Portal认证
Portal 认证
Portal简介
Portal在英语中是⼊⼝的意思。Portal认证通常也称为Web认证,⼀般将Portal认证⽹站称为门户⽹站。
未认证⽤户上⽹时,设备强制⽤户登录到特定站点,⽤户可以免费访问其中的服务。当⽤户需要使⽤互联⽹中的其它信息时,必须在门户⽹站进⾏认证,只有认证通过后才可以使⽤互联⽹资源。
⽤户可以主动访问已知的Portal认证⽹站,输⼊⽤户名和密码进⾏认证,这种开始Portal认证的⽅式称作主动认证。反之,如果⽤户试图通过HTTP访问其他外⽹,将被强制访问Portal认证⽹站,从⽽开始Portal认证过程,这种⽅式称作强制认证。
Portal业务可以为运营商提供⽅便的管理功能,门户⽹站可以开展⼴告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成⼀个产业⽣态系统。
Portal扩展功能
Portal的扩展功能主要是指通过强制接⼊终端实施补丁和防病毒策略,加强⽹络终端对病毒攻击的主动防御能⼒。具体扩展功能如下:
l 在Portal⾝份认证的基础上增加了安全认证机制,可以检测接⼊终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了⾮法软件、是否更新了操作系统补丁等;
l ⽤户通过⾝份认证后仅仅获得访问部分互联⽹资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当⽤户通过安全认证后便可以访问更多的互联⽹资源(⾮受限资源)。
Portal的系统组成
Portal的典型组⽹⽅式如图1所⽰,它由五个基本要素组成:认证客户端、接⼊设备、Portal服务器、认证/计费服务器和安全策略服务器。
由于Portal服务器可以是接⼊设备之外的独⽴实体,也可以是存在于接⼊设备之内的内嵌实体,本⽂称之为“本地Portal服务器”,因此下⽂中除对本地⽀持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独⽴的Portal服务器,请勿混淆。
图1 Portal系统组成⽰意图
1. 认证客户端
安装于⽤户终端的客户端系统,为运⾏HTTP/HTTPS协议的浏览器或运⾏Portal客户端软件的主机。对接⼊终端的安全性检测是通过Portal 客户端和安全策略服务器之间的信息交流完成的。
2. 接⼊设备
交换机、路由器等宽带接⼊设备的统称,主要有三⽅⾯的作⽤:
l 在认证之前,将⽤户的所有HTTP请求都重定向到Portal服务器。
l 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成⾝份认证/安全认证/计费的功能。
l 在认证通过后,允许⽤户访问被管理员授权的互联⽹资源。
3. Portal服务器
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界⾯,与接⼊设备交互认证客户端的认证信息。
4. 认证/计费服务器
与接⼊设备进⾏交互,完成对⽤户的认证和计费。
5. 安全策略服务器
与Portal客户端、接⼊设备进⾏交互,完成对⽤户的安全认证,并对⽤户进⾏授权操作。
以上五个基本要素的交互过程为:
(1) 未认证⽤户访问⽹络时,在Web浏览器地址栏中输⼊⼀个互联⽹的地址,那么此HTTP请求在经过接⼊设备时会被重定向到Portal服务器的Web认证主页上;若需要使⽤Portal的扩展认证功能,则⽤户必须使⽤Portal客户端。
(2) ⽤户在认证主页/认证对话框中输⼊认证信息后提交,Portal服务器会将⽤户的认证信息传递给接⼊设备;
(3) 然后接⼊设备再与认证/计费服务器通信进⾏认证和计费;
(4) 认证通过后,如果未对⽤户采⽤安全策略,则接⼊设备会打开⽤户与互联⽹的通路,允许⽤户访问互联⽹;如果对⽤户采⽤了安全策略,则客户端、接⼊设备与安全策略服务器交互,对⽤户的安全检测通过之后,安全策略服务器根据⽤户的安全性授权⽤户访问⾮受限资源。
l ⽆论是Web客户端还是H3C iNode客户端发起的Portal认证,均能⽀持Portal认证穿越NAT,即Portal客户端位于私⽹、Portal服务器位于公⽹,接⼊设备上启⽤NAT功能的组⽹环境下,NAT地址转换不会对Portal认证造成影响。
l ⽬前⽀持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号⽤户服务)服务器。l ⽬前通过访问Web页⾯进⾏的Portal认证不能对⽤户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
使⽤本地Portal服务器的Portal认证系统
