Portal认证
简介
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图1所示,Portal认证通常包含三个基本要素:客户端、接入设备、Portal服务器。
- 华为乾坤仅支持HACA协议。
- 使用HACA协议进行Portal认证时,不需要RADIUS服务器。
- 客户端:安装有运行HTTPS协议的浏览器的主机。
- 接入设备:交换机、路由器等接入设备的统称,主要有三方面的作用:
- 在认证之前,将认证网段内用户的所有HTTPS请求都重定向到Portal服务器。
- 在认证过程中,与Portal服务器、RADIUS服务器交互,完成对用户身份认证、授权与计费的功能。
- 在认证通过后,允许用户访问被管理员授权的互联网资源。
- Portal服务器:接收客户端认证请求的服务器系统,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。华为乾坤云平台集成了Portal服务器的功能。
认证方式
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal认证方式分为两种:二层认证方式和三层认证方式。
- 二层认证方式
客户端与接入设备直连(或之间只有二层设备存在),设备能够学习到用户的MAC地址并可以利用IP和MAC地址来识别用户,此时可配置Portal认证为二层认证方式。
二层认证方式支持MAC优先的Portal认证,设备学习到用户的MAC地址后,将MAC地址封装到RADIUS属性中发送给RADIUS服务器,认证成功后,RADIUS服务器会将用户的MAC地址写入缓存和数据库。
二层认证流程简单,安全性高,但由于限制了用户只能与接入设备处于同一网段,降低了组网的灵活性。
- 三层认证方式
当设备部署在汇聚层或核心层时,在认证客户端和设备之间存在三层转发设备,此时设备不一定能获取到认证客户端的MAC地址,所以将以IP地址唯一标识用户,此时需要将Portal认证配置为三层认证方式。
三层认证跟二层认证的认证流程完全一致。三层认证组网灵活,容易实现远程管理,但由于只有IP可以用来标识一个用户,所以安全性不高。
HACA协议认证流程
Portal认证上线流程:
Portal认证上线流程如图2所示。
- 客户端访问网络发起HTTPS请求。
- HTTPS报文经过接入设备时,对于访问Portal服务器或设定的免认证网络资源的HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTPS报文,接入设备将其URL地址重定向到Portal认证页面。
- 用户在Portal认证页面输入用户名和密码,向Portal服务器发起认证请求。
- Portal服务器校验用户名密码,校验通过后,通过HTTPS/2 通道给设备下发客户端用户的授权。
- 接入设备接收到授权请求后,对接入客户端进行授权并通过HTTPS/2通道将授权结果给Portal服务器,Portal服务器根据设备返回的授权结果,返回给客户端。
- Portal服务器向客户端发送认证结果报文,通知客户端认证成功,并将用户加入自身在线用户列表。
客户端主动注销Portal认证下线流程:
客户端主动注销Portal认证下线流程如图3所示。
- 客户端发起注销认证请求。
- Portal服务器向接入设备发送下线通知报文(REQ_LOGOUT)。
- 接入设备将用户从在线列表中删除。并向Portal服务器发送用户下线响应报文(ACK_LOGOUT)。
- Portal服务器将用户从在线列表删除,用户下线。
管理员强制客户端用户Portal认证下线流程:
管理员强制客户端用户Portal认证下线流程如图4所示。
- 管理员在华为乾坤云平台强制客户端用户下线。
- 华为乾坤云平台同时通知Portal服务器用户下线。
- Portal服务器向接入设备发送下线通知报文(REQ_LOGOUT)。
- 接入设备接收到Portal服务器的下线报文,接入设备向Portal服务器发送下线响应报文(ACK_LOGOUT)并将用户从在线列表中删除。
Portal服务器表示华为乾坤云平台的内置Portal功能模块。
