portal认证介绍

1、 Portal认证技术认证技术是AAA认证，授权，计费的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种：PPPoE、WebPortal、IEEE802.1x。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。1. PPPoE 通过PPPoEPoint

2、-to-Point Protocol over Ethernet协议，效劳提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoEPoint-to-Point Protocol over Ethernet协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段Discovery stage和点对点对话阶段PPP Session stage。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号SESSION_ID。在PPP协议定义了一个端对端的关系时，搜

3、寻阶段是一个客户-效劳器的关系。在搜寻阶段的进程中，主机客户端搜寻并发现一个网络设备效劳器端。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1） PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入效劳器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入效劳器成为网络性能的“瓶颈。2由于点对点的特征，使组播视频业务开展受到

4、很大的限制，视频业务大局部是基于组播的。3PPPoE在发现阶段会产生大量的播送流量，对网络性能产生很大的影响 2、802.1x802.1x认证，起源于802.11协议，后者是标准的无线局域网协议，802.1x协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的本钱。其根本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务如以太网连接，网络层路由，Internet接入等。802.1x认证仅仅在认证阶段采用EAPOLEAP encapsulation over

5、 LANs报文，认证之后的通信过程中采用TCP/IP协议。EAPExtensible Authentication Protocol扩展认证协议是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证效劳的交换机从认证过程中解脱出来，而仅仅是中转用户和认证效劳器之间的EAP包，所有复杂的认证操作都由用户终端和认证效劳器完成。802.1x最大的优点就是业务流与控制流别离，一旦认证通过，所有业务流与认证系统相别离，有效地防止了网络瓶颈的产生。802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网本钱。 缺点：*需要

6、特定客户端软件*网络现有楼道交换机的问题：由于802.1x是比拟新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；*IP地址分配和网络平安问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络平安等问题，因此，单靠以太网交换机802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入平安性等方面的问题；*计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展

7、基于流量的计费或满足用户永远在线的要求。Web+ PortalPortal认证的根本过程是：客户机首先通过DHCP协议获取到IP地址也可以使用静态IP地址，但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL效劳器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表ACL可以做到。用户登录到Portal Server后，可以浏览上面的内容，比方广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Ser

8、ver与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信，而NAS又与RADIUS 效劳器直接通信完成用户的认证和上线过程。因为平安问题，通常支持平安性较强的CHAP式认证。优点：*不需要特殊的客户端软件，降低网络维护工作量*可以提供Portal等业务认证缺点：*WEB承载在7层协议上，对于设备的要求较高，建网本钱高；* IP地址的分配在用户认证前，如果用户不是上网用户，那么会造成地址的浪费，而且不便于多ISP的支持。*认证前后业务流和数据流

9、无法区分认证方式WEB/PORTAL802.1xPPPOE标准程度厂家私有IEEE标准RFC2516IP地址认证前分配认证后分配认证后分配多播支持好好差 客户端软件不需要需要需要对设备的要求高全程VLAN低较高BASPortal简介Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的效劳。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。用户可以主动访问的Portal认证网站，输入用户名和密码进行认证，这种开始Portal

10、认证的方式称作主动认证。反之，如果用户试图通过 访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。Portal典型组网由4个元素组成：认证客户端、接入设备、Portal效劳器、认证/计费效劳器。 1. 认证客户端安装于用户终端的客户端系统，为运行 / S协议的浏览器或运行Portal客户端软件的主机。对接入终端的平安性检测是通过Portal客户端和平安策略效劳器之间的信息交流完成的。2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：l 在认证之前，将认证网段内用户的所有 请求都重定向到Portal效劳器。l 在认证过程中，与

11、Portal效劳器、平安策略效劳器、认证/计费效劳器交互，完成身份认证/平安认证/计费的功能。l 在认证通过后，允许用户访问被管理员授权的互联网资源。3. Portal效劳器接收Portal客户端认证请求的效劳器端系统，提供免费门户效劳和基于Web认证的界面，与接入设备交互认证客户端的认证信息。4. 认证/计费效劳器与接入设备进行交互，完成对用户的认证和计费。设备内嵌portal-web Server： 设备内嵌portal-web Server能够解析客户端发来的 上线认证、下线，形成认证、下线请求给portal模块，然后根据返回的结果，推出对应的页面给客户端。这样设备就支持web用户直接登

12、录而不需要额外的部署portal server，从而大大加强了portal功能的通用性。Portal client Portal协议消息 portalPortal-web server 报文Radius server Radius协议Portal-web server和portal客户端之间是 协议报文，发送用户的登录请求、下线请求；设备portal-web server解析 请求，封装成portal-web server模块与portal模块之间的消息，传递给portal模块；portal接收到消息后，触发相应的动作，向radius server发送认证、授权和计费报文。Portal的认证方

13、式不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。二层认证方式这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal效劳器向用户提供Web认证效劳。另外，该方式还支持效劳器下发授权VLAN和将认证失败用户参加认证失败VLAN功能三层认证方式不支持。三层认证方式这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal

14、认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。1. 直接认证方式用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal效劳器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次地址较为简单。2. 二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal效劳器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源。该认

15、证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。使用内嵌Portal效劳器的Portal认证不支持二次地址分配认证方式。3. 可跨三层认证方式和直接认证方式根本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发

16、的控制粒度。(1) Portal用户通过 协议发起认证请求。 报文经过接入设备时，对于访问Portal效劳器或设定的免费访问地址的 报文，接入设备允许其通过；对于访问其它地址的 报文，接入设备将其重定向到Portal效劳器。Portal效劳器提供Web页面供用户输入用户名和密码来进行认证。(2) Portal 服 务器与接 入设备之 间进行CHAPChallenge Handshake Authentication Protocol，质询握手验证协议认证交互。假设采用PAPPassword Authentication Protocol，密码验证协议认证那么直接进入下一步骤。 (3) Port

17、al效劳器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。(4) 接入设备与RADIUS效劳器之间进行RADIUS协议报文的交互。(5) 接入设备向Portal效劳器发送认证应答报文。(6) Portal效劳器向客户端发送认证通过报文，通知客户端认证上线成功。(7) 客户端收到认证通过报文后，通过DHCP获得新的公网IP地址，并通知Portal效劳器用户已获得新IP地址。(8) Portal效劳器通知接入设备客户端获得新公网IP地址。(9) 接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal效劳器已检测到用户IP变化。(10) Port

18、al效劳器通知客户端上线成功。(11) Portal效劳器向接入设备发送IP变化确认报文。注：可跨三层认证方式省略二次地址分配认证方式的711步骤，上线成功后portal效劳器向接入设备发送认证应答确认。Radius认证计费过程分析：Access-request报文Accouting-request报文Accounting-response报文用户下线停止计费报文Portal认证的配置：1 配置RADIUS方案# 创立名字为portal的RADIUS方案Switch radius scheme portal# 配置RADIUS方案的效劳器类型为PortalSwitch-radius-porta

19、l server-type portal# 配置RADIUS方案的主认证和主计费效劳器，及其通信密钥Switch-radius-portal primary authentication 10.201.1.204Switch-radius-portal primary accounting 10.201.1.204Switch-radius-portal key accounting 123456Switch-radius-portal key authentication 123456Switch-radius-portal user-name-format without-domainSwitch-radius-portal quit2 配置ISP域# 创立名字为portal的ISP域Switch domain portal# 创立ISP域引用RADIUS方案portalSwitch-isp-portal radius-scheme portalSwitch-isp-portal quit# 配置系统缺省的ISP域为portal可选Switch domain default enable port