蓝海卓越Portal接口描述

蓝海卓越校园全光网络无线认证计费解决方案成都星锐蓝海网络科技有限公司2021-9目录一、项目背景 (3)二、需求分析 (4)三、校园分析 (6)四、建设目标 (7)五、方案设计原则 (8)六、方案设计说明 (11)6.1方案拓扑图 (11)6.2认证与计费管理主要功能 (15)6.3方案特点 (21)一、项目背景在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。

但随着教学设施的完善，越来越多的便捷式计算机终端被带进了校园，教师和学生对高校校园网的依赖性愈来愈高，“随时随地获取信息”已成为广大师生们的新需求。

而无线校园网络的快速发展与应用，将对学校的教学模式、教学理念及教学管理产生深远的影响，也将对学校教师、学生的学习、生活方式产生积极影响。

无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所，除此之外，校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。

因此，在整个校园内，同一个设备可以在任何时候、任何地方与校园网络连接，不间断地访问校园网络资源。

同时针对学生和教职工家属基于无线网络进行宽带运营，也是高校无线网络建设中考虑的重要环节。

基于校园无线网向不同的用户群体提供不同的无线上网服务，教职工可以基于无线开展教学活动访问某些教育网资源，学生和家属可以基于无线进行付费上网。

而传统无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。

二、需求分析蓝海卓越针对目前高校在无线认证和计费中存在的问题，推出适合高校校园的无线认证计费解决方案，该方案需要满足以下需求：1、全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务，采取光纤到户的GPON网络组网；2、每间宿舍一个ONU+WiFi一体化设备；3、支持多种认证方式，包括针对教师的AD域认证上网，以及针对宿舍学生和教职工家属的静态用户名密码认证上网；4、支持基于不同的SSID推送不同的Portal认证页面，面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面；5、支持对接学校现有的管理系统数据库或LDAP数据库，教师可以直接在认证页面输入相关AD账户密码进行认证上网；6、学生和教职工家属可以采用付费的方式上网，通过向高校信息中心提供相应的证件办理无线上网套餐，套餐可以按照包月/包年基于时长或者流量进行计费，并通过静态用户名密码的方式认证上网，套餐到期后账户停机；7、可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；8、方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理；9、认证成功后可以实现强制跳转至高校官网或其他指定网站，可以有效的进行宣传和推广；10、所有认证用户均需审计监控；11、部署方便，维护简单，同时对整体设备需要易操作易管理，维护简单；将来增加覆盖范围和用户数量能够方便的进行扩展升级。

蓝海卓越WEB认证（WEB PORTAL）原理及组网方式Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。

目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.下图是WEB认证的原理图(CHAP认证):本文所要描述的就是PortalServer的原理与算法.PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式:以下是部分源代码和说明.typedef struct portal_header{u_int8_t ver; //版本,在本例中为1u_int8_t type; //报文类型u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议u_int8_t rsv; //保留字段,恒为零u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的u_int16_t reqid; //应答IDu_int32_t userip; //用户的IPu_int16_t userport; //用户端口,恒为零u_int8_t errcode; //错误码,非常有用的字段u_int8_t attrnum; //属性个数}portal_header_t;定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性.以下是构造挑战报文的代码:sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码req_chap->ver=ver;req_chap->type=REQ_CHALLENGE;req_chap->auth_type=CHAP;req_chap->rsv=0x00;req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

蓝海卓越BRAS 设备NA T 配置环境需求：内网中的拨号用户172.18.0.0/16和固定IP用户192.168.2.0/24都需要通过BRAS设备上外网。

拓扑图如下：分析：目前存在固定IP的192.168.2.0/24和PPPOE拨号的172.16.0.0/16.这二个网段需要访问外部网络。

就需要对其进行NA T转换。

将私网地址转换成公网地址才可以访问Internet资源。

这里的NAT转换就有2种方案方案一：直接在蓝海BRAS设备上设置NA T规则方案二：BRAS与防火墙设备之间完全通过路由方式来实现访问。

BRAS设备上只需要做一条到达防火墙的默认路由即可，不做NAT所有的NA T规则和访问控制完全交由防火墙设备来完成，方便统一管理方案一实施根据拓扑此时10.0.0.2就属于192.168.2.0/24和172.16.0.0/16的外网地址。

