portal認(rèn)證介紹0002

1、Portal認(rèn)證技術(shù)認(rèn)證技術(shù)是AAA （認(rèn)證，授權(quán)，計(jì)費(fèi)）的初始步驟， AAA 一般包括用戶終端、 AAAClient、AAA Server 和計(jì)費(fèi)軟件四個(gè)環(huán)節(jié)。用戶終端與AAA Client 之間的通信方式通常稱為 ”認(rèn)證PPPoE、Web + Portal、 IEEE802.1x。方式”。目前的主要技術(shù)有以下三種基于web方式的認(rèn)證技術(shù)最廣為人知的一點(diǎn)是不需要在客戶端安裝任何撥號(hào)與認(rèn)證軟件。它能夠處理高層協(xié)議，在網(wǎng)絡(luò)應(yīng)用日益復(fù)雜的形勢(shì)下，很多復(fù)雜的管理要求已經(jīng)涉及到高層協(xié)議，面對(duì)這些要求，基于2、3層的認(rèn)證技術(shù)入 PPPoE 802.1X就無能為力。1. PPPOE通過PPPoE （ Po

2、int-to-Point Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（ Point-to-Point Protocol over Ethernet ）協(xié)議允許通過一個(gè)連接客戶的簡(jiǎn)單以太網(wǎng)橋啟 動(dòng)一個(gè)PPP對(duì)話。PPPoE的建立需要兩個(gè)階段，分別是搜尋階段（ Discovery stage）和點(diǎn)對(duì)點(diǎn)對(duì)話階段（PPP Session stage）。當(dāng)一臺(tái)主機(jī)希望啟動(dòng)一個(gè)PPPoE對(duì)話，它首先必須完成搜尋階段以確定對(duì)端的以太網(wǎng) MAC地址，并建立一個(gè) PPPoE的對(duì)話號(hào)（SESSION_ID ）。在

3、PPP協(xié)議定義了一個(gè)端對(duì)端的關(guān)系時(shí)，搜尋階段是一個(gè)客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機(jī)（客戶端）搜尋并發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與之通信的可能有不只一個(gè)網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機(jī)可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個(gè)。當(dāng)搜索階段順利完成，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。搜索階段將在點(diǎn)對(duì)點(diǎn)對(duì)話建立之前一直存在。一旦點(diǎn)對(duì)點(diǎn)對(duì)話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話階段虛擬接口提供資源（1） PPPoE方式其整個(gè)通信過程都必須進(jìn)行PPPoE封裝，效率較低，由于寬帶接入服務(wù)器要終結(jié)大量的PPP會(huì)話，將其轉(zhuǎn)換為IP數(shù)據(jù)包，使寬帶接入服務(wù)器成為網(wǎng)絡(luò)性能的“瓶

4、頸”。（2） （ 2）由于點(diǎn)對(duì)點(diǎn)的特征， 使組播視頻業(yè)務(wù)開展受到很大的限制，視頻業(yè)務(wù)大部分是基 于組播的。（3）PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響2、802.1X802.1X認(rèn)證，起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1X協(xié)議提出的主要目的：一是通過認(rèn)證和加密來防止無線網(wǎng)絡(luò)中的非法接入，二是想在兩層交換機(jī)上實(shí)現(xiàn)用戶的認(rèn)證，以降低整個(gè)網(wǎng)絡(luò)的成本。其基本思想是基于端口的網(wǎng)絡(luò)訪問控制，即通過控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種In ternet 接入等）。業(yè)務(wù)（如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，802.1X

5、認(rèn)證僅僅在認(rèn)證階段采用EAPOL（EAP encapsulation over LANs ）報(bào)文，認(rèn)證之后的通信過程中采用 TCP/IP協(xié)議。EAP （ Extensible Authentication Protocol擴(kuò)展認(rèn)證協(xié)議）是對(duì)PPP協(xié)議的擴(kuò)展，EAP對(duì)PPP的擴(kuò)展之一就是讓提供認(rèn)證服務(wù)的交換機(jī)從認(rèn)證 過程中解脫出來，而僅僅是中轉(zhuǎn)用戶和認(rèn)證服務(wù)器之間的EAP包，所有復(fù)雜的認(rèn)證操作都由用戶終端和認(rèn)證服務(wù)器完成。802.1X最大的優(yōu)點(diǎn)就是業(yè)務(wù)流與控制流分離，一旦認(rèn)證通過，所有業(yè)務(wù)流與認(rèn)證系統(tǒng)相分離，有效地避免了網(wǎng)絡(luò)瓶頸的產(chǎn)生。802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)