本特性的⽀持情况与设备的型号有关,请以设备的实际情况为准。
系统组成
本地Portal服务器功能是指,Portal认证系统中不采⽤外部独⽴的Portal服务器,⽽由接⼊设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接⼊设备和认证/计费服务器,如图2所⽰。由于设备⽀持Web⽤户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通⽤性。
图2 使⽤本地Portal服务器的Portal系统组成⽰意图
l 使⽤本地Portal服务器的Portal认证系统不⽀持Portal扩展功能,因此不需要部署安全策略服务器。
l 内嵌本地Portal服务器的接⼊设备实现了简单的Portal服务器功能,仅能给⽤户提供通过Web⽅式登录、下线的基本功能,并不能完全替代独⽴的Portal服务器。
认证客户端和本地Portal服务器之间的交互协议
认证客户端和内嵌本地Portal服务器的接⼊设备之间可以采⽤HTTP和HTTPS协议通信。若客户端和接⼊设备之间交互HTTP协议,则报⽂以明⽂形式传输,安全性⽆法保证;若客户端和接⼊设备之间交互HTTPS协议,则报⽂基于SSL提供的安全机制以密⽂的形式传输,数据的安全性有保障。
本地Portal服务器⽀持⽤户⾃定义认证页⾯
本地Portal服务器⽀持由⽤户⾃定义认证页⾯的内容,即允许⽤户编辑⼀套认证页⾯的HTML⽂件,并在压缩之后保存⾄设备的存储设备中。该套⾃定义页⾯中包括六个认证页⾯:登录页⾯、登录成功页⾯、在线页⾯、下线成功页⾯、登录失败页⾯和系统忙页⾯。本地Portal 服务器根据不同的认证阶段向客户端推出对应的认证页⾯,若不⾃定义,则分别推出系统提供的缺省认证页⾯。
Portal的认证⽅式
不同的组⽹⽅式下,可采⽤的Portal认证⽅式不同。按照⽹络中实施Portal认证的⽹络层次来分,Portal的认证⽅式分为两种:⼆层认证⽅式和三层认证⽅式。
⼆层认证⽅式的⽀持情况与设备的型号有关,请以设备的实际情况为准。
⼆层认证⽅式
这种⽅式⽀持在接⼊设备连接⽤户的⼆层端⼝上开启Portal认证功能,只允许源MAC地址通过认证的⽤户才能访问外部⽹络资源。⽬前,该认证⽅式仅⽀持本地Portal认证,即接⼊设备作为本地Portal服务器向⽤户提供Web认证服务。
另外,该⽅式还⽀持服务器下发授权VLAN和将认证失败⽤户加⼊认证失败VLAN功能(三层认证⽅式不⽀持)。
三层认证⽅式
这种⽅式⽀持在接⼊设备连接⽤户的三层接⼝上开启Portal认证功能。三层接⼝Portal认证⼜可分为三种不同的认证⽅式:直接认证⽅式、⼆次地址分配认证⽅式和可跨三层认证⽅式。直接认证⽅式和⼆次地址分配认证⽅式下,认证客户端和接⼊设备之间没有三层转发;可跨三层认证⽅式下,认证客户端和接⼊设备之间可以跨接三层转发设备。
1. 直接认证⽅式
⽤户在认证前通过⼿⼯配置或DHCP直接获取⼀个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问⽹络资源。认证流程相对⼆次地址较为简单。
2. ⼆次地址分配认证⽅式
⽤户在认证前通过DHCP获取⼀个私⽹IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,⽤户会申请到⼀个公⽹IP 地址,即可访问⽹络资源。该认证⽅式解决了IP地址规划和分配问题,对未认证通过的⽤户不分配公⽹IP地址。例如运营商对于⼩区宽带⽤户只在访问⼩区外部资源时才分配公⽹IP。
使⽤本地Portal服务器的Portal认证不⽀持⼆次地址分配认证⽅式。
3. 可跨三层认证⽅式
和直接认证⽅式基本相同,但是这种认证⽅式允许认证⽤户和接⼊设备之间跨越三层转发设备。
对于以上三种认证⽅式,IP地址都是⽤户的唯⼀标识。接⼊设备基于⽤户的IP地址下发ACL对接⼝上通过认证的⽤户报⽂转发进⾏控制。由于直接认证和⼆次地址分配认证下的接⼊设备与⽤户之间未跨越三
层转发设备,因此接⼝可以学习到⽤户的MAC地址,接⼊设备可以利⽤学习到MAC地址增强对⽤户报⽂转发的控制粒度。
Portal⽀持EAP认证
在对接⼊⽤户⾝份可靠性要求较⾼的⽹络应⽤中,传统的基于⽤户名和⼝令的⽤户⾝份验证⽅式存在⼀定的安全问题,基于数字证书的⽤户⾝份验证⽅式通常被⽤来建⽴更为安全和可靠的⽹络接⼊认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可⽀持多种基于数字证书的认证⽅式(例如EAP-TLS),它与Portal认证相配合,可共同为⽤户提供基于数字证书的接⼊认证服务。
图3 Portal⽀持EAP认证协议交互⽰意图