直接在BRAS 设备上直接做NA T规则具体步骤：1.进入BRAS配置管理界面。

进入“防火墙”菜单，打开NAT设置。

点击添加NAT设置。

2.状态为启用，源地址就是你内部需要访问外网的网段。

在这里是192.168.2.0/24与172.18.0.0/16 外部网络接口选择你内网的报文从哪个外部网络接口（E3）出去最后点击添加。

3.此时还需要一条到底BRAS的外部网络的默认路由条目。

进入“网络配置”点击静态路由。

点击添加，目的地址可以是主机也可以是网络。

此时选择网络。

目的地址就是你内网需要和外网通信的网段。

网关地址就是下一跳地址。

所谓的出口地址。

方案二实施BRAS设备上只需要做一条到达防火墙的默认路由即可，不做NAT所有的NAT规则和访问控制完全交由防火墙设备来完成，方便统一管理具体步骤：1.进入BRAS设备管理界面，配置默认路由。

目的地址的路由类型可以是内部的一个网络或者一个主机。

一台主机就是单台PC与外网通信，网络就是整个内部网段与外部通信。

在这里我们选择网络。

蓝海卓越有线无线一体化认证解决方案目前在很多场合（比如出租屋、企业园区、校园网、小区宽带、商场等环境）需要使用到有线无线一体化认证的方案，蓝海卓越结合自身在有线拨号认证计费以及无线portal认证基础上，推出蓝海卓越自有的有线无线一体化解决方案。

（欢迎私信了解详情）客户需求：1、针对有线网络用户采用PPPOE拨号认证，并可以实现包月/年等计费管理功能；2、针对无线用户可以采用portal认证，需要用户手机短信认证上网，可以根据实际情况实施免费上网和付费上网；3、电脑拨号账户和无线认证账户不能互相使用；4、通过认证计费管理系统可以对所有账户进行管理；5、可以对portal认证的用户进行认证页面的定制，以便推送通知/公告或广告。

网络拓扑：方案说明：1、通过蓝海卓越BRAS网关和认证计费系统实现对有线网络电脑主机的拨号认证上网功能，同时绑定MAC；2、通过蓝海卓越AC设备对所有的AP进行集中管理，蓝海卓越AC同蓝海卓越统一无线认证管理系统（Portal）平台对接，实现对无线终端用户的portal认证上网功能，并且绑定MAC；3、无线portal认证页面可以进行随意修改，可以实现手机终端自注册，自主选择套餐并支付宝付费。

