- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。
未認證用戶上網時,設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,隻有認證通過後才可以使用互聯網資源。
用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強製訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強製認證。
Portal業務可以為運營商提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等,使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態係統。
Portal的擴展功能主要是指通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體擴展功能如下:
l 在Portal身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
l 用戶通過身份認證後僅僅獲得訪問部分互聯網資源(受限資源)的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源(非受限資源)。
Portal的典型組網方式如圖1所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。
由於Portal服務器可以是接入設備之外的獨立實體,也可以是存在於接入設備之內的內嵌實體,本文稱之為“本地Portal服務器”,因此下文中除對本地支持的Portal服務器做特殊說明之外,其它所有Portal服務器均指獨立的Portal服務器,請勿混淆。
圖1 Portal係統組成示意圖
安裝於用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。
交換機、路由器等寬帶接入設備的統稱,主要有三方麵的作用:
l 在認證之前,將用戶的所有HTTP請求都重定向到Portal服務器。
l 在認證過程中,與Portal服務器、安全策略服務器、認證/計費服務器交互,完成身份認證/安全認證/計費的功能。
l 在認證通過後,允許用戶訪問被管理員授權的互聯網資源。
接收Portal客戶端認證請求的服務器端係統,提供免費門戶服務和基於Web認證的界麵,與接入設備交互認證客戶端的認證信息。
與接入設備進行交互,完成對用戶的認證和計費。
與Portal客戶端、接入設備進行交互,完成對用戶的安全認證,並對用戶進行授權操作。
以上五個基本要素的交互過程為:
(1) 未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上;若需要使用Portal的擴展認證功能,則用戶必須使用Portal客戶端。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal服務器會將用戶的認證信息傳遞給接入設備;
(3) 然後接入設備再與認證/計費服務器通信進行認證和計費;
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
l 無論是Web客戶端還是H3C iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal服務器位於公網,接入設備上啟用NAT功能的組網環境下,NAT地址轉換不會對Portal認證造成影響。
l 目前支持Portal認證的遠端認證/計費服務器為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。
l 目前通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與H3C iNode客戶端配合。
本特性的支持情況與設備的型號有關,請以設備的實際情況為準。
本地Portal服務器功能是指,Portal認證係統中不采用外部獨立的Portal服務器,而由接入設備實現Portal服務器功能。這種情況下,Portal認證係統僅包括三個基本要素:認證客戶端、接入設備和認證/計費服務器,如圖2所示。由於設備支持Web用戶直接認證,因此就不需要部署額外的Portal服務器,增強了Portal認證的通用性。
圖2 使用本地Portal服務器的Portal係統組成示意圖
l 使用本地Portal服務器的Portal認證係統不支持Portal擴展功能,因此不需要部署安全策略服務器。
l 內嵌本地Portal服務器的接入設備實現了簡單的Portal服務器功能,僅能給用戶提供通過Web方式登錄、下線的基本功能,並不能完全替代獨立的Portal服務器。
認證客戶端和內嵌本地Portal服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議,則報文以明文形式傳輸,安全性無法保證;若客戶端和接入設備之間交互HTTPS協議,則報文基於SSL提供的安全機製以密文的形式傳輸,數據的安全性有保障。
本地Portal服務器支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套認證頁麵的HTML文件,並在壓縮之後保存至設備的存儲設備中。該套自定義頁麵中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙頁麵。本地Portal服務器根據不同的認證階段向客戶端推出對應的認證頁麵,若不自定義,則分別推出係統提供的缺省認證頁麵。
不同的組網方式下,可采用的Portal認證方式不同。按照網絡中實施Portal認證的網絡層次來分,Portal的認證方式分為兩種:二層認證方式和三層認證方式。
二層認證方式的支持情況與設備的型號有關,請以設備的實際情況為準。
這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能,隻允許源MAC地址通過認證的用戶才能訪問外部網絡資源。目前,該認證方式僅支持本地Portal認證,即接入設備作為本地Portal服務器向用戶提供Web認證服務。
另外,該方式還支持服務器下發授權VLAN和將認證失敗用戶加入認證失敗VLAN功能(三層認證方式不支持)。
這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發;可跨三層認證方式下,認證客戶端和接入設備之間可以跨接三層轉發設備。
