H3C Portal概述

Portal简介

    Portal 在英语中是入口的意思。 Portal 认证通常也称为 Web 认证，一般将 Portal 认证网站称为门户网站。

    未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

    用户可以主动访问已知的 Portal 认证网站，输入用户名和密码进行认证，这种开始 Portal 认证的方式称作主动认证。反之，如果用户试图通过 HTTP 访问其他外网，将被强制访问 Portal 认证网站，从而开始 Portal 认证过程，这种方式称作强制认证。

    Portal 业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

Portal扩展功能

    Portal 的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒***的主动防御能力。具体扩展功能如下：

   · 在 Portal 身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等。

   · 用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）。

Portal的系统组成

    Portal的典型组网方式如 图 42-1 所示，它由五个基本要素组成：认证客户端、接入设备、 Portal服务器、认证/计费服务器和安全策略服务器。

说明：由于 Portal 服务器可以是接入设备之外的独立实体，也可以是存在于接入设备之内的内嵌实体，本文称之为“本地 Portal 服务器”，因此下文中除对本地支持的 Portal 服务器做特殊说明之外，其它所有 Portal 服务器均指独立的 Portal 服务器，请勿混淆。

wKiom1RrBVPBvg45AADvNaUnqc4182.jpg

    1. 认证客户端

    安装于用户终端的客户端系统，为运行 HTTP/HTTPS 协议的浏览器或运行 Portal 客户端软件的主机。对接入终端的安全性检测是通过 Portal 客户端和安全策略服务器之间的信息交流完成的。

    2. 接入设备

    交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

   · 在认证之前，将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务器。

   · 在认证过程中，与 Portal 服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

   · 在认证通过后，允许用户访问被管理员授权的互联网资源。

    3. Portal服务器

    接收 Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于 Web 认证的界面，与接入设备交互认证客户端的认证信息。

    4. 认证/计费服务器

    与接入设备进行交互，完成对用户的认证和计费。

    5. 安全策略服务器

    与 Portal 客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。

以上五个基本要素的交互过程为：

    (1) 未认证用户访问网络时，在 Web 浏览器地址栏中输入一个互联网的地址，那么此 HTTP 请求在经过接入设备时会被重定向到 Portal 服务器的 Web 认证主页上；若需要使用 Portal 的扩展认证功能，则用户必须使用 Portal 客户端。

    (2) 用户在认证主页/认证对话框中输入认证信息后提交， Portal 服务器会将用户的认证信息传递给接入设备。

    (3) 然后接入设备再与认证/计费服务器通信进行认证和计费。

    (4) 认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。

说明：

   · 无论是 Web 客户端还是 H3C iNode 客户端发起的 Portal 认证，均能支持 Portal 认证穿越 NAT，即 Portal 客户端位于私网、 Portal 服务器位于公网，接入设备上启用 NAT 功能的组网环境下，NAT 地址转换不会对 Portal 认证造成影响。

   · 目前支持 Portal 认证的远端认证/计费服务器为 RADIUS（ Remote Authentication Dial-In UserService，远程认证拨号用户服务）服务器。

   · 目前通过访问 Web 页面进行的 Portal 认证不能对用户实施安全策略检查，安全检查功能的实现需要与 H3C iNode 客户端配合。

使用本地Portal服务器的Portal认证系统

    1. 系统组成

    本地Portal服务器功能是指， Portal认证系统中不采用外部独立的Portal服务器，而由接入设备实现Portal服务器功能。这种情况下， Portal认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器，如 图 42-2 所示。由于设备支持Web用户直接认证，因此就不需要部署额外的Portal服务器，增强了Portal认证的通用性。

wKioL1RrB1yioNc_AACYbokuISw203.jpg

说明：

   · 使用本地 Portal 服务器的 Portal 认证系统不支持 Portal 扩展功能，因此不需要部署安全策略服务器。

   · 内嵌本地 Portal 服务器的接入设备实现了简单的 Portal 服务器功能，仅能给用户提供通过 Web方式登录、下线的基本功能，并不能完全替代独立的 Portal 服务器。

    2. 认证客户端和本地Portal服务器之间的交互协议

    认证客户端和内嵌本地 Portal 服务器的接入设备之间可以采用 HTTP 和 HTTPS 协议通信。若客户端和接入设备之间交互 HTTP 协议， 则报文以明文形式传输，安全性无法保证；若客户端和接入设备之间交互 HTTPS 协议，则报文基于 SSL 提供的安全机制以密文的形式传输，数据的安全性有保障。

Portal的认证方式

    不同的组网方式下，可采用的 Portal 认证方式不同。按照网络中实施 Portal 认证的网络层次来分，Portal 的认证方式分为两种：二层认证方式和三层认证方式。

    1. 二层认证方式

    这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能，只允许源 MAC 地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地 Portal 认证，即接入设备作为本地Portal 服务器向用户提供 Web 认证服务。

    另外，该方式还支持服务器下发授权 VLAN 和将认证失败用户加入认证失败 VLAN 功能（三层认证方式不支持）。

    2. 三层认证方式

    这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能。 三层接口 Portal 认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。

   · 直接认证方式：用户在认证前通过手工配置或 DHCP 直接获取一个 IP 地址，只能访问 Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。

   · 二次地址分配认证方式：用户在认证前通过 DHCP 获取一个私网 IP 地址，只能访问 Portal服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网 IP 地址，即可访问网络资源。该认证方式解决了 IP 地址规划和分配问题，对未认证通过的用户不分配公网 IP 地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网 IP。

