1、Portal認證技術認證技術是AAA （認證，授權，計費）的初始步驟， AAA 一般包括用戶終端、 AAAClient、AAA Server 和計費軟件四個環節。用戶終端與AAA Client 之間的通信方式通常稱為 ”認證PPPoE、Web + Portal、 IEEE802.1x。方式”。目前的主要技術有以下三種基于web方式的認證技術最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟件。它能夠處理高層協議，在網絡應用日益復雜的形勢下，很多復雜的管理要求已經涉及到高層協議，面對這些要求，基于2、3層的認證技術入 PPPoE 802.1X就無能為力。1. PPPOE通過PPPoE （ Po

2、int-to-Point Protocol over Ethernet）協議，服務提供商可以在以太網上實現PPP協議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（ Point-to-Point Protocol over Ethernet ）協議允許通過一個連接客戶的簡單以太網橋啟 動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段（ Discovery stage）和點對點對話階段（PPP Session stage）。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網 MAC地址，并建立一個 PPPoE的對話號（SESSION_ID ）。在

3、PPP協議定義了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發現一個網絡設備（服務器端）。在網絡拓撲中，主機能與之通信的可能有不只一個網絡設備。在搜尋階段，主機可以發現所有的網絡設備但只能選擇一個。當搜索階段順利完成，主機和網絡設備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網絡設備都必須為點對點對話階段虛擬接口提供資源（1） PPPoE方式其整個通信過程都必須進行PPPoE封裝，效率較低，由于寬帶接入服務器要終結大量的PPP會話，將其轉換為IP數據包，使寬帶接入服務器成為網絡性能的“瓶

4、頸”。（2） （ 2）由于點對點的特征， 使組播視頻業務開展受到很大的限制，視頻業務大部分是基 于組播的。（3）PPPoE在發現階段會產生大量的廣播流量，對網絡性能產生很大的影響2、802.1X802.1X認證，起源于802.11協議，后者是標準的無線局域網協議，802.1X協議提出的主要目的：一是通過認證和加密來防止無線網絡中的非法接入，二是想在兩層交換機上實現用戶的認證，以降低整個網絡的成本。其基本思想是基于端口的網絡訪問控制，即通過控制面向最終用戶的以太網端口，使得只有網絡系統允許并授權的用戶可以訪問網絡系統的各種In ternet 接入等）。業務（如以太網連接，網絡層路由，802.1X

5、認證僅僅在認證階段采用EAPOL（EAP encapsulation over LANs ）報文，認證之后的通信過程中采用 TCP/IP協議。EAP （ Extensible Authentication Protocol擴展認證協議）是對PPP協議的擴展，EAP對PPP的擴展之一就是讓提供認證服務的交換機從認證 過程中解脫出來，而僅僅是中轉用戶和認證服務器之間的EAP包，所有復雜的認證操作都由用戶終端和認證服務器完成。802.1X最大的優點就是業務流與控制流分離，一旦認證通過，所有業務流與認證系統相分離，有效地避免了網絡瓶頸的產生。802.1X協議為二層協議，不需要到達三層，而且接入層交換機

6、無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。缺點：*需要特定客戶端軟件*網絡現有樓道交換機的問題：由于802.1X是比較新的二層協議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協議的過程中，存在對已經在網上的用戶交換機的升級處理問題；*IP地址分配和網絡安全問題：802.1X協議是一個2層協議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網絡后，需要繼續解決用戶IP地址分配、三層網絡安全等問題，因此，單靠以太網交換機+802.1X，無法全面解決城域網以太接入的可運營、可管理以及接入安全性等方面的問題；*計費問題：8

7、02.1X協議可以根據用戶完成認證和離線間的時間進行時長計費，不能對流量 進行統計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。IP地址（也可以使用靜態，在認證通過前只能訪問米用 Portal認證的接入設Web+ PortalPortal認證的基本過程是：客戶機首先通過DHCP協議獲取到IP地址），但是客戶使用獲取到的IP地址并不能登上In ternet特定的IP地址，這個地址通常是PORTAL服務器的IP地址。ACL ）可以做到。備必須具備這個能力。一般通過修改接入設備的訪問控制表（用戶登錄到P ortal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時 用戶還可

