Portal认证讲解

这篇具有很好参考价值的文章主要介绍了Portal认证讲解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Portal组网架构

Portal协议报文格式

用户触发Portal认证的方式

Portal认证的认证方式

注意事项


802.1x认证点多,配置量大,因此提出了portal认证

Portal认证也称为Web认证,通过网站的形式进行身份认证,免除客户端(只需要网络浏览器的支持,也可以使用Portal客户端软件进行认证),一般将Portal认证网站称为门户网站

Portal组网架构

Portal认证讲解

认证客户端

一般为运行HTTP/HTTPS协议的浏览器,也可以是运行Portal客户端软件的主机

接入设备NAS

一般为交换机或路由器,主要有三个作用

在认证之前,将用户的所有HTTP请求都重定向到Portal服务器

在认证过程中,与Portal服务器、认证/计费服务器等进行交互,完成身份认证/计费的功能

在认证通过后,允许用户访问被管理员授权的互联网资源

Portal服务器

接收Portal客户端认证请求,提供基于Web认证的界面

与接入设备交互认证客户端的认证信息

认证/计费服务器

与接入设备进行交互,完成对用户的认证和计费

通常为Radius服务器

Portal协议报文格式

Portal端口号为UDP 2000

Portal认证讲解

Portal认证讲解

Version Portal协议版本号

默认为0x02

Poratl协议常用报文Type

REQ_CHALLENGE Portal服务器向接入设备发送的挑战请求报文        0x01(也可以是终端发给Portal服务器)

ACK_CHALLENGE  接入设备对Portal服务器的挑战请求的响应报文   0x02(也可以是Portal服务器发给终端)

REQ_AUTH           Portal服务器向接入设备发送的认证请求报文         0x03(也可以是终端发给Portal服务器)

ACK_AUTH           接入设备对Portal服务器的认证请求报文的响应      0x04(也可以是Portal服务器发给终端)

AFF_ACK_AUTH    Portal服务器向接入设备发送认证成功的响应报文 0x07(也可以是终端发给Portal服务器)

REQ_LOGOUT       Portal服务器向接入设备发送的下线请求报文        0x05

ACK_LOGOUT       接入设备对Portal服务器下线请求的响应报文        0x06

NTF_LOGOUT       接入设备向Portal服务器发送用户被强制下线通知的报文    0x08

ACK_NTF_LOGPUT              Portal服务器通知接入设备用户强制下线成功       0x0e

注意事项

REQ_CHALLENGE和ACK_CHALLENGE只有在使用CHAP协议时才会使用到

AuthType      认证方式

目前只支持CHAP和PAP

CHAP:0x00 三次握手,密文方式传输用户名

PAP:   0x01 两次握手,明文方式传输用户名

SeriaINo与RequestID

SeriaINo报文的序列号,由Portal服务器随机生成;Portal服务器必须保证再同一个认证流程中的所有报文序列号相同(不同认证流程下的报文序列号在一定时间不得重复)

RequestID报文ID,由接入设备生成,RequestID不会重复

UserIP

Portal用户的IP地址

UserPort

保留字段,为0

ErrCode

错误码,根据不同的Type值,错误码有不同的含义

Authenticator

验证字段,由MD5算法对各个字段计算后得出来的数据

Attribute

可变长字段,为TLV格式

关于Radius报文

AAA与Radius协议讲解_radius协议详解_静下心来敲木鱼的博客-CSDN博客

用户触发Portal认证的方式

通过HTTP/HTTPS进行接入,主要在客户端和Portal服务器之间进行交互

用户触发Portal认证的两种方式

用户开机获取IP地址后,通过登录Portal认证网站进行认证,认证通过后即可访问Internet

主动认证

用户需要知道Portal服务器的IP地址,主动登录到Portal门户网站进行Portal认证

重定向认证

用户输入的访问地址不是Portal服务器的IP地址,然后被接入设备强制重定向到Portal服务器

根据客户端与接入设备之间的网络分为不同的认证方式

二层直连Portal认证:客户端与接入设备之间为二层网络

接入设备在连接用户的二层端口上开启Portal认证,只允许源MAC通过认证的用户才可以访问外部网络

目前该认证方式仅支持本地Portal认证(即接入设备作为本地的Portal服务器向用户提供Web认证服务;也就是内置Portal认证)

三层Portal认证:客户端与接入设备之间为三层网络

在连接用户的三层端口上开启Portal认证,其中又细分为三种不同的认证方式(支持本地Portal认证和第三方服务器认证)

直接认证

用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器以及设定的免费访问地址;认证通过后才可以访问网络资源

