Portal的认证方式

不同的组网方式下，可采用的 Portal 认证方式不同。按照网络中实施 Portal 认证的 网络层次来分，Portal 的认证方式分为两种：二层认证方式和三层认证方式。

二层认证方式。这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能，只允许源 MAC 地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地 Portal 认证，即接入设备作为本地 Portal 服务器向用户提供 Web 认证服务。 另外，该方式还支持服务器下发授权 VLAN 和将认证失败用户加入认证失败 VLAN 功能（三层认证方式不支持）。

三层认证方式。这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能。三层接口 Portal 认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式 和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接 入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以 跨接三层转发设备。1. 直接认证方式用户在认证前通过手工配置或 DHCP 直接获取一个 IP 地址，只能访问 Portal 服务 器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次 地址较为简单。2. 二次地址分配认证方式 用户在认证前通过 DHCP 获取一个私网 IP 地址，只能访问 Portal 服务器，以及设 定的免费访问地址；认证通过后，用户会申请到一个公网 IP 地址，即可访问网络资 源。该认证方式解决了 IP 地址规划和分配问题，对未认证通过的用户不分配公网 IP 地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网 IP。3. 可跨三层认证方式 和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三 层转发设备。 对于以上三种认证方式，IP 地址都是用户的唯一标识。接入设备基于用户的 IP 地址 下发 ACL 对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分 配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的 MAC 地址，接入设备可以利用学习到 MAC 地址增强对用户报文转发的控制粒度。