Wireshark软件识别解析 Portal 报文方法（默认也抓取了portal报文，并不是说没有抓取，只是不解析而已）

缺省 wireshark 抓包工具无法解析 portal 认证交互报文（TCP 50100 和 UDP 2000），导致相关问题排查难度大。
比如下图中的 portal 报文，缺省 wireshark 工具无法解析 Data字段，即wireshark界面的Protocol那一列显示的不是portal。

对此情况，确保wireshark 软件已关闭的情况下，将文档附件下载解压后，将"portal.lua" 插件放入 wireshark 软件安装路径plugins文件夹下，比如 C:\Program Files\Wireshark\plugins 新版本还有4.2,如下图所示：

后续重新打开抓包文件，软件即可自动解析 portal 报文 Data字段内容。

wireshark界面的Protocol那一列显示的是portal，如下图所示：

将插件放入相关路径时，注意请使用管理员权限。

wireshark-portal 2.3.rar 的下载地址如下：

http://www.zh-cjh.com/uploads/allimg/20231031/1-23103123355JH.rar

相关知识点：

Portal认证简介
Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。Portal认证通常包含三个基本要素：客户端、接入设备、Portal服务器。

Portal认证的优点
a、一般情况下，客户端不需要安装额外的软件，直接在Web页面上认证，简单方便。
b、便于运营，可以在Portal页面上进行业务拓展，如广告推送、企业宣传等。
c、技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。
d、部署位置灵活，可以在接入层或关键数据的入口作访问控制。
e、用户管理灵活，可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。

Portal重定向
Portal重定向可以实现终端访问HTTP或者HTTPS网站时，如果认证还未通过则自动弹出认证页面控制接入的功能。它的原理是设备拦截HTTP（默认80端口）或者HTTPS（默认443端口）TCP固定端口的流量，伪装成终端要访问的目的地址和终端建立TCP连接，将认证页面重定向给终端。通常重定向是Portal认证的第一阶段，但是也有客户端可以省略重定向过程直接向Portal服务器提交用户名和密码。

终端自动弹出Portal认证页面原理
无线终端连接无线网络后，均会先使用内部工具向指定服务器发送HTTP嗅探请求，用来探测无线网络是否有网络访问权限，对于Portal认证网络，设备会拦截终端内部工具发送的HTTP嗅探请求，并发送重定向页面给终端，终端内部工具判断该回应不是期望的回应，认为此无线网络是受控网络，后续会调用系统默认浏览器重新发送HTTP嗅探请求，设备继续拦截并发送重定向页面给终端，浏览器会被重定向到Portal认证页面，此即终端连接无线网络后自动弹出Portal认证页面原理。

Portal认证方式
按照网络中实施Portal认证的网络层次来分，Portal认证方式分为两种：二层认证方式和三层认证方式。
a、当客户端与接入设备之间为二层网络时，即客户端与接入设备直连（或之间只有二层设备存在），接入设备可以学习到客户端的MAC地址，则接入设备可以利用IP地址和MAC地址来识别用户，此时可配置Portal认证为二层认证方式。
二层认证流程简单，安全性高，但由于限制了用户只能与接入设备处于同一网段，所以组网灵活性不高。
b、当客户端与接入设备之间包含三层网络时，即客户端与接入设备之间存在三层转发设备，接入设备不能获取到认证客户端的MAC地址，只能以IP地址作为用户的唯一标识，此时需要将Portal认证配置为三层认证方式。
三层认证组网灵活，容易实现远程控制，但由于只能以IP地址作为用户的唯一标识，所以安全性不高。

Portal认证流程
认证的第一件事情就是发起认证，有两种认证触发方式：
a、主动认证
用户通过浏览器主动访问Portal认证网站时，即在浏览器中直接输入Portal服务器的网络地址，然后在显示的网页中输入用户名和密码进行认证，这种开始Portal认证过程的方式即为主动认证，即由用户自己主动访问Portal服务器发起的身份认证。
b、重定向认证
用户输入的访问地址不是Portal认证网站地址时，将被强制访问Portal认证网站（通常称为重定向），从而开始Portal认证过程，这种方式称作重定向认证。