目录
802.1x认证点多,配置量大,使用portal认证
Portal认证也称为Web认证,通过网站的形式进行身份认证,免除客户端(只需要网络浏览器的支持,也可以使用Portal客户端软件进行认证),一般将Portal认证网站称为门户网站
Portal组网架构
认证客户端
一般为运行HTTP/HTTPS协议的浏览器,也可以是运行Portal客户端软件的主机
接入设备NAS
一般为交换机或路由器,主要有三个作用
在认证之前,将用户的所有HTTP请求都重定向到Portal服务器
在认证过程中,与Portal服务器、认证/计费服务器等进行交互,完成身份认证/计费的功能
在认证通过后,允许用户访问被管理员授权的互联网资源
Portal服务器
接收Portal客户端认证请求,提供基于Web认证的界面
与接入设备交互认证客户端的认证信息
认证/计费服务器
与接入设备进行交互,完成对用户的认证和计费
通常为Radius服务器
Portal认证的接入方式
通过HTTP/HTTPS进行接入,主要在客户端和Portal服务器之间进行交互
用户触发Portal认证的两种方式
用户开机获取IP地址后,通过登录Portal认证网站进行认证,认证通过后即可访问Internet
主动认证
用户需要知道Portal服务器的IP地址,主动登录到Portal门户网站进行Portal认证
重定向认证
用户输入的访问地址不是Portal服务器的IP地址,然后被接入设备强制重定向到Portal服务器
根据客户端与接入设备之间的网络分为不同的认证方式
二层Portal认证:客户端与接入设备之间为二层网络
在连接用户的二层端口上开启Portal认证,只允许源MAC通过认证的用户才可以访问外部网络;目前该认证方式仅支持本地Portal认证(即接入设备作为本地的Portal服务器向用户提供Web认证服务)
三层Portal认证:客户端与接入设备之间为三层网络
在连接用户的三层端口上开启Portal认证,其中又细分为三种不同的认证方式
直接认证
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器以及设定的免费访问地址;认证通过后才可以访问网络资源
二次地址分配认证
用户在认证前通过DHCP获取到一个私网地址,只能访问Portal服务器以及设定的免费访问地址;认证通过后会重新申请一个公网地址来访问网络资源,认证失败后不会获取IP地址
可跨三层认证
和直接认证类似,只不过此认证方式允许认证用户和接入设备之间跨三层设备转发
Portal认证的认证方式
通过二层认证接入,三层直连认证接入、可跨三层认证接入Portal认证时的认证流程
通过Web认证(免客户端)
基于HTTP/HTTPS报文协议进行Portal认证
客户端直接将用户西悉尼通过HTTP请求传递给接入设备,支持GET和POST两种请求
POST:请求数据放置在HTTP请求消息的正文中,不作为URL的一部分
GET: 请求的数据会加在URL之后,以“?“分隔,对所有人可见(以下就是此方式)
通过Portal客户端软件进行认证
基于Portal协议进行Portal认证
Portal服务器直接使用Portal协议报文与接入设备进行交互
采用客户端软件/服务器的架构,基于UDP运行,支持PAP/CHAP认证
采用TLV格式携带用户名、密码、用户MAC等属性信息
通过二次地址分配认证接入时的认证流程(Portal客户端方式)
