Portal协议介绍.pdf

《Portal协议介绍.pdf》由会员分享，可在线阅读，更多相关《Portal协议介绍.pdf（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Portal协议介绍协议介绍ISSUE 1.3日期：2009-04-27杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播?了解了解Portal典型组网典型组网?理解理解Portal协议原理协议原理?熟悉熟悉Portal基本配置基本配置课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：?Portal概述概述?Portal典型组网典型组网?Portal协议原理协议原理?Portal典型配置典型配置?FAQ目录目录4Portal协议概述协议概述?Portal协议的起源协议的起源?Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证

2、网站称为门户网站。?基本思想：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务等个性化业务。?Portal概述概述?Portal典型组网典型组网?Portal协议原理协议原理?Portal典型配置典型配置?FAQ目录目录6典型组网（一）典型组网（一）iMC ServerPortal BASL2 SwitchG7典型组网（二）典型组网（二）Portal BASL3 SwitchGatewayiMC

3、S8三层三层Portal与二层与二层Portal的比较的比较?三层三层Portal认证与二层认证与二层Portal认证的比较认证的比较?组网方式上，三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备；非三层认证方式则要求认证客户端和接入设备之间没有三层转发。?三层Portal认证仅以IP地址唯一标识用户；而二层Portal认证以IP和MAC地址的组合来唯一标识用户。9典型组网（三）典型组网（三）iMC ServerPortal BASL2 SwitchG10典型组网（四）典型组网（四）ACPortal BASAPiMC ServerGatewayTrunkVLAN 1VLAN 2VLA

4、N 11Portal认证与认证与802.1x认证的比较认证的比较?Portal认证相对于认证相对于802.1x认证的优势认证的优势?支持网页方式认证，免客户端安装?部署方式灵活、快捷，适合旧网改造?Portal认证的不足之处认证的不足之处?没有802.1x认证对客户端的控制严格12?Portal概述概述?Portal典型组网典型组网?Portal协议原理协议原理?Portal典型配置典型配置?FAQ目录目录13Portal协议框架协议框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortal ServerIEiNodePortalKernelBASAAASe

5、rverPortal私有协议Portal协议Radius协议UDP14Portal协议框架协议框架?协议主体：协议主体：Portal Server 和和 Portal设备。设备。?承载协议：基于承载协议：基于UDP。?端口定义：端口定义：?Portal Server：使用本地的 50100 端口监听 BAS 设备发送的非响应类报文，使用目的端口2000 向 BAS 设备发送所有报文。?BAS：使用本地的 2000 端口监听 Portal Server 发送的所有报文。使用目的端口 50100 向Portal Server 发送非响应类报文。?Portal协议版本：协议版本：15Portal认证

6、流程认证流程Web认证方式认证方式?推出强制认证页面推出强制认证页面用户浏览器BASPortal WebPortal KernelHTTP请求重定向HTTP请求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出强制认证页面ACK_INFO16Portal认证流程认证流程Web认证方式认证方式?从强制页面发起认证从强制页面发起认证用户浏览器BASPortal WebPortal Kernel上传用户名密码等用户信息CODE_PP_LOGIN_REQ

7、UESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHRadius-AccessRequestACK_AUTHCODE_PP_LOGIN_ResponseAAA ServerAFF_ACK_AUTHRadius-AccessResponseRadius-AccountingRequestRadius-AccountingResponse返回认证成功提示17Portal认证流程认证流程Web认证方式认证方式?维持在线和用户下线维持在线和用户下线用户浏览器BASPortal WebPortal KernelHTTP心跳报文CODE_PP_HAN

8、DSHAKECODE_PP_HANDSHAKE_RESPONSE HTTP心跳回应报文提交下线请求AAA ServerCODE_PP_LOGOUT_REQUEST 返回下线成功页面REQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSE Radius-AccountingRequestRadius-AccountingR18Portal认证流程认证流程iNode客户端认证方式客户端认证方式iNode客户端BASPortal TransferPortal KernelHTTP请求重定向CODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOM

9、AIN_RESPONESACK_INFO?创建客户端创建客户端Portal连接连接CODE_PP_PORTAL_USER_CUSTOM_INFOCODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_PP_DOMAIN_REQUESTCODE_PP_DOMAIN_RESPONES19?从从iNode客户端发起认证客户端发起认证BASiNodePortal KernelCODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHACK_AUTHCODE_PP_LOGIN_Respo

10、nseAAA ServerAFF_ACK_AUTHPortal认证流程认证流程iNode客户端认证方式客户端认证方式.Radius认证过程20?维持在线和用户下线维持在线和用户下线BASiNodePortal KernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSE AAA ServerCODE_PP_LOGOUT_REQUEST REQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSE Radius-AccountingRequestRadius-AccountingResponsePortal认证流程认证流程iNode

11、客户端认证方式客户端认证方式21异常情况分析（一）异常情况分析（一）?PC异常下线（如异常下线（如PC掉电、直接关闭认证网页、掉电、直接关闭认证网页、iNode客户端异常退出）客户端异常退出）BASiNodePortal KernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSE AAA ServerREQ_LOGOUTACK_LOGOUTRadius-AccountingRequestRadius-AccountingResponseT22异常情况分析（二）异常情况分析（二）?BAS设备重启设备重启BASiNodePortal KernelAAA Se

12、rverREQ_LOGOUTdelete portal online tableCODE_PP_LOGOUT_REQUEST CODE_PP_LOGOUT_RESPONSE no responsedelete portal online tableCODE_PP_LOGIN_REQUEST.Radius-AccessRequestOnline user number limited.T23异常情况分析（三）异常情况分析（三）?Portal服务器重启时间过长导致服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线心跳超时或服务器重启期间有终端手动下线BASiNodePorta

