Portal認證通常又稱Web認證，用戶上網時，必須在Portal認證頁面進行認證，如果未認證成功，僅可以訪問特定的網絡資源，認證成功後，才可以訪問其他網絡資源。

Portal認證具有以下優點：

• 簡單方便，客戶端不需要安裝額外的軟件，直接在Web頁面上認證。
• 便于運營，可以在Portal頁面上進行業務拓展，如廣告推送、企業宣傳等。
• 技術成熟，被廣泛應用于運營商、連鎖快餐、酒店、學校等網絡。
• 部署位置靈活，可以在接入層或關鍵數據的入口作訪問控制。
• 用戶管理靈活，可基于用戶名與VLAN/IP地址/MAC地址的組合對用戶進行認證。

Portal認證系統主要包括四個基本要素：客戶端、接入設備、Portal服務器與認證服務器。

圖1 Portal認證系統組網圖

• 客戶端：安裝有運行HTTP/HTTPS協議的浏覽器的主機。
• 接入設備：交換機、路由器等接入設備的統稱，主要有三方面的作用。

1. 在認證之前，将認證網段内用戶的所有HTTP/HTTPS請求都重定向到Portal服務器。
2. 在認證過程中，與Portal服務器、認證服務器交互，完成對用戶身份認證、授權與計費的功能。
3. 在認證通過後，允許用戶訪問被管理員授權的網絡資源。

• Portal服務器：接收客戶端認證請求的服務器系統，提供免費門戶服務和認證界面，與接入設備交互客戶端的認證信息。
• 認證服務器：與接入設備進行交互，完成對用戶的認證、授權與計費。

根據網絡中實施Portal認證的網絡層次來分，Portal認證方式分為兩種：二層認證方式和三層認證方式。

• 當客戶端與接入設備之間為二層網絡時，接入設備可以學習到客戶端的MAC地址，則接入設備可以利用IP地址和MAC地址來識别用戶，此時可配置Portal認證為二層認證方式。
• 當客戶端與接入設備之間包含三層網絡時，接入設備不能獲取到認證客戶端的MAC地址，隻能以IP地址作為用戶的唯一标識，此時需要将Portal認證配置為三層認證方式。

在二層認證方式下，用戶上線時的報文交互流程如圖2所示。

圖2 Portal認證流程圖

1. 在認證之前客戶端與接入設備之間建立起預連接，即客戶端用戶在認證成功之前在接入設備上已建立用戶在線表項，并且隻有部分網絡訪問權限。
2. 客戶端發起HTTP連接請求。
3. 接入設備收到HTTP連接請求報文時，如果是訪問Portal服務器或免認證網絡資源，則接入設備允許其通過；如果是訪問其它地址，則接入設備将其URL地址重定向到Portal認證頁面。
4. 客戶端根據獲得的URL地址向Portal服務器發起HTTP連接請求。
5. Portal服務器向客戶端返回Portal認證頁面。
6. 用戶在Portal認證頁面輸入用戶名和密碼後，客戶端向Portal服務器發起Portal認證請求。
7. （可選）Portal服務器收到Portal認證請求後，如果Portal服務器與接入設備之間采用CHAP認證，則Portal服務器向接入設備發起Portal挑戰字請求報文（REQ_CHALLENGE）；如果Portal服務器與接入設備之間采用PAP認證，則接入設備直接進行第9步。
8. （可選）接入設備向Portal服務器回應Portal挑戰字應答報文（ACK_CHALLENGE）。
9. Portal服務器将用戶輸入的用戶名和密碼封裝在Portal認證請求報文（REQ_AUTH）中，并發送給接入設備。
10. 接入設備根據獲取到的用戶名和密碼，向RADIUS服務器發送RADIUS認證請求（ACCESS-Request）。
11. RADIUS服務器對用戶名和密碼進行認證。如果認證成功，則RADIUS服務器向接入設備發送認證接受報文（ACCESS-ACCEPT）；如果認證失敗，則RADIUS服務器返回認證拒絕報文（ACCESS-REJECT）。由于RADIUS協議合并了認證和授權的過程，因此認證接受報文中也包含了用戶的授權信息。
12. 接入設備根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入，則接入設備向RADIUS服務器發送計費開始請求報文（ACCOUNTING-REQUEST）。
13. RADIUS服務器返回計費開始響應報文（ACCOUNTING-RESPONSE），并開始計費，将用戶加入自身在線用戶列表。
14. 接入設備向Portal服務器返回Portal認證結果（ACK_AUTH），并将用戶加入自身在線用戶列表。
15. Portal服務器向客戶端發送認證結果報文，通知客戶端認證成功，并将用戶加入自身在線用戶列表。
16. Portal服務器向接入設備發送認證應答确認（AFF_ACK_AUTH）。

