portal认证介绍资料.doc

Portal认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节用户终端与AAA Client之间的通信方式通常称为"认证方式"目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力1. PPPoE 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）在网络拓扑中，主机能与之通信的可能有不只一个网络设备在搜寻阶段，主机可以发现所有的网络设备但只能选择一个当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息搜索阶段将在点对点对话建立之前一直存在一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1） PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 2、802.1x802.1x认证，起源于802.11协议，后者是标准的无线局域网协议，802.1x协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。

其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）802.1x认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP协议EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成802.1x最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本 缺点：*需要特定客户端软件*网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；*IP地址分配和网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题；*计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远的要求。

Web+ PortalPortal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址采用Portal认证的接入设备必须具备这个能力一般通过修改接入设备的访问控制表（ACL）可以做到用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Server与NAS之间交互来实现用户的认证Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，以它为索引来标识用户然后Portal Server 与NAS之间用Portal协议直接通信，而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程因为安全问题，通常支持安全性较强的CHAP式认证优点：*不需要特殊的客户端软件，降低网络维护工作量*可以提供Portal等业务认证缺点：*WEB承载在7层协议上，对于设备的要求较高，建网成本高；* IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。

认证前后业务流和数据流无法区分认证方式WEB/PORTAL802.1xPPPOE标准程度厂家私有IEEE标准RFC2516IP地址认证前分配认证后分配认证后分配多播支持好好差 客户端软件不需要需要需要对设备的要求高（全程VLAN）低较高（BAS）Portal简介Portal在英语中是入口的意思Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器 1. 认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。

对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：l 在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器l 在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能l 在认证通过后，允许用户访问被管理员授权的互联网资源3. Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息4. 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费设备内嵌portal-web Server： 设备内嵌portal-web Server能够解析客户端发来的http上线认证、下线，形成认证、下线请求给portal模块，然后根据返回的结果，推出对应的页面给客户端这样设备就支持web用户直接登录而不需要额外的部署portal server，从而大大加强了portal功能的通用性Portal client Portal协议消息 portalPortal-web server http报文Radius server Radius协议Portal-web server和portal客户端之间是http协议报文，发送用户的登录请求、下线请求；设备portal-web server解析http请求，封装成portal-web server模块与portal模块之间的消息，传递给portal模块；portal接收到消息后，触发相应的动作，向radius server发送认证、授权和计费报文。

Portal的认证方式不同的组网方式下，可采用的Portal认证方式不同按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式二层认证方式这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务另外，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能（三层认证方式不支持）三层认证方式这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备1. 直接认证方式用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源认证流程相对二次地址较为简单。

2. 二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP使用内嵌Portal服务器的Portal认证不支持二次地址分配认证方式3. 可跨三层认证方式和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备对于以上三种认证方式，IP地址都是用户的唯一标识接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以。