Portal网络技术协议介绍

1、Portal网络技术协议介绍技术创新，变革未来目录Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ4Portal协议概述Portal协议的起源Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。基本思想：未认证用户上网时，设备强制用户登录到特 定站点，用户可以免费访问其中的服务。当用户需要使 用互联网中的其它信息时，必须在门户网站进行认证， 只有认证通过后才可以使用互联网资源。Portal业务可 以为运营商提供方便的管理功能，门户网站可以开展广 告、社区服务等个性化业务。目录Portal概述Porta

2、l典型组网Portal协议原理Portal典型配置FAQ典型组网（一）iMC ServerL2 SwitchPortal BASGateway5典型组网（二）Portal BASL3 SwitchGatewayiMC Server6三层Portal与二层Portal的比较7三层Portal认证与二层Portal认证的比较组网方式上，三层认证方式的认证客户端和接入设备之间 可以跨接三层转发设备；非三层认证方式则要求认证客户 端和接入设备之间没有三层转发。三层Portal认证仅以IP地址唯一标识用户；而二层Portal认 证以IP和MAC地址的组合来唯一标识用户。典型组网（三）iMC Server

3、Portal BASL2 SwitchGateway8典型组网（四）ACPortal BASAPiMC ServerGatewayTrunkVLAN 1VLAN 29VLAN 10Portal认证与802.1x认证的比较10Portal认证相对于802.1x认证的优势支持网页方式认证，免客户端安装部署方式灵活、快捷，适合旧网改造Portal认证的不足之处没有802.1x认证对客户端的控制严格目录Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ11Portal协议框架Portal WebPortal TransferHTTPUDPUDPUDPUDPPortal

4、ServerIEiNodePortalKernelBASPortal私有协议Portal协议AAAServer议Radius协UDP12Portal协议框架13协议主体：Portal Server 和 Portal设备。承载协议：基于UDP。端口定义：Portal Server：使用本地的 50100 端口监听 BAS 设备 发送的非响应类报文，使用目的端口2000 向 BAS 设备 发送所有报文。BAS：使用本地的 2000 端口监听 Portal Server 发送的 所有报文。使用目的端口 50100 向Portal Server 发送非 响应类报文。Portal协议版本：2.0Port

5、al认证流程Web认证方式推出强制认证页面用户浏览器BASPortal WebPortal KernelHTTP请求14重定向HTTP请求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出强制认证页面ACK_INFOPortal认证流程Web认证方式从强制页面发起认证用户浏览器BASPortal WebPortal Kernel上传用户名密码等用户信息CODE_PP_LOGIN_ResponseAAA ServerCODE_PP_LOGIN_RE

6、QUESTREQ_INFO ACK_INFOREQ_CHALLENGE ACK_CHALLENGE REQ_AUTHRadius-AccessRequest Radius-AccessResponseRadius-AccountingRequest Radius-AccountingResponseACK_AUTHAFF_ACK_AUTH返回认证成功提示15Portal认证流程Web认证方式维持在线和用户下线用户浏览器BASPortal WebPortal KernelHTTP心跳报文CODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEHTTP心跳回应报文提交

7、下线请求AAA ServerCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSE返回下线成功页面REQ_LOGOUT ACK_LOGOUTRadius-AccountingRequest Radius-AccountingResponse16Portal认证流程iNode客户端认证方式iNode客户端BASPortal TransferPortal Kernel创建客户端Portal连接HTTP请求重定向CODE_PP_PORTAL_USER_CUSTOM_INFO CODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_

8、PP_DOMAIN_REQUESTCODE_PP_DOMAIN_REQUESTREQ_INFO ACK_INFOCODE_PP_DOMAIN_RESPONESCODE_PP_DOMAIN_RESPONES17从iNode客户端发起认证BASiNodePortal KernelAAA ServerCODE_PP_LOGIN_REQUEST REQ_INFOACK_INFO REQ_CHALLENGEACK_CHALLENGE REQ_AUTHACK_AUTHAFF_ACK_AUTHCODE_PP_LOGIN_ResponsePortal认证流程iNode客户端认证方式.Radius认证过程18维

9、持在线和用户下线BASiNodePortal KernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAA ServerCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEREQ_LOGOUT ACK_LOGOUTRadius-AccountingRequest Radius-AccountingResponse19Portal认证流程iNode客户端认证方式异常情况分析（一）PC异常下线（如PC掉电、直接关闭认证网页、iNode客户端异常退出）BASiNodePortal KernelAAA ServerCOD

10、E_PP_HANDSHAKE CODE_PP_HANDSHAKE_RESPONSEREQ_LOGOUTACK_LOGOUTRadius-AccountingRequest Radius-AccountingResponse.20. Timeout.异常情况分析（二）BAS设备重启BASiNodePortal KernelAAA Serverdelete portal online tableCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEREQ_LOGOUTno responsedelete portal online tableCODE_PP_LOG

