（转移）门户网站（网络）概述

门户概述

门户是指英语的入口. 门户身份验证通常也称为Web身份验证，门户身份验证网站通常称为门户网站. 它提供了一种更简单的用户身份验证方法，比其他身份验证方法更易于用户使用. 它具有两个主要功能:

•无客户端

仅需要Web浏览器（例如IE）即可为用户提供身份验证服务. 无需安装特殊的客户端或拨号程序. 无客户端软件无客户端软件是酒店和酒店等公共网络节点的基本要求.

•新商务车

使用Portal身份验证的门户功能，操作员可以在Portal上放置社区广播，广告，信息查询和购物等服务​​. 用户上网时会被强制查看.

Portal认证的基本方法是在Portal页面的显眼位置设置认证窗口. 用户启动后获取IP地址后，可以登录Portal认证页面进行认证. 通过身份验证后，他就可以访问Internet.

用户可以通过两种方式访问​​身份验证页面:

•活动Portal: 访问网络之前，用户必须知道Portal服务器的IP地址并主动登录Portal服务器进行身份验证.

强制Portal: 未经身份验证的用户将被强制首先引导到Portal服务器进行身份验证. 用户无需记住门户网站服务器的IP地址.

门户服务可以为运营商提供便捷的管理功能. 他们可以基于他们的门户网站进行广告，社区服务，个性化服务等，并使宽带运营商，设备提供商和内容服务提供商能够形成一个产业生态系统.

1个PORTAL系统组成

1.1 Portal的四个主要系统

•身份验证客户端

安装在用户终端上的客户端系统，例如运行HTTP / HTTPS协议的浏览器或运行Portal客户端软件的主机. 通过Portal客户端与安全策略服务器之间的信息交换，完成对接入终端的安全检测.

•访问设备（BAS）

宽带访问设备（如交换机和路由器）的统称，具有三个主要功能:

在身份验证之前将用户的所有HTTP请求重定向到Portal服务器.

在认证过程中，它与Portal服务器，安全策略服务器以及认证/计费服务器交互，以完成身份认证/安全认证/计费的功能.

身份验证后，允许用户访问管理员授权的Internet资源.

•门户服务器

接收Portal客户端身份验证请求的服务器端系统提供免费的门户网站服务和基于Web的身份验证界面，以与访问设备进行交互以对客户端身份验证信息进行身份验证.

•身份验证/计费服务器

与访问设备进行交互以完成用户身份验证和计费.

以上四个基本要素的相互作用过程为:

1. 当未经身份验证的用户访问网络时，请在Web浏览器的地址栏中输入Internet地址，并且该HTTP请求在通过访问设备时将被重定向到Portal服务器的Web身份验证主页；

2. 用户在认证主页/认证对话框中输入认证信息并提交后，Portal服务器会将用户的认证信息传递给访问设备；

3. 然后，访问设备与身份验证/计费服务器进行通信以进行身份​​验证和计费；

4. 认证通过后，访问设备将打开用户与Internet之间的通道，从而允许用户访问管理员授权的Internet资源.

身份验证的实现机制

2.1如何启动身份验证

尽管无客户端认证是Portal认证的主流方法，但在需要更安全，更灵活的功能的前提下，客户端认证也可以用于认证. 这两种方法的身份验证过程大致如下:

对于通过Web验证的用户（无客户端方法），将重定向HTTP设备. 访问设备对用户连接执行TCP欺骗，认证客户机建立TCP连接，然后将页面重定向到Portal服务器，同时对客户实施认证页面. 用户通过在此页面上登录将用户信息传递给Portal服务器，然后Portal服务器通过PAP或CHAP将用户信息传递给访问设备. 接入设备获取用户信息后，通过AAA模块完成认证.

对于使用客户端进行身份验证的用户，他们直接使用门户网站协议消息与门户网站服务器进行交互，以实现对客户端和用户状态的实时控制. 然后Portal服务器与访问设备进行交互，访问设备通过AAA模块完成认证.

2.2用户保持活跃机制

通过WEB认证用户时，认证后将打开窗口，并使用上级http协议的get操作实现心跳机制. 当用户离线时，他需要主动单击此页面上的离线按钮以触发离线操作. 如果此页面或用户的PC关闭异常web portal服务器，则用户可能在一定时间内无法手动脱机. Portal服务器超时后，将触发注销操作，以通知访问设备使用户脱机.

