Portal认证

Portal认证

  • Portal认证简介
  • Portal认证协议
  • Portal认证方式
  • Portal认证流程
  • Portal认证用户下线

Portal认证简介

定义:
Portal认证通常也称作Web认证,一般将Portal认证网站成为门户网站。用户上网时,必须在门户网站进行认证,如果没有认证成功,仅可以访问特定的网络资源,认证成功之后,才可以访问其它网络资源。
优点:

  • 一般情况下客户端不需要安装额外的软件,直接在Web界面上进行认证,简单方便。
  • 便于运营,可以在Portal页面上进行业务扩展,好比广告推送,企业宣传等。
  • 技术成熟,被广泛运用于运营商,连锁快餐,酒店,学校网络等。
  • 部署位置灵活,可以在接入层或者关键数据的入口作为访问控制。
  • 用户管理灵活,可以基于用户名与VLAN/IP地址/MAC地址的组合进行认证。

认证系统:
Portal认证系统主要包括四个基本要素:客户端、接入设备、Portal服务器与认证服务器。
Portal认证_第1张图片

  • 客户端:安装有运行HTTP/HTTPS协议的浏览器的主机。
  • 接入设备:交换机、路由器等接入设备的统称,主要有三个方面的作用。
    • 在认证之前,将认证网段内用户的所有HTTP/HTTPS请求到重定向到Portal服务器。
    • 在认证过程中,与Portal服务器、认证服务器完成交互,完成对用户身份认证、授权与计费的功能。
    • 在认证通过之后,允许用户访问被管理员授权的网络资源。
  • Portal服务器:接收客户端认证请求的服务器系统,提供免费门户服务与认证界面,与接入设备交互客户端的认证信息。
  • 认证服务器:与接入设备进行交互,完成对用户的认证、授权与计费。

Portal认证协议

Portal协议包括Portal接入协议和Portal认证协议。

  • Portal接入协议:HTTP/HTTPS协议,描述了客户端和Portal服务器之间的协议交互。客户端通过HTTP/HTTPS协议依次向Portal服务器发起连接请求和Portal认证请求。
  • Portal认证协议:
  • Portal协议:描述了Portal服务器和接入设备之间的协议交互,可以用来传递用户名和密码等参数。收到客户端的Portal认证请求之后,Portal服务器通过Portal协议向接入设备发起认证请求(携带用户名和密码)。
  • HTTP/HTTPS协议:描述了客户端和接入设备之间的协议交互,可以用来传递用户名和密码等参数。收到客户端的Portal认证请求之后,Portal服务器通过HTTP/HTTPS协议通知客户端向接入设备发起Portal认证请求,然后客户端通过HTTP/HTTPS协议向接入设备发起Pottal认证请求(携带用户名和密码)。

HTTP/HTTPS协议可以作为Portal的接入协议,也可以作为Portal认证协议。

Portal认证方式

按照网络中实施Portal认证的网络层次来分,Portal认证方式分为两种:二层认证和三层认证。

  • 当客户端与接入设备之间为二层网络时,就是说客户端与接入设备直连(或者之间只有二层设备存在),接入设备可以学习到客户端的MAC地址,则接入设备可以利用IP地址和MAC地址来识别用户,此时可配置Portal认证为二层认证方式。二层认证流程简单,安全性高,但是由于限制了用户只能与接入设备在同一网段,所以组网灵活性不高。
  • 当客户端与接入设备之间包含三层网络时,就是客户端与接入设备之间存在三层转发设备,接入设备不能获取到认证客户端的MAC地址,只能以IP地址作为唯一的标识,此时需要将Portal认证配置为三层认证方式。三层认证组网灵活,容易实现远程控制,但是由于只能以IP地址作为用户的唯一标识,所以安全性不高。

Portal认证流程

认证的第一件事情就是发起认证,有两种认证触发方式:

  • 主动认证

用户通过浏览器主动访问Portal认证网站时,就是在浏览器中直接输入Portal服务器的网络地址,然后再显示的页面中输入用户名和密码进行认证,这种开始Portal认证过程的方式即为主动认证,就是由用户自己主动访问Portal服务器发起的身份认证。

  • 重定向认证

用户输入的访问地址不是Portal认证网站地址时,将被强制访问Portal认证网站(通常成为重定向),从而开始认证过程,这种方式称作重定向认证。

Portal认证用户下线

当用户已经下线,但是接入设备,RADIUS服务器和Portal服务器没有感知到这个用户已经下线的时候,会产生以下问题:

  • RADIUS服务器仍然会对用户进行计费,造成误计费。
  • 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险。
  • 已经下线的用户数量过多的情况下,还会占用设备用户规格,可能导致其他用户无法接入网络。

因此,接入设备要能及时感知到用户已经下线,删除用户的表项,并且通知RADIUS服务器停止对该用户进行计费。
用户下线分为客户端主动下线,接入设备控制用户下线,认证服务器强制用户下线,和Portal服务器强制用户下线。

  • 客户端主动下线
    Portal协议:
    由用户发起的主动下线,好比用户点击了注销按钮,客户端向Portal服务器发送用户注销请求。
    对于Portal协议,Portal服务器收到用户的下线请求之后,会通知客户端下线成功,但是不需要等待接入设备对下线的确认。对于HTTP/HTTPS协议,Portal服务器收到用户的下线请求之后,会通知客户端向设备发送用户下线通知。
    Portal认证_第2张图片
  1. 客户端向Portal服务器发送用户注销请求。
  2. Portal服务器向客户端发送用户注销相应,并且向接入设备发送用户下线通知报文。
  3. 接入设备向RADIUS服务器发送停止计费的请求报文,并将用户进行下线。同时,介入是设备向Portal服务器发送用户下线响应报文,Portal服务器收到用户下线相应之后,将用户下线。
  4. RADIUS服务器返回停止计费相应报文,并将用户下线。

HTTP/HTTPS协议:
Portal认证_第3张图片


  1. 客户端向Portal服务器发送用户注销请求。
  2. Portal服务器通知客户端向接入设备发送用户注销请求,并将用户下线。
  3. 客户端向接入设备发送用户注销请求。
  4. 接入设备向RADIUS服务器发送停止计费报文,并将用户下线,同时,接入设备向客户端发送用户注销响应报文。
  5. RADIUS服务器返回停止计费相应报文,并将用户下线。

你可能感兴趣的:(服务器,网络,运维,tcp/ip,网络协议)