【轉自】http://support.huawei.com/huaweiconnect/enterprise/thread-149867.html

1.1 無處不在的Portal認證

場景一：北京國際機場，巖鬆開啟iPhone搜尋Wi-Fi訊號，看到機場Wi-Fi登入頁面，輸入手機號獲取密碼，輸入密碼後連線Internet刷微博。

場景二：某餐館，顧客小e拿出手機掃了餐桌上的二維碼，彈出“連線網路”頁面，單擊“連線網路”後以匿名方式連線Internet，在朋友圈和大家分享美食。

場景三：某酒店，出差人員張經理在酒店辦理入住手續時獲得以房間號為帳號和一個隨機密碼。通過手機連線酒店提供的Wi-Fi

這幾種連線Internet的認證方式有一個共同點，就是都會彈出登入頁面，術語稱之為Portal認證頁面。

Portal認證有如下優點：

l不需要安裝客戶端。使用Web頁面認證，使用方便，減少客戶端的維護工作量。

l便於運營。可以在Portal頁面上開展業務拓展，如廣告展示、責任公告、企業宣傳等。

l提供計費功能，通過計費功能來限制終端接入網路的時長。

Portal認證優勢明顯，故此無處不在。

1.2 什麼是Portal認證

根據國家接入網際網路的相關規定，在接入網際網路之前必須通過身份認證。考慮到移動終端的複雜性，在終端上安裝認證客戶端進行身份認證是不現實的。而幾乎全部的智慧終端都裝有

Portal認證（也稱為Web認證）能夠基於網頁的形式向用戶提供身份認證和個性化的資訊服務。

Portal認證系統的典型組網方式由四個基本要素組成：認證客戶端、接入裝置、Portal伺服器與AAA伺服器。

l認證客戶端：執行HTTP協議的瀏覽器或執行Portal客戶端軟體的主機。

l接入裝置：交換機、路由器或AC（Access Controller）等寬頻接入裝置的統稱。如果把網路看成一棟高樓，那接入裝置就是門衛，要進屋必須由門衛放行。接入裝置主要有三方面的作用：

−在認證之前，將認證網段內使用者的所有HTTP請求都重定向到

−在認證過程中，與Portal伺服器、AAA伺服器互動，完成身份認證/授權的功能。

−在認證通過後，允許使用者訪問被管理員授權的網際網路資源。

lPortal伺服器：接收Portal客戶端認證請求的伺服器端系統，提供免費門戶服務和基於Web認證的介面，與接入裝置互動認證客戶端的認證資訊。

Portal伺服器可分為內建Portal伺服器和外接Portal伺服器兩種。通常交換機/AC會內建Portal伺服器，帳號和密碼儲存在交換機/AC。受限於接入裝置儲存空間、功能和效能，內建Portal伺服器只適合功能簡單、接入人數少的場景。例如小型餐館提供的連線Internet服務。

如果需要實現微信接入、簡訊接入等複雜的功能，考慮到接入裝置效能和認證體驗，內建Portal伺服器恐怕難以勝任，需要具有獨立於接入裝置之外的硬體伺服器來承載Portal認證業務。

受益於獨立的硬體伺服器提供充足的儲存空間和效能保證，外接Portal伺服器在功能上可獲得充分的擴充套件。例如華為Agile Controller伺服器中的Portal伺服器元件，可在體育館、機場、地鐵、大型商場等使用者密集場館提供可靠的認證和接入服務。

lAAA伺服器：與接入裝置進行互動，完成對使用者的認證、計費和授權。

不同的使用者接入網路的許可權可能會不一樣。例如訪客認證後只允許訪問Internet，而員工認證能夠訪問內部的業務系統。終端認證後訪問網路的許可權大小，是由AAA伺服器說了算。

Portal認證可同時應用於有線終端認證和無線終端認證，在網路中可打造有線無線一體化接入方案。有線終端的Portal認證可由交換機負責接入，而無線終端Portal認證可由無線接入裝置來完成。Portal認證技術成熟，被廣泛應用於運營商、連鎖快餐、酒店、學校等網路。

