web portal服务器_portal服务 免费_web portal

Portal简介

Portal 在英文中是入口的含义。 Portal 认证一般也称为 Web 认证，一般将 Portal 认证网站称为门户网站。

未认证用户上网时，设备强制客户注册到特定站点，用户可以免费访问其中的服务。当客户必须使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的 Portal 认证网页，输入用户名和密钥进行认证，这种开始 Portal 认证的方法也称主动认证。反之，如果用户试图借助 HTTP 访问其它外网，将被强行访问 Portal 认证网页，从而开始 Portal 认证过程，这种方法也称强制认证。

Portal 业务可以为运营商提供便利的管控功能，门户网站可以加强广告、社区服务、个性化的业务等，使带宽运营商、设备提供商和内容服务提供商形成一个产业生态系统。

Portal扩展功能

Portal 的扩展用途主要是指借助强制接入终端实施补丁和防病毒策略，加强网络终端对病毒***的主动攻击能力。具体扩展用途如下：

· 在 Portal 身份认证的基础上提高了安全认证体系，可以测量接入终端上是否加装了防病毒软件、是否升级了病毒库、是否加装了非法工具、是否升级了操作系统补丁等。

· 用户借助身份认证后只是取得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁升级服务器等；当客户通过安全认证后便可以访问更多的互联网资源（非受限资源）。

Portal的系统组成

Portal的典型组网形式如 图 42-1 所示，它由五个基本要素构成：认证客户端、接入设备、 Portal服务器、认证/计费服务器和安全策略服务器。

说明：由于 Portal 服务器可以是接入设备之外的独立实体，也可以是存在于接入设备之内的嵌入实体，本文称之为“本地 Portal 服务器”，因此下文中除对本地支持的 Portal 服务器做特殊说明之外，其它所有 Portal 服务器均指独立的 Portal 服务器，请勿混淆。

1. 认证客户端

安装于客户终端的客户端系统，为运行 HTTP/HTTPS 协议的浏览器或运行 Portal 客户端软件的主机。对接入终端的安全性检测是借助 Portal 客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备

交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

· 在认证之前，将认证网段内客户的所有 HTTP 请求都重定向到 Portal 服务器。

· 在认证过程中，与 Portal 服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

· 在认证通过后，允许用户访问被管理员授权的互联网资源。

3. Portal服务器

接收 Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于 Web 认证的图标，与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器

与接入设备进行交互，完成对客户的认证跟计费。

5. 安全策略服务器

与 Portal 客户端、接入设备进行交互，完成对客户的安全认证，并对用户进行授权操作。

以上五个基本要素的交互过程为：

(1) 未认证用户访问网络时，在 Web 浏览器地址栏中键入一个互联网的地址，那么此 HTTP 请求在经过接入设备时会被重定向到 Portal 服务器的 Web 认证主页上；若必须使用 Portal 的扩展认证用途，则用户需要使用 Portal 客户端。

(2) 用户在认证主页/认证对话框中键入认证信息后递交， Portal 服务器会将客户的认证信息传递给接入设备。

(3) 然后接入设备再与认证/计费服务器通信进行认证和计费。

(4) 认证通过后，如果已对客户采用安全策略，则接入设备会开启用户与互联网的通路，允许客户访问互联网；如果对客户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对客户的安全检查通过以后，安全策略服务器根据客户的安全性授权用户访问非受限资源。

说明：

· 无论是 Web 客户端还是 H3C iNode 客户端发起的 Portal 认证，均能支持 Portal 认证穿越 NAT，即 Portal 客户端位于私网、 Portal 服务器位于公网，接入设备上推出 NAT 功能的组网环境下，NAT 地址转换不会对 Portal 认证造成影响。

· 目前支持 Portal 认证的远端认证/计费服务器为 RADIUS（ Remote Authentication Dial-In UserService，远程认证拨号用户服务）服务器。

· 目前通过访问 Web 页面进行的 Portal 认证不能对客户实行安全策略检查，安全检查功能的推动必须与 H3C iNode 客户端配合。

使用本地Portal服务器的Portal认证平台

1. 系统组成

本地Portal服务器功能是指， Portal认证平台中不采取内部独立的Portal服务器，而由接入设备推动Portal服务器功能。这种状况下web portal服务器， Portal认证平台仅包含三个基本要素：认证客户端、接入设备和认证/计费服务器，如 图 42-2 所示。由于设施支持Web客户直接认证，因此就不需要部署额外的Portal服务器，增强了Portal认证的通用性。