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後即可訪問網絡資源。認證流程相對二次地址較為簡單。
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。
使用本地Portal服務器的Portal認證不支持二次地址分配認證方式。
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製粒度。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖3 Portal支持EAP認證協議交互示意圖
如圖3所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
l 該功能僅能與H3C iMC服務器以及H3C iNode客戶端配合使用。
l 目前,僅使用遠程Portal服務器的三層Portal認證支持EAP認證。
目前,二層Portal認證隻支持本地Portal認證,即由接入設備作為本地Portal服務器向用戶提供Web認證服務,具體認證過程如下。
圖4 二層Portal認證流程圖
(1) Portal用戶通過HTTP或HTTPS協議發起認證請求。HTTP報文經過配置了本地Portal服務器的接入設備的端口時會被重定向到本地Portal服務器的監聽IP地址,本地Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。該本地Portal服務器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層接口IP地址(通常為Loopback接口IP)。
(2) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互,對用戶身份進行驗證。
(3) 如果RADIUS認證成功,則接入設備上的本地Portal服務器向客戶端發送登錄成功頁麵,通知客戶端認證(上線)成功。
二層Portal認證支持服務器下發授權VLAN。當用戶通過Portal認證後,如果授權服務器上配置了下發VLAN功能,那麼服務器會將授權VLAN信息下發給接入設備,由接入設備將認證成功的用戶加入對應的授權VLAN中,則端口上會生成該用戶MAC對應的MAC VLAN表項,若該VLAN不存在,則接入設備首先創建VLAN,而後將用戶加入授權VLAN中。
通過支持下發授權VLAN,可實現對已認證用戶可訪問網絡資源的控製。
Auth-Fail VLAN功能允許用戶在認證失敗的情況下,可以訪問某一特定VLAN中的資源,比如病毒補丁服務器,存儲客戶端軟件或殺毒軟件的服務器,進行升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Auth-Fail VLAN。
二層Portal認證支持基於MAC的Auth-Fail VLAN,如果接入用戶的端口上配置了Auth-Fail VLAN,則端口上會基於認證失敗的MAC地址生成相應的MAC VLAN表項,認證失敗的用戶將會被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用戶可以訪問該VLAN中的非HTTP資源,但用戶的所有HTTP訪問請求會被重定向到接入設備上進行認證,若用戶仍然沒有通過認證,則將繼續處於Auth-Fail VLAN內;若認證成功,則回到加入Auth-Fail VLAN之前端口所在的VLAN。處於Auth-Fail VLAN中的用戶,若在指定時間(默認90秒)內無流量通過接入端口,則將離開該VLAN,回到端口的初始VLAN。
用戶加入授權VLAN或Auth-Fail VLAN後,需要自動申請或者手動更新客戶端IP地址,以保證可以與授權VLAN或Auth-Fail VLAN中的資源互通。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖5 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時,對於訪問Portal服務器或設定的免費訪問地址的HTTP報文,接入設備允許其通過;對於訪問其它地址的HTTP報文,接入設備將其重定向到Portal服務器。Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。
(2) Portal服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼驗證協議)認證則直接進入下一步驟。
(3) Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(4) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(5) 接入設備向Portal服務器發送認證應答報文。
(6) Portal服務器向客戶端發送認證通過報文,通知客戶端認證(上線)成功。
(7) Portal服務器向接入設備發送認證應答確認。
(8) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(9) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
(10) 步驟(8)、(9)為Portal認證擴展功能的交互過程。
圖6 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(6)同直接/可跨三層Portal認證中步驟(1)~(6)。
(7) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal服務器用戶已獲得新IP地址。
(8) Portal服務器通知接入設備客戶端獲得新公網IP地址。
(9) 接入設備通過檢測ARP協議報文發現了用戶IP變化,並通告Portal服務器已檢測到用戶IP變化。
(10) Portal服務器通知客戶端上線成功。
(11) Portal服務器向接入設備發送IP變化確認報文。
(12) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(13) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
(14) 步驟(12)、(13)為Portal認證擴展功能的交互過程。