如图3所⽰,在Portal⽀持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报⽂,Portal服务器与接⼊设备之间交互携带EAP-Message属性的Portal协议报⽂,接⼊设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报⽂,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报⽂,并给出EAP认证结果。整个EAP认证过程中,接⼊设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进⾏透传,并不对其进⾏任何处理,因此接⼊设备上⽆需任何额外配置。
l 该功能仅能与H3C iMC服务器以及H3C iNode客户端配合使⽤。
l ⽬前,仅使⽤远程Portal服务器的三层Portal认证⽀持EAP认证。
⼆层Portal认证过程
⼆层Portal认证流程
⽬前,⼆层Portal认证只⽀持本地Portal认证,即由接⼊设备作为本地Portal服务器向⽤户提供Web认证服务,具体认证过程如下。
图4 ⼆层Portal认证流程图
(1) Portal⽤户通过HTTP或HTTPS协议发起认证请求。HTTP报⽂经过配置了本地Portal服务器的接⼊设备的端⼝时会被重定向到本地Portal 服务器的监听IP地址,本地Portal服务器提供Web页⾯供⽤户输⼊⽤户名和密码来进⾏认证。该本地Portal服务器的监听IP地址为接⼊设备上⼀个与⽤户之间路由可达的三层接⼝IP地址(通常为Loopback接⼝IP)。
(2) 接⼊设备与RADIUS服务器之间进⾏RADIUS协议报⽂的交互,对⽤户⾝份进⾏验证。
(3) 如果RADIUS认证成功,则接⼊设备上的本地Portal服务器向客户端发送登录成功页⾯,通知客户端认证(上线)成功。
⽀持下发授权VLAN
⼆层Portal认证⽀持服务器下发授权VLAN。当⽤户通过Portal认证后,如果授权服务器上配置了下发VLAN功能,那么服务器会将授权VLAN信息下发给接⼊设备,由接⼊设备将认证成功的⽤户加⼊对应的授权VLAN中,则端⼝上会⽣成该⽤户MAC对应的MAC VLAN表项,若该VLAN不存在,则接⼊设备⾸先创建VLAN,⽽后将⽤户加⼊授权VLAN中。
通过⽀持下发授权VLAN,可实现对已认证⽤户可访问⽹络资源的控制。
⽀持Auth-Fail VLAN
Auth-Fail VLAN功能允许⽤户在认证失败的情况下,可以访问某⼀特定VLAN中的资源,⽐如病毒补丁服务器,存储客户端软件或杀毒软件的服务器,进⾏升级客户端或执⾏其他⼀些⽤户升级程序。这个VLAN称之为Auth-Fail VLAN。
⼆层Portal认证⽀持基于MAC的Auth-Fail VLAN,如果接⼊⽤户的端⼝上配置了Auth-Fail VLAN,则端⼝上会基于认证失败的MAC地址⽣成相应的MAC VLAN表项,认证失败的⽤户将会被加⼊Auth-Fail VL
AN中。加⼊Auth-Fail VLAN中的⽤户可以访问该VLAN中的⾮HTTP资源,但⽤户的所有HTTP访问请求会被重定向到接⼊设备上进⾏认证,若⽤户仍然没有通过认证,则将继续处于Auth-Fail VLAN内;若认证成功,则回到加⼊Auth-Fail VLAN之前端⼝所在的VLAN。处于Auth-Fail VLAN中的⽤户,若在指定时间(默认90秒)内⽆流量通过接⼊端⼝,则将离开该VLAN,回到端⼝的初始VLAN。
⽤户加⼊授权VLAN或Auth-Fail VLAN后,需要⾃动申请或者⼿动更新客户端IP地址,以保证可以与授权VLAN或Auth-Fail VLAN中的资源互通。
三层Portal认证过程
直接认证和可跨三层Portal认证流程相同。⼆次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证⽅式有所不同。
直接认证和可跨三层Portal认证的流程(CHAP/PAP认证⽅式)
图5 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal⽤户通过HTTP协议发起认证请求。HTTP报⽂经过接⼊设备时,对于访问Portal服务器或设定
的免费访问地址的HTTP报⽂,接⼊设备允许其通过;对于访问其它地址的HTTP报⽂,接⼊设备将其重定向到Portal服务器。Portal服务器提供Web页⾯供⽤户输⼊⽤户名和密码来进⾏认证。
(2) Portal服务器与接⼊设备之间进⾏CHAP(Challenge Handshake Authentication Protocol,质询握⼿验证协议)认证交互。若采⽤PAP(Password Authentication Protocol,密码验证协议)认证则直接进⼊下⼀步骤。
