portal認證介紹0002

1、Portal認證技術認證技術是AAA （認證，授權，計費）的初始步驟， AAA 一般包括用戶終端、 AAAClient、AAA Server 和計費軟件四個環(huán)節(jié)。用戶終端與AAA Client 之間的通信方式通常稱為 ”認證PPPoE、Web + Portal、 IEEE802.1x。方式”。目前的主要技術有以下三種基于web方式的認證技術最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟件。它能夠處理高層協(xié)議，在網(wǎng)絡應用日益復雜的形勢下，很多復雜的管理要求已經(jīng)涉及到高層協(xié)議，面對這些要求，基于2、3層的認證技術入 PPPoE 802.1X就無能為力。1. PPPOE通過PPPoE （ Po

2、int-to-Point Protocol over Ethernet）協(xié)議，服務提供商可以在以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（ Point-to-Point Protocol over Ethernet ）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟 動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段（ Discovery stage）和點對點對話階段（PPP Session stage）。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng) MAC地址，并建立一個 PPPoE的對話號（SESSION_ID ）。在

3、PPP協(xié)議定義了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡設備（服務器端）。在網(wǎng)絡拓撲中，主機能與之通信的可能有不只一個網(wǎng)絡設備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡設備但只能選擇一個。當搜索階段順利完成，主機和網(wǎng)絡設備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡設備都必須為點對點對話階段虛擬接口提供資源（1） PPPoE方式其整個通信過程都必須進行PPPoE封裝，效率較低，由于寬帶接入服務器要終結大量的PPP會話，將其轉(zhuǎn)換為IP數(shù)據(jù)包，使寬帶接入服務器成為網(wǎng)絡性能的“瓶

4、頸”。（2） （ 2）由于點對點的特征， 使組播視頻業(yè)務開展受到很大的限制，視頻業(yè)務大部分是基 于組播的。（3）PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡性能產(chǎn)生很大的影響2、802.1X802.1X認證，起源于802.11協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議，802.1X協(xié)議提出的主要目的：一是通過認證和加密來防止無線網(wǎng)絡中的非法接入，二是想在兩層交換機上實現(xiàn)用戶的認證，以降低整個網(wǎng)絡的成本。其基本思想是基于端口的網(wǎng)絡訪問控制，即通過控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡系統(tǒng)允許并授權的用戶可以訪問網(wǎng)絡系統(tǒng)的各種In ternet 接入等）。業(yè)務（如以太網(wǎng)連接，網(wǎng)絡層路由，802.1X

5、認證僅僅在認證階段采用EAPOL（EAP encapsulation over LANs ）報文，認證之后的通信過程中采用 TCP/IP協(xié)議。EAP （ Extensible Authentication Protocol擴展認證協(xié)議）是對PPP協(xié)議的擴展，EAP對PPP的擴展之一就是讓提供認證服務的交換機從認證 過程中解脫出來，而僅僅是中轉(zhuǎn)用戶和認證服務器之間的EAP包，所有復雜的認證操作都由用戶終端和認證服務器完成。802.1X最大的優(yōu)點就是業(yè)務流與控制流分離，一旦認證通過，所有業(yè)務流與認證系統(tǒng)相分離，有效地避免了網(wǎng)絡瓶頸的產(chǎn)生。802.1X協(xié)議為二層協(xié)議，不需要到達三層，而且接入層交換機

6、無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。缺點：*需要特定客戶端軟件*網(wǎng)絡現(xiàn)有樓道交換機的問題：由于802.1X是比較新的二層協(xié)議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題；*IP地址分配和網(wǎng)絡安全問題：802.1X協(xié)議是一個2層協(xié)議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網(wǎng)絡后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡安全等問題，因此，單靠以太網(wǎng)交換機+802.1X，無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入安全性等方面的問題；*計費問題：8

7、02.1X協(xié)議可以根據(jù)用戶完成認證和離線間的時間進行時長計費，不能對流量 進行統(tǒng)計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。IP地址（也可以使用靜態(tài)，在認證通過前只能訪問米用 Portal認證的接入設Web+ PortalPortal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址），但是客戶使用獲取到的IP地址并不能登上In ternet特定的IP地址，這個地址通常是PORTAL服務器的IP地址。ACL ）可以做到。備必須具備這個能力。一般通過修改接入設備的訪問控制表（用戶登錄到P ortal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時 用戶還可

