web认证流程及常见问题分解.ppt

web认证流程及常见问题分析 2010.12.16 junky What’s WEB认证 WEB+Portal认证流程 常见问题分析 * GO 认证技术是AAA（认证，授权， 计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为认证方式。目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。 三种方式的技术优缺点 PPPoE 优点： 是传统PSTN窄带拨号接入技术在以太网接入技术的延伸 和原有窄带网络用户接入认证体系一致 最终用户相对比较容易接收 缺点： PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低 PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 组播业务开展困难，而视频业务大部分是基于组播的 需要运营商提供客户终端软件，维护工作量过大 PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵 WEB+Portal 优点： 不需要特殊的客户端软件，降低网络维护工作量 可以提供Portal等业务认证 缺点： WEB承载在7层协议上，对于设备的要求较高，建网成本高 用户连接性差，不容易检测用户离线，基于时间的计费较难实现 易用性不够好，用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证 IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持 8021X 优点： 802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本 通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求 缺点： 需要特定客户端软件 网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题 IP地址分配和 网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地 址分配、三层网络安全等问题，因此，单靠以太网交换机＋802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题 计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求 综合比较 GO WEB认证流程 用户开始部分 流程描述 用户无线成功链接瘦AP 用户DHCP获取IP地址，地址一般由AC分配 用户HTTP 请求上网，AC推送Portal URL，携带ssid、userip、ACname等信息 Portal Server返回请求页面 与Portal Server 交互流程 流程描述 与Portal交互流程，有CHAP和PAP两种 用户上线CHAP认证流程 用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面 用户填入用户名、密码，提交页面，向Portal Server发起连接请求 Portal Server向AC请求Challenge AC分配Challenge给Portal Server Portal Server向AC发起认证请求 而后AC进行RADIUS认证，获得RADIUS认证结果 AC向Portal Server送认证结果 Portal Server将认证结果填入页面，和门户网站一起推送给客户 Portal Server回应确认收到认证结果的报文 用户上线PAP认证流程 用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面 用户填入用户名、密码，提交页面，向Portal Server发起连接请求 Portal Server向AC发起认证请求 而后AC进行RADIUS认证，获得RADIUS认证结果 AC向Portal Server送认证结果 Portal Server将认证结果填入页面，和门户网站一起推送给客户 Portal Server回应确认收到认证结果的报文 与Radius Server 交互流程 流程描述 与Portal服务器认证流程成功结束后由Portal服务器发起认证请求 AC