對于三層認證方式，客戶端與接入設備之間沒有建立預連接過程，其餘報文處理流程跟二層認證完全一緻。

MAC優先的Portal認證是指用戶進行Portal認證成功後，在一定時間（認證服務器上配置的MAC地址有效時間）内斷開網絡重新連接，能夠直接通過MAC認證接入，無需輸入用戶名密碼重新進行Portal認證。具體認證流程如圖3所示

圖3 認證流程圖

配置MAC優先Portal認證後，客戶端用戶首次認證時，接入設備會把客戶端的MAC地址發到RADIUS服務器進行認證，但由于RADIUS服務器未查找到MAC地址信息，導緻認證失敗，觸發客戶端用戶進行Portal認證。

認證成功後，RADIUS服務器會自動保存客戶端的MAC地址。當客戶端下線後重新嘗試接入網絡時，接入設備會把客戶端的MAC地址發到RADIUS服務器進行認證。

• 如果客戶端的MAC地址還保存在RADIUS服務器，則RADIUS服務器校驗用戶名和密碼（用戶名和密碼均為MAC地址）後，直接進行授權，用戶授權後即可以直接訪問網絡，不需要再次輸入用戶名密碼進行認證。
• 如果客戶端的MAC地址在RADIUS服務器已經過期，則RADIUS服務器會删除保存的客戶端MAC地址。MAC地址認證失敗之後，接入設備會向客戶端用戶推送Portal認證頁面。客戶端用戶輸入帳号和密碼完成身份認證。

認證用于确認嘗試接入網絡的用戶身份是否合法，而授權則用于指定身份合法的用戶所能擁有的網絡訪問權限，即用戶能夠訪問哪些資源。授權最基礎也是最常使用的參數是ACL和UCL組，此處以RADIUS授權進行說明

ACL

用戶認證成功後，認證服務器将指定ACL授權給用戶，則設備會根據該ACL對用戶報文進行控制。

• 如果用戶報文匹配到該ACL中動作為permit的規則，則允許其通過。
• 如果用戶報文匹配到該ACL中動作為deny的規則，則将其丢棄。

RADIUS服務器授權ACL方法:RADIUS服務器通過RADIUS标準屬性Filter-Id将ACL ID授權給用戶。為使授權的ACL生效，需要提前在設備上配置相應的ACL及規則。

用戶組

用戶組指具有相同角色、相同權限等屬性的一組用戶（終端）的集合。由于ACL資源有限，當每用戶需要的授權ACL較多時，無法達到上線授權的用戶數規格。通常情況下雖然用戶數很大，但是用戶權限的分類比較少的，所以可以使用用戶組，每一組用戶複用ACL，以利用有限的ACL支持較大規格的用戶進行ACL授權。

用戶組可以在RADIUS服務器上配置，也可以在設備端配置（需在AAA域下應用）。如果用戶希望使用RADIUS服務器下發的用戶組授權，需要保證RADIUS服務器上下發的用戶組在設備上已經配置（不需在AAA域下應用）。RADIUS服務器下發的用戶組授權優先級高于設備端配置的用戶組授權，當服務器下發的用戶組授權失敗後，用戶會采用設備端配置的用戶組授權。

RADIUS服務器下發用戶組授權的方式和下發ACL ID的方式一樣，都是用11号标準屬性Filter-Id來攜帶，屬性值填充用戶組名稱。11号屬性将優先被當成ACL編号處理。當設備上不存在該ACL編号的時候，則當成用戶組處理。

free-rule

用戶認證成功之前，為滿足用戶基本的網絡訪問需求，需要用戶認證成功前就能獲取部分網絡訪問權限。可在free-rule模闆中配置free-rule規則，滿足用戶的認證成功前的網絡訪問需求。

當用戶已下線，而接入設備、RADIUS服務器和Portal服務器未感知到該用戶已下線時，會産生以下問題：

• RADIUS服務器仍會對該用戶進行計費，造成誤計費。
• 存在非法用戶仿冒合法用戶IP地址和MAC地址接入網絡的風險。
• 占用設備用戶規格，當已下線用戶數量過多的情況下，可能會導緻其他用戶無法接入網絡。

