portal認證介紹

1、Portal 認證技術認證技術是AAA （認證， 授權，計費）的初始步驟，AAA 一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱為" 認證方式 " 。目前的主要技術有以下三種：PPPoE 、Web Portal 、 IEEE802.1x 。基于 web 方式的認證技術最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟件。它能夠處理高層協(xié)議，在網(wǎng)絡應用日益復雜的形勢下，很多復雜的管理要求已經(jīng)涉及到高層協(xié)議，面對這些要求，基于2、3 層的認證技術入PPPoE， 802.1x 就無能為力。1.PP

2、PoE通過 PPPoE（ Point-to-Point Protocol over Ethernet ）協(xié)議， 服務提供商可以在以太網(wǎng)上實現(xiàn)PPP 協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（Point-to-Point Protocol over Ethernet ）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個 PPP 對話。PPPoE 的建立需要兩個階段，分別是搜尋階段（Discoverystage）和點對點對話階段（ PPPSession stage）。當一臺主機希望啟動一個PPPoE 對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng) MAC 地址，并建立一個PPPoE

3、的對話號（ SESSION_ID ）。在 PPP 協(xié)議定義了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡設備（服務器端）。在網(wǎng)絡拓撲中，主機能與之通信的可能有不只一個網(wǎng)絡設備。在搜尋階段， 主機可以發(fā)現(xiàn)所有的網(wǎng)絡設備但只能選擇一個。當搜索階段順利完成，主機和網(wǎng)絡設備將擁有能夠建立PPPoE 的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立， 主機和網(wǎng)絡設備都必須為點對點對話階段虛擬接口提供資源（1） PPPoE 方式其整個通信過程都必須進行PPPoE 封裝， 效率較低， 由于寬帶接入服務器要終結大量的PPP 會

4、話，將其轉換為IP 數(shù)據(jù)包，使寬帶接入服務器成為網(wǎng)絡性能的“瓶頸”。（ 2）由于點對點的特征，使組播視頻業(yè)務開展受到很大的限制，視頻業(yè)務大部分是基于組播的。（ 3） PPPoE 在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡性能產(chǎn)生很大的影響2、 802.1x802.1x 認證，起源于802.11 協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議，802.1x 協(xié)議提出的主要目的： 一是通過認證和加密來防止無線網(wǎng)絡中的非法接入，二是想在兩層交換機上實現(xiàn)用戶的認證， 以降低整個網(wǎng)絡的成本。其基本思想是基于端口的網(wǎng)絡訪問控制，即通過控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡系統(tǒng)允許并授權的用戶可以訪問網(wǎng)絡系統(tǒng)的各種業(yè)務（

5、如以太網(wǎng)連接，網(wǎng)絡層路由，Internet 接入等）。802.1x 認證僅僅在認證階段采用 EAPOL （ EAP encapsulation over LANs ）報文，認證之后的通信過程中采用 TCP/IP 協(xié)議。 EAP （Extensible Authentication Protocol 擴展認證協(xié)議）是對 PPP 協(xié)議的擴展， EAP 對 PPP 的擴展之一就是讓提供認證服務的交換機從認證過程中解脫出來，而僅僅是中轉用戶和認證服務器之間的 EAP 包，所有復雜的認證操作都由用戶終端和認證服務器完成。精選文庫802.1x 最大的優(yōu)點就是業(yè)務流與控制流分離， 一旦認證通過， 所有業(yè)務流

6、與認證系統(tǒng)相分離，有效地避免了網(wǎng)絡瓶頸的產(chǎn)生。802.1x 協(xié)議為二層協(xié)議， 不需要到達三層， 而且接入層交換機無需支持 802.1q 的 VLAN ，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。缺點：* 需要特定客戶端軟件* 網(wǎng)絡現(xiàn)有樓道交換機的問題：由于 802.1x 是比較新的二層協(xié)議，要求樓道交換機支持認證報文透傳或完成認證過程， 因此在全面采用該協(xié)議的過程中， 存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題；*IP 地址分配和網(wǎng)絡安全問題：802.1x 協(xié)議是一個 2層協(xié)議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP 網(wǎng)絡后，需要繼續(xù)解決用戶IP 地址分配、