圖7 使用本地Portal服務器的認證流程圖
直接/可跨三層本地Portal認證流程:
(1) Portal用戶通過HTTP或HTTPS協議發起認證請求。HTTP報文經過配置了本地Portal服務器的接入設備的接口時會被重定向到本地Portal服務器,本地Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。該本地Portal服務器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層接口IP地址。
(2) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(3) 接入設備中的本地Portal服務器向客戶端發送登錄成功頁麵,通知客戶端認證(上線)成功。
圖8 Portal支持EAP認證流程圖
支持EAP認證的Portal認證流程如下(各Portal認證方式對於EAP認證的處理流程相同,此處僅以直接認證為例):
(1) Portal客戶端發起EAP認證請求,向Portal服務器發送Identity類型的EAP請求報文。
(2) Portal服務器向接入設備發送Portal認證請求報文,同時開啟定時器等待Portal認證應答報文,該認證請求報文中包含若幹個EAP-Message屬性,這些屬性用於封裝Portal客戶端發送的EAP報文,並可攜帶客戶端的證書信息。
(3) 接入設備接收到Portal認證請求報文後,構造RADIUS認證請求報文與RADIUS服務器進行認證交互,該RADIUS認證請求報文的EAP-Message屬性值由接入設備收到的Portal認證請求報文中的EAP-Message屬性值填充。
(4) 接入設備根據RADIUS服務器的回應信息向Portal服務器發送證書請求報文,該報文中同樣會包含若幹個EAP-Message屬性,可用於攜帶RADIUS服務器的證書信息,這些屬性值由RADIUS認證回應報文中的EAP-Message屬性值填充。
(5) Portal服務器接收到證書請求報文後,向Portal客戶端發送EAP認證回應報文,直接將RADIUS服務器響應報文中的EAP-Message屬性值透傳給Portal客戶端。
(6) Portal客戶端繼續發起的EAP認證請求,與RADIUS服務器進行後續的EAP認證交互,期間Portal認證請求報文可能會出現多次。後續認證過程與第一個EAP認證請求報文的交互過程類似,僅EAP報文類型會根據EAP認證階段發展有所變化,此處不再詳述。
(7) EAP認證通過後,RADIUS服務器向接入設備發送認證通過響應報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文(EAP-Success)。
(8) 接入設備向Portal服務器發送認證應答報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文。
(9) Portal服務器根據認證應答報文中的認證結果通知Portal客戶端認證成功。
(10) 後續為Portal認證擴展功能的交互過程,可參考CHAP/PAP認證方式下的認證流程介紹,此處略。
本特性的支持情況與設備的型號有關,請以設備的實際情況為準。
在當前的組網應用中,用戶對網絡可靠性的要求越來越高,特別是在一些重點的業務入口或接入點上需要保證網絡業務的不間斷性。雙機熱備技術可以保證這些關鍵業務節點在單點故障的情況下,信息流仍然不中斷。
所謂雙機熱備,其實是雙機業務備份。可以分別指定兩台設備上的任意一個支持備份接口功能的以太網接口為備份接口,兩個備份接口通過備份鏈路相連。或者在兩台設備上分別指定相同的備份VLAN,專用於傳輸雙機熱備相關的報文。在設備正常工作時,對業務信息進行主備同步;在設備故障後,利用VRRP或動態路由(例如OSPF)機製實現業務流量切換到備份設備,由備份設備繼續處理業務,從而保證了當前的業務不被中斷。關於雙機熱備的詳細介紹請參見“可靠性配置指導”中的“雙機熱備”。
如圖9所示,在一個典型的Portal雙機熱備組網環境中,用戶通過Portal認證接入網絡,為避免接入設備單機故障的情況下造成的Portal業務中斷,接入設備提供了Portal支持雙機熱備功能。該功能是指,接入設備Gateway A和Gateway B通過備份鏈路互相備份兩台設備上的Portal在線用戶信息,實現當其中一台設備發生故障時,另外一台設備可以對新的Portal用戶進行接入認證,並能夠保證所有已上線Portal用戶的正常數據通信。
備份鏈路對於部分雙機熱備設備不是必須的,隻要保證互為備份的設備上存在相同的VLAN專用於傳輸雙機熱備相關的報文。若組網中配置了專門的備份鏈路,則需要將兩台設備上連接備份鏈路的物理接口加入備份VLAN中。
(1) 設備的工作狀態
l 獨立運行狀態:設備未與其它設備建立備份連接時所處的一種穩定狀態。
l 同步運行狀態:設備與對端設備之間成功建立備份連接,可以進行數據備份時所處的一種穩定狀態。
(2) 用戶的工作模式
l Stand-alone:表示用戶數據隻在一台設備上存在。當前設備處於獨立運行狀態,或者當前設備處於同步運行狀態但用戶數據還未同步。
l Primary:表明用戶是由本端設備上線,用戶數據由本端設備生成。本端設備處於同步運行狀態,可以處理並接收服務器發送的報文。
l Secondary:表明用戶是由對端設備上線,用戶數據是由對端設備同步到本端設備上的。本端設備處於同步運行狀態,隻接收並處理同步消息,不處理服務器發送的報文。
實際組網應用中,某企業的各分支機構屬於不同的VPN,且各VPN之間的業務相互隔離。如果各分支機構的Portal用戶要通過位於總部VPN中的服務器進行統一認證,則需要Portal支持多實例。
通過Portal支持多實例,可實現Portal認證報文通過MPLS VPN進行交互。如下圖所示,連接客戶端的PE設備作為NAS,通過MPLS VPN將私網客戶端的Portal認證報文透傳給網絡另一端的私網服務器,並在AAA支持多實例的配合下,實現對私網VPN客戶端的Portal接入認證,滿足了私網VPN業務隔離情況下的客戶端集中認證,且各私網的認證報文互不影響。
圖10 Portal支持多實例典型組網圖
l 在MCE設備上進行的Portal接入認證也可支持多實例功能。關於MCE的相關介紹請見參見“MPLS配置指導”中的“MPLS L3VPN”。
l 關於AAA支持多實例的相關介紹請參見“安全配置指導”中的“AAA”。
l 本特性不支持多VPN間的地址重疊。
售前谘詢
售後谘詢
人工在線谘詢
