所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
Portal认证

Portal认证

Portal认证简介

Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。

说明:

Portal认证采用华为私有Portal协议。华为私有Portal协议兼容中国移动Portal 2.0协议,支持其协议的基本功能。

Portal认证系统结构

Portal服务器可以是接入设备之外的独立实体(外置Portal服务器),也可以是存在于接入设备之内的内嵌实体(内置Portal服务器)。

  • 使用外置Portal服务器的Portal认证系统

图3-7所示,Portal认证系统的典型组网方式由四个基本要素组成:认证客户端、接入设备、Portal服务器与认证/计费服务器。

图3-7  使用外置Portal服务器的Portal认证系统组成示意图
  1. 认证客户端:安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。
  2. 接入设备:交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
    • 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
    • 在认证过程中,与Portal服务器、认证/计费服务器交互,完成身份认证/计费的功能。
    • 在认证通过后,允许用户访问被管理员授权的互联网资源。
  3. Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
  4. 认证/计费服务器:与接入设备进行交互,完成对用户的认证和计费。
  • 使用内置Portal服务器的Portal认证系统

内置Portal服务器是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图3-8所示。

图3-8  使用内置Portal服务器的Portal认证系统组成示意图

通过内置Portal服务器进行Portal认证,由于不需要部署额外的Portal服务器,故增强了Portal认证的通用性。

内置Portal服务器的设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式上线、下线的基本功能,并不能完全替代独立的Portal服务器,也不支持外置独立服务器的任何扩展功能。

Portal认证方式

不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。

  • 二层认证方式

认证客户端与接入设备直连(或之间只有二层设备存在),设备能够学习到用户的MAC地址,则设备可以利用IP和MAC地址来识别用户,此时可配置Portal认证为二层认证方式。

二层认证流程简单,安全性高,但由于限制了用户只能与接入设备处于同一网段,降低了组网的灵活性。

在二层认证方式下,用户上线时的报文交互过程如图3-9所示。

图3-9  二层认证流程图
  1. Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免认证网络资源的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
  2. Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则Portal服务器无需与接入设备进行PAP认证交互,而直接进行第三步。
  3. Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
  4. 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
  5. 接入设备向Portal服务器发送认证应答报文。
  6. Portal服务器向客户端发送认证通过报文,通知客户端认证成功。
  7. Portal服务器向接入设备发送认证应答确认。
  • 三层认证方式

当设备部署在汇聚层或核心层时,在认证客户端和设备之间存在三层转发设备,此时设备不一定能获取到认证客户端的MAC地址,所以将以IP地址唯一标识用户,此时需要将Portal认证配置为三层认证方式。

三层认证的报文处理流程跟二层认证完全一致。三层认证组网灵活,容易实现远程控制,但由于只有IP可以用来标识一个用户,所以安全性不高。

说明:

设备不支持内置Portal服务器的三层认证。

Portal认证探测与逃生功能

Portal认证实际组网应用中,若设备与Portal服务器之间出现网络故障导致通信中断或者Portal服务器本身出现故障,则会造成新的Portal认证用户无法上线,已经在线的Portal用户也无法正常下线。这将给用户带来很大的不便,同时可能会造成Portal服务器与设备的用户信息不一致,以致带来计费不准确等问题。

Portal探测和逃生功能可使在网络故障或Portal服务器无法正常工作的情况下,设备让用户仍然能够正常使用网络并具有一定的网络访问权限,并通过日志和Trap的方式报告故障。同时设备通过用户信息同步机制,可保证Portal服务器与设备上用户信息的一致性,以避免可能出现的计费不准确问题。

用户组授权功能

设备支持根据用户组对用户进行授权控制,即用户认证成功后,认证服务器下发用户组,将用户进行分类。每个用户组可以关联不同的ACL规则,通过用户组和ACL规则的关联,实现对每类用户进行ACL授权信息控制,即同类用户采用同样的授权信息。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:32916

下载量:1270

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页