13、l KernelCODE_PP_HANDSHAKEAAA ServerKeeping AccountingUpdateKeeping AccountingUpdateTimeout.OfflineCODE_PP_LOGIN_REQUEST.Radius-AccessRequestOnline user number 24异常情况分析（四）异常情况分析（四）?思考：如何避免思考：如何避免?增加BAS与Portal Kernel之间的心跳机制?增加BAS与Portal Kernel之间同步Portal在线用户表的机制25?Portal概述概述?Portal典型组网典型组网?Portal协议原理协议

14、原理?Portal典型配置典型配置?FAQ目录目录26Portal设备配置设备配置?配置配置Radius认证方案以及认证方案以及Radius认证域认证域略?进入系统视图，在全局模式下配置进入系统视图，在全局模式下配置Portal服务器服务器portal server server-name ip ip-address key key-string|port port-id|urlurl-string *配置举例：portal server iMC ip 192.168.0.1 key sharekey port 50100 urlhttp:/192.168.0.1:8080/portal?进入

15、接口视图，在接口上使能进入接口视图，在接口上使能Portalportal server server-name method direct|layer3|redhcp 配置举例：portal server iMC method 27Portal设备可选配置设备可选配置?进入系统视图，在全局模式下配置进入系统视图，在全局模式下配置Portal免认证规则免认证规则portal free-rule rule-number destination any|ip ip-address mask mask-length|netmask|any|source any|interface interface-

16、type interface-number|ip ip-address mask mask-length|mask|any|mac mac-address|vlan vlan-id *配置举例：portal free-rule 0 source ip 192.168.0.1 mask 255.255.255.0 destination 28Portal服务器配置服务器配置?保持缺省即可，一般情况下无需修改。保持缺省即可，一般情况下无需修改。29Portal服务器配置服务器配置?配置配置Portal设备信息，其中设备信息，其中IP地址为使能地址为使能Portal的接口的接口IP地址。地址。30P

17、ortal服务器配置服务器配置?增加增加IP地址组，地址段需包含所有认证终端地址组，地址段需包含所有认证终端IP地址。地址。31Portal服务器配置服务器配置?增加设备端口组，引用之前创建的增加设备端口组，引用之前创建的IP地址组。地址组。32定制定制Portal认证页面认证页面?C:Program FilesiMCclientwebappsportaluserindextemplate中的文件可用于定制。中的文件可用于定制。?在认证页面一栏填写认证页面的相对路径，比如在认证页面一栏填写认证页面的相对路径，比如33可溶解客户端工作原理可溶解客户端工作原理?可溶解客户端无需安装，由网页认证时自

18、动调用可溶解客户端无需安装，由网页认证时自动调用ActiveX控件完成控件完成DC的下载和启动。的下载和启动。?可溶解客户端本身的实现完全基于目前的可溶解客户端本身的实现完全基于目前的iNode客户端的平台代码和协议代码，是现有客户端的平台代码和协议代码，是现有iNode功能的一个子集。仅支持功能的一个子集。仅支持Portal EAD。?安全认证支持下载微软补丁联动客户端以及安全认证支持下载微软补丁联动客户端以及.NET框架。框架。34可溶解客户端功能特性可溶解客户端功能特性?可溶解客户端安全检查是普通可溶解客户端安全检查是普通iNode安全检查的一个子集，支持大部分功能。安全检查的一个子集，

19、支持大部分功能。?补丁检查?病毒库检查?注册监控?黑白软件检查?弱密码检查?安全会话心跳机制?安全检查通过后的在线监控?EAD在线重认证?在线用户DMA检查?防多网卡?信息通知35可溶解客户端安装部署可溶解客户端安装部署?当前版本当前版本iNode-DC-3.60-E36?Portal概述概述?Portal典型组网典型组网?Portal协议原理协议原理?Portal典型配置典型配置?FAQ目录目录37FAQQ：关于：关于Portal认证的问题需要收集哪些信息？认证的问题需要收集哪些信息？A：视问题现象的不同，可能需要收集的信息如下：视问题现象的不同，可能需要收集的信息如下：1.组网描述组网描述

20、2.软件版本软件版本3.iMC配置截图配置截图4.Portal设备版本及配置设备版本及配置5.RADIUS调试级别日志调试级别日志6.Portal调试级别日志调试级别日志7.Portal设备上的设备上的debug Portal信息信息38FAQQ：为什么在用户的：为什么在用户的IE地址栏中输入数字可以强制到地址栏中输入数字可以强制到PORTAL主页，而输入字母则不可以？主页，而输入字母则不可以？A：请确保未通过认证的情况下，用户可以访问：请确保未通过认证的情况下，用户可以访问DNS服务器。可通过将服务器。可通过将DNS服务器的服务器的IP地址配置为地址配置为Free IP来实现。来实现。39FAQQ：用户的页面弹出：用户的页面弹出“您暂时不能使用您暂时不能使用WEB认证进行宽带上网，请与管理员联系。认证进行宽带上网，请与管理员联系。”的信息，该如何排查？的信息，该如何排查？A：检查：检查Portal核心模块是否启动，检查核心模块是否启动，检查Portal服务器配置台上所配置的设备服务器配置台上所配置的设备IP地址、端口号、共享密钥是否正确，检查服务器上配置的认证终端的地址、端口号、共享密钥是否正确，检查服务器上配置的认证终端的IP地址组、端口组是否与实际情况一致。地址组、端口组是否与实际情况一致。杭州华三通信技术有限公司