7、三層網(wǎng)絡安全等問題，因此，單靠以太網(wǎng)交換機802.1x ，無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入安全性等方面的問題；* 計費問題： 802.1x 協(xié)議可以根據(jù)用戶完成認證和離線間的時間進行時長計費，不能對流量進行統(tǒng)計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。Web+ PortalPortal 認證的基本過程是：客戶機首先通過DHCP 協(xié)議獲取到IP 地址（也可以使用靜態(tài)IP 地址），但是客戶使用獲取到的IP 地址并不能登上 Internet，在認證通過前只能訪問特定的 IP 地址，這個地址通常是PORTAL 服務器的 IP 地址。采用 Portal 認證的接入設備必須具

8、備這個能力。一般通過修改接入設備的訪問控制表（ACL ）可以做到。用戶登錄到 Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給PortalServer ，再由 Portal Server與 NAS 之間交互來實現(xiàn)用戶的認證。Portal Server 在獲得用戶的用戶名和密碼外，還會得到用戶的IP 地址，以它為索引來標識用戶。然后 Portal Server與 NAS 之間用 Portal 協(xié)議直接通信， 而 NAS 又與 RADIUS服務器直接通信完成用戶的認證和上線過程。因為安全問題， 通常

9、支持安全性較強的CHAP式認證。優(yōu)點：* 不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量* 可以提供Portal等業(yè)務認證缺點：*WEB承載在 7 層協(xié)議上，對于設備的要求較高，建網(wǎng)成本高；* IP 地址的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便于多 ISP 的支持。* 認證前后業(yè)務流和數(shù)據(jù)流無法區(qū)分2精選文庫認證方式WEB/PORTAL802.1xPPPOE標準程度廠家私有IEEE 標準RFC2516IP 地址認證前分配認證后分認證后分配配多播支持好好差客戶端軟件不需要需要需要對設備的要求高（全程 VLAN ）低較高（ BAS ）Portal 簡介Portal 在英語

10、中是入口的意思。 Portal 認證通常也稱為Web 認證，一般將Portal 認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時， 設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal 認證網(wǎng)站， 輸入用戶名和密碼進行認證，這種開始 Portal 認證的方式稱作主動認證。反之，如果用戶試圖通過 HTTP 訪問其他外網(wǎng)， 將被強制訪問 Portal 認證網(wǎng)站，從而開始 Portal 認證過程，這種方式稱作強制認證。Portal 典型組網(wǎng)由4 個元素組成： 認證客戶端、 接入

11、設備、 Portal 服務器、 認證 /計費服務器。3精選文庫1. 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行 HTTP/HTTPS 協(xié)議的瀏覽器或運行 Portal 客戶端軟件的主機。對接入終端的安全性檢測是通過 Portal 客戶端和安全策略服務器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統(tǒng)稱，主要有三方面的作用：在認證之前，將認證網(wǎng)段內用戶的所有HTTP 請求都重定向到Portal 服務器。在認證過程中，與 Portal 服務器、安全策略服務器、認證 /計費服務器交互，完成身份認證 /安全認證 /計費的功能。在認證通過后，允許用戶訪問被管理員授權的互聯(lián)網(wǎng)資源。3

12、. Portal 服務器接收 Portal 客戶端認證請求的服務器端系統(tǒng)，提供免費門戶服務和基于 Web 認證的界面，與接入設備交互認證客戶端的認證信息。4. 認證 /計費服務器與接入設備進行交互，完成對用戶的認證和計費。設備內嵌portal-web Server ：設備內嵌 portal-web Server 能夠解析客戶端發(fā)來的 http 上線認證、下線，形成認證、下線請求給 portal 模塊，然后根據(jù)返回的結果，推出對應的頁面給客戶端。這樣設備就支持web 用戶直接登錄而不需要額外的部署portal server ，從而大大加強了portal 功能的通用性。4Portal-webser

13、ver精選文庫Portal clienthttp 報文Portal 協(xié)議消息Radius 協(xié)議 RadiusportalserverPortal-web server 和 portal 客戶端之間是http 協(xié)議報文，發(fā)送用戶的登錄請求、下線請求；設備 portal-web server 解析 http 請求，封裝成 portal-web server 模塊與 portal 模塊之間的消息，傳遞給 portal 模塊；portal 接收到消息后， 觸發(fā)相應的動作， 向 radius server 發(fā)送認證、授權和計費報文。Portal 的認證方式不同的組網(wǎng)方式下，可采用的Portal 認證方式

