Portal认证

Portal认证简介

定义：
Portal认证通常也称作Web认证，一般将Portal认证网站成为门户网站。用户上网时，必须在门户网站进行认证，如果没有认证成功，仅可以访问特定的网络资源，认证成功之后，才可以访问其它网络资源。
优点：

• 一般情况下客户端不需要安装额外的软件，直接在Web界面上进行认证，简单方便。
• 便于运营，可以在Portal页面上进行业务扩展，好比广告推送，企业宣传等。
• 技术成熟，被广泛运用于运营商，连锁快餐，酒店，学校网络等。
• 部署位置灵活，可以在接入层或者关键数据的入口作为访问控制。
• 用户管理灵活，可以基于用户名与VLAN/IP地址/MAC地址的组合进行认证。

认证系统：
Portal认证系统主要包括四个基本要素：客户端、接入设备、Portal服务器与认证服务器。

• 客户端：安装有运行HTTP/HTTPS协议的浏览器的主机。
• 接入设备：交换机、路由器等接入设备的统称，主要有三个方面的作用。
  • 在认证之前，将认证网段内用户的所有HTTP/HTTPS请求到重定向到Portal服务器。
  • 在认证过程中，与Portal服务器、认证服务器完成交互，完成对用户身份认证、授权与计费的功能。
  • 在认证通过之后，允许用户访问被管理员授权的网络资源。
• Portal服务器：接收客户端认证请求的服务器系统，提供免费门户服务与认证界面，与接入设备交互客户端的认证信息。
• 认证服务器：与接入设备进行交互，完成对用户的认证、授权与计费。

Portal认证协议

Portal协议包括Portal接入协议和Portal认证协议。

• Portal接入协议：HTTP/HTTPS协议，描述了客户端和Portal服务器之间的协议交互。客户端通过HTTP/HTTPS协议依次向Portal服务器发起连接请求和Portal认证请求。
• Portal认证协议：
• Portal协议：描述了Portal服务器和接入设备之间的协议交互，可以用来传递用户名和密码等参数。收到客户端的Portal认证请求之后，Portal服务器通过Portal协议向接入设备发起认证请求（携带用户名和密码）。
• HTTP/HTTPS协议：描述了客户端和接入设备之间的协议交互，可以用来传递用户名和密码等参数。收到客户端的Portal认证请求之后，Portal服务器通过HTTP/HTTPS协议通知客户端向接入设备发起Portal认证请求，然后客户端通过HTTP/HTTPS协议向接入设备发起Pottal认证请求（携带用户名和密码）。

HTTP/HTTPS协议可以作为Portal的接入协议，也可以作为Portal认证协议。

Portal认证方式

按照网络中实施Portal认证的网络层次来分，Portal认证方式分为两种：二层认证和三层认证。

• 当客户端与接入设备之间为二层网络时，就是说客户端与接入设备直连（或者之间只有二层设备存在），接入设备可以学习到客户端的MAC地址，则接入设备可以利用IP地址和MAC地址来识别用户，此时可配置Portal认证为二层认证方式。二层认证流程简单，安全性高，但是由于限制了用户只能与接入设备在同一网段，所以组网灵活性不高。
• 当客户端与接入设备之间包含三层网络时，就是客户端与接入设备之间存在三层转发设备，接入设备不能获取到认证客户端的MAC地址，只能以IP地址作为唯一的标识，此时需要将Portal认证配置为三层认证方式。三层认证组网灵活，容易实现远程控制，但是由于只能以IP地址作为用户的唯一标识，所以安全性不高。

Portal认证流程

认证的第一件事情就是发起认证，有两种认证触发方式：

• 主动认证

用户通过浏览器主动访问Portal认证网站时，就是在浏览器中直接输入Portal服务器的网络地址，然后再显示的页面中输入用户名和密码进行认证，这种开始Portal认证过程的方式即为主动认证，就是由用户自己主动访问Portal服务器发起的身份认证。

• 重定向认证

用户输入的访问地址不是Portal认证网站地址时，将被强制访问Portal认证网站（通常成为重定向），从而开始认证过程，这种方式称作重定向认证。

Portal认证用户下线

当用户已经下线，但是接入设备，RADIUS服务器和Portal服务器没有感知到这个用户已经下线的时候，会产生以下问题：

• RADIUS服务器仍然会对用户进行计费，造成误计费。
• 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险。
• 已经下线的用户数量过多的情况下，还会占用设备用户规格，可能导致其他用户无法接入网络。

因此，接入设备要能及时感知到用户已经下线，删除用户的表项，并且通知RADIUS服务器停止对该用户进行计费。
用户下线分为客户端主动下线，接入设备控制用户下线，认证服务器强制用户下线，和Portal服务器强制用户下线。

• 客户端主动下线
  Portal协议：
  由用户发起的主动下线，好比用户点击了注销按钮，客户端向Portal服务器发送用户注销请求。
  对于Portal协议，Portal服务器收到用户的下线请求之后，会通知客户端下线成功，但是不需要等待接入设备对下线的确认。对于HTTP/HTTPS协议，Portal服务器收到用户的下线请求之后，会通知客户端向设备发送用户下线通知。
  

1. 客户端向Portal服务器发送用户注销请求。
2. Portal服务器向客户端发送用户注销相应，并且向接入设备发送用户下线通知报文。
3. 接入设备向RADIUS服务器发送停止计费的请求报文，并将用户进行下线。同时，介入是设备向Portal服务器发送用户下线响应报文，Portal服务器收到用户下线相应之后，将用户下线。
4. RADIUS服务器返回停止计费相应报文，并将用户下线。

HTTP/HTTPS协议：

---

1. 客户端向Portal服务器发送用户注销请求。
2. Portal服务器通知客户端向接入设备发送用户注销请求，并将用户下线。
3. 客户端向接入设备发送用户注销请求。
4. 接入设备向RADIUS服务器发送停止计费报文，并将用户下线，同时，接入设备向客户端发送用户注销响应报文。
5. RADIUS服务器返回停止计费相应报文，并将用户下线。