网络工程规划与设计案例教程项目三_任务三_portal认证介绍.doc

Portal认证技术 目 录 1. Portal简介 1 2. 设备内嵌portal-web Server 2 3. Portal的认证方式 2 3.1 二层认证方式 2 3.2 三层认证方式 3 4. Radius认证计费过程分析 5 Portal简介 Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。 未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。 Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器。 图1 Portal典型组网方式 （1）认证客户端 安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。 （2）接入设备 交换机、路由器等宽带接入设备的统称，主要有三方面的作用： ①在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 ②在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。 ③在认证通过后，允许用户访问被管理员授权的互联网资源。 （3）Portal服务器 接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 （4）认证/计费服务器 与接入设备进行交互，完成对用户的认证和计费。 设备内嵌portal-web Server 设备内嵌portal-web Server能够解析客户端发来的http上线认证、下线，形成认证、下线请求给portal模块，然后根据返回的结果，推出对应的页面给客户端。这样设备就支持web用户直接登录而不需要额外的部署portal server，从而大大加强了portal功能的通用性。 http报文 Radius协议 图2 设备内嵌portal-web Server工作流程 Portal-web server和portal客户端之间是http协议报文，发送用户的登录请求、下线请求；设备portal-web server解析http请求，封装成portal-web server模块与portal模块之间的消息，传递给portal模块；portal接收到消息后，触发相应的动作，向radius server发送认证、授权和计费报文。 Portal的认证方式 不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。 二层认证方式 这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务。 另外，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能（三层认证方式不支持）。 三层认证方式 这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。 （1）直接认证方式 用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次地址较为简单。 （2）二次地址分配认证方式 用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源。该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。 使用内嵌Po