portal radius简单讲解.ppt

1、技术应用部 邱自学 导 师：邱飞，吴近平,Portal学习简介,培训内容,Portal概述 协议流程 配置 Iptables 常见问题,Portal在英语中“入口”的意思。Portal认证也称为Web认证，Portal认证网站称为门户网站。 PORTAL页面在显著的位置设置认证窗口，用户开机后获取IP地址，通过登陆PORTAL认证窗口进行认证，认证通过后即可访问Internet。,PORTAL简介PORTAL概述,免客户端软件 对于像宾馆、酒店等公共网络节点，免客户端软件是一个基本要求。 新业务载体 利用PORTAL认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放到POR

2、TAL上。用户上网时就会强制地看到上述信息。,PORTAL背景PORTAL认证优点,RADIUS协议简介,RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。 Authentication 认证，用于判定用户是否可以获得访问权，限制非法用户； Authorization 授权，授权用户可以使用哪些服务，控制

3、合法用户的权限； Accounting 计账，记录用户使用网络资源的情况,为收费提供依据；,Portal简介 协议流程 配置 Iptables 常见问题,流程说明,首先wlan用户上网，AC侦测到http连接后，强制发送http重定向报文给wlan用户 Wlan用户接收到重定向报文后，按照重定向报文提供的目的IP地址访问portal 服务器，推送出认证页面 用户输入用户名密码给portal server Portal server向AC发送需要认证用户的用户名 AC向portal server发送认证挑战 Portal server回应认证挑战 AC向radius发起认证 如果认证成功，则AC

4、把认证成功信息发送给portal服务器，推送出认证成功界面，认证成功。,pc发起http访问，该访问被AC连接，并直接返回重定向报文：http 302报文给PC，把pc直接重定向到portal server上,过程,然后PC根据http的重定向信息向portal server发起请求并获得认证页面，在认证页面中输入用户名密码后进行认证。 整个过程对于AC来说和普通IP包的处理是相同的，由于实现配置了portal server的IP地址在白名单中，所以AC对这次访问不进行阻止，按照普通的IP包进行处理,portal server得到用户名和密码后开始和AC联系，触发AC进行portal认证,*

5、Portal协议根据移动规定采用的是udp的2000端口进行认证,数据包的具体分析,1.portal server向AC发送认证请求，数据包的类型为01，表示为认证请求报文。,2.AC回应portal server的认证请求，并发送挑战给portal server,3.portal server 通过挑战回应发送用户名和密码给AC,*至此，AC已经得到了用户的用户名和密码，可以发起radius认证了,4.radius认证数据包,5.radius认证成功后返回给AC的access报文,*到这里，radius认证完成，AC已经确定用户认证通过,7.AC通知portal server 认证通过，类型

6、04,8.portal server回应AC，确认认证通过信息，类型07,通过第7和第8个报文返回用户认证成功信息给portal server,主动下线流程,用户主动下线流程,强制下线流程,用户强制下线流程,portal简介 协议流程 配置 Iptables 常见问题,Portal实例配置,配置eag： 配置portal server ，负责推出门户页面，也负责用户名和密码的预认证； 配置radius server，负责用户接入的认证、计费、授权 配置监听端口，对进行监听的用户的上线的接口进行portal URL的映射，以便用户进行用户名和密码的输入； 配置白名单 配置NASIP 开启分布式和

7、配置rdcpdc配置的实例； 开户EAG实例服务,Portal简介 协议流程 配置 Iptables 常见问题,sh-3.1# iptables -nvxL Chain CP_R1_F_AUTHORIZED_DEFAULT (4 references) pkts bytes target prot opt in out source destination 0 0 FW_FILTER all - * * /0 /0 Chain CP_R1_F_DEFAULT (1 references) pkts bytes target prot opt in out sourc