1.3 常見部署方案

1.3.1 資源劃分

網路中的各種資源對企業的重要程度是不一樣的。為了對不同級別的網路資源進行區別對待，可以把整個網路劃分成2個區域：

l認證前域

終端在認證前允許訪問的網路資源。認證過程需要依賴的網路資源都需要在認證前域開放。例如認證伺服器（Portal伺服器、AAA伺服器）、DHCP伺服器、DNS伺服器。

認證前域是整個網路唯一的，所有的終端使用者共享一個認證前域。

l認證後域

需要由Portal閘道器保護的網路資源。在終端使用者通過認證的情況下才允許訪問的網路資源。例如ERP系統、財務系統。

與認證前域的唯一性不同，不同的終端使用者的認證後域可能會不一樣。例如訪客認證通過後只能訪問Internet，而員工認證通過後除了能夠訪問Internet，還能訪問內部網路資源。

1.3.2 組網方式

如下圖所示，為減輕單點裝置壓力、減少出錯機率，有線終端與無線終端的認證點分開部署：

l匯聚層交換機作為有線終端Portal認證的接入裝置。

lAC以旁路方式部署在核心層裝置的旁邊，作為無線終端Portal認證的接入裝置。

此種方案下，要求AC與AP之間採用隧道轉發模式，同時匯聚層交換機需放行CAPWAP。

AC之所以選擇以旁路方式部署在核心層而不是匯聚層，是基於如下考慮：

l如果AC部署在匯聚層，部署位置過低，難以實現對整個網路的AP進行統一的管理。

l如果AC採取直連方式部署，AC容易成為網路效能瓶頸，並且容易造成單點故障。

對於有線終端，選擇將認證點部署在匯聚層交換機，是由於以下幾點原因：

l在匯聚層部署接入裝置，數量比在接入層部署接入裝置要少，減輕管理員維護裝置的壓力。

l接入裝置的部署位置比在核心層部署要低，能夠在網路的更低的位置對非授權終端進行隔離，安全性比核心層Portal認證要高。

Portal認證的匯聚層部署方式較為普遍，適用於大、中、小各種園區組網。如果園區組網較小或者網路改造場景，為減少管理員維護量或者為減少企業**、避免大規模更換裝置時，也可以選擇把認證點部署在核心層。

1.4 認證原理

1.4.1 認證方式

根據使用者需求和網路現狀，Portal認證可以部署在網路的各個層次，例如，上例中無線終端Portal認證部署在核心層、有線終端Portal認證部署在匯聚層。由於位於不同網路層次的裝置能夠獲取到的終端資訊不同，所以Portal認證是採用的認證方式也不一樣：

l當終端與接入裝置之間為二層網路時，接入裝置可以獲取到終端的MAC地址，則接入裝置可以利用IP和MAC地址來識別終端，此時可配置Portal認證為二層認證方式。

l當終端與接入裝置之間包含三層網路時，即終端與接入裝置之間存在三層轉發裝置時，接入裝置不一定能獲取到終端的MAC地址，只能以IP地址唯一標識使用者，此時需要將Portal認證配置為三層認證方式。

其中，二層認證方式認證流程簡單，安全性較高，但是組網不靈活；三層認證方式組網較為靈活，容易實現遠端控制，但是由於只能通過IP地址來標識使用者，導致安全性相對不高。

1.4.2 認證上線

有線、無線Portal無論在哪種組網場景下，基本流程都類似。下面以機場候機旅客接入網際網路，RADIUS伺服器和Portal伺服器使用華為Agile Controller為例，說明Portal認證的上線流程。

l客戶端與Portal伺服器之間互動使用HTTP協議。

lPortal伺服器與接入裝置之間互動使用Portal V2協議，Portal協議用了CHAP或PAP認證。

l接入裝置與RADIUS伺服器之間互動使用RADIUS協議。

旅客開啟手機Wi-Fi，選擇機場提供的免費網路熱點，獲取由機場分配的IP地址。

旅客訪問網際網路，HTTP報文經過接入裝置。接入裝置發現該終端處於未上線狀態，於是通過Web重定向技術向終端傳送Portal認證連結。

手機的IP地址是10.20.238.199，使用TCP埠號47502（隨機埠）。

Portal伺服器的IP地址是10.20.5.51，使用TCP埠號8080（固定埠）。

連結http://10.20.5.51:8080/PortalServer/portal.jsp?url=http://comm.inner.bbk.com，“http://10.20.5.51:8080/PortalServer/portal.jsp”是Portal認證頁面的地址。“http://comm.inner.bbk.com”是終端在認證前訪問的原始地址，記錄這個地址是為了在認證後自動跳轉到客戶在認證前在Web瀏覽器位址列輸入的原始網址。

