portal認證介紹

2021-03-04 01:03:10 字數 4496 閱讀 5136

portal認證技術

認證技術是aaa(認證,授權,計費)的初始步驟,aaa一般包括使用者終端、aaaclient、aaa server和計費軟體四個環節。使用者終端與aaa client之間的通訊方式通常稱為"認證方式"。目前的主要技術有以下三種:

pppoe、web+portal、ieee802.1x。

基於web方式的認證技術最廣為人知的一點是不需要在客戶端安裝任何撥號與認證軟體。它能夠處理高層協議,在網路應用日益複雜的形勢下,很多複雜的管理要求已經涉及到高層協議,面對這些要求,基於2、3層的認證技術入pppoe,802.1x就無能為力。

1.pppoe

通過pppoe(point-to-point protocol over ether***)協議,服務提供商可以在乙太網上實現ppp協議的主要功能,包括採用各種靈活的方式管理使用者。

pppoe(point-to-point protocol over ether***)協議允許通過乙個連線客戶的簡單乙太網橋啟動乙個ppp對話。

pppoe的建立需要兩個階段,分別是搜尋階段(discovery stage)和點對點對話階段(ppp session stage)。當一台主機希望啟動乙個pppoe對話,它首先必須完成搜尋階段以確定對端的乙太網mac位址,並建立乙個pppoe的對話號(session_id)。

在ppp協議定義了乙個端對端的關係時,搜尋階段是乙個客戶-伺服器的關係。在搜尋階段的程序中,主機(客戶端)搜尋並發現乙個網路裝置(伺服器端)。在網路拓撲中,主機能與之通訊的可能有不只乙個網路裝置。

在搜尋階段,主機可以發現所有的網路裝置但只能選擇乙個。當搜尋階段順利完成,主機和網路裝置將擁有能夠建立pppoe的所有資訊。

搜尋階段將在點對點對話建立之前一直存在。一旦點對點對話建立,主機和網路裝置都必須為點對點對話階段虛擬介面提供資源

(1)pppoe方式其整個通訊過程都必須進行pppoe封裝,效率較低,由於寬頻接入伺服器要終結大量的ppp會話,將其轉換為ip資料報,使寬頻接入伺服器成為網路效能的「瓶頸」。

(2)由於點對點的特徵,使組播**業務開展受到很大的限制,**業務大部分是基於組播的。

(3)pppoe在發現階段會產生大量的廣播流量,對網路效能產生很大的影響

2、802.1x

802.1x認證,起源於802.11協議,後者是標準的無線區域網協議,802.

1x協議提出的主要目的:一是通過認證和加密來防止無線網路中的非法接入,二是想在兩層交換機上實現使用者的認證,以降低整個網路的成本。其基本思想是基於埠的網路訪問控制,即通過控制面向終端使用者的乙太網埠,使得只有網路系統允許並授權的使用者可以訪問網路系統的各種業務(如乙太網連線,網路層路由,inter***接入等)。

802.1x認證僅僅在認證階段採用eapol(eap encapsulation over lans)報文,認證之後的通訊過程中採用tcp/ip協議。eap(extensible authentication protocol擴充套件認證協議)是對ppp協議的擴充套件,eap對ppp的擴充套件之一就是讓提供認證服務的交換機從認證過程中解脫出來,而僅僅是中轉使用者和認證伺服器之間的eap包,所有複雜的認證操作都由使用者終端和認證伺服器完成。

802.1x最大的優點就是業務流與控制流分離,一旦認證通過,所有業務流與認證系統相分離,有效地避免了網路瓶頸的產生。

802.1x協議為二層協議,不需要到達三層,而且接入層交換機無需支援802.1q的vlan,對裝置的整體效能要求不高,可以有效降低建網成本。

缺點:*需要特定客戶端軟體

*網路現有樓道交換機的問題:由於802.1x是比較新的二層協議,要求樓道交換機支援認證報文透傳或完成認證過程,因此在全面採用該協議的過程中,存在對已經在網上的使用者交換機的公升級處理問題;

*ip位址分配和網路安全問題:802.1x協議是乙個2層協議,只負責完成對使用者埠的認證控制,對於完成埠認證後,使用者進入三層ip網路後,需要繼續解決使用者ip位址分配、三層網路安全等問題,因此,單靠乙太網交換機+802.

1x,無法全面解決都會網路以太接入的可運營、可管理以及接入安全性等方面的問題;

*計費問題:802.1x協議可以根據使用者完成認證和離線間的時間進行時長計費,不能對流量進行統計,因此無法開展基於流量的計費或滿足使用者永遠**的要求。

web+ portal

portal認證的基本過程是:客戶機首先通過dhcp協議獲取到ip位址(也可以使用靜態ip位址),但是客戶使用獲取到的ip位址並不能登上inter***,在認證通過前只能訪問特定的ip位址,這個位址通常是portal伺服器的ip位址。採用portal認證的接入裝置必須具備這個能力。

一般通過修改接入裝置的訪問控制表(acl)可以做到。

使用者登入到portal server後,可以瀏覽上面的內容,比如廣告、新聞等免費資訊,同時使用者還可以在網頁上輸入使用者名稱和密碼,它們會被web客戶端應用程式傳給 portal server,再由portal server與nas之間互動來實現使用者的認證。

portal server在獲得使用者的使用者名稱和密碼外,還會得到使用者的ip位址,以它為索引來標識使用者。然後portal server 與nas之間用portal協議直接通訊,而nas又與radius 伺服器直接通訊完成使用者的認證和上線過程。因為安全問題,通常支援安全性較強的chap式認證。