因此，接入設備要能夠及時感知到用戶已下線，删除該用戶表項，并通知RADIUS服務器停止對該用戶進行計費。

用戶下線分為客戶端主動下線、接入設備控制用戶下線、認證服務器強制用戶下線和Portal服務器強制用戶下線。

客戶端主動下線

由用戶發起的主動下線，例如用戶點擊注銷按鈕，客戶端向Portal服務器發送用戶注銷請求。具體下線流程如圖4所示：

圖4 客戶端主動下線流程圖

1. 客戶端向Portal服務器發送用戶注銷請求。
2. Portal服務器向客戶端發送用戶注銷響應，并向接入設備發送用戶下線通知報文（REQ_LOGOUT）。
3. 接入設備向RADIUS服務器發送停止計費請求報文（ACCOUNTING-REQUEST），并将用戶下線。同時向Portal服務器發送用戶下線響應報文（ACK_LOGOUT）。Portal服務器收到用戶下線響應後，将用戶下線。
4. RADIUS服務器返回停止計費響應報文（ACCOUNTING-RESPONSE），并将用戶下線。

接入設備控制用戶下線

接入設備控制用戶下線有兩種方式：

• 在接入設備上執行命令cut access-user強制指定用戶下線。
• 在接入設備上配置用戶探測功能，用于探測用戶是否在線。當用戶在指定的時間内無響應，則認為用戶下線，删除用戶表項。

以下線探測的下線流程為例，具體下線流程如圖5所示，:

圖5 用戶下線探測流程圖

1. 下線探測過程。接入設備獲取到客戶端IP地址，啟動下線探測定時器，周期為time-length。在T時間内（T = time-length/3）收到客戶端報文，接入設備認為用戶在線，并且在T時刻會重置下線探測定時器。在T時間内未收到客戶端報文時，接入設備每隔T時間向客戶端發送ARP請求報文，如果連續兩次沒有收到客戶端的ARP請求的應答報文或其他報文，接入設備認為用戶已下線。
2. 接入設備向Portal服務器發送用戶下線通知（NTF_LOGOUT），并将用戶下線。同時，接入設備向RADIUS服務器發送停止計費請求報文（ACCOUNTING-REQUEST）。
3. Portal服務器向接入設備發送用戶下線響應報文（AFF_ACK_LOGOUT），并将用戶下線。RADIUS服務器向接入設備發送停止計費響應報文（ACCOUNTING-RESPONSE），并将用戶下線。

認證服務器強制用戶下線

服務器強制用戶下線有以下方式：

• RADIUS服務器可通過DM報文（Disconnect Message）強制用戶下線。DM是指用戶離線報文，即由RADIUS服務器端主動發起的強迫用戶下線的報文。
• RADIUS服務器通過授權RADIUS标準屬性Session-Timeout和Termination-Action。其中，Session-Timeout為用戶在線時長定時器，Termination-Action屬性值為0表示将用戶下線。當用戶在線的時長達到定時器指定的數值時，設備會将用戶下線。

以RADIUS服務器通過DM報文強制用戶下線為例，具體下線流程如圖6所示：

圖6 認證服務器強制用戶下線流程圖

1. RADIUS服務器向接入設備發送用戶下線請求（DM Request）。
2. 接入設備向Portal服務器發送下線通知（NTF_LOGOUT），并将用戶下線。同時，接入設備向RADIUS服務器發送下線響應（DM ACK）及停止計費請求報文（ACCOUNTING-REQUEST）。
3. Portal服務器向接入設備發送用戶下線響應報文（AFF_ACK_LOGOUT），并将用戶下線。RADIUS服務器向接入設備發送停止計費響應報文（ACCOUNTING-RESPONSE），并将用戶下線。

Portal服務器強制用戶下線

當管理員注銷用戶或Portal服務器主動探測發現用戶已經離線等事件發生時，Portal服務器将用戶下線，并向接入設備發送下線通知。具體下線流程如圖7所示。

圖7 Portal服務器強制用戶下線流程圖

1. Portal服務器向接入設備發送用戶下線通知報文（REQ_LOGOUT）。
2. 接入設備向RADIUS服務器發送停止計費請求報文（ACCOUNTING-REQUEST），并将用戶下線。同時，接入設備向Portal服務器發送用戶下線響應報文（ACK_LOGOUT）。
3. Portal服務器收到用戶下線響應後，将用戶下線。
4. RADIUS服務器返回停止計費響應報文（ACCOUNTING-RESPONSE），并将用戶下線。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!