portal认证介绍.doc

Portal认证技术 认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。 1. PPPoE 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。 PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。 在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源 （1） PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。 （2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的。 （3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 2、802.1x 802.1x认证，起源于802.11协议，后者是标准的无线局域网协议，802.1x协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）。 802.1x认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP协议。EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。 802.1x最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生。 802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。 缺点： *需要特定客户端软件 *网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题； *IP地址分配和网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题； *计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。 Web+ Portal Portal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表（ACL）可以做到。 用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Server与NAS之间交互来实现用户的认证。 Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信，而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题，通常支持安全性较强的CHAP式认证。 优点： *不需要特殊的客户端软件，降低网络维护工作量 *可以提供Portal等业务认证 缺点： *WEB承载在7层协议上，对于设备的要求较高，建网成本高； * IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。 *认证前后业务流和数据流无法区分 认证方式 WEB/PORTAL 802.1x PPPOE 标准程度 厂家私有 IEEE标准 RFC2516 IP地址 认证前分配 认证后分配 认证后分配 多播支持 好 好 差 客户端软件 不需要 需要 需要 对设备的要求 高（全程VLAN） 低 较高（BAS） Portal简介 Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户 网站。 未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使 用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方 式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站， 从而开始Portal认证过程，这种方式称作强制认证。 Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器。 1. 认证客户端 安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主 机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。 2. 接入设备 交换机、路由器等宽带接入设备的统称，主要有三方面的作用： l 在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 l 在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。 l 在认证通过后，允许用户访问被管理员授权的互联网资源。 3. Portal服务器 接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入 设备交互认证客户端的认证信息。 4. 认证/计费服务器 与接入设备进行交互，完成对用户的认证和计费。 设备内嵌portal-web Server： 设备内嵌portal-web Server能够解析客户端发来的http上线认证、下线，形成认证、下线请求给portal模块，然后根据返回的结果，推出对应的页面给客户端。这样设备就支持web用户直接登录而不需要额外的部署portal server，从而大大加强了portal功能的通用性。 Portal client Portal协议消息 portal Portal-web server http报文 Radius server Radius协议 Portal-web server和portal客户端之间是http协议报文，发送用户的登录请求、下线请求；设备portal-web server解析http请求，封装成portal-web server模块与portal模块之间的消息，传递给portal模块；portal接收到消息后，触发相应的动作，向radius server发送认证、授权和计费报文。 Portal的认证方式 不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的 网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。 二层认证方式 这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源 MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地 Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务。 另外，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN 功能（三层认证方式不支持）。 三层认证方式 这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口 Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式 和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接 入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以 跨接三层转发设备。 1. 直接认证方式 用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务 器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次 地址较为简单。 2. 二次地址分配认证方式 用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设 定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资 源。该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP 地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。 使用内嵌Portal服务器的Portal认证不支持二次地址分配认证方式。 3. 可跨三层认证方式 和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三 层转发设备。 对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址 下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分 配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的 MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。 (1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于 访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过； 对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。Portal 服务器提供Web页面供用户输入用户名和密码来进行认证。 (2) Portal 服 务器与接 入设备之 间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。 (3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备， 同时开启定时器等待认证应答报文。 (4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。 (5) 接入设备向Portal服务器发送认证应答报文。 (6) Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。 (7) 客户端收到认证通过报文后，通过DHCP获得新的公网IP地址，并通知Portal 服务器用户已获得新IP地址。 (8) Portal服务器通知接入设备客户端获得新公网IP地址。 (9) 接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal服务器已 检测到用户IP变化。 (10) Portal服务器通知客户端上线成功。 (11) Portal服务器向接入设备发送IP变化确认报文。 注：可跨三层认证方式省略二次地址分配认证方式的7~11步骤，上线成功后portal服务器向接入设备发送认证应答确认。 Radius认证计费过程分析： Access-request报文 Accouting-request报文 Accounting-response报文 用户下线停止计费报文 Portal认证的配置： 1． 配置RADIUS方案 # 创建名字为portal的RADIUS方案 [Switch] radius scheme portal # 配置RADIUS方案的服务器类型为Portal [Switch-radius-portal] server-type portal # 配置RADIUS方案的主认证和主计费服务器，及其通信密钥 [Switch-radius-portal] primary authentication 10.201.1.204 [Switch-radius-portal] primary accounting 10.201.1.204 [Switch-radius-portal] key accounting 123456 [Switch-radius-portal] key authentication 123456 [Switch-radius-portal] user-name-format without-domain [Switch-radius-portal] quit 2． 配置ISP域 # 创建名字为portal的ISP域 [Switch] domain portal # 创建ISP域引用RADIUS方案portal [Switch-isp-portal] radius-scheme portal [Switch-isp-portal] quit # 配置系统缺省的ISP域为portal（可选） [Switch] domain default enable portal 3． 配置Portal认证 # 配置Portal服务器：名称为newp；IP地址为10.201.1.205；密钥为123456；端口为50100；URL为http://10.201.1.205/port。 [Switch] portal server newp ip 10.201.1.205 key huawei port 50100 url http://10.201.1.205/port # 配置Portal运行方式为直接认证方式 [Switch] portal method direct 4．在与用户PC相连的VLAN接口上使能Portal认证 # 配置VLAN 2 [Switch] vlan 2 [Switch-vlan2] port ethernet 0/1 ethernet 0/2 [Switch] interface vlan-interface 2 [Switch-Vlan-interface2] ip address 10.201.1.1 255.255.0.0 [Switch-Vlan-interface2] quit # 配置VLAN 3 [Switch] vlan 3 [Switch-vlan3] port ethernet 0/3 [Switch-vlan3] quit [Switch] interface vlan-interface 3 [Switch-Vlan-interface3] ip address 172.25.1.1 255.255.0.0 # 在VLAN接口3上使能Portal认证 [Switch-Vlan-interface3] portal newp