Portal技術介紹

來源:本站原創 網絡技術 超過1,441 views圍觀 0條評論

Portal

Portal簡介

Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。

未認證用戶上網時,設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,只有認證通過后才可以使用互聯網資源。

用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強制訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強制認證。

Portal業務可以為運營商提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等,使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態系統。

Portal擴展功能

Portal的擴展功能主要是指通過強制接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防御能力。具體擴展功能如下:

l在Portal身份認證的基礎上增加了安全認證機制,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統補丁等;

l用戶通過身份認證后僅僅獲得訪問部分互聯網資源(受限資源)的權限,如病毒服務器、操作系統補丁更新服務器等;當用戶通過安全認證后便可以訪問更多的互聯網資源(非受限資源)。

Portal的系統組成

Portal的典型組網方式如圖1所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。

20100629_1002765_image001_624142_30003_0.jpg

由于Portal服務器可以是接入設備之外的獨立實體,也可以是存在于接入設備之內的內嵌實體,本文稱之為“本地Portal服務器”,因此下文中除對本地支持的Portal服務器做特殊說明之外,其它所有Portal服務器均指獨立的Portal服務器,請勿混淆。

圖1 Portal系統組成示意圖

20100629_1002766_image002_624142_30003_0

1. 認證客戶端

安裝于用戶終端的客戶端系統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。

2. 接入設備

交換機、路由器等寬帶接入設備的統稱,主要有三方面的作用:

l在認證之前,將用戶的所有HTTP請求都重定向到Portal服務器。

l在認證過程中,與Portal服務器、安全策略服務器、認證/計費服務器交互,完成身份認證/安全認證/計費的功能。

l在認證通過后,允許用戶訪問被管理員授權的互聯網資源。

3. Portal服務器

接收Portal客戶端認證請求的服務器端系統,提供免費門戶服務和基于Web認證的界面,與接入設備交互認證客戶端的認證信息。

4. 認證/計費服務器

與接入設備進行交互,完成對用戶的認證和計費。

5. 安全策略服務器

與Portal客戶端、接入設備進行交互,完成對用戶的安全認證,并對用戶進行授權操作。

以上五個基本要素的交互過程為:

(1)未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那么此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上;若需要使用Portal的擴展認證功能,則用戶必須使用Portal客戶端。

(2)用戶在認證主頁/認證對話框中輸入認證信息后提交,Portal服務器會將用戶的認證信息傳遞給接入設備;

(3)然后接入設備再與認證/計費服務器通信進行認證和計費;

(4)認證通過后,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之后,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。

20100629_1002767_image003_624142_30003_0.jpg

l無論是Web客戶端還是H3C iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位于私網、Portal服務器位于公網,接入設備上啟用NAT功能的組網環境下,NAT地址轉換不會對Portal認證造成影響。

l目前支持Portal認證的遠端認證/計費服務器為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。

l目前通過訪問Web頁面進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與H3C iNode客戶端配合。

使用本地Portal服務器的Portal認證系統

20100629_1002768_image004_624142_30003_0.jpg

本特性的支持情況與設備的型號有關,請以設備的實際情況為準。

系統組成

本地Portal服務器功能是指,Portal認證系統中不采用外部獨立的Portal服務器,而由接入設備實現Portal服務器功能。這種情況下,Portal認證系統僅包括三個基本要素:認證客戶端、接入設備和認證/計費服務器,如圖2所示。由于設備支持Web用戶直接認證,因此就不需要部署額外的Portal服務器,增強了Portal認證的通用性。

圖2 使用本地Portal服務器的Portal系統組成示意圖

20100629_1002769_image005_624142_30003_0

20100629_1002768_image004_624142_30003_0.jpg[1]

l使用本地Portal服務器的Portal認證系統不支持Portal擴展功能,因此不需要部署安全策略服務器。

l內嵌本地Portal服務器的接入設備實現了簡單的Portal服務器功能,僅能給用戶提供通過Web方式登錄、下線的基本功能,并不能完全替代獨立的Portal服務器。

認證客戶端和本地Portal服務器之間的交互協議

認證客戶端和內嵌本地Portal服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議,則報文以明文形式傳輸,安全性無法保證;若客戶端和接入設備之間交互HTTPS協議,則報文基于SSL提供的安全機制以密文的形式傳輸,數據的安全性有保障。

本地Portal服務器支持用戶自定義認證頁面

本地Portal服務器支持由用戶自定義認證頁面的內容,即允許用戶編輯一套認證頁面的HTML文件,并在壓縮之后保存至設備的存儲設備中。該套自定義頁面中包括六個認證頁面:登錄頁面、登錄成功頁面、在線頁面、下線成功頁面、登錄失敗頁面和系統忙頁面。本地Portal服務器根據不同的認證階段向客戶端推出對應的認證頁面,若不自定義,則分別推出系統提供的缺省認證頁面。

