Portal认证技术
日期: 2019/8/16 浏览: 5 来源: 学海网收集整理 作者: 学海网
目录
1. Portal简介 1
2. 设备内嵌portal-web Server 2
3. Portal的认证方式 2
3.1 二层认证方式 2
3.2 三层认证方式 3
4. Radius认证计费过程分析 5
1. Portal简介
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal典型组网由4个元素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器。
图1 Portal典型组网方式
(1)认证客户端
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
(2)接入设备
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
①在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
②在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
③在认证通过后,允许用户访问被管理员授权的互联网资源。
(3)Portal服务器
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
(4)认证/计费服务器
与接入设备进行交互,完成对用户的认证和计费。
2. 设备内嵌portal-web Server
设备内嵌portal-web Server能够解析客户端发来的http上线认证、下线,形成认证、下线请求给portal模块,然后根据返回的结果,推出对应的页面给客户端。这样设备就支持web用户直接登录而不需要额外的部署portal server,从而大大加强了portal功能的通用性。
图2 设备内嵌portal-web Server工作流程
Portal-web server和portal客户端之间是http协议报文,发送用户的登录请求、下线请求;设备portal-web server解析http请求,封装成portal-web server模块与portal模块之间的消息,传递给portal模块;portal接收到消息后,触发相应的动作,向radius server发送认证、授权和计费报文。
3. Portal的认证方式
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
3.1 二层认证方式
这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。
另外,该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能(三层认证方式不支持)。
3.2 三层认证方式
这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
(1)直接认证方式
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。
(2)二次地址分配认证方式
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
使用内嵌Portal服务器的Portal认证不支持二次地址分配认证方式。
(3)可跨三层认证方式
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。
图3 认证过程
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal 服 务器与接 入设备之 间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
注:可跨三层认证方式省略二次地址分配认证方式的7~11步骤,上线成功后portal服务器向接入设备发送认证应答确认。
4. Radius认证计费过程分析
图4 Access-request报文
图5 Accouting-request报文
图6 Accounting-response报文
图7 用户下线停止计费报文
图8 Portal认证的配置
