Portal认证

Portal认证（也称为Web认证）能够基于网页的形式向用户提供身份认证和个性化的信息服务。

Portal认证系统的典型组网方式由四个基本要素组成：认证客户端、接入设备、Portal服务器与AAA服务器。

认证客户端：运行HTTP协议的浏览器或运行Portal客户端软件的主机。

l  接入设备：交换机、路由器或AC（AccessController）等宽带接入设备的统称。如果把网络看成一栋高楼，那接入设备就是门卫，要进屋必须由门卫放行。接入设备主要有三方面的作用：

−在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

−在认证过程中，与Portal服务器、AAA服务器交互，完成身份认证/授权的功能。

−在认证通过后，允许用户访问被管理员授权的互联网资源。

l  Portal服务器：接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器，帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能，内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。

如果需要实现微信接入、短信接入等复杂的功能，考虑到接入设备性能和认证体验，内置Portal服务器恐怕难以胜任，需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

受益于独立的硬件服务器提供充足的存储空间和性能保证，外置Portal服务器在功能上可获得充分的扩展。例如华为AgileController服务器中的Portal服务器组件，可在体育馆、机场、地铁、大型商场等用户密集场馆提供可靠的认证和接入服务。

l  AAA服务器：与接入设备进行交互，完成对用户的认证、计费和授权。

不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问Internet，而员工认证能够访问内部的业务系统。终端认证后访问网络的权限大小，是由AAA服务器说了算。

AAA服务器：与接入设备进行交互，完成对用户的认证、计费和授权。

不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问Internet，而员工认证能够访问内部的业务系统。终端认证后访问网络的权限大小，是由AAA服务器说了算。

Portal认证可同时应用于有线终端认证和无线终端认证，在网络中可打造有线无线一体化接入方案。有线终端的Portal认证可由交换机负责接入，而无线终端Portal认证可由无线接入设备来完成。Portal认证技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。

1.3常见部署方案

1.3.1资源划分

网络中的各种资源对企业的重要程度是不一样的。为了对不同级别的网络资源进行区别对待，可以把整个网络划分成2个区域：

l  认证前域

终端在认证前允许访问的网络资源。认证过程需要依赖的网络资源都需要在认证前域开放。例如认证服务器（Portal服务器、AAA服务器）、DHCP服务器、DNS服务器。

认证前域是整个网络唯一的，所有的终端用户共享一个认证前域。

l  认证后域

需要由Portal网关保护的网络资源。在终端用户通过认证的情况下才允许访问的网络资源。例如ERP系统、财务系统。

与认证前域的唯一性不同，不同的终端用户的认证后域可能会不一样。例如访客认证通过后只能访问Internet，而员工认证通过后除了能够访问Internet，还能访问内部网络资源。

1.3.2组网方式

如下图所示，为减轻单点设备压力、减少出错几率，有线终端与无线终端的认证点分开部署：

l 汇聚层交换机作为有线终端Portal认证的接入设备。

l AC以旁路方式部署在核心层设备的旁边，作为无线终端Portal认证的接入设备。

此种方案下，要求AC与AP之间采用隧道转发模式，同时汇聚层交换机需放行CAPWAP。

AC之所以选择以旁路方式部署在核心层而不是汇聚层，是基于如下考虑：

l  如果AC部署在汇聚层，部署位置过低，难以实现对整个网络的AP进行统一的管理。

l  如果AC采取直连方式部署，AC容易成为网络性能瓶颈，并且容易造成单点故障。

对于有线终端，选择将认证点部署在汇聚层交换机，是由于以下几点原因：

l  在汇聚层部署接入设备，数量比在接入层部署接入设备要少，减轻管理员维护设备的压力。

l  接入设备的部署位置比在核心层部署要低，能够在网络的更低的位置对非授权终端进行隔离，安全性比核心层Portal认证要高。

Portal认证的汇聚层部署方式较为普遍，适用于大、中、小各种园区组网。如果园区组网较小或者网络改造场景，为减少管理员维护量或者为减少企业**、避免大规模更换设备时，也可以选择把认证点部署在核心层。

1.4认证原理

1.4.1认证方式

根据用户需求和网络现状，Portal认证可以部署在网络的各个层次，例如，上例中无线终端Portal认证部署在核心层、有线终端Portal认证部署在汇聚层。由于位于不同网络层次的设备能够获取到的终端信息不同，所以Portal认证是采用的认证方式也不一样：

l 当终端与接入设备之间为二层网络时，接入设备可以获取到终端的MAC地址，则接入设备可以利用IP和MAC地址来识别终端，此时可配置Portal认证为二层认证方式。

l 当终端与接入设备之间包含三层网络时，即终端与接入设备之间存在三层转发设备时，接入设备不一定能获取到终端的MAC地址，只能以IP地址唯一标识用户，此时需要将Portal认证配置为三层认证方式。