Portal的認證方式

不同的組網方式下,可采用的Portal認證方式不同。按照網絡中實施Portal認證的網絡層次來分,Portal的認證方式分為兩種:二層認證方式和三層認證方式。

20100629_1002770_image006_624142_30003_0

二層認證方式的支持情況與設備的型號有關,請以設備的實際情況為準。

二層認證方式

這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能,只允許源MAC地址通過認證的用戶才能訪問外部網絡資源。目前,該認證方式僅支持本地Portal認證,即接入設備作為本地Portal服務器向用戶提供Web認證服務。

另外,該方式還支持服務器下發授權VLAN和將認證失敗用戶加入認證失敗VLAN功能(三層認證方式不支持)。

三層認證方式

這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發;可跨三層認證方式下,認證客戶端和接入設備之間可以跨接三層轉發設備。

1. 直接認證方式

用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,只能訪問Portal服務器,以及設定的免費訪問地址;認證通過后即可訪問網絡資源。認證流程相對二次地址較為簡單。

2. 二次地址分配認證方式

用戶在認證前通過DHCP獲取一個私網IP地址,只能訪問Portal服務器,以及設定的免費訪問地址;認證通過后,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對于小區寬帶用戶只在訪問小區外部資源時才分配公網IP。

20100629_1002770_image006_624142_30003_0[1]

使用本地Portal服務器的Portal認證不支持二次地址分配認證方式。

3. 可跨三層認證方式

和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。

對于以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基于用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控制粒度。

Portal支持EAP認證

在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基于用戶名和口令的用戶身份驗證方式存在一定的安全問題,基于數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機制。

EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基于數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基于數字證書的接入認證服務。

圖3 Portal支持EAP認證協議交互示意圖

20100629_1002771_image007_624142_30003_0

如圖3所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,并給出EAP認證結果。整個EAP認證過程中,接入設備只是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,并不對其進行任何處理,因此接入設備上無需任何額外配置。

本文隱藏內容 登陸 后才可以瀏覽

(5)接入設備向Portal服務器發送認證應答報文。

(6)Portal服務器向客戶端發送認證通過報文,通知客戶端認證(上線)成功。

(7)Portal服務器向接入設備發送認證應答確認。

(8)客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統補丁等。

(9)安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控制用戶的訪問。

(10)步驟(8)、(9)為Portal認證擴展功能的交互過程。

二次地址分配認證方式的流程(CHAP/PAP認證方式)

圖6 二次地址分配認證方式流程圖

20100629_1002774_image010_624142_30003_0

二次地址分配認證流程:

(1)~(6)同直接/可跨三層Portal認證中步驟(1)~(6)。

(7)客戶端收到認證通過報文后,通過DHCP獲得新的公網IP地址,并通知Portal服務器用戶已獲得新IP地址。

(8)Portal服務器通知接入設備客戶端獲得新公網IP地址。

(9)接入設備通過檢測ARP協議報文發現了用戶IP變化,并通告Portal服務器已檢測到用戶IP變化。

(10)Portal服務器通知客戶端上線成功。

(11)Portal服務器向接入設備發送IP變化確認報文。

(12)客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統補丁等。

(13)安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控制用戶的訪問。

(14)步驟(12)、(13)為Portal認證擴展功能的交互過程。

使用本地Portal服務器的認證流程

圖7 使用本地Portal服務器的認證流程圖

20100629_1002772_image008_624142_30003_0[1]

直接/可跨三層本地Portal認證流程:

(1)Portal用戶通過HTTP或HTTPS協議發起認證請求。HTTP報文經過配置了本地Portal服務器的接入設備的接口時會被重定向到本地Portal服務器,本地Portal服務器提供Web頁面供用戶輸入用戶名和密碼來進行認證。該本地Portal服務器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層接口IP地址。

(2)接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。

(3)接入設備中的本地Portal服務器向客戶端發送登錄成功頁面,通知客戶端認證(上線)成功。

Portal支持EAP認證流程

圖8 Portal支持EAP認證流程圖

20100629_1002775_image011_624142_30003_0

支持EAP認證的Portal認證流程如下(各Portal認證方式對于EAP認證的處理流程相同,此處僅以直接認證為例):

(1)Portal客戶端發起EAP認證請求,向Portal服務器發送Identity類型的EAP請求報文。

(2)Portal服務器向接入設備發送Portal認證請求報文,同時開啟定時器等待Portal認證應答報文,該認證請求報文中包含若干個EAP-Message屬性,這些屬性用于封裝Portal客戶端發送的EAP報文,并可攜帶客戶端的證書信息。

(3)接入設備接收到Portal認證請求報文后,構造RADIUS認證請求報文與RADIUS服務器進行認證交互,該RADIUS認證請求報文的EAP-Message屬性值由接入設備收到的Portal認證請求報文中的EAP-Message屬性值填充。

(4)接入設備根據RADIUS服務器的回應信息向Portal服務器發送證書請求報文,該報文中同樣會包含若干個EAP-Message屬性,可用于攜帶RADIUS服務器的證書信息,這些屬性值由RADIUS認證回應報文中的EAP-Message屬性值填充。

