华为技术培训教程-DB020015_WEB_认证原理与实现.pptVIP

1 DB020015 WEB认证原理实现 ISSUE 1.0 培训目标 学完本课程后，您应该能： 掌握三种WEB认证原理 掌握WEB认证的流程 WEB 认证在ME60 上的实现 目 录 WEB 认证业务模型 WEB 认证业务类型 WEB 认证在ME60上的实现 目 录 WEB 认证业务模型 WEB 认证业务类型 WEB 认证在ME60上的实现 Web 认证业务模型 目 录 WEB 认证业务模型 WEB 认证业务类型 WEB 认证在ME60上的实现 Web 认证业务类型 目 录 WEB 认证业务模型 WEB 认证业务类型 WEB 认证在ME60上的实现 ME60 Web 认证业务模型 强制Web Vs. 强推Portal ME60的强制WEB 认证流程 ME60的强推Portal 流程 ME60 WEB认证服务的配置 配置Web认证服务器包括以下参数： 服务器的IP地址以及所属的VPN实例； 服务器的端口号； 服务器的共享密钥； ME60是否向服务器上报自己的IP地址。 配置命令 web-auth-server ip-address [ vpn-instance instance-name ] [ port port-number ] [ key key-string ] [ nas-ip-address ] Portal 服务器介绍 WEB 认证Server 通常也同时作为Portal Server 通过强推方式，使用户访问制定网站 通过Portal 可以增强眼球效应 Portal Server 与ME60 之间用Portal协议交互信息 ME60 上WEB 服务器配置步骤 1. 进入系统视图system-view 2. 设置Portal版本号web-auth-server version v2 [ v1 ] 3. 配置监听端口web-auth-server listening-port port 4. 配置ME60发送报文的源接口web-auth-server source interface interface-type interface-number 5. 配置透传RADIUS消息web-auth-server reply-message Copyright ? 2006 Huawei Technologies Co., Ltd. All rights reserved. Page * Copyright ? 2006 Huawei Technologies Co., Ltd. All rights reserved. 谢谢 Web Server RADIUS Server BRAS Access network subscriber1@isp1 ⑤ ④ ③ ② ① 客户发DHCP请求获取IP地址 DHCP 服务器给客户分配IP地址 ⑥ ⑦ Web认证业务类型 客户端主动访问Web服务器 需要输入用户名和密码 Web认证 快速认证 客户端主动访问Web 服务器 不需要输入用户名和密码 密码由BAS接口信息生成 客户不主动访问Web服务器 客户的访问被重定向 需要输入用户名和密码 强制Web认证 Web Server RADIUS Server ME60 Access network subscriber1@isp1 ③ ② ① 客户访问Web认证服务器 1. 直接访问 2. 强制Web认证 ④ ⑤ 用户输入用户名和密码提交快速认证下直接提交 Web认证服务器提取用户密码或者快速认证的用户密码发给ME60 强制Web认证 发生在Web认证后 将客户端首个HTTP报文进行重定向 实现运营商的强推门户需求 强推Portal 发生在Web认证前 用户访问无权访问的网站 设备将它重定向到一个指定站点 检测 通过ACL判断用户的TCP报文（目的PORT=80[HTTP]）是否可以访问目的地，以及CIB表中的是否需要Portal认证标志位，微码可以判断出是否需要一个TCP连接做强制WEB的处理。 建链 微码响应用户的TCP SYN报文，回应SYN ACK，以便建立TCP三步连接。 HTTP重定向 微码将用户的HTTP请求报文上送主机Portal代理模块，Portal代理组装HTTP重定向报文，带上目的服务器的IP地址以及相关的参数，回应给用户。 拆链 微码将用户的FIN报文上送主机，由Portal代理模块回应FIN ACK报文，拆除TCP连接。 检测 通过CIB表中是否需要做强推处理的标志位，微码可以判断出是否需要对用户的TCP连接（目的PORT=80[HTTP]）做强推Portal的处理。 建链 微码响应用户的TCP SYN报文，回应SYN ACK，以便建立TCP三步连接。 H