说明：

· 使用本地 Portal 服务器的 Portal 认证平台不支持 Portal 扩展用途，因此不需要部署安全策略服务器。

· 内嵌本地 Portal 服务器的接入设备推动了简单的 Portal 服务器功能，仅可帮客户提供通过 Web方式注册、下线的基本用途，并不能完全取代独立的 Portal 服务器。

2. 认证客户端和本地Portal服务器之间的交互协议

认证客户端和内置本地 Portal 服务器的接入设备之间可以运用 HTTP 和 HTTPS 协议通讯。若客户端和接入设备之间交互 HTTP 协议， 则报文以明文形式存储，安全性无法确保；若客户端和接入设备之间交互 HTTPS 协议，则报文基于 SSL 提供的安全措施以密文的方式存储，数据的安全性有保障。

Portal的认证方式

不同的组网形式下，可采用的 Portal 认证方法不同。按照网络中推行 Portal 认证的网络层次来分，Portal 的认证方法分为两种：二层认证方法跟三层认证模式。

1. 二层认证方式

这种方法支持在接入设备联结用户的二层端口上进入 Portal 认证功能，只允许源 MAC 地址通过认证的客户能够访问内部网络资源。目前，该认证模式仅支持本地 Portal 认证，即接入设备成为本地Portal 服务器向客户提供 Web 认证服务。

另外，该方法还支持服务器下发授权 VLAN 和将认证失败用户加入认证失败 VLAN 功能（三层认证方法不支持）。

2. 三层认证方式

这种方法支持在接入设备联结用户的三层接口上进入 Portal 认证功能。 三层接口 Portal 认证又能分为三种不同的认证方法：直接认证模式、二次地址分配认证方法和能跨三层认证方法。直接认证模式跟二次地址分配认证方法下，认证客户端和接入设备之间没有三层转发；可跨三层认证方法下，认证客户端和接入设备之间可以跨接三层转发设备。

· 直接认证方法：用户在认证前通过手工配置或 DHCP 直接获取一个 IP 地址，只能访问 Portal服务器，以及设置的免费访问地址；认证通过后就能访问网络资源。

· 二次地址分配认证方法：用户在认证前通过 DHCP 获取一个私网 IP 地址，只能访问 Portal服务器，以及设置的免费访问地址；认证通过后，用户会申请至一个公网 IP 地址，即可访问网络资源。该认证方法解决了 IP 地址规划和分配问题，对已认证通过的客户不分配公网 IP 地址。例如运营商对于小区宽带客户只在访问小区内部资源时才分配公网 IP。

说明：使用本地 Portal 服务器的 Portal 认证不支持二次地址分配认证模式。

· 可跨三层认证方法：和直接认证模式基本相似，但是这些认证方法允许认证客户端和接入设备之间跨越三层转发设备。

对于以上三种认证方法， IP 地址都是用户的唯一标志。接入设备基于客户的 IP 地址下发 ACL 对接口上借助认证的客户报文转发进行控制。由于直接认证跟二次地址分配认证下的接入设备与客户之间已跨越三层转发设备，因此接口可以学习到客户的 MAC 地址，接入设备可以运用学习到 MAC 地址增强对客户报文转发的控制粒度。

Portal支持EAP认证

在对接入用户身份可靠性要求较高的网络应用中，传统的基于用户名和口令的客户身份验证方法存在一定的安全难题，基于数字证书的客户身份验证方法一般被拿来建立更为安全跟可靠的网络接入认证体系。

EAP（ Extensible Authentication Protocol，可扩展认证协议）可支持多种基于数字证书的认证方法（例如 EAP-TLS），它与 Portal 认证相配合，可共同为客户提供基于数字证书的接入认证服务。

如 图 42-3 所示，在Portal支持EAP认证的推动中，客户端与Portal服务器之间交互EAP认证报文，Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文，接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文，由具有EAP服务器用途的RADIUS服务器处理EAP-Message属性中封装的EAP报文，并给出EAP认证结果。整个EAP认证过程中，接入设备也是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传，并不对其进行任何处理，因此接入设备上无需任何额外配置。