優點:*不需要特殊的客戶端軟體,降低網路維護工作量

*可以提供portal等業務認證

缺點:*web承載在7層協議上,對於裝置的要求較高,建網成本高;

* ip位址的分配在使用者認證前,如果使用者不是上網使用者,則會造成位址的浪費,而且不便於多isp的支援。

*認證前後業務流和資料流無法區分

portal簡介

portal在英語中是入口的意思。portal認證通常也稱為web認證,一般將portal認證**稱為門戶

**。未認證使用者上網時,裝置強制使用者登入到特定站點,使用者可以免費訪問其中的服務。當使用者需要使

用網際網路中的其它資訊時,必須在門戶**進行認證,只有認證通過後才可以使用網際網路資源。

使用者可以主動訪問已知的portal認證**,輸入使用者名稱和密碼進行認證,這種開始portal認證的方

式稱作主動認證。反之,如果使用者試圖通過http訪問其他外網,將被強制訪問portal認證**,

從而開始portal認證過程,這種方式稱作強制認證。

portal典型組網由4個元素組成:認證客戶端、接入裝置、portal伺服器、認證/計費伺服器。

1. 認證客戶端

安裝於使用者終端的客戶端系統,為執行http/https協議的瀏覽器或執行portal客戶端軟體的主

機。對接入終端的安全性檢測是通過portal客戶端和安全策略伺服器之間的資訊交流完成的。

2. 接入裝置

交換機、路由器等寬頻接入裝置的統稱,主要有三方面的作用:

● 在認證之前,將認證網段內使用者的所有http請求都重定向到portal伺服器。

● 在認證過程中,與portal伺服器、安全策略伺服器、認證/計費伺服器互動,完成身份認證/安全認證/計費的功能。

● 在認證通過後,允許使用者訪問被管理員授權的網際網路資源。

3. portal伺服器

接收portal客戶端認證請求的伺服器端系統,提供免費門戶服務和基於web認證的介面,與接入

裝置互動認證客戶端的認證資訊。

4. 認證/計費伺服器

與接入裝置進行互動,完成對使用者的認證和計費。

裝置內嵌portal-web server:

裝置內嵌portal-web server能夠解析客戶端發來的http上線認證、下線,形成認證、下線請求給portal模組,然後根據返回的結果,推出對應的頁面給客戶端。這樣裝置就支援web使用者直接登入而不需要額外的部署portal server,從而大大加強了portal功能的通用性。

http報文

radius協議

portal-web server和portal客戶端之間是http協議報文,傳送使用者的登入請求、下線請求;裝置portal-web server解析http請求,封裝成portal-web server模組與portal模組之間的訊息,傳遞給portal模組;portal接收到訊息後,觸發相應的動作,向radius server傳送認證、授權和計費報文。

portal的認證方式

不同的組網方式下,可採用的portal認證方式不同。按照網路中實施portal認證的

網路層次來分,portal的認證方式分為兩種:二層認證方式和三層認證方式。

二層認證方式

這種方式支援在接入裝置連線使用者的二層埠上開啟portal認證功能,只允許源

mac位址通過認證的使用者才能訪問外部網路資源。目前,該認證方式僅支援本地

portal認證,即接入裝置作為本地portal伺服器向使用者提供web認證服務。

另外,該方式還支援伺服器下發授權vlan和將認證失敗使用者加入認證失敗vlan

功能(三層認證方式不支援)。

三層認證方式

這種方式支援在接入裝置連線使用者的三層介面上開啟portal認證功能。三層介面

portal認證又可分為三種不同的認證方式:直接認證方式、二次位址分配認證方式

和可跨三層認證方式。直接認證方式和二次位址分配認證方式下,認證客戶端和接

入裝置之間沒有三層**;可跨三層認證方式下,認證客戶端和接入裝置之間可以

跨接三層**裝置。

歐盟認證介紹

ce認證介紹 ce 標誌是一種安全認證標誌,被視為製造商開啟並進入歐洲市場的護照。凡是貼有 ce 標誌的產品就可在歐盟各成員國內銷售,無須符合每個成員國的要求,從而實現了商品在歐盟成員國 範圍內的自由流通。在歐盟市場 ce 標誌屬強制性認證標誌,不論是歐盟內部企業生產的產品,還是其他國家生產的產品,...

南韓MIC認證介紹

南韓mic認證介紹vfq安規與電磁相容網 vfq安規與電磁相容網 vfq安規與電磁相容網 資訊和電信產品認證是在南韓 電信基本法 的第33章和 無線電波法 的第464 47章的基礎上實施的。凡是在 資訊和電信裝置認證實施細則 第3章列名的產品 或裝置 必須通過認證並加貼認證標誌,才能生產,進口或在南...

ISO9001認證介紹

二 認證常識 1 企業貫標目的和意義 1 幫助企業建立健全質量管理體系,提高企業自身質量管理水平。2 利用iso標準這一先進管理形式做載體,針對性地解決企業需求,改善企業管理現狀。3 針對企業管理特點,利用貫標平台有效解決質量職責 管理介面,整合理順管理秩序,建立管理服務於效益服務於一線的有效機制。...