Portal服务器搭建

前言

Portal认证主要针对用户上网流量（即所有穿过防火墙的流量）进行认证。其中ARP报文、ICMP 报文和DNS报文可以直接通过不需要进行认证。配置Portal认证，需要Portal服

务器。

Portal的典型组网由三个基本要素组成：认证客户端、接入设备、Portal认证/计费服务

器。

1）认证客户端

安装于用户终端的客户端系统，为运行HTTP /HTTPS协议的浏览器。

2）接入设备

交换机、路由器、防火墙等宽带接入设备的统称，主要有三方面的作用：

在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。

在认证过程中，与Portal认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

在认证通过后，允许用户访问被管理员授权的互联网资源。

3）Portal认证/计费服务器

接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

常用拓扑

配置步骤

1. 开启本地安全aaa服务。

Web页面配置→系统→系统安全

2. 配置portal服务器参数。

Web页面配置→用户认证→远程认证→Portal认证→Portal服务器

配置完服务器相关参数，点击按钮。Portal认证的端口默认使用8283端口进

行通信，重定向的URL指的是Portal服务器提供的用户认证跳转到的认证页面地址，默认的访问端口为80端口。

3. 若要添加用户认证的规则，点击按钮进行添加。

4. 添加用户角色定义

添加用户角色在：web配置页面→用户认证→远程认证→Portal认证→用户角色配置。

用户角色的定义，表示一个具有相同权限用户组的集合，通过用户角色的定义，能够

区分不同的用户流量，把其加之在acl策略上就能灵活的控制，区分不同流量的权限。

其中，“用户流量检测”功能是对该用户的流量进行统计，根据配置的时间间隔，如图中则是每三秒钟，统计一次，如果开启了日志记录功能，则每三秒钟统计该用户的流量，并记录在日志中。

“用户保活检测”功能是通过检测用户流量信息，设置最低的保活流量，如果用户流量没有达到最低流量，设备会自动剔除该用户，以节省资源，保证安全。

5. 查看portal在线用户信息

在web配置→用户认证→远程认证→portal认证→portal在线用户

命令行配置

命令行下，portal配置有以下一个命令:

Portal enable 使能Portal认证

Portal http-port 设置Portal认证的端口，默认是80，一般不用配置。Portal role rolename Portal 角色配置,会创建角色并进入角色配置模式

Portal rule Portal规则配置，

如：portal rule rolename destination any source any

Portal server Portal服务器设置，比如:

portal server ip 192.168.31.55 port 8283 keep-alive interval 20 timeout 10

配置服务器IP，端口和保活时间

portal server redirect-url http://192.168.31.55/auth 配置重定向的URL地址

一个完整的例子：

Portal认证原理

防火墙支持Portal认证。下面介绍Portal认证的报文交互过程。

1. 用户访问web，比如，首先发起DNS请求，获取对应域名的ip 地址，然后向该地址发起http请求

2. 请求通过防火墙时，防火墙检查其匹配设定的portal认证条件，拦截该请求，并重定向到设定好的认证地址（portal服务器地址）。

3. 用户在弹出的页面中输入用户名密码

4. Portal服务器获取用户输入的用户名密码，并传送到设定好的radius服务器上进行认证

5. Radius服务器返回认证结果给Portal服务器

6. Portal服务器发送消息给防火墙，通知防火墙认证后的用户名等信息，并且重定向web

到用户之前访问的页面。此时Portal服务器和用户之间会建立保活连接，检测用户是否存在以及是否活动。

7. 防火墙收到Portal发送的消息，放行用户的流量。防火墙和Portal服务器之间会存在保

活连接（这个连接一直存在），交换用户信息并确定Portal服务器的状态。

8. 用户可以正常上网了，直到用户退出。

9. 用户退出可以是用户自己的行为。Portal认证后会有一个页面，上面有个用户退出按钮，

点击退出后即可退出。用户退出也可以是Portal服务器检测到用户不在之后，发送信息给防火墙，告诉防火墙用户已退出。用户退出还可以是防火墙检测用户流量，当低于某个预先设定的值时，防火墙强制将用户下线，并告知给Portal服务器。

10. 用户退出后，要再度访问网络，需要再次认证。

Portal 服务器搭建

为了测试Portal认证功能，必须搭建Portal服务器。开放提供Portal 服务端。试验时

使用了Fedora15 32位版本搭建Portal服务器（不清楚其他系统的兼容情况）。

Fedora 15 安装完成之后，还需要安装以下rpm包，可以通过yum insall 来进行（需要

连接Internet 网）。

试验时Radius和Portal是放到一起的，实际中可以分开。

[root@localhost opzoon]#yum install mysql

[root@localhost opzoon]#yum install mysql-server

[root@localhost opzoon]#yum install mysql-devel

[root@localhost opzoon]#yum install freeradius

[root@localhost opzoon]#yum install freeradius-mysql

[root@localhost opzoon]#yum install php

[root@localhost opzoon]#yum install phpMyAdmin

[root@localhost opzoon]# yum install gcc

安装完成后，关闭防火墙，关闭selinux。

关闭防火墙的方式:

Root用户下使用setup

关闭防火墙，关闭系统服务中iptables 和ipv6tables 两个服务

关闭selinux的方式

Root用户下使用vi /etc/selinux/config 编辑配置文件，

把SELINUX=enforcing改为SELINUX=disabled

然后保存

需要重启才能生效

然后复制Portal服务器的软件包到linux 下，例如放到/home/opzoon 下

然后启用相关服务。

[root@localhost opzoon]#service httpd start

[root@localhost opzoon]#service mysqld start