portal配置总结.docxVIP

portal简介和认证流程：portal是一种用web页面来进行认证的认证机制，通过提供给上网用户一个web页面访问点进行用户身份认证，在认证成功前用户不能真正上网，访问任何页面都会被强制转换到portal提供的认证页面。Portal认证的实现:在用户端不用安装专门的客户端，只需浏览器即可。通过ac,portal，radius服务器，用户四者的数据交互完成portal认证的整个流程。Portal认证流程主要分为以下几步：1.用户与AC交互用户发起http请求，AC在配置的制定接口监听到http请求后，向用户返回重定向报文（http 302），用户访问302报文提供的portal页面地址，开始与portal进行交互:(由用户00向发起的http请求，ac监听到以后，返回一个http302报文，其中包含portal页面的地址，并把源ip填写成，)，用户根据该地址，与针对这一步骤的说明：1)Iptables介绍:ac对报文监听和阻截的功能通过iptables实现，iptables是unix 的内置firewall机制，由一系列的规则链表组成，链表的每一表项包括对源，目的，匹配后的处理动作（target），协议几个部分。实现过程如下：当数据包进入AC时，Linux Kernel会查找对应的链，直到找到一条规则与数据包匹配（源和目的ip均匹配）。匹配后，如果该规则的target是ACCEPT，则整个匹配过程结束，跳过剩下的规则，数据包被发送。如果该规则的target是DROP，该数据包会被拦截掉，匹配过程结束，不会再参考其他规则，如果target是另一个链表的名称，则跳转到相应的链表，这种表称为内层链表，好处在于使匹配过程更易管理和明晰。如果该规则的target是RETURN，不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。匹配过程按顺序执行和跳转，如果从始至终都没有一条规则与数据包匹配，而且表末尾又没有drop规则，那末该数据包会被accept。Iptables总的原则就是丢弃多数，允许少数：默认丢弃，符合规则的允许Iptables中的这些规则其实就是在 web页面的配置内容，(比如白名单配置的内容是accept，黑名单是drop，监听端口是增加相应的规则链表)可以通过iptables命令查看和修改这些规则链表，但测试时只需通过查看链表以确定页面配置规则的下发结果是否正确即可，不用修改。例：白名单,portal重定向ip:，监听vlan100:和vlan300:14不匹配流：30(红)符合白名单流：（绿）符合监听的流：（蓝）2)推送页面：portal页面存放于AC上/www/目录下，AC有默认的portal页面,也可以通过ftp上传页面到该目录下，在多portal一项里添加将要推送的页面地址（可以发送多个url，比如广告页面）。测试的时候可以直接拷贝302报文里边这个返回的网址来访问，以确定portal页面的有效性。2．用户和portal的交互，用户通过认证界面，输入用户名密码给portal 这一步实际上就是用户和portal动态网页之间的交互，具体目的就是网页获取用户的用户名密码，使用页面代码决定的加密等机制。Portal开始和ac交互:目的是portal将用户名密码发给ac,这一过程通过ac和portal之间的三个报文实现：报文使用udp报文2000端口：1）portal向AC发送认证请求，数据包的类型为01，字节数16 2) AC回应portal的认证请求，并发送挑战给portal ,类型02，字节数34挑战方把一段随机字符串发送给被挑战方，被挑战方使用该字符串作为密钥加密字符后把被加密过的字符返回给挑战方，挑战方再使用自己的字符串进行解密得到密码。由于每次连接的随机字符串可能不通所以即使有个别情况下被监听也能够保证密码安全3）portal通过挑战回应发送用户名和密码给AC,类型02，字节数394.ac开始和radius交互： 目的是对用户名密码进行认证，利用radius协议，完成对用户Radius协议介绍：基本特点：采用客户/服务器模式， AC充当NAS即客户端负责将用户信息传递给指 定的RADIUS服务器，然后处理RADIUS服务器的回应。RADIUS服务器负责接收用户连接请求， 认证用户.两者通过共享密钥来进行相互认证的，并且该密钥不会通过网络传送。两者间传送的用户密码也是加密的。RADIUS可支持多种加密方式，以匹配不同用户使用的加密方式。选择使用RADIUS协议进行认证，客户端生成一个包含用户名，用户密码，客户端的ID号，以及用户接入的 端口号ID属性的接入请求报文。当提供用户密码时，用户密码都被用MD5算法隐藏起来。接入请求，无回应则可以重传，然后选择备用服务器Sever根据请