4、AP自动发现AC，并由AC进行统一管理，下发参数。

方案特点：1、有线无线在同一项目中混合部署，节约成本，同一台交换机上即可接有线电脑，也可接无线AP。

2、有线和无线混合接入，但是采用不同的认证方式。

有线用户可以采用路由器或电脑拨号上网，无线用户手机或平板、笔记本采用WEB PORTAL认证方式，符合用户的使用习惯和实际使用场景。

3、有线和无线可以支持完全不同和策略，有线收费、无线免费，或者部分无线收费，部分无线免费，可以根据运营情况灵活调。

4、收费可以按月、年、天、小时、流量等不同策略设定套餐，所有的套餐均由管理员自定义。

5、无线免费上网，支持短信注册认证、帐号密码认证、微信免费上网、一键登录免费上网等多种主流的免费上网方式。

AC、Portal与AAA 交互协议分析上海寰创通信科技有限公司文档更新记录目录1PORTAL协议协议概述 (5)2PORTAL协议报文格式 (5)3PORTAL协议报文字段说明 (5)4与PORTAL交互中报文填充说明 (6)4.1REQ_CHALLENGE (6)4.2ACK_CHALLENGE (7)4.3REQ_AUTH (8)4.4ACK_AUTH (8)4.5AFF_ACK_AUTH (9)5与3A相关的交互中报文填充说明 (10)5.1A CCESS_R EQUEST (10)5.2A CCOUNTING-R EQUEST/S TART (10)5.3A CCOUNTING-R EQUEST/I NTERIM-U PDATE (11)5.4A CCOUNTING-R EQUEST/S TOP (11)6HTTP REQUEST PORTAL-URL (11)1 Portal 协议协议概述AC 与Portal Server 之间通过Portal 协议交互。

2 Portal 协议报文格式123468573 Portal 协议报文字段说明Ver Ver 字段是协议的版本号，长度为1字节，目前定义的值为0x01。

Type Type 字段定义报文的类型，长度为1字节。

Pap/ChapPap/Chap 字段定义此用户的认证方式，长度为1字节，只对Type 值为0x03的认证请求报文有意义：chap 方式认证（0x00）、Pap 方式认证（0x01）。

Rsv Rsv 目前是保留字段，长度为1字节，在所有报文中值为0。

SerialNoSerialNo 字段是报文的序列号，长度为2字节，由Portal Server 随机生成；由Portal Server 发给AC 的报文；每一个由AC 设备发给Portal Server 的响应报文的SerialNo 必须和Portal Server 发送的相应请求报文的SerialNo 一样。

Portal 解决方案简介Portal 解决方案是一个为企业提供的全面的门户网站解决方案。

它旨在提供一个集成的平台，使企业能够轻松地创建、管理和发布门户网站，并提供强大的功能和灵活的定制选项。

Portal 解决方案包含了一个易于使用的管理界面，使管理员能够轻松地配置和管理网站内容，并提供了多种设计和布局选项，以满足企业的特定需求。

除了提供传统的门户功能，如新闻公告、文档管理和用户管理，Portal 解决方案还支持集成其他企业应用程序和系统，如CRM、ERP和人力资源管理系统。

主要特点1. 简单易用的管理界面Portal 解决方案提供了一个直观的管理界面，使管理员能够轻松地配置和管理网站内容。

管理员可以使用该界面创建和编辑页面、添加和管理组件、设置访问权限等。

2. 强大的内容管理功能Portal 解决方案提供了一套强大的内容管理功能，使管理员能够轻松地创建、编辑和发布网站内容。

管理员可以使用富文本编辑器创建各种类型的内容，例如新闻公告、博客文章和产品介绍。

此外，管理员还可以使用附件管理功能上传和管理文件。

3. 多种设计和布局选项Portal 解决方案提供了多种设计和布局选项，以满足企业的特定需求。

管理员可以选择预定义的模板或自定义样式，还可以自由拖放组件来创建独特的页面布局。

此外，Portal 解决方案还支持响应式设计，以确保在不同设备上都能提供出色的用户体验。

4. 用户管理和访问控制Portal 解决方案提供完善的用户管理和访问控制功能。

管理员可以创建和管理用户账号，并设置不同的角色和权限。

这样，企业可以根据实际需求，为不同的用户提供个性化的访问权限，确保信息安全和数据保密。

5. 应用程序和系统集成Portal 解决方案支持与其他企业应用程序和系统的集成。

企业可以将各种应用程序和系统集成到门户网站中，与其他系统交换数据和信息。

例如，可以将CRM系统集成到门户网站，以便销售团队能够快速地了解客户信息和销售数据。

Portal（web应用）portal是一种web应用，通常用来提供个性化、单次登录、聚集各个信息源的内容，并作为信息系统表现层的宿主。

聚集是指将来自各个信息源的内容集成到一个web 页面里的活动”。

Portal的功能可以分为三个主要方面：1. Portlet容器：Portlet容器与servlet容器非常类似，所有的portlet都部署在portlet容器里，portlet容器控制portlet的生命周期并为其提供必要的资源和环境信息。

