无线网络系统中不得不知的Portal认证(无线网络认证一)
-
-
晓得点 一个智能化行业的打杂人员
1 人点赞了该文章 · 2492 浏览
一、什么是Portal认证
1、用户访问网站,经过AC重定向到Portal Server,Portal Server推送认证页面;
根据国家接入互联网的相关规定,在接入互联网之前必须通过身份认证。考虑到移动终端的复杂性,在终端上安装认证客户端进行身份认证是不现实的。
而几乎全部的智能终端都装有Web浏览器。身份认证最好是能够通过Web页面的方式进行。
Portal认证(也称为Web认证)能够基于网页的形式向用户提供身份认证和个性化的信息服务。
Portal认证系统的典型组网方式由四个基本要素组成:认证客户端、接入设备、Portal服务器与AAA服务器。
系统图如下:
Portal认证的设备要素
认证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。
接入设备:交换机、路由器或AC(Access Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。
接入设备主要有三方面的作用:
在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。
在认证通过后,允许用户访问被管理员授权的互联网资源。
Portal服务器:
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
Portal服务器可分为内置Portal服务器和外置Portal服务器两种。
通常交换机/AC会内置Portal服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。
如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。
受益于独立的硬件服务器提供充足的存储空间和性能保证,外置Portal服务器在功能上可获得充分的扩展。
例如华为Agile Controller服务器中的Portal服务器组件,可在体育馆、机场、地铁、大型商场等用户密集场馆提供可靠的认证和接入服务。
AAA服务器:与接入设备进行交互,完成对用户的认证、计费和授权。
不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问Internet,而员工认证能够访问内部的业务系统。终端认证后访问网络的权限大小,是由AAA服务器说了算。
Portal认证可同时应用于有线终端认证和无线终端认证,在网络中可打造有线无线一体化接入方案。有线终端的Portal认证可由交换机负责接入,而无线终端Portal认证可由无线接入设备来完成。
Portal认证技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。
二、Portal认证流程
2、用户填入用户名、密码,提交页面,向Portal Server发起连接请求;
3、Portal Server向AC请求Challenge;
4、AC分配Challenge给Portal Server;
5、Portal Server向AC发起认证请求;
6、AC进行RADIUS认证,获得RADIUS认证结果;
7、AC向Portal Server送认证结果;
8、Portal Server将认证结果填入页面,和门户网站一起推送给客户;
9、Portal Server回应确认收到认证结果的报文。
Portal认证有如下优点:
1、不需要安装客户端。
使用Web页面认证,使用方便,减少客户端的维护工作量。
2、 便于运营。
可以在Portal页面上开展业务拓展,如广告展示、责任公告、企业宣传等。
3、 提供计费功能,通过计费功能来限制终端接入网络的时长。
Portal认证优势明显,故此无处不在。
三、当Portal用户首次接入,自动完成MAC绑定
在Portal无感知认证解决方案,用户首次接入WLAN网络认证流程如图1所示。
具体认证流程如下:
步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。
步骤2、AC将监控用户的上网流量。
步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向MAC绑定服务器发起MAC 查询请求。
步骤4、MAC绑定服务器向AC返回查询结果:此终端MAC信息未绑定。(由于此终端用户是首次连接WLAN网络,所以MAC绑定服务器中无此终端的MAC地址信息)
步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。
步骤6、用户终端输入用户名、密码信息发起Portal认证。
步骤7、AC与Portal服务器、AAA服务器之间完成Portal认证。
步骤8、AC向MAC绑定服务器发起MAC绑定请求,MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。
步骤9、用户认证成功,正常上网。
四、 Portal用户再次接入,后台自动认证,用户零配置.
在Portal无感知认证解决方案,用户再次接入WLAN网络认证流程如图2所示。
具体认证流程如下:
步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。
步骤2、AC将监控用户的上网流量。
步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向MAC绑定服务器发起MAC 查询请求。
步骤4、MAC绑定服务器向AC返回查询结果:此终端MAC信息已绑定,并携带此终端的Portal账号/密码等信息向AC发起Portal认证。(由于此终端用户已完成首次登录,MAC地址、Portal账号/密码已在MAC绑定服务器中完成信息绑定)
步骤5、AC与Portal服务器、AAA服务器之间完成Portal认证。
步骤6、用户认证成功,正常上网。
五、 用户下线方式
在Portal无感知认证解决方案,用户下线可以通过idle-cut方式被动下线,即一段时间内AC没有检测到用户流量,AC则强制用户下线。
流程如图3所示:
步骤1、AC 将监控用户的上网流量。
步骤2、一定时间内(例如15分钟)AC检测到用户无流量,则向AAA发送计费结束报文。
步骤3、AC强制用户下线。
同时在Portal无感知认证解决方案,用户也可以考虑采用短信主动下线的方式完成用户下线,具体流程如图4所示:
步骤1、用户发送下线请求短信(例如10085xxqq)到短信网关。
步骤2、短信网关收到用户下线请求的短信后将通知MAC绑定服务器。
步骤3、MAC绑定服务器向AC设备发送下线请求。
步骤4、AC收到下线请求,则向AAA发送计费结束报文。
步骤5、AC强制用户下线。
通过以上Portal无感知认证解决方案相关流程的介绍可以看出,对于终端用户此方案大大简化了用户的Portal接入流程,可以使得终端用户一次认证,永久接入,省去了每次在页面中输入用户名/密码信息的重复繁琐操作,大大提升了WLAN网络Portal认证接入的网络体验与易操作性。
同时可以看到,与之前的Portal解决方案相比,Portal无感知认证解决方案需要增加一台MAC绑定服务器,用来完成用户终端的MAC、账号/密码等信息的记录、发起Portal认证等功能,以简化终端用户操作,保障终端用户零配置再次接入。
目前H3C iMC软件管理平台已支持MAC绑定服务器的相关功能,可在Portal无感知认证解决方案中担当MAC绑定服务器的角色。
2026-01-12 11:16