portal认证介绍

portal认证介绍
Portal认证技术
认证技术就是AAA(认证,授权,计费)得初始步骤,AAA一般包括用户终端、AAAClient、AAA Server与计费软件四个环节。

用户终端与AAA Client之间得通信方式通常称为"认证方式"。

目前得主要技术有以下三种:PPPoE、Web＋Portal、IEEE802、1x。

基于web方式得认证技术最广为人知得一点就是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议,在网络应用日益复杂得形势下,很多复杂得管理要求已经涉及到高层协议,面对这些要求,基于2、3层得认证技术入PPPoE,802、1x就无能为力。

1.PPPoE
通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议得主要功能,包括采用各种灵活得方式管理用户。

PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户得简单以太网桥启动一个PPP对话。

PPPoE得建立需要两个阶段,分别就是搜寻阶段(Discovery stage)与点对点对话阶段(PPP Session stage)。

当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端得以太网MAC地址,并建立一个PPPoE得对话号(SESSION_ID)。

在PPP协议定义了一个端对端得关系时,搜寻阶段就是一个客户-服务器得关系。

在搜寻阶段得进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。

在网络拓扑中,主机能与之通信得可能有不只一个网络设备。

在搜寻阶段,主机可以发现所有得网络设备但只能选择一个。

当搜索阶段顺利完成,主机与网络设备将拥有能够建立PPPoE得所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立,主机与网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较
低,由于宽带接入服务器要终结大量得PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能得“瓶颈”。

(2)由于点对点得特征,使组播视频业务开展受到很大得限制,视频业务大部分就是基于组播得。

(3)PPPoE在发现阶段会产生大量得广播流量,对网络性能产生很大得影响
2、802、1x
802、1x认证,起源于802、11协议,后者就是标准得无线局域网协议,802、1x协议提出得主要目得:一就是通过认证与加密来防止无线网络中得非法接入,二就是想在两层交换机上实现用户得认证,以降低整个网络得成本。

其基本思想就是基于端口得网络访问控制,即通过控制面向最终用户得以太网端口,使得只有网络系统允许并授权得用户可以访问网络系统得各种业务(如以太网连接,网络层路由,Internet接入等)。

802、1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后得通信过程中采用TCP/IP协议。

EAP(Extensible Authentication Protocol扩展认证协议)就是对PPP 协议得扩展,EAP对PPP得扩展之一就就是让提供认证服务得交换机从认证过程中解脱出来,而仅仅就是中转用户与认证服务器之间得EAP包,所有复杂得认证操作都由用户终端与认证服务器完成。

802、1x最大得优点就就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈得产生。

802、1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802、1q得VLAN,对设备得整体性能要求不高,可以有效降低建网成本。

缺点:
*需要特定客户端软件
Portal简介
Portal在英语中就是入口得意思。

Portal认证通常也称为Web认
证,一般将Portal认证网站称为门户
网站。

未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中得服务。

当用户需要使
用互联网中得其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。

用户可以主动访问已知得Portal认证网站,输入用户名与密码进行认证,这种开始Portal认证得方
式称作主动认证。

反之,如果用户试图通过访问其她外网,将被强制访问Portal认证网站,
从而开始Portal认证过程,这种方式称作强制认证。

Portal典型组网由4个元素组成:认证客户端、接入设备、Portal 服务器、认证/计费服务器。

1、认证客户端
安装于用户终端得客户端系统,为运行/S协议得浏览器或运行Portal客户端软件得主
机。

对接入终端得安全性检测就是通过Portal客户端与安全策略服务器之间得信息交流完成得。

2、接入设备
交换机、路由器等宽带接入设备得统称,主要有三方面得作用:
●在认证之前,将认证网段内用户得所有请求都重定向到Portal服务器。

●在认证过程中,与Portal服务器、安全策略服务器、认证/计费服
务器交互,完成身份认证
/安全认证/计费得功能。

●在认证通过后,允许用户访问被管理员授权得互联网资源。

3、Portal服务器
接收Portal客户端认证请求得服务器端系统,提供免费门户服务与基于Web认证得界面,与接入
设备交互认证客户端得认证信息。

4、认证/计费服务器
与接入设备进行交互,完成对用户得认证与计费。

设备内嵌portal-web Server:
设备内嵌portal-web Server 能够解析客户端发来得上线认证、下线,形成认证、下线请求给portal 模块,然后根据返回得结果,推出对应得页面给客户端。