(5)Portal服務器接收到證書請求報文后,向Portal客戶端發送EAP認證回應報文,直接將RADIUS服務器響應報文中的EAP-Message屬性值透傳給Portal客戶端。

(6)Portal客戶端繼續發起的EAP認證請求,與RADIUS服務器進行后續的EAP認證交互,期間Portal認證請求報文可能會出現多次。后續認證過程與第一個EAP認證請求報文的交互過程類似,僅EAP報文類型會根據EAP認證階段發展有所變化,此處不再詳述。

(7)EAP認證通過后,RADIUS服務器向接入設備發送認證通過響應報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文(EAP-Success)。

(8)接入設備向Portal服務器發送認證應答報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文。

(9)Portal服務器根據認證應答報文中的認證結果通知Portal客戶端認證成功。

(10)后續為Portal認證擴展功能的交互過程,可參考CHAP/PAP認證方式下的認證流程介紹,此處略。

Portal支持雙機熱備

20100629_1002770_image006_624142_30003_0[4]

本特性的支持情況與設備的型號有關,請以設備的實際情況為準。

1. 概述

在當前的組網應用中,用戶對網絡可靠性的要求越來越高,特別是在一些重點的業務入口或接入點上需要保證網絡業務的不間斷性。雙機熱備技術可以保證這些關鍵業務節點在單點故障的情況下,信息流仍然不中斷。

所謂雙機熱備,其實是雙機業務備份。可以分別指定兩臺設備上的任意一個支持備份接口功能的以太網接口為備份接口,兩個備份接口通過備份鏈路相連。或者在兩臺設備上分別指定相同的備份VLAN,專用于傳輸雙機熱備相關的報文。在設備正常工作時,對業務信息進行主備同步;在設備故障后,利用VRRP或動態路由(例如OSPF)機制實現業務流量切換到備份設備,由備份設備繼續處理業務,從而保證了當前的業務不被中斷。關于雙機熱備的詳細介紹請參見“可靠性配置指導”中的“雙機熱備”。

圖9 雙機熱備組網圖

20100629_1002776_image012_624142_30003_0

如圖9所示,在一個典型的Portal雙機熱備組網環境中,用戶通過Portal認證接入網絡,為避免接入設備單機故障的情況下造成的Portal業務中斷,接入設備提供了Portal支持雙機熱備功能。該功能是指,接入設備Gateway A和Gateway B通過備份鏈路互相備份兩臺設備上的Portal在線用戶信息,實現當其中一臺設備發生故障時,另外一臺設備可以對新的Portal用戶進行接入認證,并能夠保證所有已上線Portal用戶的正常數據通信。

20100629_1002770_image006_624142_30003_0[5]

備份鏈路對于部分雙機熱備設備不是必須的,只要保證互為備份的設備上存在相同的VLAN專用于傳輸雙機熱備相關的報文。若組網中配置了專門的備份鏈路,則需要將兩臺設備上連接備份鏈路的物理接口加入備份VLAN中。

2. 基本概念

(1)設備的工作狀態

l獨立運行狀態:設備未與其它設備建立備份連接時所處的一種穩定狀態。

l同步運行狀態:設備與對端設備之間成功建立備份連接,可以進行數據備份時所處的一種穩定狀態。

(2)用戶的工作模式

lStand-alone:表示用戶數據只在一臺設備上存在。當前設備處于獨立運行狀態,或者當前設備處于同步運行狀態但用戶數據還未同步。

lPrimary:表明用戶是由本端設備上線,用戶數據由本端設備生成。本端設備處于同步運行狀態,可以處理并接收服務器發送的報文。

lSecondary:表明用戶是由對端設備上線,用戶數據是由對端設備同步到本端設備上的。本端設備處于同步運行狀態,只接收并處理同步消息,不處理服務器發送的報文。

Portal支持多實例

實際組網應用中,某企業的各分支機構屬于不同的VPN,且各VPN之間的業務相互隔離。如果各分支機構的Portal用戶要通過位于總部VPN中的服務器進行統一認證,則需要Portal支持多實例。

通過Portal支持多實例,可實現Portal認證報文通過MPLS VPN進行交互。如下圖所示,連接客戶端的PE設備作為NAS,通過MPLS VPN將私網客戶端的Portal認證報文透傳給網絡另一端的私網服務器,并在AAA支持多實例的配合下,實現對私網VPN客戶端的Portal接入認證,滿足了私網VPN業務隔離情況下的客戶端集中認證,且各私網的認證報文互不影響。

圖10 Portal支持多實例典型組網圖

20100629_1002777_image013_624142_30003_0

20100629_1002770_image006_624142_30003_0[6]

l在MCE設備上進行的Portal接入認證也可支持多實例功能。關于MCE的相關介紹請見參見“MPLS配置指導”中的“MPLS L3VPN”。

l關于AAA支持多實例的相關介紹請參見“安全配置指導”中的“AAA”。

l本特性不支持多VPN間的地址重疊。

http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200812/624142_30003_0.htm

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:Portal技術介紹
本文鏈接:http://www.qdxgqk.live/?p=3431轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