2.内容聚集：Portlet规范中规定portal的主要工作之一是聚集由各种portlet应用生成的内容3.公共服务：portlet服务器的一个强项是它所提供的一套公共服务。

单次登录：只需登录portal服务器一次就可以访问所有其它的应用个性化：个性化服务的基本实现使用户能从两方面个性化她的页面PortletPortlet是基于java的web组件，由portlet容器管理，并由容器处理请求，生产动态内容。

Portals使用portlets作为可插拔用户接口组件，提供信息系统的表示层。

作为利用servlets进行web应用编程的下一步，portlets实现了web应用的模块化和用户中心化。

LDAPLDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

SOA面向服务的体系结构（Service-Oriented Architecture，SOA）是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。

Portal典型配置案例(1)1 概述1.1 Portal简介未认证用户上网时，设备强制用户登陆到门户网站主页，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后用户才可以使用互联网资源。

Portal业务可以为运营商提供方便的管理功能，比如希望所有的用户都到公司的门户网站去认证，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1.2 Portal优势目前互联网上存在着多种认证方式，如802.1x认证，PPPOE认证，Portal认证等等。

比较这些认证方式，Portal认证具有以下优势：1. 不需要安装认证客户端，减少客户端的维护工作量：PORTAL认证通过网页即可实现认证，其它认证方式均需安装客户端。

2. 便于运营：Portal可以定制“VLAN+端口+IP地址池”粒度级别的个性化认证页面，同时可以在Portal 页面上开展广告业务、服务选择和信息发布等内容，进行业务拓展，实现IP网络的运营。

3. 技术成熟：关注对用户的管理、基于VLAN ID/IP/MAC捆绑识别用户数据包的全程认证、定期发送握手报文的断网检测方式。

4. 更灵活的业务实现方式通过与设备的结合，可以为不同的业务选择不同的认证和计费方案。

2 典型组网方案2.1 Portal标准组网方案1. 组网图图1 Portal标准组网方案图2. 组网说明这是一种标准的Portal组网方案。

图中左下角只画了一个交换机和一个BAS设备（宽带接入服务器，是支持Portal认证的设备。

如：MA5200, S3528等），在实际组网过程中，如果用户数较多，用户可以挂接在多个交换机下，多个交换机再接入到多个BAS上。

所有的BAS通过一个核心路由器（也可以是高端交换机，如：S8505等）连接到互联网上，服务器（CAMS服务器，Portal服务器等）放在机房中，通过一台交换机连到核心路由器上。

目录更新 (2)一、简介 (3)二、安装环境 (4)三、配置 (5)1、ROS配置 (5)2、FreeRadius配置 (9)3、计费系统安装及配置 (11)四、计费系统操作 (13)1)、登录计费认证管理系统 (13)2)、登录界面预览 (13)3)、计费系统详细操作流程 (15)1、添加设备。

(15)2、新建套餐。

(16)3、新建项目。

(17)4、办理开户 (18)5、拨号测试。

(21)6、下线功能。

(24)7、订单暂停 (25)8、账户充值 (26)9、缴费记录 (27)10、用户管理 (28)11、报表功能 (29)12、系统功能 (29)更新更新内容版本号时间作者 一、简介关于ROSROS是RouterOS的缩写，routeros是mikrotik公司的软路由产品。

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。

特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。

RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，基于标准的x86构架的PC。

一台586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。

完全是一套低成本，高性能的路由器系统。

关于FreeRadiusFreeRadius是一套开源、免费的完全兼容RADIUS协议的服务器/客户端软件，可以用它对用户的接入和访问特定的网络进行有效的控制、授权、计费等等，它支持多种验证，包括文件，LDAP以及主流的支持SQL的数据库（ORACLE、MYSQL、DB2等等）。