这样设备就支持web 用户直接登录而不需要额外得部署portal server,从而大大加强了portal 功能得通用性。

下线请求;设备,传递给授权与计费报文。

Portal 得认证方式
不同得组网方式下,可采用得Portal 认证方式不同。

按照网络中实施Portal 认证得网络层次来分,Portal 得认证方式分为两种:二层认证方式与三层认证方式。

二层认证方式
这种方式支持在接入设备连接用户得二层端口上开启Portal 认证功能,只允许源
MAC 地址通过认证得用户才能访问外部网络资源。

目前,该认证方式仅支持本地 Portal 认证,即接入设备作为本地Portal 服务器向用户提供Web 认证服务。

另外,该方式还支持服务器下发授权VLAN 与将认证失败用户加入认证失败VLAN 功能(三层认证方式不支持)。

三层认证方式
这种方式支持在接入设备连接用户得三层接口上开启Portal 认证功能。

三层接口 Portal 认证又可分为三种不同得认证方式:直接认证方式、二次地址分配认证方式与可跨三层认证方式。

直接认证方式与二次地址分配认证方式下,认证客户端与接入设备之间没有三层转发;可跨三层认证方式下,认证客户端与接入设备之间可以跨接三层转发设备。

1、直接认证方式
用户在认证前通过手工配置或DHCP 直接获取一个IP 地址,只能访问Portal 服务器,以及设定得免费访问地址;认证通过后即可访问网络资源。

认证流程相对二次地址较为简单。

2、二次地址分配认证方式
用户在认证前通过DHCP 获取一个私网IP 地址,只能访问Portal 服务器,以及设
定得免费访问地址;认证通过后,用户会申请到一个公网IP 地址,即可访问网络资
源。

该认证方式解决了IP 地址规划与分配问题,对未认证通过得用户不分配公网IP 地址。

例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP 。

使用内嵌Portal 服务器得Portal 认证不支持二次地址分配认证方式。

3、可跨三层认证方式
与直接认证方式基本相同,但就是这种认证方式允许认证用户与接入设备之间跨越三层转发设备。

对于以上三种认证方式,IP 地址都就是用户得唯一标识。

接入设备基于用户得IP 地址
下发ACL对接口上通过认证得用户报文转发进行控制。

由于直接认证与二次地址分
配认证下得接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户得
MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发得控制粒度。

(1) Portal用户通过协议发起认证请求。

报文经过接入设备时,对于
访问Portal服务器或设定得免费访问地址得报文,接入设备允许其通过;
对于访问其它地址得报文,接入设备将其重定向到Portal服务器。

Portal
服务器提供Web页面供用户输入用户名与密码来进行认证。

(2) Portal 服务器与接入设备之间进行CHAP(Challenge Handshake
Authentication Protocol,质询握手验证协议)认证交互。

若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。

(3) Portal服务器将用户输入得用户名与密码组装成认证请求报文发往接入设备,
同时开启定时器等待认证应答报文。

(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文得交互。

(5) 接入设备向Portal服务器发送认证应答报文。

(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

(7) 客户端收到认证通过报文后,通过DHCP获得新得公网IP地址,并通知Portal
服务器用户已获得新IP地址。

(8) Portal服务器通知接入设备客户端获得新公网IP地址。

(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已
检测到用户IP变化。

(10) Portal服务器通知客户端上线成功。

(11) Portal服务器向接入设备发送IP变化确认报文。

注:可跨三层认证方式省略二次地址分配认证方式得7~11步骤,上线成功后portal服务器向接
入设备发送认证应答确认。

Radius认证计费过程分析: Access-request报文
Accouting-request报文
Accounting-response报文
用户下线停止计费报文
Portal认证得配置:
1. 配置RADIUS方案
# 创建名字为portal得RADIUS方案[Switch] radius scheme portal
# 配置RADIUS方案得服务器类型为Portal
[Switch-radius-portal] server-type portal
# 配置RADIUS方案得主认证与主计费服务器,及其通信密钥[Switch-radius-portal] primary authentication 10、201、1、204 [Switch-radius-portal] primary accounting 10、201、1、204 [Switch-radius-portal] key accounting 123456
[Switch-radius-portal] key authentication 123456
[Switch-radius-portal] user-name-format without-domain [Switch-radius-portal] quit
2. 配置ISP域
# 创建名字为portal得ISP域
[Switch] domain portal
# 创建ISP域引用RADIUS方案portal
[Switch-isp-portal] radius-scheme portal
[Switch-isp-portal] quit
# 配置系统缺省得ISP域为portal(可选)
[Switch] domain default enable portal
3. 配置Portal认证
# 配置Portal服务器:名称为newp;IP地址为10、201、1、205;密钥为123456;端口为50100;URL 为。

[Switch] portal server newp ip 10、201、1、205 key huawei port 50100 url
# 配置Portal运行方式为直接认证方式
[Switch] portal method direct
4.在与用户PC相连得VLAN接口上使能Portal认证
# 配置VLAN 2
[Switch] vlan 2
[Switch-vlan2] port ethernet 0/1 ethernet 0/2
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 10、201、1、1 255、255、0、0
[Switch-Vlan-interface2] quit
# 配置VLAN 3
[Switch] vlan 3
[Switch-vlan3] port ethernet 0/3
[Switch-vlan3] quit
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 172、25、1、1 255、255、0、0
# 在VLAN接口3上使能Portal认证
[Switch-Vlan-interface3] portal newp。