目錄
Portal組網架構
Portal認證的接入方式
Portal認證的認證方式
802.1x認證點多,配置量大,使用portal認證
Portal認證也稱為Web認證,通過網站的形式進行身份認證,免除客戶端(只需要網絡瀏覽器的支持,也可以使用Portal客戶端軟件進行認證),一般將Portal認證網站稱為門戶網站
Portal組網架構
認證客戶端
一般為運行HTTP/HTTPS協議的瀏覽器,也可以是運行Portal客戶端軟件的主機
接入設備NAS
一般為交換機或路由器,主要有三個作用
在認證之前,將用戶的所有HTTP請求都重定向到Portal服務器
在認證過程中,與Portal服務器�、認證/計費服務器等進行交互,完成身份認證/計費的功能
在認證通過后,允許用戶訪問被管理員授權的互聯網資源
Portal服務器
接收Portal客戶端認證請求,提供基于Web認證的界面
與接入設備交互認證客戶端的認證信息
認證/計費服務器
與接入設備進行交互,完成對用戶的認證和計費
通常為Radius服務器
Portal認證的接入方式
通過HTTP/HTTPS進行接入,主要在客戶端和Portal服務器之間進行交互
用戶觸發Portal認證的兩種方式
用戶開機獲取IP地址后,通過登錄Portal認證網站進行認證,認證通過后即可訪問Internet
主動認證
用戶需要知道Portal服務器的IP地址,主動登錄到Portal門戶網站進行Portal認證
重定向認證
用戶輸入的訪問地址不是Portal服務器的IP地址,然后被接入設備強制重定向到Portal服務器
根據客戶端與接入設備之間的網絡分為不同的認證方式
二層Portal認證:客戶端與接入設備之間為二層網絡
在連接用戶的二層端口上開啟Portal認證,只允許源MAC通過認證的用戶才可以訪問外部網絡;目前該認證方式僅支持本地Portal認證(即接入設備作為本地的Portal服務器向用戶提供Web認證服務)
三層Portal認證:客戶端與接入設備之間為三層網絡
在連接用戶的三層端口上開啟Portal認證,其中又細分為三種不同的認證方式
直接認證
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,只能訪問Portal服務器以及設定的免費訪問地址;認證通過后才可以訪問網絡資源
二次地址分配認證
用戶在認證前通過DHCP獲取到一個私網地址,只能訪問Portal服務器以及設定的免費訪問地址;認證通過后會重新申請一個公網地址來訪問網絡資源,認證失敗后不會獲取IP地址
可跨三層認證
和直接認證類似,只不過此認證方式允許認證用戶和接入設備之間跨三層設備轉發
Portal認證的認證方式
通過二層認證接入,三層直連認證接入��、可跨三層認證接入Portal認證時的認證流程
通過Web認證(免客戶端)
基于HTTP/HTTPS報文協議進行Portal認證
客戶端直接將用戶西悉尼通過HTTP請求傳遞給接入設備,支持GET和POST兩種請求
POST:請求數據放置在HTTP請求消息的正文中,不作為URL的一部分
GET: 請求的數據會加在URL之后,以“?“分隔,對所有人可見(以下就是此方式)
通過Portal客戶端軟件進行認證
基于Portal協議進行Portal認證
Portal服務器直接使用Portal協議報文與接入設備進行交互
采用客戶端軟件/服務器的架構,基于UDP運行,支持PAP/CHAP認證
采用TLV格式攜帶用戶名�����、密碼�、用戶MAC等屬性信息
通過二次地址分配認證接入時的認證流程(Portal客戶端方式)
