portal認證介紹

1、 Portal認證技術(shù)認證技術(shù)是AAA認證，授權(quán)，計費的初始步驟，AAA一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱為"認證方式"。目前的主要技術(shù)有以下三種：PPPoE、WebPortal、IEEE802.1x。 基于web方式的認證技術(shù)最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟件。它能夠處理高層協(xié)議，在網(wǎng)絡應用日益復雜的形勢下，很多復雜的管理要求已經(jīng)涉及到高層協(xié)議，面對這些要求，基于2、3層的認證技術(shù)入PPPoE，802.1x就無能為力。1. PPPoE 通過PPPoEPoint

2、-to-Point Protocol over Ethernet協(xié)議，效勞提供商可以在以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoEPoint-to-Point Protocol over Ethernet協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段Discovery stage和點對點對話階段PPP Session stage。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號SESSION_ID。在PPP協(xié)議定義了一個端對端的關(guān)系時，搜

3、尋階段是一個客戶-效勞器的關(guān)系。在搜尋階段的進程中，主機客戶端搜尋并發(fā)現(xiàn)一個網(wǎng)絡設備效勞器端。在網(wǎng)絡拓撲中，主機能與之通信的可能有不只一個網(wǎng)絡設備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡設備但只能選擇一個。當搜索階段順利完成，主機和網(wǎng)絡設備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡設備都必須為點對點對話階段虛擬接口提供資源（1） PPPoE方式其整個通信過程都必須進行PPPoE封裝，效率較低，由于寬帶接入效勞器要終結(jié)大量的PPP會話，將其轉(zhuǎn)換為IP數(shù)據(jù)包，使寬帶接入效勞器成為網(wǎng)絡性能的“瓶頸。2由于點對點的特征，使組播視頻業(yè)務開展受到

4、很大的限制，視頻業(yè)務大局部是基于組播的。3PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的播送流量，對網(wǎng)絡性能產(chǎn)生很大的影響 2、802.1x802.1x認證，起源于802.11協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議，802.1x協(xié)議提出的主要目的：一是通過認證和加密來防止無線網(wǎng)絡中的非法接入，二是想在兩層交換機上實現(xiàn)用戶的認證，以降低整個網(wǎng)絡的本錢。其根本思想是基于端口的網(wǎng)絡訪問控制，即通過控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡系統(tǒng)的各種業(yè)務如以太網(wǎng)連接，網(wǎng)絡層路由，Internet接入等。802.1x認證僅僅在認證階段采用EAPOLEAP encapsulation over

5、 LANs報文，認證之后的通信過程中采用TCP/IP協(xié)議。EAPExtensible Authentication Protocol擴展認證協(xié)議是對PPP協(xié)議的擴展，EAP對PPP的擴展之一就是讓提供認證效勞的交換機從認證過程中解脫出來，而僅僅是中轉(zhuǎn)用戶和認證效勞器之間的EAP包，所有復雜的認證操作都由用戶終端和認證效勞器完成。802.1x最大的優(yōu)點就是業(yè)務流與控制流別離，一旦認證通過，所有業(yè)務流與認證系統(tǒng)相別離，有效地防止了網(wǎng)絡瓶頸的產(chǎn)生。802.1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網(wǎng)本錢。 缺點：*需要

6、特定客戶端軟件*網(wǎng)絡現(xiàn)有樓道交換機的問題：由于802.1x是比擬新的二層協(xié)議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題；*IP地址分配和網(wǎng)絡平安問題：802.1x協(xié)議是一個2層協(xié)議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網(wǎng)絡后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡平安等問題，因此，單靠以太網(wǎng)交換機802.1x，無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入平安性等方面的問題；*計費問題：802.1x協(xié)議可以根據(jù)用戶完成認證和離線間的時間進行時長計費，不能對流量進行統(tǒng)計，因此無法開展

7、基于流量的計費或滿足用戶永遠在線的要求。Web+ PortalPortal認證的根本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址也可以使用靜態(tài)IP地址，但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL效勞器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表ACL可以做到。用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比方廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給 Portal Server，再由Portal Ser

8、ver與NAS之間交互來實現(xiàn)用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 效勞器直接通信完成用戶的認證和上線過程。因為平安問題，通常支持平安性較強的CHAP式認證。優(yōu)點：*不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量*可以提供Portal等業(yè)務認證缺點：*WEB承載在7層協(xié)議上，對于設備的要求較高，建網(wǎng)本錢高；* IP地址的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，那么會造成地址的浪費，而且不便于多ISP的支持。*認證前后業(yè)務流和數(shù)據(jù)流

9、無法區(qū)分認證方式WEB/PORTAL802.1xPPPOE標準程度廠家私有IEEE標準RFC2516IP地址認證前分配認證后分配認證后分配多播支持好好差 客戶端軟件不需要需要需要對設備的要求高全程VLAN低較高BASPortal簡介Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的效勞。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問的Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這種開始Portal

10、認證的方式稱作主動認證。反之，如果用戶試圖通過 訪問其他外網(wǎng)，將被強制訪問Portal認證網(wǎng)站，從而開始Portal認證過程，這種方式稱作強制認證。Portal典型組網(wǎng)由4個元素組成：認證客戶端、接入設備、Portal效勞器、認證/計費效勞器。 1. 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行 / S協(xié)議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的平安性檢測是通過Portal客戶端和平安策略效勞器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統(tǒng)稱，主要有三方面的作用：l 在認證之前，將認證網(wǎng)段內(nèi)用戶的所有 請求都重定向到Portal效勞器。l 在認證過程中，與