我们可以使用FREERADIUS来搭建一个3A认证的服务器。

关于MySqlMySQL是一个小型关系型数据库管理系统，开发者为瑞典MySQL AB公司。

Portal协议介绍ISSUE 1.3日期：2009-04-27 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播课程目标学习完本课程，您应该能够：了解Portal典型组网 理解Portal协议原理 熟悉Portal基本配置目录Portal概述 Portal典型组网 Portal协议原理 Portal典型配置 FAQPortal协议概述Portal协议的起源Portal在英语中是入口的意思。

Portal认证通常也称为 Web认证，一般将Portal认证网站称为门户网站。

基本思想：未认证用户上网时，设备强制用户登录到特 定站点，用户可以免费访问其中的服务。

当用户需要使 用互联网中的其它信息时，必须在门户网站进行认证， 只有认证通过后才可以使用互联网资源。

Portal业务可 以为运营商提供方便的管理功能，门户网站可以开展广 告、社区服务等个性化业务。

4目录Portal概述 Portal典型组网 Portal协议原理 Portal典型配置 FAQ典型组网（一）iMC ServerPortal BASGatewayL2 Switch6典型组网（二）iMC ServerPortal BASL3 SwitchGateway7三层Portal与二层Portal的比较三层Portal认证与二层Portal认证的比较组网方式上，三层认证方式的认证客户端和接入设备之间 可以跨接三层转发设备；非三层认证方式则要求认证客户 端和接入设备之间没有三层转发。

三层Portal认证仅以IP地址唯一标识用户；而二层Portal认 证以IP和MAC地址的组合来唯一标识用户。

8典型组网（三）iMC ServerPortal BASGatewayL2 Switch9典型组网（四）AC Portal BAS iMC ServerVLAN 2 Trunk VLAN 10VLAN 1GatewayAP10Portal认证与802.1x认证的比较z Portal认证相对于802.1x认证的优势Æ支持网页方式认证，免客户端安装Æ部署方式灵活、快捷，适合旧网改造z Portal认证的不足之处Æ没有802.1x认证对客户端的控制严格目录Portal概述Portal典型组网 Portal协议原理 Portal典型配置 FAQPortalWeb PortalTransfer HTTPUDP UDPUDPUDP Portal ServerIE iNode PortalKernelBAS AAA ServerPortal 私有协议Portal 协议Radius 协议UDPz协议主体：Portal Server 和Portal设备。

req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

Portal认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。

1.PPPoE通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

在网络拓扑中，主机能与之通信的可能有不只一个网络设备。

在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。

蓝海AP与蓝海免费版Portal配置目录一、环境说明 (2)二、连接拓扑图 (2)三、AP配置 (2)3.1连接登录AP (2)3.1.1获取地址 (2)3.1.2登录AP (3)3.2配置IP (4)3.2.1修改地址 (4)3.2.2配置默认路由 (5)3.3.热点配置 (5)3.3.1热点对接 (5)3.3.2热点访问规则 (7)3.3.3热点DHCP (8)3.3.4热点RADIUS认证参数配置 (8)3.3.5热点高级参数设置 (9)四、PORTAL配置 (11)4.1 FreePortal PORTA的安装 (11)4.2修改地址 (11)4.3登录 (11)4.4配置对接参数 (11)4.5配置NAS记录 (13)4.6添加认证用户 (14)五、用户测试 (15)5.1用户终端连接AP (15)5.2终端登录 (18)5.3终端认证成功 (19)5.4在AP中查看用户在线 (20)注：本案例中蓝海AP采用Coova免费版AP固件。

