本文主要是针对锐捷给出的web服务器验证服务和原理进行总结。

了解原理之后就可以采取某些技术性手段绕过这个原理！！！然后你懂的，嘿嘿嘿

  Web服务器的应用场景在于客户希望对接入网络的各类终端，特别是移动终端的合法性进行校验，只允许提供正确的用户名，密码的用户才能使用网络，而又不想安装繁琐的各类认证软件的时候，就可以考虑部署web认证方案 。

  Web认证的优势就是使用方便，快捷，免安装客户端软件，只需要采用任意的IE浏览器发起访问请求，重定向认证页面后提交身份验证通过后即可访问网络，特别适用于不方便安装SU客户端的情况。 下面介绍一下这原理：

  Web认证：WEB认证是一种基于网页的认证，未认证用户HTTP报文都会被接入NAS设备截获（重点劫持HTTP，也就是说HTTPS是行不通的这种方法）。交换机伪装成用户期望访问的站点，与用户建立TCP连接后，通过HTTP重定向将预先设定好的认证页面推送给用户，eportal服务器携带用户的认证信息，向radius服务器发认证请求，radius 服务器返回认证成功或失败信息，如果认证成功后，由web portal服务器向NAS设备通过SNMP下发IP+MAC或者IP的绑定信息，同时发记账开始信息到radius服务器开始记账，以达到用户在线认证，且不用安装认证客户端的目的。

  目前锐捷的Web认证服务多为二代模型， eportal服务器只负责给用户进行重定向认证页面 ， 交换机负责和Radius服务器进行Radius报文交互 。

二代Web认证的模型：

根据模型，我们简单介绍一下锐捷Web认证的流程：

1. 在认证之前，接入设备将未认证用户发出的所有HTTP 请求都拦截下来，并重 定向到Portal服务器去，这样在用户的浏览器上将弹出一个认证页面。
2. 在认证过程中，用户在认证页面上输入认证信息（用户名、口令、校验码等等）与Portal服务器交互。
3. Portal服务器和认证服务器（SAM）完成身份认证的功能。
4. 在认证通过后，Portal服务器将通知接入设备该用户已通过认证，接入设备将允许用户访问互联网资源。

    补充：对于多数部署了Web认证的校园服务器，绝大多数情况下，我们在连接WIFI的时候网关（也就是交换机）会放行DHCP与DNS报文。DHCP会默认给我们一个IP地址，而DNS报文为了能够解析定向Web连接界面。这个DNS报文走的就是DNS端口。 重点在于：有些网关甚至不会报文进行检查，这也就意味着任何形式的数据包都可以顺畅通过。

  最后总结一下： 实际情况就是我们连上校园网的无线路由器后，虽然上不了网，但是我们的计算机却分配到了IP地址（网关分配，不然我们没法进行web认证服务）此时若我们进行一些上网的操作，例如访问百度主页，那么计算机的数据包将从TCP443端口上发出，校园网网关（也就是交换机）就会拦截从这个端口上发出的数据包，强制转移到我们的Web认证页面上。同理从其它端口上发出的数据包也会遭到拦截。 然而对于某些特殊端口是不能进行强制转移的，前文提及到的DNS端口。