当用户使用专用客户端时，请使用门户网站握手消息来确认用户是否. 对于客户端，如果四个心跳未收到答复，则它们会认为自己已脱机并重新启动身份验证；对于门户网站服务器，如果他们在指定时间内未收到心跳消息，则他们会认为用户处于脱机状态并通知接收者. 连接设备以使用户脱机.

2.3产品实施原则

产品的Portal实施基于ACL. 通过QACL模块，它支持用户数据包的重定向，并限制用户可以使用的相关资源. 通常，我们将Portal使用的ACL分为4类（最下面没有内容，主要是找到匹配项的顺序）

类型1: FreeIP规则，操作是允许的（对Portal-Server的规则是第一个freeip）

类型2: 在用户身份验证通过后添加规则，允许执行操作

类型3: 用户网段重定向规则，将HTTP数据包重定向到CPU（实现身份验证页面启动）

Type4: 用户网段禁止规则，操作为拒绝

Portal规则在端口上上下发送. 顺序必须严格. 匹配时，规则按Type1-4的顺序从前到后排列. 如果在端口上发布了通用ACL规则（通过命令行配置的ACL）并且启用了门户，则门户添加的规则将在通用ACL之后排名.

2.4 PORTAL协议框架

Portal协议主要涉及Portal Server和访问设备（BAS）. 它采用C / S结构并基于UDP.

端口定义:

PortalServer通过默认端口（50100）侦听来自BAS的数据包；

BAS通过端口2000侦听来自PortalServer的所有数据包.

2.5对EAD系统的支持

通过EAD系统中的安全策略服务器，Portal可以基于客户端与安全策略服务器之间的交互来实现其扩展的身份验证功能并实现后续的安全检测功能.

对EAD的门户支持要求用户在终端上安装专用的Portal客户端软件. 用户通过Portal认证后，安全策略服务器与Portal客户端和访问设备进行交互，以完成用户的安全认证. 如果对用户采用了安全策略，则安全策略服务器会在用户安全检测通过后授权用户访问不受限制的资源.

Portal通过EAD系统中的链接机制积极实施安全策略. 链接的基本方法如下:

•客户端与安全策略服务器之间的交互

1. 当客户端上线时，Portal服务器将在Login-Response消息中携带EAD服务器的IP地址和端口号；

2. 用户上线后，客户端与安全策略服务器进行交互，服务器发布检查策略，客户端根据该策略检查其所在的PC的安全状况，并报告给服务器.

3. 客户仍将在用户的过程中定期报告安全状况，以适应动态检测（即EAD心跳）. 用于安全检测的数据包是UDP，通常端口号是9019（服务器）/ 10102（客户端）.

•访问设备和安全策略服务器之间的链接

H3C扩展了Radius协议并定义了类型20（会话控制）. 用户上线时，他们通过这种Radius数据包发出隔离的ACL. 通过安全检查后，他们将发布安全ACL.

身份验证方法

3.1身份验证方法的分类

在不同的联网模式下，可以使用不同的Portal认证方法. 根据网络中实现Portal认证的网络层，有两种类型的Portal认证方法: 第2层认证和第3层认证.

•两层身份验证方法

第2层认证方法支持在访问设备连接到用户的第2层端口上启用Portal认证. 只有具有经过身份验证的源MAC地址的用户才能访问外部网络资源. 目前，此身份验证方法仅支持本地门户网站身份验证，即访问设备用作本地门户网站服务器，为用户提供Web身份验证服务.

•三层身份验证方法

第3层认证方法支持在将访问设备连接到用户的第3层接口上启用Portal认证. 第3层接口Portal认证可分为三种不同的认证方法: 直接认证，辅助地址分配认证和跨第3层认证. 在直接身份验证模式和辅助地址分配身份验证模式下，身份验证客户端必须通过第2层直接连接到访问设备. 在跨层三层身份验证模式下，可以将身份验证客户端和访问设备连接到该层. 3个转发设备.

直接身份验证

用户可以在身份验证之前通过手动配置或DHCP手动获取IP地址. 他们只能访问Portal服务器和设置的免费IP地址. 身份验证后，他们可以访问网络资源. 身份验证过程比辅助地址分配身份验证更简单.

次地址分配认证

用户在认证前通过DHCP获取私网IP地址，只能访问Portal服务器和设置的免费访问地址；身份验证后，用户将重新申请公用网络IP地址并访问网络资源. 该认证方法解决了IP地址规划和分配的问题，并且不将公共网络IP地址分配给未认证的用户. 例如，运营商仅在社区宽带用户访问社区外部资源时才为其分配公共网络IP.