雖說旅客訪問的是http://comm.inner.bbk.com，但實際顯示的是Portal認證的頁面。

1.旅客輸入手機號，單擊“獲取密碼”。旅客手機收到驗證碼簡訊，在認證頁面輸入手機號和密碼，單擊“認證”，對應上面流程圖的（1），下面的步驟以此類推。

2.Portal伺服器根據終端的IP地址查詢負責接入控制的裝置。

3.在Portal伺服器與接入裝置建立可靠連線之前，Portal伺服器會與接入裝置核對Portal金鑰，對應於“REQ_CHALLENGE”訊息。

4.如果兩邊的Portal金鑰配置一致，則校驗通過，接入裝置會回覆“ACK_CHALLENGE”訊息。

Portal伺服器的IP地址是10.20.5.51，使用UDP埠號50200（固定埠）。

AC的IP地址是10.20.5.254，使用UDP埠號2000（固定埠）。

從報文分析結果可看出來，本次Portal伺服器與接入裝置之間互動使用CHAP。

5.Portal金鑰校驗通過後，Portal伺服器向接入裝置傳送終端上線請求訊息“REQ_AUTH”，訊息中包含使用者資訊。

6.接入裝置收到上線請求訊息後把使用者資訊和加密後的密碼封裝在RADIUS報文，通過“Access_Request”發給RADIUS伺服器。

AC的IP地址是10.20.5.254，使用UDP埠號1812（固定埠）。

RADIUS的IP地址是10.20.5.51（與Portal伺服器安裝在同一臺PC伺服器），使用UDP埠號1812（固定埠）。

7.如果帳號和密碼，與RADIUS伺服器上儲存的帳號和密碼一致，則RADIUS伺服器回覆Access_Accept（以下發ACL為例）。

由Access_Accept訊息可以看到，ACL ID是在RADIUS第11號屬性Filter-Id，認證通過後下發給接入裝置的ACL ID是3001。

8.RADIUS伺服器需要通過Accounting_Request訊息通知接入裝置開始計費請求，表示手機在RADIUS伺服器開始上線。

9.接入裝置向RADIUS伺服器回覆Accounting_Response訊息，手機已經開始計費，在RADIUS伺服器上線成功。

計費使用UDP埠，AC與RADIUS伺服器分別使用1812和1813埠。

華為Agile Controller的計費不是真實意義上的計費，只是通過計費報文記錄旅客的上下線時間，維護旅客的線上狀態。

機場接待旅客的人數和Internet連線服務都是有限制的。為了避免RADIUS伺服器和Portal伺服器資源耗盡，管理員會限制旅客的線上時長。例如旅客只能上網衝浪4小時，超時後自動斷開連線。

10.AC給Portal伺服器回覆ACK_AUTH，表示終端認證成功。

11.Portal伺服器通知手機認證成功，在一個新的瀏覽器視窗推出 http://comm.inner.bbk.com頁面（旅客在認證前訪問的頁面），旅客可以上網衝浪。

1.4.3 離線檢測

Portal使用者離線檢測是為確保接入裝置上或伺服器上的使用者線上資訊正確有效。檢測方式常用的有ARP探測方式和心跳報文方式。

1.4.3.1 ARP探測

ARP探測就是利用接入裝置定期向已經通過認證的客戶端傳送單播ARP請求報文。由於接入裝置和客戶端之間是一個二層網路，因此在網路正常的情況下，客戶端一旦收到來自接入裝置的ARP請求報文則必定會響應一個ARP應答報文。如果接入裝置連續若干次沒有收到來自客戶端的ARP應答報文，則接入裝置會主動切斷使用者並通知Portal伺服器。

僅二層Portal認證方式支援ARP探測。

1.4.3.2 心跳報文

心跳報文的方法就是在使用者認證通過後，推送給使用者一個連線保持頁面，表示該使用者處於認證狀態。使用者與Portal伺服器之間通過心跳報文進行檢測，當Portal伺服器連續若干次都沒有收到使用者發出的心跳報文，則可以認為該使用者異常離線並通知接入裝置切斷使用者。