8、以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給PortalServer，再由Portal Server 與NAS之間交互來實現(xiàn)用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。優(yōu)點：*不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量*可以提供Portal等業(yè)務認證 缺點：*WEB承載在7層協(xié)議上，對于設備的要求較高，建網(wǎng)成本高；* IP地址

9、的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便 于多ISP的支持。*認證前后業(yè)務流和數(shù)據(jù)流無法區(qū)分認證方式Web/portal802.1XPPPOE標準程度廠家私有IEEE標準RFC2516|lP地址認證前分配認證后分認證后分配多播支持客戶端軟件不需要需要需要對設備的要求高（全程VLAN ）較高（BAS）Portal簡介Portal在英語中是入口的意思。Portal認證通常也稱為 Web認證，一般將Portal認證網(wǎng)站 稱為門戶 網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使 用互聯(lián)網(wǎng)中的其它信息時， 源。用戶可以主動訪問已

10、知的 認證的方 式稱作主動認證。反之， 網(wǎng)站， 從而開始Portal認證過程，這種方式稱作強制認證。Portal典型組網(wǎng)由4個元素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器。1. 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行HTTP/HTTP勃議的瀏覽器或運行 Portal客戶端軟件 的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統(tǒng)稱，主要有三方面的作用：在認證之前，將認證網(wǎng)段內(nèi)用戶的所有HTTP請求都重定向到 Portal服務器。在認證過程中，與Portal服務器、安全策略服務器、

11、認證 /計費服務器交互，完成身份 認證/安全認證/計費的功能。在認證通過后，允許用戶訪問被管理員授權的互聯(lián)網(wǎng)資源。3. Portal必須在門戶網(wǎng)站進行認證， 只有認證通過后才可以使用互聯(lián)網(wǎng)資Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這種開始Portal如果用戶試圖通過 HTTP訪問其他外網(wǎng)，將被強制訪問Portal認證服務器接收Portal客戶端認證請求的服務器端系統(tǒng)，提供免費門戶服務和基于 與接入 設備交互認證客戶端的認證信息。4. 認證/計費服務器 與接入設備進行交互，完成對用戶的認證和計費。設備內(nèi)嵌 Portal-web Server:設備內(nèi)嵌portal-web Server能夠

12、解析客戶端發(fā)來的http上線認證、下線，形成認證、下線請求給portal模塊，然后根據(jù)返回的結果，推出對應的頁面給客戶端。這樣設備就支 持web用戶直接登錄而不需要額外的部署Portal server通用性。Web認證的界面,，從而大大加強了portal功能的P ortal client http 報文Portal-we線請求；H-Pobal 血 殳備ePO仙vePort?h 協(xié)議ta息web server客客戶端之解析httPRadius間是請求Radius協(xié)議server協(xié)議報文，發(fā)送用戶的登錄請求、下圭寸裝成 Portal-web server 模塊與 portalhttpserver模

13、塊之間的消息，傳遞給 portal 模塊； portal 接收到消息后， 觸發(fā)相應的動作，向 radius server 發(fā)送認證、授權和計費報文。Portal 的認證方式不同的組網(wǎng)方式下，可采用的 Portal 認證方式不同。按照網(wǎng)絡中實施 Portal 認證的 網(wǎng)絡層次來分， Portal 的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式 這種方式支持在接入設備連接用戶的二層端口上開啟 Portal 認證功能，只允許源 MAC地址通過認證的用戶才能訪問外部網(wǎng)絡資源。目前，該認證方式僅支持本地 Portal認證，即接入設備作為本地Portal服務器向用戶提供 Web認證服務。另外