8、以在網頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給PortalServer，再由Portal Server 與NAS之間交互來實現用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。優點：*不需要特殊的客戶端軟件，降低網絡維護工作量*可以提供Portal等業務認證 缺點：*WEB承載在7層協議上，對于設備的要求較高，建網成本高；* IP地址

9、的分配在用戶認證前，如果用戶不是上網用戶，則會造成地址的浪費，而且不便 于多ISP的支持。*認證前后業務流和數據流無法區分認證方式Web/portal802.1XPPPOE標準程度廠家私有IEEE標準RFC2516|lP地址認證前分配認證后分認證后分配多播支持客戶端軟件不需要需要需要對設備的要求高（全程VLAN ）較高（BAS）Portal簡介Portal在英語中是入口的意思。Portal認證通常也稱為 Web認證，一般將Portal認證網站 稱為門戶 網站。未認證用戶上網時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使 用互聯網中的其它信息時， 源。用戶可以主動訪問已

10、知的 認證的方 式稱作主動認證。反之， 網站， 從而開始Portal認證過程，這種方式稱作強制認證。Portal典型組網由4個元素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器。1. 認證客戶端安裝于用戶終端的客戶端系統，為運行HTTP/HTTP勃議的瀏覽器或運行 Portal客戶端軟件 的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統稱，主要有三方面的作用：在認證之前，將認證網段內用戶的所有HTTP請求都重定向到 Portal服務器。在認證過程中，與Portal服務器、安全策略服務器、

11、認證 /計費服務器交互，完成身份 認證/安全認證/計費的功能。在認證通過后，允許用戶訪問被管理員授權的互聯網資源。3. Portal必須在門戶網站進行認證， 只有認證通過后才可以使用互聯網資Portal認證網站，輸入用戶名和密碼進行認證，這種開始Portal如果用戶試圖通過 HTTP訪問其他外網，將被強制訪問Portal認證服務器接收Portal客戶端認證請求的服務器端系統，提供免費門戶服務和基于 與接入 設備交互認證客戶端的認證信息。4. 認證/計費服務器 與接入設備進行交互，完成對用戶的認證和計費。設備內嵌 Portal-web Server:設備內嵌portal-web Server能夠

12、解析客戶端發來的http上線認證、下線，形成認證、下線請求給portal模塊，然后根據返回的結果，推出對應的頁面給客戶端。這樣設備就支 持web用戶直接登錄而不需要額外的部署Portal server通用性。Web認證的界面,，從而大大加強了portal功能的P ortal client http 報文Portal-we線請求；H-Pobal 血 殳備ePO仙vePort?h 協議ta息web server客客戶端之解析httPRadius間是請求Radius協議server協議報文，發送用戶的登錄請求、下圭寸裝成 Portal-web server 模塊與 portalhttpserver模

13、塊之間的消息，傳遞給 portal 模塊； portal 接收到消息后， 觸發相應的動作，向 radius server 發送認證、授權和計費報文。Portal 的認證方式不同的組網方式下，可采用的 Portal 認證方式不同。按照網絡中實施 Portal 認證的 網絡層次來分， Portal 的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式 這種方式支持在接入設備連接用戶的二層端口上開啟 Portal 認證功能，只允許源 MAC地址通過認證的用戶才能訪問外部網絡資源。目前，該認證方式僅支持本地 Portal認證，即接入設備作為本地Portal服務器向用戶提供 Web認證服務。另外