6、無需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。缺點(diǎn)：*需要特定客戶端軟件*網(wǎng)絡(luò)現(xiàn)有樓道交換機(jī)的問題：由于802.1X是比較新的二層協(xié)議，要求樓道交換機(jī)支持認(rèn)證報(bào)文透?jìng)骰蛲瓿烧J(rèn)證過程，因此在全面采用該協(xié)議的過程中，存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問題；*IP地址分配和網(wǎng)絡(luò)安全問題：802.1X協(xié)議是一個(gè)2層協(xié)議，只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制，對(duì)于完成端口認(rèn)證后，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題，因此，單靠以太網(wǎng)交換機(jī)+802.1X，無法全面解決城域網(wǎng)以太接入的可運(yùn)營(yíng)、可管理以及接入安全性等方面的問題；*計(jì)費(fèi)問題：8

7、02.1X協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長(zhǎng)計(jì)費(fèi)，不能對(duì)流量 進(jìn)行統(tǒng)計(jì)，因此無法開展基于流量的計(jì)費(fèi)或滿足用戶永遠(yuǎn)在線的要求。IP地址（也可以使用靜態(tài)，在認(rèn)證通過前只能訪問米用 Portal認(rèn)證的接入設(shè)Web+ PortalPortal認(rèn)證的基本過程是：客戶機(jī)首先通過DHCP協(xié)議獲取到IP地址），但是客戶使用獲取到的IP地址并不能登上In ternet特定的IP地址，這個(gè)地址通常是PORTAL服務(wù)器的IP地址。ACL ）可以做到。備必須具備這個(gè)能力。一般通過修改接入設(shè)備的訪問控制表（用戶登錄到P ortal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費(fèi)信息，同時(shí) 用戶還可

8、以在網(wǎng)頁上輸入用戶名和密碼，它們會(huì)被WEB客戶端應(yīng)用程序傳給PortalServer，再由Portal Server 與NAS之間交互來實(shí)現(xiàn)用戶的認(rèn)證。Portal Server在獲得用戶的用戶名和密碼外，還會(huì)得到用戶的IP地址，以它為索引來標(biāo)識(shí)用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因?yàn)榘踩珕栴}，通常支持安全性較強(qiáng)的CHAP式認(rèn)證。優(yōu)點(diǎn)：*不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量*可以提供Portal等業(yè)務(wù)認(rèn)證 缺點(diǎn)：*WEB承載在7層協(xié)議上，對(duì)于設(shè)備的要求較高，建網(wǎng)成本高；* IP地址

9、的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會(huì)造成地址的浪費(fèi)，而且不便 于多ISP的支持。*認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分認(rèn)證方式Web/portal802.1XPPPOE標(biāo)準(zhǔn)程度廠家私有IEEE標(biāo)準(zhǔn)RFC2516|lP地址認(rèn)證前分配認(rèn)證后分認(rèn)證后分配多播支持客戶端軟件不需要需要需要對(duì)設(shè)備的要求高（全程VLAN ）較高（BAS）Portal簡(jiǎn)介Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為 Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站 稱為門戶 網(wǎng)站。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使 用互聯(lián)網(wǎng)中的其它信息時(shí)， 源。用戶可以主動(dòng)訪問已

10、知的 認(rèn)證的方 式稱作主動(dòng)認(rèn)證。反之， 網(wǎng)站， 從而開始Portal認(rèn)證過程，這種方式稱作強(qiáng)制認(rèn)證。Portal典型組網(wǎng)由4個(gè)元素組成：認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器。1. 認(rèn)證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運(yùn)行HTTP/HTTP勃議的瀏覽器或運(yùn)行 Portal客戶端軟件 的主機(jī)。對(duì)接入終端的安全性檢測(cè)是通過Portal客戶端和安全策略服務(wù)器之間的信息交流完成的。2. 接入設(shè)備交換機(jī)、路由器等寬帶接入設(shè)備的統(tǒng)稱，主要有三方面的作用：在認(rèn)證之前，將認(rèn)證網(wǎng)段內(nèi)用戶的所有HTTP請(qǐng)求都重定向到 Portal服務(wù)器。在認(rèn)證過程中，與Portal服務(wù)器、安全策略服務(wù)器、