二次地址分配认证

用户在认证前通过DHCP获取到一个私网地址,只能访问Portal服务器以及设定的免费访问地址;认证通过后会重新申请一个公网地址来访问网络资源,认证失败后不会获取IP地址

可跨三层认证

和直接认证类似,只不过此认证方式允许认证用户和接入设备之间跨三层设备转发

用户触发Portal认证的流程

Portal认证讲解

Portal认证的认证方式

对于Porta认证我们由一代Portal认证和二代Portal认证,它们之间的主要区别如下(以下我们介绍的都是二代Web认证流程)

一代Web认证 –Poratl服务器和Radius服务器进行认证报文交互

终端把用户名和密码提交上来之后,通过Portal界面提交给Portal服务器

Porta服务器直接把用户名和密码发给Radius服务器

Radius服务器校验之后告诉给Portal服务器,Portal向终端返回认证成功界面;

Portal服务器再把认证的结果告诉接入设备,接入把相应的上网通道给打开

二代Web认证—接入设备代替Portal服务器和Radius服务器进行认证报文交互(Portal感知不到Radius服务器)

终端输入用户名和密码之后,通过Portal界面提交到Portal服务器

Portal服务器把用户名和密码提交给接入设备,接入设备去发送Radius报文和Radius服务器去交互进行认证

认证成功之后,接入设备放通用户上网权限,并告诉Portal服务器,Portal服务器通过下发认证成功的界面给终端

终端触发Portal认证时的认证流程

通过Web认证(免客户端)  基于HTTP/HTTPS进行认证

客户端直接将用户信息通过HTTP请求传递给接入设备,支持GET和POST两种请求

此时用户提交的用户名密码通过HTTP/HTTPS报文传输

POST:请求数据放置在HTTP请求消息的正文中,不作为URL的一部分

GET: 请求的数据会加在URL之后,以“?“分隔,对所有人可见(以下就是此方式)

Portal认证讲解

通过Portal客户端软件进行认证(基于Portal协议进行Portal认证)

Portal服务器直接使用Portal协议报文与接入设备进行交互

采用客户端软件/服务器的架构,基于UDP运行,支持PAP/CHAP认证

此时用户提交的用户名密码通过Portal报文传输,Portal报文采用TLV格式携带用户名、密码、用户MAC等属性信息

Portal认证讲解

  1. 用户发送认证请求,将用户名和密码发给Portal设备,通过Req_auth报文的TLV携带
  2. Portal服务器发送Req_challenge给接入设备;Req_challenge表示告诉接入设备开始CHAP的认证,开始认证请求
  3. 接入设备收到后,产生随机数发送给Portal服务器,发送Ack_challenge响应认证请求
  4. Portal服务器收到接入设备发来的随机数后,使用密码和随机数做hash得到密文发给接入用户,进行请求认证,发送Req_auth
  5. 接入设备将收到的密文以及自己产生的随机数发给Radius服务器,进行认证请求,发送radius报文Access-request进行认证请求
  6. Radius服务器根据此随机数结合该用户的密码做hash的到密文,然后比较hash的结果是否一致;结果一致发送readius报文Access-accept告诉认证结果成功
  7. 此时接入设备进行计费请求(Accounting-Request)
  8. Radius服务器回应计费响应(Accounting-Response)
  9. 接入设备收到之后告诉Portal服务器用户通过认证并放通用户上网通道;发送ack_auth报文
  10. Portal服务器收到认证成功报文后,并通知用户认证成功发送ack_auth报文
  11. Portal服务器并响应接入设备的认证成功报文,发送Aff_ack_auth报文

通过二次地址分配认证接入时的认证流程(Portal客户端方式)

Portal认证讲解


注意事项

在现网中,可能会存在运营商认证设备,此种情况下真正的认证设备是运行商认证设备,而不是本地部署的radius服务器

大致的认证流程如下:

客户端将认证请求送达到Portal服务器,Portal服务器将其送到接入设备,接入设备将请求发送到本地radius服务器,本地radius服务器收到后,转发给运营商认证设备去做校验

运营商校验成功,将结果返回给本地radius服务器,本地radius服务器再将结果转发给接入设备,接入设备转发给Portal服务器,Portal服务器转发给终端,返回认证成功

之后的计费是由本地radius服务器进行计费的文章来源地址https://www.toymoban.com/news/detail-462729.html

到了这里,关于Portal认证讲解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • WLAN的组网架构和工作原理

