Portal简介与Web认证
Portal认证,通常称为Web认证,是一种将认证网站称为门户网站的方式。未认证用户上网时,设备会强制他们登录到特定站点,免费访问其中的服务。当用户需要使用互联网中的其他信息时,必须在门户网站进行认证,只有认证通过后才能使用互联网资源。用户可以选择主动访问已知的Portal认证网站,输入用户名和密码进行认证,这称为主动认证。反之,如果用户试图通过HTTP访问其他外网,则会被强制访问Portal认证网站,开始Portal认证过程,这称为强制认证。
Portal扩展功能与业务生态
Portal的扩展功能主要通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体功能包括:在Portal身份认证的基础上增加安全认证机制,检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;用户通过身份认证后仅获得访问受限资源的权限,如病毒服务器、操作系统补丁更新服务器等,安全认证后可访问更多互联网资源。
Portal系统组成与交互过程
Portal系统由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。接入设备在认证之前将用户的所有HTTP请求重定向到Portal服务器,认证过程中与Portal服务器、安全策略服务器、认证/计费服务器交互完成身份认证、安全认证和计费功能。认证通过后,接入设备允许用户访问被管理员授权的互联网资源。Portal服务器接收客户端认证请求,提供免费门户服务和基于Web认证的界面。认证/计费服务器与接入设备通信完成对用户的认证和计费。安全策略服务器与Portal客户端和接入设备通信完成用户的安全认证,并对用户进行授权操作。
Portal认证与安全策略
无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即使Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换也不会影响Portal认证。目前支持Portal认证的远端认证/计费服务器为RADIUS服务器。通过访问Web页面进行的Portal认证无法对用户实施安全策略检查,安全检查功能需要与H3C iNode客户端配合实现。
本地Portal服务器功能
使用本地Portal服务器的Portal认证系统不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,仅包括认证客户端、接入设备和认证/计费服务器。这种系统增强了通用性,不支持Portal扩展功能,因此不需要部署安全策略服务器。接入设备实现了简单的Portal服务器功能,仅能提供Web认证服务,不能完全替代独立的Portal服务器。
认证客户端与本地Portal服务器交互协议
认证客户端和接入设备之间可以采用HTTP和HTTPS协议通信。若采用HTTP协议,则报文以明文形式传输,安全性无法保证;若采用HTTPS协议,则报文基于SSL提供的安全机制以密文形式传输,数据安全性有保障。本地Portal服务器支持用户自定义认证页面,允许用户编辑一套认证页面的HTML文件,并在压缩后保存至设备存储设备中。
Portal认证方式
Portal认证方式分为二层认证方式和三层认证方式。二层认证方式仅支持本地Portal认证,由接入设备作为本地Portal服务器提供Web认证服务。三层认证方式包括直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式下,用户在认证前通过DHCP直接获取IP地址,认证通过后即可访问网络资源。二次地址分配认证方式下,用户在认证前通过DHCP获取私网IP地址,认证通过后获得公网IP地址。可跨三层认证方式下,认证客户端和接入设备之间可以跨越三层转发设备。
二层Portal认证过程
二层Portal认证仅支持本地Portal认证,由接入设备作为本地Portal服务器提供Web认证服务。认证过程包括用户发起认证请求,接入设备与RADIUS服务器之间进行RADIUS协议报文交互,认证成功后接入设备向客户端发送登录成功页面通知认证成功。
三层Portal认证过程
直接认证和可跨三层Portal认证流程相似,认证过程包括用户发起认证请求,接入设备与RADIUS服务器进行RADIUS协议报文交互,认证成功后接入设备向客户端发送登录成功页面通知认证成功。二次地址分配认证方式的流程则涉及两次地址分配过程,认证成功后客户端通过DHCP获得公网IP地址,并通知Portal服务器,接入设备通过检测ARP协议报文发现用户IP变化,并通告Portal服务器已检测到用户IP变化。
使用本地Portal服务器的认证流程
本地Portal认证流程包括用户发起认证请求,接入设备与RADIUS服务器进行RADIUS协议报文交互,认证成功后接入设备向客户端发送登录成功页面通知认证成功。
Portal支持EAP认证
Portal支持EAP(Extensible Authentication Protocol)认证,与传统的基于用户名和口令的用户身份验证方式相比,EAP可支持多种基于数字证书的认证方式,如EAP-TLS,提供更安全和可靠的网络接入认证机制。接入设备仅需对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,无需额外配置。该功能仅能与H3C iMC服务器以及H3C iNode客户端配合使用,且目前仅支持远程Portal服务器的三层Portal认证。
二层Portal认证过程
二层Portal认证过程包括用户发起HTTP或HTTPS认证请求,接入设备重定向请求到本地Portal服务器,提供Web页面进行认证,接入设备与RADIUS服务器进行RADIUS协议报文交互,认证成功后接入设备向客户端发送登录成功页面通知认证成功。
三层Portal认证流程
直接认证和可跨三层Portal认证流程相似,包括用户发起认证请求,接入设备与RADIUS服务器进行RADIUS协议报文交互,认证成功后接入设备向客户端发送登录成功页面通知认证成功。二次地址分配认证方式下,涉及两次地址分配过程,认证成功后客户端通过DHCP获得公网IP地址,并通知Portal服务器,接入设备通过检测ARP协议报文发现用户IP变化。
支持下发授权VLAN与Auth-Fail VLAN
授权VLAN与Auth-Fail VLAN功能允许通过Portal认证的用户访问特定VLAN中的资源,实现对已认证用户可访问网络资源的控制。Auth-Fail VLAN允许认证失败的用户访问特定VLAN中的资源,如病毒补丁服务器或存储客户端软件的服务器。
Portal支持双机热备
Portal支持双机热备功能,保证关键业务节点在单点故障情况下业务不中断。两台设备通过备份链路或相同的备份VLAN实现业务流量切换,由备份设备继续处理业务。详情参见“可靠性配置指导”中的“双机热备”。
Portal支持多实例
Portal支持多实例功能,适用于实际组网应用中各分支机构属于不同VPN,业务相互隔离的情况。通过MPLS VPN将私网客户端的Portal认证报文透传给私网服务器,配合AAA支持多实例实现对私网VPN客户端的集中认证,满足私网VPN业务隔离下的客户端认证需求。