概述

强制门户技术是一种位于网关上的功能，lan侧用户访问外网，强制先进行网关认证，认证通过，才可以访问外网。最近研究了一下这种技术，并在项目中实现，用于用户的web快速登陆

强制门户原理

我认为强制门户技术的核心是重定向，重定向的方法有多种，比如基于MAC或IP的重定向、DNS重定向、HTTP重定向、WPAD等等，当然重定向的作用范围远不止强制门户技术。无论是何种重定向，本质上是利用通信协议的机制和规则，实现特定数据流的转发

我使用的是DNS重定向和HTTP重定向结合的方案，通过DNS重定向，将lan侧用户的外网访问请求指定到网关管理地址，网关HTTP进程接收特定的HTTP请求后，返回特定的重定向报文，lan侧客户端浏览器以重定向报文中指定的URL再次发起请求，以此将用户强制到网关的登陆页面。整个通信过程如下图

详细过程

这里有几个前提：

1. 用户设备上网方式是DHCP获取地址，或者手动设置静态地址但必须设置DNS地址为网关地址，总之用户设备必须知道DNS服务器位于网关上
2. 用户浏览器设置了默认主页，或者用户手动输入任意域名，而非ip地址

基于这样的前提，会有以下的几个过程：

• 当用户手动打开浏览器时，浏览器会无条件去访问默认主页，假如为www.hao123.com，但是主页是一个域名(domain name)而非一个ip地址，浏览器不知道主页www.hao123.com的ip地址是多少，无法与该域名所在服务器建立tcp连接，所以需要通过DNS协议向DNS服务器查询域名对应的的ip
• 由于用户设备上预先已经存在DNS服务器的地址，并且该地址是网关地址，用户设备会以www.hao123.com封装DNS query报文发往网关上的DNS Proxy进程。网关上的DNS Proxy进程查询当前wan侧连接情况，如果未连接，则封装一个ip地址为本机地址的DNS answer报文回复给用户
• 浏览器收到DNS answer报文后，便以此报文中的ip地址，向该地址发起tcp连接，并在连接建立之后，发起HTTP HEAD或GET请求，一般URL为空，或者为/wpad.dat，这个特殊URL是WPAD协议规定，该协议还未研究，只是PC机固定会发该URL
• 网关上HTTP Server接收到该(/wpad.dat)特殊请求后，以状态码为301或307，Location为登录页面的URL封装HTTP应答报文，告诉浏览器将请求重定向到以Location指定的URL
• 浏览器以该Location为URL再次封装HTTP GET报文，请求该页面，完成强制登陆