说明：使用本地 Portal 服务器的 Portal 认证不支持二次地址分配认证方式。

   · 可跨三层认证方式：和直接认证方式基本相同，但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。

    对于以上三种认证方式， IP 地址都是用户的唯一标识。接入设备基于用户的 IP 地址下发 ACL 对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的 MAC 地址，接入设备可以利用学习到 MAC 地址增强对用户报文转发的控制粒度。

Portal支持EAP认证

    在对接入用户身份可靠性要求较高的网络应用中，传统的基于用户名和口令的用户身份验证方式存在一定的安全问题，基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。

    EAP（ Extensible Authentication Protocol，可扩展认证协议）可支持多种基于数字证书的认证方式（例如 EAP-TLS），它与 Portal 认证相配合，可共同为用户提供基于数字证书的接入认证服务。

wKioL1RrB8Cg5zRpAACc9G--97k236.jpg

    如 图 42-3 所示，在Portal支持EAP认证的实现中，客户端与Portal服务器之间交互EAP认证报文，Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文，接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文，由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文，并给出EAP认证结果。整个EAP认证过程中，接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传，并不对其进行任何处理，因此接入设备上无需任何额外配置。

说明：

   · 该功能仅能与 H3C iMC 的 Portal 服务器以及 H3C iNode Portal 客户端配合使用。

   · 目前，仅使用远程 Portal 服务器的三层 Portal 认证支持 EAP 认证。

二层Portal认证过程

    1. 二层Portal认证流程

    目前，二层Portal认证只支持本地Portal认证，即由接入设备作为本地Portal服务器向用户提供Web认证服务，具体认证过程如 图 42-4。

wKiom1RrB4TzhA2sAAClVPtcM_k474.jpg

    (2) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。 HTTP 报文经过配置了本地 Portal 服务器的接入设备的端口时会被重定向到本地 Portal 服务器的监听 IP 地址，本地 Portal 服务器提供 Web 页面供用户输入用户名和密码来进行认证。该本地 Portal 服务器的监听 IP 地址为接入设备上一个与用户之间路由可达的三层接口 IP 地址（通常为 Loopback 接口 IP）。

    (3) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互，对用户身份进行验证。

    (4) 如果 RADIUS 认证成功，则接入设备上的本地 Portal 服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。

    2. 支持ACL下发

    ACL（ Access Control List，访问控制列表）提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时，如果服务器上配置了授权 ACL，则设备会根据服务器下发的授权 ACL 对用户所在端口的数据流进行控制；在服务器上配置授权 ACL 之前，需要在设备上配置相应的规则。管理员可以通过改变服务器的授权 ACL 设置或设备上对应的 ACL 规则来改变用户的访问权限。

三层Portal认证过程

    直接认证和可跨三层 Portal 认证流程相同。二次地址分配认证流程因为有两次地址分配过程，所以其认证流程和另外两种认证方式有所不同。

    1. 直接认证和可跨三层Portal认证的流程（ CHAP/PAP认证方式）

wKiom1RrB8WA0IoaAAFwosMDwm0350.jpg

直接认证/可跨三层 Portal 认证流程：

    (2) Portal 用户通过 HTTP 协议发起认证请求。 HTTP 报文经过接入设备时，对于访问 Portal 服务器或设定的免费访问地址的 HTTP 报文，接入设备允许其通过；对于访问其它地址的 HTTP报文，接入设备将其重定向到 Portal 服务器。 Portal 服务器提供 Web 页面供用户输入用户名和密码来进行认证。

    (3) Portal 服务器与接入设备之间进行 CHAP（ Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若采用 PAP（ Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

    (4) Portal 服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

    (5) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。

    (6) 接入设备向 Portal 服务器发送认证应答报文。

    (7) Portal 服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

    (8) Portal 服务器向接入设备发送认证应答确认。

    (9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

    (10) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

    步骤(8)、 (9)为 Portal 认证扩展功能的交互过程。

    2. 二次地址分配认证方式的流程（ CHAP/PAP认证方式）

二次地址分配认证流程：

    (1)～(6)同直接/可跨三层 Portal 认证中步骤(1)～(6)。

    (2) 客户端收到认证通过报文后，通过 DHCP 获得新的公网 IP 地址，并通知 Portal 服务器用户已获得新 IP 地址。

    (3) Portal 服务器通知接入设备客户端获得新公网 IP 地址。

    (4) 接入设备通过检测 ARP 协议报文发现了用户 IP 变化，并通告 Portal 服务器已检测到用户 IP变化。

    (5) Portal 服务器通知客户端上线成功。

    (6) Portal 服务器向接入设备发送 IP 变化确认报文。

    (7) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

    (8) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

    步骤(12)、 (13)为 Portal 认证扩展功能的交互过程。

3. 使用本地Portal服务器的认证流程

wKioL1RrCHnRqi5MAAGSWmrqp-4738.jpg

直接/可跨三层 Portal 认证流程：

    (2) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。 HTTP 报文经过配置了本地 Portal 服务器的接入设备的接口时会被重定向到本地 Portal 服务器，本地 Portal 服务器提供 Web 页面供用户输入用户名和密码来进行认证。该本地 Portal 服务器的监听 IP 地址为接入设备上一个与用户之间路由可达的三层接口 IP 地址。

    (3) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。

    (4) 接入设备中的本地 Portal 服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。