一、环境说明准备一台电脑安装蓝海免费版的portal 软件（Windows环境下直接安装即可），如何安装详见免费portal软件安装说明。

蓝海胖AP一台，一交换机，交换机与外部网络互通。

一无线终端设备，用于连接无线测试认证和配置胖AP。

二、连接拓扑图三、AP配置3.1连接登录AP3.1.1获取地址将无线网卡设置成自动获取IP地址，连接到NatShell的网络中。

连接后查看网关地址如下图所示：3.2配置IP3.2.1修改地址修改AP的上行口地址为192.168.100.30/24 如下图设置：WAN口连接方式选择为静态IP 方式DNS服务器地址输入你当地运营商提供的地址最后点击“保存”按钮3.2.2配置默认路由添加默认路由目标网络0.0.0.0 子网掩码为0.0.0.0网关地址这里为AP的WAN口的网关地址这里输入192.168.100.1 最后点击“保存”按钮3.3.热点配置3.3.1热点对接如下图所示：热点类型NatShell UAM热点模式仅无线LAN访问热点拒绝自动配置禁用UAM主机名为portal服务器的IP地址这里应填入192.168.100.163UAM密钥为portal服务器与AP的WAN口通信的认证密码，这两设备中的该值(UAM共享密钥)需一致这里为natshell UAM标识该值为识别的符号，无实际意义最后点击“保存”按钮3.3.2热点访问规则进入“热点”—“访问列表”页面，如下图：这里主要添加Portal服务器IP地址这里为192.168.100.163Portal服务器参数设置中的“允许客户端IP地址”即热点的服务端地址10.1.0.1终端用户的DNS服务器地址8.8.8.8 61.139.2.69最后点击该页面下方的“保存”按钮3.3.3热点DHCP进入“热点”—“DHCP”页面，如下图：热点DHCP配置中为系统默认的AP的无线服务端地址和网段默认10.1.0.0/24的网段DNS栏中可填入你当地的DNS可选高级项中的建议跟上面的网段配置一样其他栏目中的参数默认即可。

Portal技术介绍Portal是web应用发展的一个重要趋势，目前几乎所有大的软件厂商都有自己的Portal产品。

并且Portal技术已经形成规范。

本文对Portal技术和产品进行了分析，目的是为公司产品的规划提供参考。

1 Portal的概念根据（JSR (Java Specification Request) 168）的定义，Portal是基于web的应用，它主要作为信息系统的展现层，提供个性化、统一登录和内容整合的功能。

整合就是将不同来源的信息集中展现在一张网页上。

一个Portal可以具有很多个性化参数，用来调整为用户定制的内容。

对于不同用户，一个Portal网页可能由多组不同的页面构件－portlet组成，portlet为不同用户生成不同的定制内容。

Portal网页的内容如图1所示。

Portal网页中的Portlet窗口一般有常规、最大化和最小化三种状态，窗口的状态可以由用户调整。

从上面的定义可以看出，Portal的核心思想是网页个性化，它有两个含义，一是为不同的网页访问者匹配不同的内容，二是为不同的网页访问者提供不同的portlet应用服务，并在所能提供服务的基础上根据访问者的不同相应改变处理流程。

1.1Portal的分类最初的Portal指的是像YahooLycos这样的Internet门户网站。

这些门户网站为用户提供了检索、分类和类似"My Yahoo!"的个性化定制服务，目的是帮助用户更快地找到自己所需要的信息。

这样的Portal被称为Public Portal即面向公众的信息门户。

随着web应用的发展，又出现了Vertical Portal和Enterprise Information Portal。

Vertical Portal 即行业门户，目的是帮助某一行业的商业人员和技术人员找到自已需要的特定行业的商业信息和技术信息。

Enterprise Information Portal（EIP）即企业信息门户。

1、Portal简介Portal在英语中是入口的意思。

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP 访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

2、Portal扩展功能Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。

具体扩展功能如下：∙在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等；∙用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）。

3、Portal系统的组成Portal的典型组网方式如下图所示，它由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

/res/201006/29/20100629_1002766_image002_624142_30003_0.png∙认证客户端：安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。

对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。