    目录 WLAN的组网架构 FAT AP架构 AC + FIT AP架构 敏捷分布式AP 下一代园区网络:智简园区(大中型园区网络) WLAN工作原理 WLAN工作流程 1.AP上线 (1)AP获取IP地址; (2)AP发现AC并与之建立CAPWAP隧道; (3)AP接入控制; (4)AP版本升级(可选): (5)CAPWAP隧道维持: 2.WLAN业务

    2024年02月08日
    浏览(33)
  • 存储网络架构——DAS、NAS、SAN、分布式组网架构

    目录 物理存储的类型 存储网络架构 DAS直连式存储 NAS网络附加存储 SAN存储区域网络 分布式存储组网 存储的类型主要包含块存储、文件存储、对象存储、表格存储等 常用的为块存储和文件存储(文件存储可以直接进行文件读写,块存储需要进行文件系统格式化后才可以进行

    2024年02月02日
    浏览(78)
  • 大唐杯学习笔记(1)---5G网络架构和组网部署

    根据大唐杯直播划定的重点、考点做的笔记 架构 定义 5GC 5G核心网 UE 终端 NG-RAN 5G无线接入网 SA (Standalone)5G独立组网 NSA (Non-Standalone)5G非独立组网 NSA与SA区别: 1.核心不同:NSA新建5G基站,采用4G核心网或新建5G核心网;SA新建5G基站和5G核心网。 2.运营商不同:NSA可以看做5

    2023年04月14日
    浏览(44)
  • 路由基础实验七:单区域OSPF协议组网配置与管理

    目录 预备知识 环境 步骤 1.完成设备基本配置 2.配置OSPF协议 3.完成边界路由的默认路由配置,并在OSPF中通告  4.OSPF其它配置 查看命令 (1)OSPF是链路状态路由协议,采用开销作为度量,在思科设备中OSPF的管理距离为110。 (2) OSPFv2基于IPv4协议,OSPFv3基于IPv6协议。 (3) 在OSPF配置中

    2024年02月04日
    浏览(58)
  • 华为ac+ap 3层组网架构web配置+命令行配置

    1、所有的dhcp都在核心 2、ap管理地址dhcp也在核心 3、接入交换机接ap口要设置pvlan 4、业务vlan 10 20 5、ap管理vlan 100 这个vlan下要有一条option 43 sub-option 3 ascii 10.0.0.2 10.0.0.2为ac的vlan999 地址用于和核心互连 核心配置: dis cu dis current-configuration sysname HX undo info-center enable vlan batch 1

    2024年02月08日
    浏览(38)
  • h3c ac+ap 2层组网架构web配置案例

    AP管理地址和业务地址在同一个vlan 100下面 先用命令行配有线侧: dis current-configuration version 7.1.064, Alpha 7165 sysname ac wlan global-configuration firmware-upgrade disable region-code-lock enable dhcp enable xbar load-single password-recovery enable lpu-type f-series vlan 1 vlan 100 vlan 999 dhcp server ip-pool p100 gateway-lis

    2024年02月09日
    浏览(37)
  • 5G笔记| 概述:5G网络架构(NSA/SA组网)、无线资源控制RRC、语音通话

    新空口NR(New Radio):指5G的无线网 空口即空中接口,对应无线网络的概念,泛指手机和基站之间一系列传输规范,因为无线网是5G速率突破的关键,故也把5G直接叫做NR ps. 3G无线网为UTRAN,4G无线网为E-UTRAN 5GC(5G Core):5G的核心网 4G的核心网叫EPC(Evolved Packet Core),而5G核心

    2024年02月04日
    浏览(43)
  • 身份认证——802.1x认证和MAC认证讲解

    目录 802.1x基础 EAP(Extensible Authentication Protocol)可扩展认证协议 EAPoL(EAP over LAN)局域网可扩展认证协议 802.1x体系架构 受控端口的受控方式 802.1x认证 802.1x认证触发方式 客户端退出认证 802.1x认证方式 MAC认证 802.1x认证又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证

    2024年02月03日
    浏览(43)
  • 802.1x认证和MAC认证讲解

    目录 802.1x基础 EAP(Extensible Authentication Protocol)可扩展认证协议 EAPoL(EAP over LAN)局域网可扩展认证协议 802.1x体系架构 受控端口的受控方式 802.1x认证 802.1x认证触发方式 客户端退出认证 802.1x认证方式 MAC认证 802.1x认证又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证

    2024年02月04日
    浏览(45)
  • 802.1x协议详解,802协议工作原理/认证过程、MAB认证、EAP报文格式

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 在以前的IEEE802LAN协议中,只要用户可以 「接入局域网」 ,就能 「访问」

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包