14、，該方式還支持服務器下發(fā)授權VLAN和將認證失敗用戶加入認證失敗VLAN功能（三層認證方式不支持） 。三層認證方式 這種方式支持在接入設備連接用戶的三層接口上開啟 Portal 認證功能。三層接口 Portal 認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式 和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接 入設備之間沒有三層轉(zhuǎn)發(fā)；可跨三層認證方式下，認證客戶端和接入設備之間可以 跨接三層轉(zhuǎn)發(fā)設備。DHCf直接獲取一個IP地址，只能訪問 Portal服務認證流程相對二次1. 直接認證方式 用戶在認證前通過手工配置或器，以及設定的免費訪問地址；認證通過

15、后即可訪問網(wǎng)絡資源。 地址較為簡單。Portal 服務器，以及設IP 地址，即可訪問網(wǎng)絡資IP2. 二次地址分配認證方式 用戶在認證前通過 DHCF獲取一個私網(wǎng)IP地址，只能訪問 定的免費訪問地址；認證通過后，用戶會申請到一個公網(wǎng)IP。源。該認證方式解決了 IP 地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng) 地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng) 使用內(nèi)嵌 Portal 服務器的 Portal 認證不支持二次地址分配認證方式。3. 可跨三層認證方式 和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三 層轉(zhuǎn)發(fā)設備。對于以上三種認證方式， IP

16、地址都是用戶的唯一標識。接入設備基于用戶的 IP 地址 下發(fā)ACL對接口上通過認證的用戶報文轉(zhuǎn)發(fā)進行控制。由于直接認證和二次地址分 配認證下的接入設備與用戶之間未跨越三層轉(zhuǎn)發(fā)設備，因此接口可以學習到用戶的 MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉(zhuǎn)發(fā)的控制粒度。（1） Portal 用戶通過HTTP協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過接入設備時，對于訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過；對于訪問其它地址的 HTT P報文，接入設備將其重定向到Portal服務器。Portal(2) PortalAuthentication Protocol

17、Authentication Protocol(3) Portal服務器提供 Web頁面供用戶輸入用戶名和密碼來進行認證。服 務器與接 入設備之 間進行 CHAP（Challenge Handshake ，質(zhì)詢握手驗證協(xié)議）認證交互。若采用PAP（ Password，密碼驗證協(xié)議）認證則直接進入下一步驟。服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設備， 同時開啟定時器等待認證應答報文。(4) 接入設備與 RADIUS服務器之間進行 RADIUS協(xié)議報文的交互。(5) 接入設備向Portal服務器發(fā)送認證應答報文。(6) Portal服務器向客戶端發(fā)送認證通過報文，通知客戶端認證(

18、上線)成功。(7) 客戶端收到認證通過報文后，通過DHCP獲得新的公網(wǎng)IP地址，并通知Portal服務器用戶已獲得新IP地址。(8) Portal服務器通知接入設備客戶端獲得新公網(wǎng)IP地址。IP變化。服務器通知客戶端上線成功。服務器向接入設備發(fā)送IP變化確認報文。711步驟，上線成功后Portal服務器(9) 接入設備通過檢測 ARP協(xié)議報文發(fā)現(xiàn)了用戶IP變化，并通告Portal服務器已 檢測到用戶(10) Portal(11) Portal注：可跨三層認證方式省略二次地址分配認證方式的 向接入設備發(fā)送認證應答確認。Radius認證計費過程分析:Access-request 報文 Accout

19、i ng-request報文Acco untin g-res ponse報文用戶下線停止計費報文Portal認證的配置：1. 配置RADIUS方案#創(chuàng)建名字為portal的RADIUS方案Switch radius scheme portal#配置RADIUS方案的服務器類型為PortalSwitch-radius-p ortal server-t ype p ortal#配置RADIUS方案的主認證和主計費服務器，及其通信密鑰Switch-radius-p ortal primary authe nticatio n 04Switch-radius-portal prim

20、ary accou nting 04Switch-radius-portal key accou nting 123456Switch-radius-portal key authe nticati on 123456Switch-radius-po rtal user- name-format without-doma inSwitch-radius-po rtal quit2. 配置ISP域#創(chuàng)建名字為portal的ISP域Switch doma in p ortal#創(chuàng)建ISP域引用RADIUS方案portalSwitch-is p-po rtal radius-scheme p ortalSwitch-is p-po rtal quit#配置系統(tǒng)缺省的ISP域為portal（可選）Switch doma in default en able p ortal3. 配置Port