以上即是Portal認證的基本原理，實現Portal認證的完整配置請參見。接下來我們看一下Portal認證中常見的配置和故障。

1.5 常見配置和故障

1.5.1 如何配置MAC優先的Portal認證？

MAC優先的Portal認證是指終端使用者第一次通過Portal認證接入網路後，RADIUS伺服器記錄終端裝置的MAC地址。此後，在MAC地址有效期內，終端使用者在認證已斷開的情況下再次訪問網路時，能夠直接上線，無需輸入帳號和密碼重新進行認證。

例如，手機使用者Portal認證成功，鎖屏一段時間，再次上網時需要重新輸入帳號和密碼進行認證。啟用MAC帳號優先後，再次上網時無需重新認證。

在正常Portal認證的基礎上，啟用MAC帳號優先，需要進行如下設定：

1.AC上的配置（以V200R005C10版本為例）

[AC] interface wlan-ess X

[AC-Wlan-EssX] web-authentication first-mac

2.伺服器上的配置（以Agile Controller為例）

選擇“系統 > 終端引數配置 > 全域性引數”，啟用MAC優先的Portal認證，然後輸入MAC帳號的有限期。

1.5.2 如何配置主備Portal伺服器？

配置主備Portal伺服器能夠提高Portal認證的可靠性，避免因Portal伺服器故障導致使用者無法上網的問題。

1.AC上的配置需要注意：

1）配置兩個Portal伺服器模板，並且：

lPortal伺服器模板中的server-ip和url分別為主備Portal伺服器的IP地址和URL。

lPortal伺服器模板下必須開啟Portal伺服器探測功能，探測主備Portal伺服器的狀態。當探測到主用Portal伺服器的狀態由Up變為Down時，將會啟用備用Portal伺服器。

2）在VLANIF介面下繫結Portal伺服器模板，主在前、備在後。

配置檔案如下（以V200R005C10版本為例）：

#

web-auth-server test1

server-ip 10.10.1.128 //主用Portal伺服器的IP地址

port 50200

shared-key cipher %@%@VYNv5Pr$:8l5A/[email protected]%@%@

url http://192.168.1.1:8080/portal

server-detect //開啟Portal伺服器探測功能

#

web-auth-server test2//備用Portal伺服器的IP地址

server-ip 10.10.1.129

port 50200

shared-key cipher %@%@VYNv5Pr$:8l5A/[email protected]%@%@

url http://192.168.1.2:8080/portal

server-detect//開啟Portal伺服器探測功能

#

interface Vlanif10

web-auth-server test1 test2 direct//繫結Portal伺服器模板，主在前、備在後

#

2.伺服器上的配置（以Agile Controller為例）

選擇“資源 > 裝置 > 裝置管理”，點選“增加”新增接入裝置。勾選“啟用接入裝置與Portal伺服器的心跳”，在“Portal伺服器IP地址列表”中新增主備Portal伺服器的IP地址。

1.5.3 為什麼能夠直接開啟Portal認證頁面，但無法重定向到Portal認證頁面？

1.5.4 為什麼免認證規則不能生效？

AC上能夠配置的免認證規則rule-id的取值範圍是0-127，但僅編號為0-63的免認證規則能夠下發到AP，並使其在AP上生效。

1.5.5 為什麼配置了MAC優先的Portal認證，但終端再次訪問網路時仍會推送Portal認證頁面？

AC為了保證使用者的密碼安全，預設開啟了帳號鎖定功能。在30分鐘內連續認證失敗的次數超過30次時，AC將帳號鎖定一段時間，鎖定時間內禁止該帳號的使用者進行認證。

一些終端關聯上SSID後，沒有及時進行Portal認證，而是發起了多次MAC認證（例如手機後臺應用程式在瞬間發起多條TCP請求）。由於終端MAC地址並沒有錄入到AAA伺服器中，在30分鐘內認證失敗的次數超過30次，AC就會將以終端MAC地址為使用者名稱的帳號鎖定，因此MAC認證失敗，彈出Portal認證頁面。

可以在AAA檢視下，執行命令undo remote-aaa-user authen-fail，關閉帳號鎖定功能。