11、認(rèn)證 /計(jì)費(fèi)服務(wù)器交互，完成身份 認(rèn)證/安全認(rèn)證/計(jì)費(fèi)的功能。在認(rèn)證通過后，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。3. Portal必須在門戶網(wǎng)站進(jìn)行認(rèn)證， 只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資Portal認(rèn)證網(wǎng)站，輸入用戶名和密碼進(jìn)行認(rèn)證，這種開始Portal如果用戶試圖通過 HTTP訪問其他外網(wǎng)，將被強(qiáng)制訪問Portal認(rèn)證服務(wù)器接收Portal客戶端認(rèn)證請(qǐng)求的服務(wù)器端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于 與接入 設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。4. 認(rèn)證/計(jì)費(fèi)服務(wù)器 與接入設(shè)備進(jìn)行交互，完成對(duì)用戶的認(rèn)證和計(jì)費(fèi)。設(shè)備內(nèi)嵌 Portal-web Server:設(shè)備內(nèi)嵌portal-web Server能夠

12、解析客戶端發(fā)來的http上線認(rèn)證、下線，形成認(rèn)證、下線請(qǐng)求給portal模塊，然后根據(jù)返回的結(jié)果，推出對(duì)應(yīng)的頁面給客戶端。這樣設(shè)備就支 持web用戶直接登錄而不需要額外的部署Portal server通用性。Web認(rèn)證的界面,，從而大大加強(qiáng)了portal功能的P ortal client http 報(bào)文Portal-we線請(qǐng)求；H-Pobal 血 殳備ePO仙vePort?h 協(xié)議ta息web server客客戶端之解析httPRadius間是請(qǐng)求Radius協(xié)議server協(xié)議報(bào)文，發(fā)送用戶的登錄請(qǐng)求、下圭寸裝成 Portal-web server 模塊與 portalhttpserver模

13、塊之間的消息，傳遞給 portal 模塊； portal 接收到消息后， 觸發(fā)相應(yīng)的動(dòng)作，向 radius server 發(fā)送認(rèn)證、授權(quán)和計(jì)費(fèi)報(bào)文。Portal 的認(rèn)證方式不同的組網(wǎng)方式下，可采用的 Portal 認(rèn)證方式不同。按照網(wǎng)絡(luò)中實(shí)施 Portal 認(rèn)證的 網(wǎng)絡(luò)層次來分， Portal 的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。二層認(rèn)證方式 這種方式支持在接入設(shè)備連接用戶的二層端口上開啟 Portal 認(rèn)證功能，只允許源 MAC地址通過認(rèn)證的用戶才能訪問外部網(wǎng)絡(luò)資源。目前，該認(rèn)證方式僅支持本地 Portal認(rèn)證，即接入設(shè)備作為本地Portal服務(wù)器向用戶提供 Web認(rèn)證服務(wù)。另外

14、，該方式還支持服務(wù)器下發(fā)授權(quán)VLAN和將認(rèn)證失敗用戶加入認(rèn)證失敗VLAN功能（三層認(rèn)證方式不支持） 。三層認(rèn)證方式 這種方式支持在接入設(shè)備連接用戶的三層接口上開啟 Portal 認(rèn)證功能。三層接口 Portal 認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式 和可跨三層認(rèn)證方式。直接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶端和接 入設(shè)備之間沒有三層轉(zhuǎn)發(fā)；可跨三層認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間可以 跨接三層轉(zhuǎn)發(fā)設(shè)備。DHCf直接獲取一個(gè)IP地址，只能訪問 Portal服務(wù)認(rèn)證流程相對(duì)二次1. 直接認(rèn)證方式 用戶在認(rèn)證前通過手工配置或器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過

