Portal認(rèn)證技術(shù)
資源天下 2019/8/16 14:03:57
(接上頁) 用戶在認(rèn)證前通過手工配置或DHCP直接獲取一個(gè)IP地址,只能訪問Portal服務(wù)器,以及設(shè)定的免費(fèi)訪問地址;認(rèn)證通過后即可訪問網(wǎng)絡(luò)資源。認(rèn)證流程相對(duì)二次地址較為簡單。 (2)二次地址分配認(rèn)證方式 用戶在認(rèn)證前通過DHCP獲取一個(gè)私網(wǎng)IP地址,只能訪問Portal服務(wù)器,以及設(shè)定的免費(fèi)訪問地址;認(rèn)證通過后,用戶會(huì)申請到一個(gè)公網(wǎng)IP地址,即可訪問網(wǎng)絡(luò)資源。該認(rèn)證方式解決了IP地址規(guī)劃和分配問題,對(duì)未認(rèn)證通過的用戶不分配公網(wǎng)IP地址。例如運(yùn)營商對(duì)于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時(shí)才分配公網(wǎng)IP。 使用內(nèi)嵌Portal服務(wù)器的Portal認(rèn)證不支持二次地址分配認(rèn)證方式。 (3)可跨三層認(rèn)證方式 和直接認(rèn)證方式基本相同,但是這種認(rèn)證方式允許認(rèn)證用戶和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。 對(duì)于以上三種認(rèn)證方式,IP地址都是用戶的唯一標(biāo)識(shí)。接入設(shè)備基于用戶的IP地址下發(fā)ACL對(duì)接口上通過認(rèn)證的用戶報(bào)文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備,因此接口可以學(xué)習(xí)到用戶的MAC地址,接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對(duì)用戶報(bào)文轉(zhuǎn)發(fā)的控制粒度。 圖3 認(rèn)證過程 (1) Portal用戶通過HTTP協(xié)議發(fā)起認(rèn)證請求。HTTP報(bào)文經(jīng)過接入設(shè)備時(shí),對(duì)于訪問Portal服務(wù)器或設(shè)定的免費(fèi)訪問地址的HTTP報(bào)文,接入設(shè)備允許其通過;對(duì)于訪問其它地址的HTTP報(bào)文,接入設(shè)備將其重定向到Portal服務(wù)器。Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。 (2) Portal 服 務(wù)器與接 入設(shè)備之 間進(jìn)行CHAP(Challenge Handshake Authentication Protocol,質(zhì)詢握手驗(yàn)證協(xié)議)認(rèn)證交互。若采用PAP(Password Authentication Protocol,密碼驗(yàn)證協(xié)議)認(rèn)證則直接進(jìn)入下一步驟。 (3) Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請求報(bào)文發(fā)往接入設(shè)備,同時(shí)開啟定時(shí)器等待認(rèn)證應(yīng)答報(bào)文。 (4) 接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。 (5) 接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報(bào)文。 (6) Portal服務(wù)器向客戶端發(fā)送認(rèn)證通過報(bào)文,通知客戶端認(rèn)證(上線)成功。 (7) 客戶端收到認(rèn)證通過報(bào)文后,通過DHCP獲得新的公網(wǎng)IP地址,并通知Portal服務(wù)器用戶已獲得新IP地址。 (8) Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。 (9) 接入設(shè)備通過檢測ARP協(xié)議報(bào)文發(fā)現(xiàn)了用戶IP變化,并通告Portal服務(wù)器已檢測到用戶IP變化。 (10) Portal服務(wù)器通知客戶端上線成功。 (11) Portal服務(wù)器向接入設(shè)備發(fā)送IP變化確認(rèn)報(bào)文。 注:可跨三層認(rèn)證方式省略二次地址分配認(rèn)證方式的7~11步驟,上線成功后portal服務(wù)器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。 4. Radius認(rèn)證計(jì)費(fèi)過程分析 圖4 Access-request報(bào)文 圖5 Accouting-request報(bào)文 圖6 Accounting-response報(bào)文 圖7 用戶下線停止計(jì)費(fèi)報(bào)文 圖8 Portal認(rèn)證的配置