Portal认证技术原理分析及应用-20150325

Portal认证技术原理分析及应用Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。1.PORTAL认证原理Portal认证协议主要应用基于WEB的宽带接入认证系统中，完成用户的认证和授权。整个Portal认证过程涉及到了PortalServer，BAS和AAA服务器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：图1Portal认证流程认证流程：1、用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，PortalServer将WEB页面强推给用户，提示用户需要进行认证。2、用户在WEB页面中输入用户名密码并提交认证，PortalServer将认证信息发送给设备，设备将用户信息转换为Radius报文发送到AAA服务器进行认证。3、AAA服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时AAA服务器开始进行计费。4、上网期间，用户PC和PortalServer定时发送心跳报文交互，以确保用户没有因异常原因下线。5、用户下线时，PortalServer收到用户下线请求并通知设备，AAA服务器终止计费并通知设备断开用户。2.PORTAL功能特点不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。可对在线用户进行实时检测用户认证通过后，PortalServer和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，PortalServer就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时PortalServer支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和对复杂的网络的适应能力。具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证方式，从而方便对不同的用户进行管理。同时PORTAL所有的认证页面都使用了JSP技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，PORTAL通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换，再经过PORTAL服务进行认证，PORTAL服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。支持认证窗口的最小化功能用户在认证通过后，Portal支持在线窗口可以最小化到任务栏，以减少对用户上网的影响。防止窗口过滤的功能很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。3.典型组网应用3.1BAS直联组网方案1.组网图图2BAS直联组网方案2.组网说明如上组网方案中，汇聚层交换机上直接连接BAS设备（宽带接入服务器，是支持Portal认证的设备），在BAS设备上进行Portal认证，BAS通过核心路由器（也可以是高端交换机）连接到Internet网，服务器（AAA服务器，Portal服务器等）与核心路由器连接。本方案在汇聚层设备之上引入一台或多台BAS设备，保证所有用户访问都是经过Portal认证的，相对于将一台BAS设备放置在核心层而言，有利于减少BAS设备的负担，同时也便于对不同的用户群的管理控制。3.2BAS侧挂组网方案1.组网图图3BAS侧挂组网方案2.组网说明上图的组网方案中，蓝色实线标明了改造前的数据流向，所有用户通过交换机访问Internet。由于需要实现园区网的认证计费，需要对现有网络进行改造，此时考虑在核心交换机的旁边增加BAS设备。红色实线标明了改造后数据的流向。实际运行时，将所有用户的数据通过转发给BAS设备，BAS对用户数据认证通过之后，以路由转发的方式交给交换机，再进行三层转发。本方案可以作为在已有网络上增加认证计费需求的一种改造方案。相对于直联方案，这种方式对已建网络的改造最小，只需在挂接设备上修改默认路由，无需修改其他网络设备的硬件和软件配置，最大限度的保护了现有的网络资源。本方案同样也适用于新建网络，它可以减少主干网络的挂接点，保证主干拓扑的简捷、清晰，方便网络管理员对网络的监控和维护，同时，也利于以后的网络扩容和改造。3.3以太网交换机组网方案1.组网图图4以太网交换机组网方案2.组网说明上图组网方案中，原有的接入、汇聚、核心设备的组网情况下无法实现Portal认证，因此考虑在接入层交换机和汇聚层间增加一层小汇聚，部署支持Portal认证的交换机，通过小汇聚层设备实现Portal认证功能。本方案既适用于对原有网络进行改造，用户无需更换网络设备，只需增加少量交换机即可满足认证计费需求；同时本方案全部使用以太网交换机设备组网，在新建网络时更具成本优势。3.4802.1X和Portal同时使用组网方案1.组网图图5802.1X和Portal同时使用的组网方案2.组网说明本方案融合了802.1X和Portal两种认证方式，用户访问内部局域网需要在以太网交换机上进行802.1X认证，实现入网即认证，增强网络安全性，访问Internet需要进行Portal认证，实现访问局域网内、外资源的不同认证和计费。4.总结由于Portal认证技术无需安装客户端，可以提供灵活的组网方案，便于网络规划和扩容；对于不支持认证计费的网络，只须增加少量设备即可，无须对原有网络进行大的改动，有效地节省了对原有网络的投资。同时，利用Portal认证的页面支持灵活定制的特点，用户可以根据实际情况对认证页面定制，将认证主页建设成企业网内部员工信息交流的平台。