15、后即可訪問網(wǎng)絡(luò)資源。 地址較為簡(jiǎn)單。Portal 服務(wù)器，以及設(shè)IP 地址，即可訪問網(wǎng)絡(luò)資IP2. 二次地址分配認(rèn)證方式 用戶在認(rèn)證前通過 DHCF獲取一個(gè)私網(wǎng)IP地址，只能訪問 定的免費(fèi)訪問地址；認(rèn)證通過后，用戶會(huì)申請(qǐng)到一個(gè)公網(wǎng)IP。源。該認(rèn)證方式解決了 IP 地址規(guī)劃和分配問題，對(duì)未認(rèn)證通過的用戶不分配公網(wǎng) 地址。例如運(yùn)營(yíng)商對(duì)于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時(shí)才分配公網(wǎng) 使用內(nèi)嵌 Portal 服務(wù)器的 Portal 認(rèn)證不支持二次地址分配認(rèn)證方式。3. 可跨三層認(rèn)證方式 和直接認(rèn)證方式基本相同，但是這種認(rèn)證方式允許認(rèn)證用戶和接入設(shè)備之間跨越三 層轉(zhuǎn)發(fā)設(shè)備。對(duì)于以上三種認(rèn)證方式， IP

16、地址都是用戶的唯一標(biāo)識(shí)。接入設(shè)備基于用戶的 IP 地址 下發(fā)ACL對(duì)接口上通過認(rèn)證的用戶報(bào)文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分 配認(rèn)證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶的 MAC地址，接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對(duì)用戶報(bào)文轉(zhuǎn)發(fā)的控制粒度。（1） Portal 用戶通過HTTP協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過接入設(shè)備時(shí)，對(duì)于訪問Portal服務(wù)器或設(shè)定的免費(fèi)訪問地址的HTTP報(bào)文，接入設(shè)備允許其通過；對(duì)于訪問其它地址的 HTT P報(bào)文，接入設(shè)備將其重定向到Portal服務(wù)器。Portal(2) PortalAuthentication Protocol

17、Authentication Protocol(3) Portal服務(wù)器提供 Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。服 務(wù)器與接 入設(shè)備之 間進(jìn)行 CHAP（Challenge Handshake ，質(zhì)詢握手驗(yàn)證協(xié)議）認(rèn)證交互。若采用PAP（ Password，密碼驗(yàn)證協(xié)議）認(rèn)證則直接進(jìn)入下一步驟。服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請(qǐng)求報(bào)文發(fā)往接入設(shè)備， 同時(shí)開啟定時(shí)器等待認(rèn)證應(yīng)答報(bào)文。(4) 接入設(shè)備與 RADIUS服務(wù)器之間進(jìn)行 RADIUS協(xié)議報(bào)文的交互。(5) 接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報(bào)文。(6) Portal服務(wù)器向客戶端發(fā)送認(rèn)證通過報(bào)文，通知客戶端認(rèn)證(

18、上線)成功。(7) 客戶端收到認(rèn)證通過報(bào)文后，通過DHCP獲得新的公網(wǎng)IP地址，并通知Portal服務(wù)器用戶已獲得新IP地址。(8) Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。IP變化。服務(wù)器通知客戶端上線成功。服務(wù)器向接入設(shè)備發(fā)送IP變化確認(rèn)報(bào)文。711步驟，上線成功后Portal服務(wù)器(9) 接入設(shè)備通過檢測(cè) ARP協(xié)議報(bào)文發(fā)現(xiàn)了用戶IP變化，并通告Portal服務(wù)器已 檢測(cè)到用戶(10) Portal(11) Portal注：可跨三層認(rèn)證方式省略二次地址分配認(rèn)證方式的 向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。Radius認(rèn)證計(jì)費(fèi)過程分析:Access-request 報(bào)文 Accout

19、i ng-request報(bào)文Acco untin g-res ponse報(bào)文用戶下線停止計(jì)費(fèi)報(bào)文Portal認(rèn)證的配置：1. 配置RADIUS方案#創(chuàng)建名字為portal的RADIUS方案Switch radius scheme portal#配置RADIUS方案的服務(wù)器類型為PortalSwitch-radius-p ortal server-t ype p ortal#配置RADIUS方案的主認(rèn)證和主計(jì)費(fèi)服務(wù)器，及其通信密鑰Switch-radius-p ortal primary authe nticatio n 04Switch-radius-portal prim

20、ary accou nting 04Switch-radius-portal key accou nting 123456Switch-radius-portal key authe nticati on 123456Switch-radius-po rtal user- name-format without-doma inSwitch-radius-po rtal quit2. 配置ISP域#創(chuàng)建名字為portal的ISP域Switch doma in p ortal#創(chuàng)建ISP域引用RADIUS方案portalSwitch-is p-po rtal radius-scheme p ortalSwitch-is p-po rtal quit#配置系統(tǒng)缺省的ISP域?yàn)閜ortal（可選）Switch doma in default en able p ortal3. 配置Port