14、，該方式還支持服務器下發授權VLAN和將認證失敗用戶加入認證失敗VLAN功能（三層認證方式不支持） 。三層認證方式 這種方式支持在接入設備連接用戶的三層接口上開啟 Portal 認證功能。三層接口 Portal 認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式 和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接 入設備之間沒有三層轉發；可跨三層認證方式下，認證客戶端和接入設備之間可以 跨接三層轉發設備。DHCf直接獲取一個IP地址，只能訪問 Portal服務認證流程相對二次1. 直接認證方式 用戶在認證前通過手工配置或器，以及設定的免費訪問地址；認證通過

15、后即可訪問網絡資源。 地址較為簡單。Portal 服務器，以及設IP 地址，即可訪問網絡資IP2. 二次地址分配認證方式 用戶在認證前通過 DHCF獲取一個私網IP地址，只能訪問 定的免費訪問地址；認證通過后，用戶會申請到一個公網IP。源。該認證方式解決了 IP 地址規劃和分配問題，對未認證通過的用戶不分配公網 地址。例如運營商對于小區寬帶用戶只在訪問小區外部資源時才分配公網 使用內嵌 Portal 服務器的 Portal 認證不支持二次地址分配認證方式。3. 可跨三層認證方式 和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三 層轉發設備。對于以上三種認證方式， IP

16、地址都是用戶的唯一標識。接入設備基于用戶的 IP 地址 下發ACL對接口上通過認證的用戶報文轉發進行控制。由于直接認證和二次地址分 配認證下的接入設備與用戶之間未跨越三層轉發設備，因此接口可以學習到用戶的 MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉發的控制粒度。（1） Portal 用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時，對于訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過；對于訪問其它地址的 HTT P報文，接入設備將其重定向到Portal服務器。Portal(2) PortalAuthentication Protocol

17、Authentication Protocol(3) Portal服務器提供 Web頁面供用戶輸入用戶名和密碼來進行認證。服 務器與接 入設備之 間進行 CHAP（Challenge Handshake ，質詢握手驗證協議）認證交互。若采用PAP（ Password，密碼驗證協議）認證則直接進入下一步驟。服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備， 同時開啟定時器等待認證應答報文。(4) 接入設備與 RADIUS服務器之間進行 RADIUS協議報文的交互。(5) 接入設備向Portal服務器發送認證應答報文。(6) Portal服務器向客戶端發送認證通過報文，通知客戶端認證(

18、上線)成功。(7) 客戶端收到認證通過報文后，通過DHCP獲得新的公網IP地址，并通知Portal服務器用戶已獲得新IP地址。(8) Portal服務器通知接入設備客戶端獲得新公網IP地址。IP變化。服務器通知客戶端上線成功。服務器向接入設備發送IP變化確認報文。711步驟，上線成功后Portal服務器(9) 接入設備通過檢測 ARP協議報文發現了用戶IP變化，并通告Portal服務器已 檢測到用戶(10) Portal(11) Portal注：可跨三層認證方式省略二次地址分配認證方式的 向接入設備發送認證應答確認。Radius認證計費過程分析:Access-request 報文 Accout

19、i ng-request報文Acco untin g-res ponse報文用戶下線停止計費報文Portal認證的配置：1. 配置RADIUS方案#創建名字為portal的RADIUS方案Switch radius scheme portal#配置RADIUS方案的服務器類型為PortalSwitch-radius-p ortal server-t ype p ortal#配置RADIUS方案的主認證和主計費服務器，及其通信密鑰Switch-radius-p ortal primary authe nticatio n 04Switch-radius-portal prim

20、ary accou nting 04Switch-radius-portal key accou nting 123456Switch-radius-portal key authe nticati on 123456Switch-radius-po rtal user- name-format without-doma inSwitch-radius-po rtal quit2. 配置ISP域#創建名字為portal的ISP域Switch doma in p ortal#創建ISP域引用RADIUS方案portalSwitch-is p-po rtal radius-scheme p ortalSwitch-is p-po rtal quit#配置系統缺省的ISP域為portal（可選）Switch doma in default en able p ortal3. 配置Port