portal认证介绍0002

1、Portal认证技术认证技术是AAA （认证，授权，计费）的初始步骤， AAA 一般包括用户终端、 AAAClient、AAA Server 和计费软件四个环节。用户终端与AAA Client 之间的通信方式通常称为 ”认证PPPoE、Web + Portal、 IEEE802.1x。方式”。目前的主要技术有以下三种基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入 PPPoE 802.1X就无能为力。1. PPPOE通过PPPoE （ Po

2、int-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoE（ Point-to-Point Protocol over Ethernet ）协议允许通过一个连接客户的简单以太网桥启 动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（ Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网 MAC地址，并建立一个 PPPoE的对话号（SESSION_ID ）。在

3、PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1） PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶

4、颈”。（2） （ 2）由于点对点的特征， 使组播视频业务开展受到很大的限制，视频业务大部分是基 于组播的。（3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响2、802.1X802.1X认证，起源于802.11协议，后者是标准的无线局域网协议，802.1X协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种In ternet 接入等）。业务（如以太网连接，网络层路由，802.1X

5、认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs ）报文，认证之后的通信过程中采用 TCP/IP协议。EAP （ Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证 过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。802.1X最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生。802.1X协议为二层协议，不需要到达三层，而且接入层交换机

6、无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。缺点：*需要特定客户端软件*网络现有楼道交换机的问题：由于802.1X是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；*IP地址分配和网络安全问题：802.1X协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机+802.1X，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题；*计费问题：8

7、02.1X协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量 进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。IP地址（也可以使用静态，在认证通过前只能访问米用 Portal认证的接入设Web+ PortalPortal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址），但是客户使用获取到的IP地址并不能登上In ternet特定的IP地址，这个地址通常是PORTAL服务器的IP地址。ACL ）可以做到。备必须具备这个能力。一般通过修改接入设备的访问控制表（用户登录到P ortal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时 用户还可

8、以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给PortalServer，再由Portal Server 与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信，而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题，通常支持安全性较强的CHAP式认证。优点：*不需要特殊的客户端软件，降低网络维护工作量*可以提供Portal等业务认证 缺点：*WEB承载在7层协议上，对于设备的要求较高，建网成本高；* IP地址

9、的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便 于多ISP的支持。*认证前后业务流和数据流无法区分认证方式Web/portal802.1XPPPOE标准程度厂家私有IEEE标准RFC2516|lP地址认证前分配认证后分认证后分配多播支持客户端软件不需要需要需要对设备的要求高（全程VLAN ）较高（BAS）Portal简介Portal在英语中是入口的意思。Portal认证通常也称为 Web认证，一般将Portal认证网站 称为门户 网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使 用互联网中的其它信息时， 源。用户可以主动访问已

10、知的 认证的方 式称作主动认证。反之， 网站， 从而开始Portal认证过程，这种方式称作强制认证。Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器。1. 认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTP勃议的浏览器或运行 Portal客户端软件 的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将认证网段内用户的所有HTTP请求都重定向到 Portal服务器。在认证过程中，与Portal服务器、安全策略服务器、

11、认证 /计费服务器交互，完成身份 认证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。3. Portal必须在门户网站进行认证， 只有认证通过后才可以使用互联网资Portal认证网站，输入用户名和密码进行认证，这种开始Portal如果用户试图通过 HTTP访问其他外网，将被强制访问Portal认证服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于 与接入 设备交互认证客户端的认证信息。4. 认证/计费服务器 与接入设备进行交互，完成对用户的认证和计费。设备内嵌 Portal-web Server:设备内嵌portal-web Server能够

12、解析客户端发来的http上线认证、下线，形成认证、下线请求给portal模块，然后根据返回的结果，推出对应的页面给客户端。这样设备就支 持web用户直接登录而不需要额外的部署Portal server通用性。Web认证的界面,，从而大大加强了portal功能的P ortal client http 报文Portal-we线请求；H-Pobal 血 殳备ePO仙vePort?h 协议ta息web server客客户端之解析httPRadius间是请求Radius协议server协议报文，发送用户的登录请求、下圭寸装成 Portal-web server 模块与 portalhttpserver模