8、e destination 0 0 FW_FILTER all - * * /0 /0 source IP range 98- 98 20 1200 FW_FILTER all - * * /0 /0 destination IP range 98-98 0 0 ACCEPT all - * * /0 0 0 ACCEPT udp - * * /0 /0 udp spt:67 dpt:68 0 0 AC

9、CEPT udp - * * /0 /0 udp spt:68 dpt:67 0 0 DROP all - * * /0 /0 Chain CP_R1_GP_F_AUTH_ebr1-1-1 (1 references) pkts bytes target prot opt in out source destination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 1 /0 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * /

10、0 /0 match-set CP_R1_AUTHORIZED_SET src 20 1200 RETURN all - * * /0 /0 Chain CP_R1_GP_F_AUTH_ebr1-1-1_IN (1 references) pkts bytes target prot opt in out source destination 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * /0 1 0 0 CP_R1_F_AUTHORIZED_DEFAULT all - * * 0.0.0

11、.0/0 /0 match-set CP_R1_AUTHORIZED_SET dst 20 1200 RETURN all - * * /0 /0 Chain EAP_PRE_AUTH_R1_F (1 references) pkts bytes target prot opt in out source destination 38891 3726629 RETURN all - * * /0 /0,sh-3.1# iptables -nvxL -t nat Chain CP_DNAT (1 references) pkt

12、s bytes target prot opt in out source destination 291 23185 CP_R1_GP_N_AUTH_ebr1-1-1 all - ebr1-1-1 * /0 /0 252 20194 CP_R1_N_DEFAULT all - ebr1-1-1 * /0 /0 927207 45338691 RETURN all - * * /0 /0 Chain CP_R1_GP_N_AUTH_ebr1-1-1 (1 references) pkts bytes targe

13、t prot opt in out source destination 35 2755 CP_R1_N_AUTHORIZED_DEFAULT all - * * 1 /0 0 0 CP_R1_N_AUTHORIZED_DEFAULT all - * * /0 /0 match-set CP_R1_AUTHORIZED_SET src 252 20194 RETURN all - * * /0 /0 Chain CP_R1_N_AUTHORIZED_DEFAULT (2 references) pkts byt

14、es target prot opt in out source destination 39 2991 FW_DNAT all - * * /0 /0 Chain CP_R1_N_DEFAULT (1 references) pkts bytes target prot opt in out source destination 0 0 FW_DNAT all - * * /0 /0 source IP range 98- 98 1 60 FW_DNAT all - * * /0 0.0

15、.0.0/0 destination IP range 98-98 0 0 ACCEPT all - * * /0 0 0 DNAT tcp - * * /0 /0 tcp dpt:443 to::4267 0 0 DNAT tcp - * * /0 /0 tcp dpt:8080 to::4267 1 64 DNAT tcp - * * /0 /0 tcp dpt:80 to:169.254.

16、2.1:4267 250 20070 RETURN all - * * /0 /0 Chain EAP_PRE_AUTH_R1_N (1 references) pkts bytes target prot opt in out source destination 927500 45356025 RETURN all - * * /0 /0,Portal简介 协议流程 配置 Iptables 常见问题,Q:portal认证页面无法推出 A：1):请确认网关是否能够ping通，并且ping是否丢包. 2):请确认是否能和portal服务器

17、正确连接，白名单是否添加，可使用ping命令检查。并确认外置portal server已经正确的配置了AC的相关数据。 3):可以在sta浏览器中直接输入portal地址,检查是否可以打开页面,如无法打开,请确认portal页面地址是否正确.,常见问题,Q: portal认证页面无法推出,但浏览器中直接输入地址可以打开 A:1):直接在sta浏览器中输入eag重定向监听ip+冒号+端口(非portal的页面地址)组成的网址(形如:3990),检查是否可以跳转到portal页面.如不能,请确认eag服务是否开启,配置的portal地址是否正确,修改配置后是否重启eag服务. 2):请确认captive portal 中是否监听sta所在下行接口,确认captive portal配置中的重定向ip/端口 和 eag的重定向监听ip/端口