Portal认证

Portal认证简介

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证采用华为私有Portal协议。华为私有Portal协议兼容中国移动Portal 2.0协议，支持其协议的基本功能。

Portal认证系统结构

Portal服务器可以是接入设备之外的独立实体（外置Portal服务器），也可以是存在于接入设备之内的内嵌实体（内置Portal服务器）。

• 使用外置Portal服务器的Portal认证系统

如图3-7所示，Portal认证系统的典型组网方式由四个基本要素组成：认证客户端、接入设备、Portal服务器与认证/计费服务器。

图3-7 使用外置Portal服务器的Portal认证系统组成示意图

• 使用内置Portal服务器的Portal认证系统

内置Portal服务器是指，Portal认证系统中不采用外部独立的Portal服务器，而由接入设备实现Portal服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器，如图3-8所示。

图3-8 使用内置Portal服务器的Portal认证系统组成示意图

通过内置Portal服务器进行Portal认证，由于不需要部署额外的Portal服务器，故增强了Portal认证的通用性。

内置Portal服务器的设备实现了简单的Portal服务器功能，仅能给用户提供通过Web方式上线、下线的基本功能，并不能完全替代独立的Portal服务器，也不支持外置独立服务器的任何扩展功能。

Portal认证方式

不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。

• 二层认证方式

认证客户端与接入设备直连（或之间只有二层设备存在），设备能够学习到用户的MAC地址，则设备可以利用IP和MAC地址来识别用户，此时可配置Portal认证为二层认证方式。

二层认证流程简单，安全性高，但由于限制了用户只能与接入设备处于同一网段，降低了组网的灵活性。

在二层认证方式下，用户上线时的报文交互过程如图3-9所示。

图3-9 二层认证流程图

• 三层认证方式

当设备部署在汇聚层或核心层时，在认证客户端和设备之间存在三层转发设备，此时设备不一定能获取到认证客户端的MAC地址，所以将以IP地址唯一标识用户，此时需要将Portal认证配置为三层认证方式。

三层认证的报文处理流程跟二层认证完全一致。三层认证组网灵活，容易实现远程控制，但由于只有IP可以用来标识一个用户，所以安全性不高。

设备不支持内置Portal服务器的三层认证。

Portal认证探测与逃生功能

Portal认证实际组网应用中，若设备与Portal服务器之间出现网络故障导致通信中断或者Portal服务器本身出现故障，则会造成新的Portal认证用户无法上线，已经在线的Portal用户也无法正常下线。这将给用户带来很大的不便，同时可能会造成Portal服务器与设备的用户信息不一致，以致带来计费不准确等问题。

Portal探测和逃生功能可使在网络故障或Portal服务器无法正常工作的情况下，设备让用户仍然能够正常使用网络并具有一定的网络访问权限，并通过日志和Trap的方式报告故障。同时设备通过用户信息同步机制，可保证Portal服务器与设备上用户信息的一致性，以避免可能出现的计费不准确问题。

用户组授权功能

设备支持根据用户组对用户进行授权控制，即用户认证成功后，认证服务器下发用户组，将用户进行分类。每个用户组可以关联不同的ACL规则，通过用户组和ACL规则的关联，实现对每类用户进行ACL授权信息控制，即同类用户采用同样的授权信息。