14、不同。按照網(wǎng)絡中實施Portal 認證的網(wǎng)絡層次來分，Portal 的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式這種方式支持在接入設備連接用戶的二層端口上開啟Portal 認證功能，只允許源MAC 地址通過認證的用戶才能訪問外部網(wǎng)絡資源。目前，該認證方式僅支持本地 Portal 認證，即接入設備作為本地 Portal 服務器向用戶提供 Web 認證服務。另外，該方式還支持服務器下發(fā)授權VLAN 和將認證失敗用戶加入認證失敗VLAN功能（三層認證方式不支持）。三層認證方式這種方式支持在接入設備連接用戶的三層接口上開啟 Portal 認證功能。三層接口 Portal 認證又可分為三

15、種不同的認證方式：直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉發(fā)；可跨三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉發(fā)設備。1. 直接認證方式用戶在認證前通過手工配置或 DHCP 直接獲取一個 IP 地址，只能訪問 Portal 服務器，以及設定的免費訪問地址；認證通過后即可訪問網(wǎng)絡資源。認證流程相對二次地址較為簡單。2. 二次地址分配認證方式用戶在認證前通過DHCP 獲取一個私網(wǎng)IP 地址，只能訪問Portal 服務器，以及設定的免費訪問地址；認證通過后，用戶會申請到一個公網(wǎng)IP 地址，即可訪問網(wǎng)絡資源

16、。該認證方式解決了IP 地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。5精選文庫使用內嵌 Portal 服務器的Portal 認證不支持二次地址分配認證方式。3. 可跨三層認證方式和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發(fā)設備。對于以上三種認證方式， IP 地址都是用戶的唯一標識。接入設備基于用戶的 IP 地址下發(fā) ACL 對接口上通過認證的用戶報文轉發(fā)進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發(fā)設備，因此接口可以學習到用戶的MAC 地址，接入設備可以

17、利用學習到MAC 地址增強對用戶報文轉發(fā)的控制粒度。(1) Portal 用戶通過 HTTP 協(xié)議發(fā)起認證請求。 HTTP 報文經(jīng)過接入設備時，對于訪問 Portal 服務器或設定的免費訪問地址的HTTP 報文，接入設備允許其通過；對于訪問其它地址的 HTTP 報文，接入設備將其重定向到 Portal 服務器。 Portal 服務器提供 Web 頁面供用戶輸入用戶名和密碼來進行認證。(2) Portal 服 務器與接入設備之間進行 CHAP （ Challenge HandshakeAuthentication Protocol ，質詢握手驗證協(xié)議）認證交互。若采用PAP（ PasswordA

18、uthentication Protocol ，密碼驗證協(xié)議）認證則直接進入下一步驟。(3) Portal 服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設備，6精選文庫同時開啟定時器等待認證應答報文。(4) 接入設備與 RADIUS 服務器之間進行 RADIUS 協(xié)議報文的交互。(5) 接入設備向 Portal 服務器發(fā)送認證應答報文。(6) Portal 服務器向客戶端發(fā)送認證通過報文，通知客戶端認證（上線）成功。(7) 客戶端收到認證通過報文后，通過DHCP 獲得新的公網(wǎng) IP 地址，并通知 Portal服務器用戶已獲得新IP 地址。(8) Portal 服務器通知接入設備客戶

19、端獲得新公網(wǎng)IP 地址。(9) 接入設備通過檢測 ARP 協(xié)議報文發(fā)現(xiàn)了用戶 IP 變化，并通告 Portal 服務器已檢測到用戶 IP 變化。(10) Portal 服務器通知客戶端上線成功。(11) Portal 服務器向接入設備發(fā)送IP 變化確認報文。注：可跨三層認證方式省略二次地址分配認證方式的711 步驟，上線成功后portal 服務器向接入設備發(fā)送認證應答確認。Radius 認證計費過程分析：Access-request 報文Accouting-request 報文7精選文庫Accounting-response 報文用戶下線停止計費報文8精選文庫Portal認證的配置：1 配置 RADIUS 方案# 創(chuàng)建名字為portal 的 RADIUS 方案Switch radius scheme portal# 配置 RADIUS 方案的服務器類型為 Portal Switch-radius-portal server-type portal# 配置 RADIUS 方案的主認證和主計費服務器，及其通信密鑰Switch-radius-portal key accounting 123456Switch-radius-portal key authentication 1234