Portal认证技术
认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。
基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂的形势下,很多复杂的管理要求已经涉及到高层协议,面对这些要求,基于2、3层的认证技术入PPPoE,802.1x就无能为力。
1.PPPoE
通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源
(1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量的PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能的“瓶颈”。
(2)由于点对点的特征,使组播视频业务开展受到很大的限制,视频业务大部分是基于组播的。
(2)由于点对点的特征,使组播视频业务开展受到很大的限制,视频业务大部分是基于组播的。
(3)PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
2、802.1x
802.1x认证,起源于802.11协议,后者是标准的无线局域网协议,802.1x协议提出的主要目的:一是通过认证和加密来防止无线网络中的非法接入,二是想在两层交换机上实现用户的认证,以降低整个网络的成本。其基本思想是基于端口的网络访问控制,即通过控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等)。
802.1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后的通信过程中采用TCP/IP协议。EAP(Extensible Authentication Protocol扩展认证协议)是对PPP协议的扩展,EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来,而仅仅是中转用户和认证服务器之间的EAP包,所有复杂的认证操作都由用户终端和认证服务器完成。
802.1x最大的优点就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈的产生。
802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
缺点:
*需要特定客户端软件
*网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
*IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
*计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
Web+ Portal
Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。
优点:
*不需要特殊的客户端软件,降低网络维护工作量
*可以提供Portal等业务认证
缺点:
*WEB承载在7层协议上,对于设备的要求较高,建网成本高;
* IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。
*认证前后业务流和数据流无法区分
认证方式 | WEB/PORTAL | 802.1x | PPPOE |
标准程度 | 厂家私有 | IEEE标准 | RFC2516 |
IP地址 | 认证前分配 | 认证后分配 | 认证后分配 |
多播支持 | 好 | 好 | 差 |
客户端软件 | 不需要 | 需要 | 需要 |
对设备的要求 | 高(全程VLAN) | 低 | 较高(BAS) |
| radius软件 |
Portal简介
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户
网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使
用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方
式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,
从而开始Portal认证过程,这种方式称作强制认证。
Portal典型组网由4个元素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器。
1. 认证客户端
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主
机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
2. 接入设备
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
●在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
●在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
●在认证通过后,允许用户访问被管理员授权的互联网资源。
3. Portal服务器
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入
设备交互认证客户端的认证信息。
4. 认证/计费服务器
与接入设备进行交互,完成对用户的认证和计费。
设备内嵌portal-web Server:
发表评论