portal認證介紹

1、 Portal認證技術認證技術是AAA（認證，授權，計費）的初始步驟，AAA一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱為"認證方式"。目前的主要技術有以下三種：PPPoE、WebPortal、IEEE802.1x。 基于web方式的認證技術最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟件。它能夠處理高層協(xié)議，在網(wǎng)絡應用日益復雜的形勢下，很多復雜的管理要求已經(jīng)涉及到高層協(xié)議，面對這些要求，基于2、3層的認證技術入PPPoE，802.1x就無能為力。1. PPPoE 通過PPPoE（Po

2、int-to-Point Protocol over Ethernet）協(xié)議，服務提供商可以在以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段（Discovery stage）和點對點對話階段（PPP Session stage）。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。在PPP協(xié)議定義

3、了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡設備（服務器端）。在網(wǎng)絡拓撲中，主機能與之通信的可能有不只一個網(wǎng)絡設備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡設備但只能選擇一個。當搜索階段順利完成，主機和網(wǎng)絡設備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡設備都必須為點對點對話階段虛擬接口提供資源（1） PPPoE方式其整個通信過程都必須進行PPPoE封裝，效率較低，由于寬帶接入服務器要終結(jié)大量的PPP會話，將其轉(zhuǎn)換為IP數(shù)據(jù)包，使寬帶接入服務器成為網(wǎng)絡性能的“瓶頸”。（2）由

4、于點對點的特征，使組播視頻業(yè)務開展受到很大的限制，視頻業(yè)務大部分是基于組播的。（3）PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡性能產(chǎn)生很大的影響 2、802.1x802.1x認證，起源于802.11協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議，802.1x協(xié)議提出的主要目的：一是通過認證和加密來防止無線網(wǎng)絡中的非法接入，二是想在兩層交換機上實現(xiàn)用戶的認證，以降低整個網(wǎng)絡的成本。其基本思想是基于端口的網(wǎng)絡訪問控制，即通過控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡系統(tǒng)允許并授權的用戶可以訪問網(wǎng)絡系統(tǒng)的各種業(yè)務（如以太網(wǎng)連接，網(wǎng)絡層路由，Internet接入等）。802.1x認證僅僅在認證階段采用EAPO

5、L（EAP encapsulation over LANs）報文，認證之后的通信過程中采用TCP/IP協(xié)議。EAP（Extensible Authentication Protocol擴展認證協(xié)議）是對PPP協(xié)議的擴展，EAP對PPP的擴展之一就是讓提供認證服務的交換機從認證過程中解脫出來，而僅僅是中轉(zhuǎn)用戶和認證服務器之間的EAP包，所有復雜的認證操作都由用戶終端和認證服務器完成。802.1x最大的優(yōu)點就是業(yè)務流與控制流分離，一旦認證通過，所有業(yè)務流與認證系統(tǒng)相分離，有效地避免了網(wǎng)絡瓶頸的產(chǎn)生。802.1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的

6、整體性能要求不高，可以有效降低建網(wǎng)成本。 缺點：*需要特定客戶端軟件*網(wǎng)絡現(xiàn)有樓道交換機的問題：由于802.1x是比較新的二層協(xié)議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題；*IP地址分配和網(wǎng)絡安全問題：802.1x協(xié)議是一個2層協(xié)議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網(wǎng)絡后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡安全等問題，因此，單靠以太網(wǎng)交換機802.1x，無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入安全性等方面的問題；*計費問題：802.1x協(xié)議可以根據(jù)用戶完成認證和離線

7、間的時間進行時長計費，不能對流量進行統(tǒng)計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。Web+ PortalPortal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表（ACL）可以做到。用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用

8、程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。優(yōu)點：*不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量*可以提供Portal等業(yè)務認證缺點：*WEB承載在7層協(xié)議上，對于設備的要求較高，建網(wǎng)成本高；* IP地址的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，則會造成地

9、址的浪費，而且不便于多ISP的支持。*認證前后業(yè)務流和數(shù)據(jù)流無法區(qū)分認證方式WEB/PORTAL802.1xPPPOE標準程度廠家私有IEEE標準RFC2516IP地址認證前分配認證后分配認證后分配多播支持好好差 客戶端軟件不需要需要需要對設備的要求高（全程VLAN）低較高（BAS）Portal簡介Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已

10、知的Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這種開始Portal認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal認證網(wǎng)站，從而開始Portal認證過程，這種方式稱作強制認證。Portal典型組網(wǎng)由4個元素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器。 1. 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行HTTP/HTTPS協(xié)議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統(tǒng)稱，主要有三方面的作用：l

11、在認證之前，將認證網(wǎng)段內(nèi)用戶的所有HTTP請求都重定向到Portal服務器。l 在認證過程中，與Portal服務器、安全策略服務器、認證/計費服務器交互，完成身份認證/安全認證/計費的功能。l 在認證通過后，允許用戶訪問被管理員授權的互聯(lián)網(wǎng)資源。3. Portal服務器接收Portal客戶端認證請求的服務器端系統(tǒng)，提供免費門戶服務和基于Web認證的界面，與接入設備交互認證客戶端的認證信息。4. 認證/計費服務器與接入設備進行交互，完成對用戶的認證和計費。設備內(nèi)嵌portal-web Server： 設備內(nèi)嵌portal-web Server能夠解析客戶端發(fā)來的http上線認證、下線，形成認證、

