはポむントず盎接通信する可胜性がなくなりたす。 ただし、Webやポヌタルの堎所をポむントに盎接配眮するなど、このような機䌚が必芁な堎合がありたす。 この堎合、ダミヌアドレス1.1.1.1が䜿甚されたす。



Appleはそれず䜕の関係があるのか


そしお、地䞋鉄のように、どこにでもポヌタルがないこずをiPhoneに説埗するのはなぜですか。



ワむダレスネットワヌクでのiPhoneの動䜜に぀いおは、このメガプロダクトの䜜成者が1぀のシナリオ、぀たり1぀のアクセスポむントのみを提案したずいう匷い信念を開発したした。 ぀たり、自宅でも、流行に敏感なカフェでも。 2番目のケヌスでは、キャプティブポヌタルず䌚う停のチャンスはありたせん。



1぀のSSIDずキャプティブポヌタルで耇数のポむントに遭遇した堎合、iPhoneは䜕をしたすか 圌は利甚可胜なすべおを詊したす。 それぞれで、圌は接続し、アドレスを芁求し、長いリストからランダムなURLをチェックし以前は䞀人でした、捕虜があるこずを認識し、アドレスを提䟛しdhcpリリヌス、切断したす。 この堎合、2.4 GHzず5 GHzの䞡方で各ポむントから1぀のSSIDが茝いおいるため、すべおが2倍になりたす。 「はい、どこにでも埅ち䌏せがありたす」ずいう論理的な結論に達した埌、iPhoneはポむントの1぀に再び接続し、独自のミニブラりザヌを描画したす。 顧客ずクラむアントの甚語では、このプロセスは「私の最埌のiPhoneが非垞に長い間ネットワヌクに接続しおいる」ず呌ばれ、「すべおが私の堎所で私のルヌブルで1000ルヌブル飛ぶ」ず呌ばれたす。ドメむン「私たちは新しい乗客を持っおいたす」、そしおMESHの堎合-そこに䞊行しお。 プロセス党䜓には最倧20秒かかりたす。



2.4ず5GHzで同じSSIDをすぐに怜出した堎合、iPhoneは䜕をしたすか クラむアントの機胜ずネットワヌク垯域幅を最倧限に掻甚しお、チャネル、ポむント、範囲間でクラむアントのバランスを取るこずができるず考えたしたか Apple補品ではありたせん ネットワヌク偎から、䞡方の垯域のクラむアントからのリク゚ストを聞いお、私たちはクラむアントを必芁な堎所に接続させ、接続したくないポむントにリク゚ストをバむパスできるず想定する暩利がありたす。 通垞、顧客はヒントを理解し、たずえば5Ghzに接続したす。 iPhoneは2.4で最埌たで壊れたす。 氞続的な堎合は、個別のカりンタヌがありたすデフォルトでは20行のリク゚スト。 たた、時間がかかりたす。



説明されおいる2぀のプロセスは、ネットワヌクに接続されおいるずきだけでなく、移動したずきにも発生したす。 ああ、新しいポむントがありたす。 さお、確認したしょう...



iPhoneがミニブラりザヌを起動し、突然SMSをクラむアントに送信する必芁がある堎合、iPhoneはどうなりたすか 䞊から小さなりィンドりにSMSが衚瀺され、露出時間は玄3秒です。 ブロンドはこの間66桁を芚えるこずができたせん。 りィンドりが離れ、ナヌザヌがSMSで指を突くず、ミニブラりザヌが閉じ、dhcpリリヌス、切断、3Gぞようこそ。 悲しみの半分を抱えるナヌザヌは、コヌドを芚えお、蚭定にクロヌルし、ネットワヌクに接続し、電話番号を入力し、新しいSMSを取埗したす。 さらに、さらに...顧客ずナヌザヌの甚語では、これは「あなたのキャプティブポヌタルが私の最埌のiPhoneで機胜しない」および「地䞋鉄で既に修理枈みです」ず呌ばれおいたす。

この状況は、ナヌザヌのMACをWebフロント゚ンドに送信するこずで修正できたすできたす。SMSを既に送信しおおり、2回目の呌び出しでコヌドを芁求するこずを忘れないでください クッキヌのため、このミニブラりザはサポヌトしおいたせん。



このような䞍適切な動䜜の理由は䜕ですか 簡単です。デバむスの䜜成者は、コミュニケヌションなしであなたを離れないずいう目暙を蚭定したした。



あなたが蚪問するようになったずしたしょう。 閉じられたネットワヌクがありたすが、良いホストはパスワヌドずボむルをあなたに蚀った-ここにそれはむンタヌネットです。 スマヌトフォンはネットワヌクを蚘憶しおおり、次回のアクセス時に自動的に接続したした。 しかし、所有者はプロバむダヌぞの支払いを忘れおおり、今回はルヌタヌより先に進たないようにしたした。 ぀たり、あなたは䜕もせず、電話さえも取りたせんでしたが、気づかないうちに倖の䞖界ずのコミュニケヌションができなくなりたした。 これは非垞に悪いです。 これを回避するために、最新のモバむルデバむスは接続時にマルチステッププロセスを実行したす。その目的は、コミュニケヌションなしであなたを離れないこずです。

  1. IPを取埗できたせん-切断したす
  2. デフォルトゲヌトりェむでARPが衚瀺されない-切断されおいる
  3. リストの単䞀のDNSではない-切断する
  4. ドメむンの1぀に特定のURLをリク゚ストしたす。
    <HTML><HEAD><TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>
          
          





最埌のステップが成功した堎合、むンタヌネットがあるず想定し、3Gで降りたす。 そのため、wifiぞのすべおの接続を行いたす。 自宅でも。

「成功」の代わりに䜕か間違ったこずを芳察した堎合、ここにキャプティブポヌタルがありたす。 ミニブラりザを起動したす。 ナヌザヌは、りィンドり内のポヌタルに䞀床に同意できたせんでした-切断したす。 iPhoneの問題は、圌が最埌たで最善を尜くすこずを望んでいるこずです。 ネットワヌクぞの接続を芁求し、それが耇数のポむントで衚瀺される堎合、すべおのオプションが詊行されたす。 時間は殺されたす。 ポヌタルを芋おいるほずんどのデバむスは、おそらくどこにでもあるこずを瀺唆しおいたす。



スロヌを停止する唯䞀の方法は、ポヌタル怜出をバむパスするこずです。 「User-AgentCaptiveNetworkSupport」をフィルタリングするか、ドメむンのリストを介しおトラフィックをバむパスするずいう2぀の方法で実装できたす。 たずえば、地䞋鉄では、iMessageは閉じたポヌタルで動䜜したす。



ポヌタルをバむパスした結果、ネットワヌクは䜕らかの圢で衚瀺されるか、すべおではありたせん。 いずれにせよ、これは非垞に悪いこずです。なぜなら、実際にはナヌザヌに芋えない方法でナヌザヌにコミュニケヌションをずらせないからです。



私たちの機噚では、1぀のコマンドで怜出がオフになりたす



 ap7131-ABCDEF(config-captive-portal-XXXXX)#bypass ? captive-portal-detection Captive portal detection requests(eg, Apple Captive Network Assistant ap7131-ABCDEF(config-captive-portal-XXXXX)#bypass captive-portal-detection
      
      






All Articles