11、IN_REQUEST.Radius-AccessRequest21Online usernumber limited. Timeout异常情况分析（三）CODE_PP_HANDSHAKEPortal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线BASiNodePortal KernelAAA ServerTimeout.OfflineKeeping AccountingUpdateKeeping AccountingUpdate CODE_PP_LOGIN_REQUEST.Radius-AccessRequest22Online usernumber limitedP

12、ortal逃生方案（一）23Portal逃生方案解决了两个问题：增加BAS与Portal Kernel之间的心跳机制，防止服务器宕 机引起的故障。增加BAS与Portal Kernel之间比较Portal在线用户表的机制， 主要针对Portal服务器重启时间过长导致Portal心跳超时或 服务器重启期间有终端手动下线而引发的用户永久挂死的 问题。Portal逃生方案（二）24Portal逃生特性设计了两种心跳：逃生心跳和用户心跳。逃生心跳仅依赖Portal Kernel进程正常运行。 一旦BAS设备连续几次没有收到Portal Kernel的心跳，则立即启 用逃生自动取消认证。 当再次收到收到

13、Portal Kernel的心跳时自动开启认证。 逃生心跳由设备单向检测服务器是否定时发送，只作逃生用。 Portal服务器和设备上均需配置。Portal逃生方案（三）25用户心跳的作用是在心跳间隔时间段内，服务器会将在线 用户列表中的所有用户分多个报文发送给设备。设备与内 存中的用户进行比较，比较的结果分以下两种： 设备发现自己记录的在线用户比服务器的少，则设备立即用Portal 报文通知服务器，服务器用Portal报文通知客户端下线，避免造成 客户端还在线的假象。但RADIUS在线表仍然要等待老化清除。 设备发现自己记录的在线用户在一段时间内（该时间由设备决定， 至少应该长于Portal心

14、跳）都比服务器多（比如服务器重启的情况， 如果这段时间服务器收到用户的Portal心跳则会重构在线表），则 设备发送计费结束通知AAA模块下线。Portal逃生方案（四）在Portal服务器配置中配置“逃生心跳间隔时长”以及“用户心跳间隔时长”。在Portal设备配置中使能逃生功能。26Portal逃生方案（五）27以S75E设备为例，在设备全局模式下使能Portal逃生功能：portal server imc server-detect method portal-heartbeat action permit-allportal server imc user-sync/使能逃生心跳/使能

15、用户心跳目录Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ28Portal设备配置29配置Radius认证方案以及Radius认证域略进入系统视图，在全局模式下配置Portal服务器portal server server-name ip ip-address key key-string | port port-id | urlurl-string *配置举例：portal server iMC ip key sharekey port 50100 url :8080/portal进入接口视图，在接口上使能Portalportal server serve

16、r-name method direct | layer3 | redhcp 配置举例：portal server iMC method layer3Portal设备可选配置30进入系统视图，在全局模式下配置Portal免认证规则portal free-rule rule-number destination any | ip ip-address mask mask-length | netmask | any | source any | interface interface-type interface-number | ip ip-address mask mask-length |

17、 mask |any | mac mac-address | vlan vlan-id * *配置举例：portal free-rule 0 source ip mask destinationanyPortal服务器配置（一）保持缺省即可，一般情况下无需修改。31Portal服务器配置（二）配置Portal设备信息，其中IP地址为使能Portal的接口IP地址。32Portal服务器配置（三）增加IP地址组，地址段需包含所有认证终端IP地址。33Portal服务器配置（四）增加设备端口组，引用之前创建的IP地址组。34Portal NAT穿越（一）Portal NAT穿越特性支持Portal

18、设备本身或Portal设备与服务器之间存在NAT，将用户及Portal设备的地址转换为公网地址。支持私网地址即用户地址段重叠。Portal BASNAT GatewayiMC Server35Portal NAT穿越（二）配置IP地址组，填写NAT前IP地址段以及NAT后IP地址段。配置Portal设备地址为NAT后地址在Portal设备端口组中使能NAT穿越，并引用已有的NAT地址组。36定制Portal认证页面iMC安装目录下clientwebappsportaluserindextemplate中的文件可用于定制。在认证页面一栏填写认证页面的相对路径，比如userindextemplateexample1.html37可溶解客户端工作原理38可溶解客户端无需安装，由网页认证时自动调用java完成DC 的下载和启动。可溶解客户端本身的实现完全基于目前的iNode客户端的平台代码和协议代码，是现有iNode功能的一个子集。仅支持Portal EAD。可