11、Portal效勞器、平安策略效勞器、認證/計費效勞器交互，完成身份認證/平安認證/計費的功能。l 在認證通過后，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。3. Portal效勞器接收Portal客戶端認證請求的效勞器端系統(tǒng)，提供免費門戶效勞和基于Web認證的界面，與接入設備交互認證客戶端的認證信息。4. 認證/計費效勞器與接入設備進行交互，完成對用戶的認證和計費。設備內(nèi)嵌portal-web Server： 設備內(nèi)嵌portal-web Server能夠解析客戶端發(fā)來的 上線認證、下線，形成認證、下線請求給portal模塊，然后根據(jù)返回的結(jié)果，推出對應的頁面給客戶端。這樣設備就支持web用戶直接登

12、錄而不需要額外的部署portal server，從而大大加強了portal功能的通用性。Portal client Portal協(xié)議消息 portalPortal-web server 報文Radius server Radius協(xié)議Portal-web server和portal客戶端之間是 協(xié)議報文，發(fā)送用戶的登錄請求、下線請求；設備portal-web server解析 請求，封裝成portal-web server模塊與portal模塊之間的消息，傳遞給portal模塊；portal接收到消息后，觸發(fā)相應的動作，向radius server發(fā)送認證、授權(quán)和計費報文。Portal的認證方

13、式不同的組網(wǎng)方式下，可采用的Portal認證方式不同。按照網(wǎng)絡中實施Portal認證的網(wǎng)絡層次來分，Portal的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能，只允許源MAC地址通過認證的用戶才能訪問外部網(wǎng)絡資源。目前，該認證方式僅支持本地Portal認證，即接入設備作為本地Portal效勞器向用戶提供Web認證效勞。另外，該方式還支持效勞器下發(fā)授權(quán)VLAN和將認證失敗用戶參加認證失敗VLAN功能三層認證方式不支持。三層認證方式這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal

14、認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉(zhuǎn)發(fā)；可跨三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉(zhuǎn)發(fā)設備。1. 直接認證方式用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，只能訪問Portal效勞器，以及設定的免費訪問地址；認證通過后即可訪問網(wǎng)絡資源。認證流程相對二次地址較為簡單。2. 二次地址分配認證方式用戶在認證前通過DHCP獲取一個私網(wǎng)IP地址，只能訪問Portal效勞器，以及設定的免費訪問地址；認證通過后，用戶會申請到一個公網(wǎng)IP地址，即可訪問網(wǎng)絡資源。該認

15、證方式解決了IP地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。使用內(nèi)嵌Portal效勞器的Portal認證不支持二次地址分配認證方式。3. 可跨三層認證方式和直接認證方式根本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三層轉(zhuǎn)發(fā)設備。對于以上三種認證方式，IP地址都是用戶的唯一標識。接入設備基于用戶的IP地址下發(fā)ACL對接口上通過認證的用戶報文轉(zhuǎn)發(fā)進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉(zhuǎn)發(fā)設備，因此接口可以學習到用戶的MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉(zhuǎn)發(fā)

16、的控制粒度。(1) Portal用戶通過 協(xié)議發(fā)起認證請求。 報文經(jīng)過接入設備時，對于訪問Portal效勞器或設定的免費訪問地址的 報文，接入設備允許其通過；對于訪問其它地址的 報文，接入設備將其重定向到Portal效勞器。Portal效勞器提供Web頁面供用戶輸入用戶名和密碼來進行認證。(2) Portal 服 務器與接 入設備之 間進行CHAPChallenge Handshake Authentication Protocol，質(zhì)詢握手驗證協(xié)議認證交互。假設采用PAPPassword Authentication Protocol，密碼驗證協(xié)議認證那么直接進入下一步驟。 (3) Port

17、al效勞器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設備，同時開啟定時器等待認證應答報文。(4) 接入設備與RADIUS效勞器之間進行RADIUS協(xié)議報文的交互。(5) 接入設備向Portal效勞器發(fā)送認證應答報文。(6) Portal效勞器向客戶端發(fā)送認證通過報文，通知客戶端認證上線成功。(7) 客戶端收到認證通過報文后，通過DHCP獲得新的公網(wǎng)IP地址，并通知Portal效勞器用戶已獲得新IP地址。(8) Portal效勞器通知接入設備客戶端獲得新公網(wǎng)IP地址。(9) 接入設備通過檢測ARP協(xié)議報文發(fā)現(xiàn)了用戶IP變化，并通告Portal效勞器已檢測到用戶IP變化。(10) Port

18、al效勞器通知客戶端上線成功。(11) Portal效勞器向接入設備發(fā)送IP變化確認報文。注：可跨三層認證方式省略二次地址分配認證方式的711步驟，上線成功后portal效勞器向接入設備發(fā)送認證應答確認。Radius認證計費過程分析：Access-request報文Accouting-request報文Accounting-response報文用戶下線停止計費報文Portal認證的配置：1 配置RADIUS方案# 創(chuàng)立名字為portal的RADIUS方案Switch radius scheme portal# 配置RADIUS方案的效勞器類型為PortalSwitch-radius-porta

19、l server-type portal# 配置RADIUS方案的主認證和主計費效勞器，及其通信密鑰Switch-radius-portal primary authentication 10.201.1.204Switch-radius-portal primary accounting 10.201.1.204Switch-radius-portal key accounting 123456Switch-radius-portal key authentication 123456Switch-radius-portal user-name-format without-domainSwitch-radius-portal quit2 配置ISP域# 創(chuàng)立名字為portal的ISP域Switch domain portal# 創(chuàng)立ISP域引用RADIUS方案portalSwitch-isp-portal radius-scheme portalSwitch-isp-portal quit# 配置系統(tǒng)缺省的ISP域為portal可選Switch domain default enable port