(3) Portal服务器将⽤户输⼊的⽤户名和密码组装成认证请求报⽂发往接⼊设备,同时开启定时器等待认证应答报⽂。
(4) 接⼊设备与RADIUS服务器之间进⾏RADIUS协议报⽂的交互。
(5) 接⼊设备向Portal服务器发送认证应答报⽂。
(6) Portal服务器向客户端发送认证通过报⽂,通知客户端认证(上线)成功。
(7) Portal服务器向接⼊设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进⾏安全信息交互。安全策略服务器检测接⼊终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了⾮法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据⽤户的安全性授权⽤户访问⾮受限资源,授权信息保存到接⼊设备中,接⼊设备将使⽤该信息控制⽤户的访问。
(10) 步骤(8)、(9)为Portal认证扩展功能的交互过程。
⼆次地址分配认证⽅式的流程(CHAP/PAP认证⽅式)
图6 ⼆次地址分配认证⽅式流程图
⼆次地址分配认证流程:
(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。
(7) 客户端收到认证通过报⽂后,通过DHCP获得新的公⽹IP地址,并通知Portal服务器⽤户已获得新IP地址。
(8) Portal服务器通知接⼊设备客户端获得新公⽹IP地址。
(9) 接⼊设备通过检测ARP协议报⽂发现了⽤户IP变化,并通告Portal服务器已检测到⽤户IP变化。
(Portal认证
10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接⼊设备发送IP变化确认报⽂。
(12) 客户端和安全策略服务器之间进⾏安全信息交互。安全策略服务器检测接⼊终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了⾮法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据⽤户的安全性授权⽤户访问⾮受限资源,授权信息保存到接⼊设备中,接⼊设备将使⽤该信息控制⽤户的访问。
(14) 步骤(12)、(13)为Portal认证扩展功能的交互过程。
使⽤本地Portal服务器的认证流程
图7 使⽤本地Portal服务器的认证流程图
直接/可跨三层本地Portal认证流程:
(1) Portal⽤户通过HTTP或HTTPS协议发起认证请求。HTTP报⽂经过配置了本地Portal服务器的接⼊设备的接⼝时会被重定向到本地Portal 服务器,本地Portal服务器提供Web页⾯供⽤户输⼊⽤户名和密码
来进⾏认证。该本地Portal服务器的监听IP地址为接⼊设备上⼀个与⽤户之间路由可达的三层接⼝IP地址。
(2) 接⼊设备与RADIUS服务器之间进⾏RADIUS协议报⽂的交互。
(3) 接⼊设备中的本地Portal服务器向客户端发送登录成功页⾯,通知客户端认证(上线)成功。
Portal⽀持EAP认证流程
图8 Portal⽀持EAP认证流程图
⽀持EAP认证的Portal认证流程如下(各Portal认证⽅式对于EAP认证的处理流程相同,此处仅以直接认证为例):
(1) Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报⽂。
(2) Portal服务器向接⼊设备发送Portal认证请求报⽂,同时开启定时器等待Portal认证应答报⽂,该认证请求报⽂中包含若⼲个EAP-Message属性,这些属性⽤于封装Portal客户端发送的EAP报⽂,并可携带客户端的证书信息。
(3) 接⼊设备接收到Portal认证请求报⽂后,构造RADIUS认证请求报⽂与RADIUS服务器进⾏认证交互,该RADIUS认证请求报⽂的EAP-Message属性值由接⼊设备收到的Portal认证请求报⽂中的EAP-Message属性值填充。
(4) 接⼊设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报⽂,该报⽂中同样会包含若⼲个EAP-Message属性,可⽤于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报⽂中的EAP-Message属性值填充。
(5) Portal服务器接收到证书请求报⽂后,向Portal客户端发送EAP认证回应报⽂,直接将RADIUS服务器响应报⽂中的EAP-Message属性值透传给Portal客户端。