其中，二层认证方式认证流程简单，安全性较高，但是组网不灵活；三层认证方式组网较为灵活，容易实现远程控制，但是由于只能通过IP地址来标识用户，导致安全性相对不高。

1.4.2认证上线

有线、无线Portal无论在哪种组网场景下，基本流程都类似。下面以机场候机旅客接入互联网，RADIUS服务器和Portal服务器使用华为AgileController为例，说明Portal认证的上线流程。

l  客户端与Portal服务器之间交互使用HTTP协议。

l  Portal服务器与接入设备之间交互使用PortalV2协议，Portal协议用了CHAP或PAP认证。

l  接入设备与RADIUS服务器之间交互使用RADIUS协议。

旅客打开手机Wi-Fi，选择机场提供的免费网络热点，获取由机场分配的IP地址。

旅客访问互联网，HTTP报文经过接入设备。接入设备发现该终端处于未上线状态，于是通过Web重定向技术向终端发送Portal认证链接。

手机的IP地址是10.20.238.199，使用TCP端口号47502（随机端口）。

Portal服务器的IP地址是10.20.5.51，使用TCP端口号8080（固定端口）。

链接http://10.20.5.51:8080/PortalServer/portal.jsp?url=http://comm.inner.，“http://10.20.5.51:8080/PortalServer/portal.jsp”是Portal认证页面的地址。“http://comm.inner.”是终端在认证前访问的原始地址，记录这个地址是为了在认证后自动跳转到客户在认证前在Web浏览器地址栏输入的原始网址。

虽说旅客访问的是http://comm.inner.，但实际显示的是Portal认证的页面。

1.  旅客输入手机号，单击“获取密码”。旅客手机收到验证码短信，在认证页面输入手机号和密码，单击“认证”，对应上面流程图的（1），下面的步骤以此类推。

2.  Portal服务器根据终端的IP地址查找负责接入控制的设备。

3.  在Portal服务器与接入设备建立可靠连接之前，Portal服务器会与接入设备核对Portal密钥，对应于“REQ_CHALLENGE”消息。

4.  如果两边的Portal密钥配置一致，则校验通过，接入设备会回复“ACK_CHALLENGE”消息。

Portal服务器的IP地址是10.20.5.51，使用UDP端口号50200（固定端口）。

AC的IP地址是10.20.5.254，使用UDP端口号2000（固定端口）。

从报文分析结果可看出来，本次Portal服务器与接入设备之间交互使用CHAP。

5.  Portal密钥校验通过后，Portal服务器向接入设备发送终端上线请求消息“REQ_AUTH”，消息中包含用户信息。

6.  接入设备收到上线请求消息后把用户信息和加密后的密码封装在RADIUS报文，通过“Access_Request”发给RADIUS服务器。

AC的IP地址是10.20.5.254，使用UDP端口号1812（固定端口）。

RADIUS的IP地址是10.20.5.51（与Portal服务器安装在同一台PC服务器），使用UDP端口号1812（固定端口）。

7.  如果帐号和密码，与RADIUS服务器上保存的帐号和密码一致，则RADIUS服务器回复Access_Accept（以下发ACL为例）。

由Access_Accept消息可以看到，ACLID是在RADIUS第11号属性Filter-Id，认证通过后下发给接入设备的ACLID是3001。

8.  RADIUS服务器需要通过Accounting_Request消息通知接入设备开始计费请求，表示手机在RADIUS服务器开始上线。

9.  接入设备向RADIUS服务器回复Accounting_Response消息，手机已经开始计费，在RADIUS服务器上线成功。1、自助式访客认证

短信认证：适用于对外开放式网络服务场景，访客自助连接企业网络并进行认证；

2、授权式访客认证

协助扫码认证：适用于限制访客接入企业网络的场景，访客只有在企业授权后才允许访问企业网络资源。

邮件审批认证：适用于长时间使用企业网络的外包人员。用户在认证前先需要向企业提交网络使用申请，企业审核后并将网络账号及密码发送至用户手机供用户上网认证。避免重复性认证及授权次数。

3、员工认证

802.1X认证：因802.1X在win7及以下操作系统的配置较为复杂，所以该认证方式适用于办公设备以win10操作系统为主的网络环境，同时802.1X在Android、iOS的兼容性较好，也可适用于BYOD认证场景。

用户名密码Portal认证：员工通过Portal认证的方式接入企业网络，为避免弱账号密码、账号密码共享的现象，可在账号密码的基础上增加动态密码进行加固。

4、终端AD域检测

如果说Portal认证的不同认证方式可以帮助企业区分员工与访客身份，那么终端AD域检测则可用于区分员工BYOD及企业派发设备。通过宁盾终端准入引擎（NDACE）检测终端是否加入AD域，并通过VirtualFirewallVlan、自定义Tag技术将非合规终端隔离至外网，实现终端及身份的自动合规准入。

5、终端及身份的安全性扩展

Forrest认为：“零”信任模型应建立在假设任何访问组织数据的人或设备对企业构成威胁的基础上的，即我们不应该信任网络中任何未经合规性检测的身份及终端。一般情况下，企业可以通过网络身份认证实现身份的校验。宁盾新一代终端准入引擎（NDACE）主要用于实现终端的安全性、合规性终端准入，通过与网络身份认证集成，实现企业对访问业务的终端及身份的双重信任。

比如，

将没有安装杀毒软件的终端隔离至外网；

将没有更新WannaCry补丁的终端隔离至外网；

U盘数据防泄漏；

防私接等。