跨层3身份验证

与直接身份验证方法基本相同，但是这种身份验证方法允许身份验证用户和访问设备跨三层转发设备.

对于上述三种身份验证方法，IP地址是用户的唯一标识符. 接入设备根据用户的IP地址发送ACL，以控制接口上已认证的用户数据包的转发. 由于访问设备和接受直接认证和辅助地址分配认证的用户没有经过三层转发设备，因此接口可以学习用户的MAC地址，访问设备可以利用学习到的MAC地址来增强用户报文的转发. . 控制粒度.

3.2第2层门户认证过程

（1）门户网站用户通过HTTP或HTTPS协议发起身份验证请求. 配置本地Portal服务器访问设备的端口后，HTTP数据包将重定向到本地Portal服务器的侦听IP地址. 本地Portal服务器提供了一个网页，供用户输入用于身份验证的用户名和密码. 本地Portal服务器的监视IP地址是访问设备和用户之间可以访问的第3层接口的IP地址（通常是回送接口IP）.

（2）访问设备与RADIUS服务器交换RADIUS协议数据包以验证用户的身份.

（3）如果RADIUS身份验证成功，则访问设备上的本地Portal服务器会向客户端发送登录成功页面，以通知客户端身份验证（）成功.

3.3第3层门户认证过程

直接认证和跨层Portal认证过程

直接认证/跨越门户认证过程的三层:

（1）门户网站用户通过HTTP协议发起身份验证请求. 当HTTP数据包通过访问设备时，访问设备允许HTTP设备访问Portal服务器或设置的免费访问地址. 为了使HTTP数据包访问其他地址，访问设备会将其重定向到Portal服务器. 门户服务器提供一个网页，供用户输入用于验证的用户名和密码.

（2）在门户网站服务器和访问设备之间执行CHAP（挑战握手身份验证协议）认证交互. 如果使用PAP（密码验证协议）身份验证，请直接进行下一步.

（3）门户网站服务器将用户输入的用户名和密码组合到身份验证请求消息中，并将其发送到访问设备. 同时，它启动计时器以等待身份验证响应消息.

（4）访问设备与RADIUS服务器交换RADIUS协议数据包.

（5）访问设备将认证响应包发送到Portal服务器.

（6）门户网站服务器向客户端发送认证通过消息，以通知客户端认证（）成功.

（7）门户网站服务器向访问设备发送身份验证响应确认.

（8）客户端和安全策略服务器之间的安全信息交换. 安全策略服务器检测访问终端的安全性是否合格，包括是否安装了防病毒软件，是否更新了病毒，是否安装了非法软件，是否更新了操作系统补丁等.

（9）安全策略服务器根据用户的安全性授权用户访问非受限资源. 授权信息存储在访问设备中. 访问设备将使用此信息来控制用户的访问.

步骤（8）和（9）是Portal身份验证扩展功能的交互过程

次地址分配认证方法流程:

次地址分配认证过程:

（1）〜（4）与直接/跨3层门户认证中的步骤（1）〜（4）相同.

（5）用户在访问设备上成功进行身份验证后，BAS将带有IP-Config属性的身份验证响应数据包发送到Portal-Server，表明用户需要更新IP地址.

（6）然后，门户网站服务器将带有IP-Config属性的认证通过消息（登录响应）发送给客户端web portal服务器，要求客户端程序释放然后申请IP地址.

（7）客户端成功更新IP地址后，它会向Portal Server报告IP地址已成功更新.

（8）门户服务器通知访问设备的客户端以获取新的公共IP地址.

（9）接入设备通过检测ARP协议数据包来检测用户IP更改，并通知Portal Server已检测到用户IP更改.

（10）门户网站服务器通知客户端登录成功.

（11）门户服务器将IP更改确认消息发送到访问设备.

（12）客户端和安全策略服务器之间的安全信息交换. 安全策略服务器检测访问终端的安全性是否合格，包括是否安装了防病毒软件，是否更新了病毒，是否安装了非法软件，是否更新了操作系统补丁等.

（13）安全策略服务器根据用户的安全性授权用户访问不受限制的资源. 授权信息存储在访问设备中，访问设备将使用此信息来控制用户的访问.

步骤（12）和（13）是Portal身份验证扩展功能的交互过程

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-150678-1.html