13、块之间的消息，传递给 portal 模块； portal 接收到消息后， 触发相应的动作，向 radius server 发送认证、授权和计费报文。Portal 的认证方式不同的组网方式下，可采用的 Portal 认证方式不同。按照网络中实施 Portal 认证的 网络层次来分， Portal 的认证方式分为两种：二层认证方式和三层认证方式。二层认证方式 这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能，只允许源 MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地 Portal认证，即接入设备作为本地Portal服务器向用户提供 Web认证服务。另外

14、，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能（三层认证方式不支持） 。三层认证方式 这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能。三层接口 Portal 认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式 和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接 入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以 跨接三层转发设备。DHCf直接获取一个IP地址，只能访问 Portal服务认证流程相对二次1. 直接认证方式 用户在认证前通过手工配置或器，以及设定的免费访问地址；认证通过

15、后即可访问网络资源。 地址较为简单。Portal 服务器，以及设IP 地址，即可访问网络资IP2. 二次地址分配认证方式 用户在认证前通过 DHCF获取一个私网IP地址，只能访问 定的免费访问地址；认证通过后，用户会申请到一个公网IP。源。该认证方式解决了 IP 地址规划和分配问题，对未认证通过的用户不分配公网 地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网 使用内嵌 Portal 服务器的 Portal 认证不支持二次地址分配认证方式。3. 可跨三层认证方式 和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三 层转发设备。对于以上三种认证方式， IP

16、地址都是用户的唯一标识。接入设备基于用户的 IP 地址 下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分 配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的 MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。（1） Portal 用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的 HTT P报文，接入设备将其重定向到Portal服务器。Portal(2) PortalAuthentication Protocol

17、Authentication Protocol(3) Portal服务器提供 Web页面供用户输入用户名和密码来进行认证。服 务器与接 入设备之 间进行 CHAP（Challenge Handshake ，质询握手验证协议）认证交互。若采用PAP（ Password，密码验证协议）认证则直接进入下一步骤。服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备， 同时开启定时器等待认证应答报文。(4) 接入设备与 RADIUS服务器之间进行 RADIUS协议报文的交互。(5) 接入设备向Portal服务器发送认证应答报文。(6) Portal服务器向客户端发送认证通过报文，通知客户端认证(

18、上线)成功。(7) 客户端收到认证通过报文后，通过DHCP获得新的公网IP地址，并通知Portal服务器用户已获得新IP地址。(8) Portal服务器通知接入设备客户端获得新公网IP地址。IP变化。服务器通知客户端上线成功。服务器向接入设备发送IP变化确认报文。711步骤，上线成功后Portal服务器(9) 接入设备通过检测 ARP协议报文发现了用户IP变化，并通告Portal服务器已 检测到用户(10) Portal(11) Portal注：可跨三层认证方式省略二次地址分配认证方式的 向接入设备发送认证应答确认。Radius认证计费过程分析:Access-request 报文 Accout

19、i ng-request报文Acco untin g-res ponse报文用户下线停止计费报文Portal认证的配置：1. 配置RADIUS方案#创建名字为portal的RADIUS方案Switch radius scheme portal#配置RADIUS方案的服务器类型为PortalSwitch-radius-p ortal server-t ype p ortal#配置RADIUS方案的主认证和主计费服务器，及其通信密钥Switch-radius-p ortal primary authe nticatio n 04Switch-radius-portal prim

20、ary accou nting 04Switch-radius-portal key accou nting 123456Switch-radius-portal key authe nticati on 123456Switch-radius-po rtal user- name-format without-doma inSwitch-radius-po rtal quit2. 配置ISP域#创建名字为portal的ISP域Switch doma in p ortal#创建ISP域引用RADIUS方案portalSwitch-is p-po rtal radius-scheme p ortalSwitch-is p-po rtal quit#配置系统缺省的ISP域为portal（可选）Switch doma in default en able p ortal3. 配置Port