(6) Portal客户端继续发起的EAP认证请求,与RADIUS服务器进⾏后续的EAP认证交互,期间Portal认证请求报⽂可能会出现多次。后续认证过程与第⼀个EAP认证请求报⽂的交互过程类似,仅EAP报⽂类型会根据EAP认证阶段发展有所变化,此处不再详述。
(7) EAP认证通过后,RADIUS服务器向接⼊设备发送认证通过响应报⽂,该报⽂的EAP-Message属性中封装了EAP认证成功报⽂(EAP-Success)。
(8) 接⼊设备向Portal服务器发送认证应答报⽂,该报⽂的EAP-Message属性中封装了EAP认证成功报⽂。
(9) Portal服务器根据认证应答报⽂中的认证结果通知Portal客户端认证成功。
(10) 后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证⽅式下的认证流程介绍,此处略。
Portal⽀持双机热备
本特性的⽀持情况与设备的型号有关,请以设备的实际情况为准。
1. 概述
在当前的组⽹应⽤中,⽤户对⽹络可靠性的要求越来越⾼,特别是在⼀些重点的业务⼊⼝或接⼊点上需要保证⽹络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故障的情况下,信息流仍然不中断。
所谓双机热备,其实是双机业务备份。可以分别指定两台设备上的任意⼀个⽀持备份接⼝功能的以太⽹接⼝为备份接⼝,两个备份接⼝通过备份链路相连。或者在两台设备上分别指定相同的备份VLAN,专⽤于传输双机热备相关的报⽂。在设备正常⼯作时,对业务信息进⾏主备同步;在设备故障后,利⽤VRRP或动态路由(例如OSPF)机制实现业务流量切换到备份设备,由备份设备继续处理业务,从⽽保证了当前的业务不被中断。关于双机热备的详细介绍请参见“可靠性配置指导”中的“双机热备”。
图9 双机热备组⽹图
radius软件
如图9所⽰,在⼀个典型的Portal双机热备组⽹环境中,⽤户通过Portal认证接⼊⽹络,为避免接⼊设备单机故障的情况下造成的Portal业务中断,接⼊设备提供了Portal⽀持双机热备功能。该功能是指,接⼊设备Gateway A和Gateway B通过备份链路互相备份两台设备上的Portal 在线⽤户信息,实现当其中⼀台设备发⽣故障时,另外⼀台设备可以对新的Portal⽤户进⾏接⼊认证,并能够保证所有已上线Portal⽤户的正常数据通信。
备份链路对于部分双机热备设备不是必须的,只要保证互为备份的设备上存在相同的VLAN专⽤于传输双机热备相关的报⽂。若组⽹中配置了专门的备份链路,则需要将两台设备上连接备份链路的物理接⼝加⼊备份VLAN中。
2. 基本概念
(1) 设备的⼯作状态
l 独⽴运⾏状态:设备未与其它设备建⽴备份连接时所处的⼀种稳定状态。
l 同步运⾏状态:设备与对端设备之间成功建⽴备份连接,可以进⾏数据备份时所处的⼀种稳定状态。
(2) ⽤户的⼯作模式
l Stand-alone:表⽰⽤户数据只在⼀台设备上存在。当前设备处于独⽴运⾏状态,或者当前设备处于同步运⾏状态但⽤户数据还未同步。
l Primary:表明⽤户是由本端设备上线,⽤户数据由本端设备⽣成。本端设备处于同步运⾏状态,可以处理并接收服务器发送的报⽂。
l Secondary:表明⽤户是由对端设备上线,⽤户数据是由对端设备同步到本端设备上的。本端设备处于同步运⾏状态,只接收并处理同步消息,不处理服务器发送的报⽂。
Portal⽀持多实例
实际组⽹应⽤中,某企业的各分⽀机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分⽀机构的Portal⽤户要通过位于总部VPN 中的服务器进⾏统⼀认证,则需要Portal⽀持多实例。
通过Portal⽀持多实例,可实现Portal认证报⽂通过MPLS VPN进⾏交互。如下图所⽰,连接客户端的PE设备作为NAS,通过MPLS VPN将私⽹客户端的Portal认证报⽂透传给⽹络另⼀端的私⽹服务器,并在AAA⽀持多实例的配合下,实现对私⽹VPN客户端的Portal接⼊认证,满⾜了私⽹VPN业务隔离情况下的客户端集中认证,且各私⽹的认证报⽂互不影响。
图10 Portal⽀持多实例典型组⽹图
l 在MCE设备上进⾏的Portal接⼊认证也可⽀持多实例功能。关于MCE的相关介绍请见参见“MPLS配置指导”中的“MPLS L3VPN”。
l 关于AAA⽀持多实例的相关介绍请参见“安全配置指导”中的“AAA”。
l 本特性不⽀持多VPN间的地址重叠。
========== End
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论