12、下線請求給portal模塊，然后根據(jù)返回的結(jié)果，推出對應的頁面給客戶端。這樣設備就支持web用戶直接登錄而不需要額外的部署portal server，從而大大加強了portal功能的通用性。Portal client Portal協(xié)議消息 portalPortal-web serverhttp報文Radius server Radius協(xié)議Portal-web server和portal客戶端之間是http協(xié)議報文，發(fā)送用戶的登錄請求、下線請求；設備portal-web server解析http請求，封裝成portal-web server模塊與portal模塊之間的消息，傳遞給portal模

13、塊；portal接收到消息后，觸發(fā)相應的動作，向radius server發(fā)送認證、授權和計費報文。Portal的認證方式不同的組網(wǎng)方式下，可采用的Portal認證方式不同。按照網(wǎng)絡中實施Portal認證的網(wǎng)絡層次來分，Portal的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能，只允許源MAC地址通過認證的用戶才能訪問外部網(wǎng)絡資源。目前，該認證方式僅支持本地Portal認證，即接入設備作為本地Portal服務器向用戶提供Web認證服務。另外，該方式還支持服務器下發(fā)授權VLAN和將認證失敗用戶加入認證失敗VLAN功能

14、（三層認證方式不支持）。三層認證方式這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉(zhuǎn)發(fā)；可跨三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉(zhuǎn)發(fā)設備。1. 直接認證方式用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，只能訪問Portal服務器，以及設定的免費訪問地址；認證通過后即可訪問網(wǎng)絡資源。認證流程相對二次地址較為簡單。2. 二次地址分配認證方式用戶在認證前通過DHCP獲取一個私網(wǎng)I

15、P地址，只能訪問Portal服務器，以及設定的免費訪問地址；認證通過后，用戶會申請到一個公網(wǎng)IP地址，即可訪問網(wǎng)絡資源。該認證方式解決了IP地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。使用內(nèi)嵌Portal服務器的Portal認證不支持二次地址分配認證方式。3. 可跨三層認證方式和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三層轉(zhuǎn)發(fā)設備。對于以上三種認證方式，IP地址都是用戶的唯一標識。接入設備基于用戶的IP地址下發(fā)ACL對接口上通過認證的用戶報文轉(zhuǎn)發(fā)進行控制。由于直接認證和二次地址分配認證下的

16、接入設備與用戶之間未跨越三層轉(zhuǎn)發(fā)設備，因此接口可以學習到用戶的MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉(zhuǎn)發(fā)的控制粒度。(1) Portal用戶通過HTTP協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過接入設備時，對于訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過；對于訪問其它地址的HTTP報文，接入設備將其重定向到Portal服務器。Portal服務器提供Web頁面供用戶輸入用戶名和密碼來進行認證。(2) Portal 服 務器與接 入設備之 間進行CHAP（Challenge Handshake Authentication Protocol，質(zhì)詢握手驗證

17、協(xié)議）認證交互。若采用PAP（Password Authentication Protocol，密碼驗證協(xié)議）認證則直接進入下一步驟。 (3) Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設備，同時開啟定時器等待認證應答報文。(4) 接入設備與RADIUS服務器之間進行RADIUS協(xié)議報文的交互。(5) 接入設備向Portal服務器發(fā)送認證應答報文。(6) Portal服務器向客戶端發(fā)送認證通過報文，通知客戶端認證（上線）成功。(7) 客戶端收到認證通過報文后，通過DHCP獲得新的公網(wǎng)IP地址，并通知Portal服務器用戶已獲得新IP地址。(8) Portal服務器通知

18、接入設備客戶端獲得新公網(wǎng)IP地址。(9) 接入設備通過檢測ARP協(xié)議報文發(fā)現(xiàn)了用戶IP變化，并通告Portal服務器已檢測到用戶IP變化。(10) Portal服務器通知客戶端上線成功。(11) Portal服務器向接入設備發(fā)送IP變化確認報文。注：可跨三層認證方式省略二次地址分配認證方式的711步驟，上線成功后portal服務器向接入設備發(fā)送認證應答確認。Radius認證計費過程分析：Access-request報文Accouting-request報文Accounting-response報文用戶下線停止計費報文Portal認證的配置：1 配置RADIUS方案# 創(chuàng)建名字為portal的R

19、ADIUS方案Switch radius scheme portal# 配置RADIUS方案的服務器類型為PortalSwitch-radius-portal server-type portal# 配置RADIUS方案的主認證和主計費服務器，及其通信密鑰Switch-radius-portal key accounting 123456Switch-radius-portal key authentication 123456Switch-radius-portal user-name-format without-domainSwitch-radius-portal quit2 配置ISP域# 創(chuàng)建名