说明：

· 该功能仅可与 H3C iMC 的 Portal 服务器以及 H3C iNode Portal 客户端配合使用。

· 目前，仅使用远程 Portal 服务器的三层 Portal 认证支持 EAP 认证。

二层Portal认证过程

1. 二层Portal认证流程

目前，二层Portal认证只支持本地Portal认证，即由接入设备成为本地Portal服务器向客户提供Web认证服务，具体认证过程如 图 42-4。

(2) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。 HTTP 报文经过配置了本地 Portal 服务器的接入设备的网关时会被重定向到本地 Portal 服务器的 IP 地址，本地 Portal 服务器提供 Web 页面供用户键入用户名和密钥来进行认证。该本地 Portal 服务器的 IP 地址为接入设备上一个与用户之间路由可达的三层接口 IP 地址（通常为 Loopback 接口 IP）。

(3) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互，对客户身份进行验证。

(4) 如果 RADIUS 认证成功，则接入设备上的本地 Portal 服务器向客户端发送注册成功页面，通知客户端认证（上线）成功。

2. 支持ACL下发

ACL（ Access Control List，访问控制列表）提供了控制客户访问网络资源跟限制客户访问权限的用途。当客户上线时，如果服务器上配置了授权 ACL，则设备会按照服务器下发的授权 ACL 对客户所在端口的数据流进行控制；在服务器上配置授权 ACL 之前，需要在设施上配置相应的规则。管理员可以借助改变服务器的授权 ACL 设置或设施上对应的 ACL 规则来颠覆用户的访问权限。

三层Portal认证过程

直接认证和能跨三层 Portal 认证流程相同。二次地址分配认证流程因为有两次地址分配过程，所以其认证流程跟另外两种认证方法有所不同。

1. 直接认证跟能跨三层Portal认证的流程（ CHAP/PAP认证方式）

直接认证/可跨三层 Portal 认证流程：

(2) Portal 用户借助 HTTP 协议发起认证请求。 HTTP 报文经过接入设备时，对于访问 Portal 服务器或设置的免费访问地址的 HTTP 报文，接入设备允许其借助；对于访问其他地址的 HTTP报文，接入设备将其重定向到 Portal 服务器。 Portal 服务器提供 Web 页面供用户键入用户名和密钥来进行认证。

(3) Portal 服务器与接入设备之间进行 CHAP（ Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若引入 PAP（ Password Authentication Protocol，密码验证协议）认证则直接开启下一步骤。

(4) Portal 服务器将客户输入的用户名和密钥组装成认证请求报文发往接入设备，同时进入定时器等待认证应答报文。

(5) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。

(6) 接入设备向 Portal 服务器发送认证应答报文。

(7) Portal 服务器向客户端发送认证通过轮询，通知客户端认证（上线）成功。

(8) Portal 服务器向接入设备发送认证应答确认。

(9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否加装防病毒软件、是否升级病毒库、是否加装了非法工具、是否升级操作系统补丁等。

(10) 安全策略服务器根据客户的安全性授权用户访问非受限资源，授权信息储存到接入设备中web portal服务器，接入设备将使用该信息控制用户的访问。

步骤(8)、 (9)为 Portal 认证扩展功能的交互过程。

2. 二次地址分配认证方法的步骤（ CHAP/PAP认证方式）

二次地址分配认证流程：

(1)～(6)同直接/可跨三层 Portal 认证中步骤(1)～(6)。

(2) 客户端收到认证通过报文后，通过 DHCP 获得新的公网 IP 地址，并通知 Portal 服务器用户已获取新 IP 地址。

(3) Portal 服务器通知接入设备客户端获得新公网 IP 地址。

(4) 接入设备通过测试 ARP 协议报文发现了客户 IP 变化，并通知 Portal 服务器已测试到客户 IP变化。

(5) Portal 服务器通知客户端上线成功。

(6) Portal 服务器向接入设备发送 IP 变化确定报文。

(7) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否加装防病毒软件、是否升级病毒库、是否加装了非法工具、是否升级操作系统补丁等。

(8) 安全策略服务器根据客户的安全性授权用户访问非受限资源，授权信息储存到接入设备中，接入设备将使用该信息控制用户的访问。

步骤(12)、 (13)为 Portal 认证扩展功能的交互过程。

3. 使用本地Portal服务器的认证流程

直接/可跨三层 Portal 认证流程：

(2) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。 HTTP 报文经过配置了本地 Portal 服务器的接入设备的接口时会被重定向到本地 Portal 服务器，本地 Portal 服务器提供 Web 页面供用户键入用户名和密钥来进行认证。该本地 Portal 服务器的 IP 地址为接入设备上一个与用户之间路由可达的三层接口 IP 地址。

(3) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。

(4) 接入设备中的本地 Portal 服务器向客户端发送注册成功页面，通知客户端认证（上线）成功。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-141758-1.html