Portal協(xié)議介紹ISSUE1.2日期：2015-08-25杭州華三通信技術(shù)有限公司，了解Portal典型組網(wǎng)理解Portal協(xié)議原理熟悉Portal基本配置簡單的Portal故障排除課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：Portal概述Portal典型組網(wǎng)Portal協(xié)議原理Portal典型配置FAQ目錄Portal協(xié)議概述Portal協(xié)議的起源Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站?；舅枷耄何凑J(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。Portal業(yè)務(wù)可以為運(yùn)營商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務(wù)等個(gè)性化業(yè)務(wù)。Portal概述Portal典型組網(wǎng)Portal協(xié)議原理Portal典型配置FAQ目錄典型組網(wǎng)（一）iMCServerPortalBASL2SwitchGateway典型組網(wǎng)（二）PortalBASL3SwitchGatewayiMCServer三層Portal與二層Portal的比較三層Portal認(rèn)證與二層Portal認(rèn)證的比較組網(wǎng)方式上，三層認(rèn)證方式的認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備；非三層認(rèn)證方式則要求認(rèn)證客戶端和接入設(shè)備之間沒有三層轉(zhuǎn)發(fā)。三層Portal認(rèn)證僅以IP地址唯一標(biāo)識用戶；而二層Portal認(rèn)證以IP和MAC地址的組合來唯一標(biāo)識用戶。典型組網(wǎng)（三）iMCServerPortalBASL2SwitchGateway典型組網(wǎng)（四）ACPortalBASAPiMCServerGatewayTrunkVLAN1VLAN2VLAN10Portal認(rèn)證與802.1x認(rèn)證的比較Portal認(rèn)證相對于802.1x認(rèn)證的優(yōu)勢支持網(wǎng)頁方式認(rèn)證，免客戶端安裝部署方式靈活、快捷，適合舊網(wǎng)改造Portal認(rèn)證的不足之處沒有802.1x認(rèn)證對客戶端的控制嚴(yán)格Portal概述Portal典型組網(wǎng)Portal協(xié)議原理Portal典型配置FAQ目錄Portal協(xié)議框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortalServerIEiNodePortalKernelBASAAAServerPortal私有協(xié)議Portal協(xié)議Radius協(xié)議UDPPortal協(xié)議框架協(xié)議主體：PortalServer和Portal設(shè)備。承載協(xié)議：基于UDP。端口定義：PortalServer：使用本地的50100端口監(jiān)聽BAS設(shè)備發(fā)送的非響應(yīng)類報(bào)文，使用目的端口2000向BAS設(shè)備發(fā)送所有報(bào)文。BAS：使用本地的2000端口監(jiān)聽PortalServer發(fā)送的所有報(bào)文。使用目的端口50100向PortalServer發(fā)送非響應(yīng)類報(bào)文。Portal協(xié)議版本：2.0Portal認(rèn)證流程－Web認(rèn)證方式推出強(qiáng)制認(rèn)證頁面用戶瀏覽器BASPortalWebPortalKernelHTTP請求重定向HTTP請求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出強(qiáng)制認(rèn)證頁面ACK_INFOPortal認(rèn)證流程－Web認(rèn)證方式從強(qiáng)制頁面發(fā)起認(rèn)證用戶瀏覽器BASPortalWebPortalKernel上傳用戶名密碼等用戶信息CODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHRadius-AccessRequestACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHRadius-AccessResponseRadius-AccountingRequestRadius-AccountingResponse返回認(rèn)證成功提示Portal認(rèn)證流程－Web認(rèn)證方式維持在線和用戶下線用戶瀏覽器BASPortalWebPortalKernelHTTP心跳報(bào)文CODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEHTTP心跳回應(yīng)報(bào)文提交下線請求AAAServerCODE_PP_LOGOUT_REQUEST返回下線成功頁面REQ_LOGOUT

ACK_LOGOUT

CODE_PP_LOGOUT_RESPONSERadius-AccountingRequest

Radius-AccountingResponsePortal認(rèn)證流程－iNode客戶端認(rèn)證方式iNode客戶端BASPortalTransferPortalKernelHTTP請求重定向CODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONESACK_INFO創(chuàng)建客戶端Portal連接CODE_PP_PORTAL_USER_CUSTOM_INFO

CODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_PP_DOMAIN_REQUESTCODE_PP_DOMAIN_RESPONES從iNode客戶端發(fā)起認(rèn)證BASiNodePortalKernelCODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHPortal認(rèn)證流程－iNode客戶端認(rèn)證方式.....Radius認(rèn)證過程維持在線和用戶下線BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerCODE_PP_LOGOUT_REQUESTREQ_LOGOUT

ACK_LOGOUT

CODE_PP_LOGOUT_RESPONSERadius-AccountingRequest

Radius-AccountingResponsePortal認(rèn)證流程－iNode客戶端認(rèn)證方式異常情況分析（一）PC異常下線（如PC掉電、直接關(guān)閉認(rèn)證網(wǎng)頁、iNode客戶端異常退出）BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerREQ_LOGOUT

ACK_LOGOUT

Radius-AccountingRequest

Radius-AccountingResponseTimeout

.....異常情況分析（二）BAS設(shè)備重啟BASiNodePortalKernelAAAServerREQ_LOGOUT

deleteportalonlinetableCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEnoresponsedeleteportalonlinetableCODE_PP_LOGIN_REQUEST...Radius-AccessRequestOnlineusernumberlimited...Timeout

異常情況分析（三）Portal服務(wù)器重啟時(shí)間過長導(dǎo)致Portal心跳超時(shí)或服務(wù)器重啟期間有終端手動下線BASiNodePortalKernelCODE_PP_HANDSHAKEAAAServerKeepingAccountingUpdateKeepingAccountingUpdateTimeout

...OfflineCODE_PP_LOGIN_REQUEST...Radius-AccessRequestOnlineusernumberlimitedPortal逃生方案（一）Portal逃生方案解決了兩個(gè)問題：增加BAS與PortalKernel之間的心跳機(jī)制，防止服務(wù)器宕機(jī)引起的故障。增加BAS與PortalKernel之間比較Portal在線用戶表的機(jī)制，主要針對Portal服務(wù)器重啟時(shí)間過長導(dǎo)致Portal心跳超時(shí)或服務(wù)器重啟期間有終端手動下線而引發(fā)的用戶永久掛死的問題。Portal逃生方案（二）Portal逃生特性設(shè)計(jì)了兩種心跳：逃生心跳和用戶心跳。逃生心跳僅依賴PortalKernel進(jìn)程正常運(yùn)行。一旦BAS設(shè)備連續(xù)幾次沒有收到PortalKernel的心跳，則立即啟用逃生自動取消認(rèn)證。當(dāng)再次收到PortalKernel的心跳時(shí)自動開啟認(rèn)證。逃生心跳由設(shè)備單向檢測服務(wù)器是否定時(shí)發(fā)送，只作逃生用。Portal服務(wù)器和設(shè)備上均需配置。Portal逃生方案（三）用戶心跳的作用是在心跳間隔時(shí)間段內(nèi)，服務(wù)器會將在線用戶列表中的所有用戶分多個(gè)報(bào)文發(fā)送給設(shè)備。設(shè)備與內(nèi)存中的用戶進(jìn)行比較，比較的結(jié)果分以下兩種：設(shè)備發(fā)現(xiàn)自己記錄的在線用戶比服務(wù)器的少，則設(shè)備立即用Portal報(bào)文通知服務(wù)器，服務(wù)器用Portal報(bào)文通知客戶端下線，避免造成客戶端還在線的假象。但RADIUS在線表仍然要等待老化清除。設(shè)備發(fā)現(xiàn)自己記錄的在線用戶在一段時(shí)間內(nèi)（該時(shí)間由設(shè)備決定，至少應(yīng)該長于Portal心跳）都比服務(wù)器多（比如服務(wù)器重啟的情況，如果這段時(shí)間服務(wù)器收到用戶的Portal心跳則會重構(gòu)在線表），則設(shè)備發(fā)送計(jì)費(fèi)結(jié)束通知AAA模塊下線。Portal逃生方案（四）在Portal服務(wù)器配置中配置“逃生心跳間隔時(shí)長”以及“用戶心跳間隔時(shí)長”。在Portal設(shè)備配置中使能逃生功能，選擇“是”即為使能。Portal逃生方案（五）以S75E設(shè)備為例，在設(shè)備全局模式下使能Portal逃生功能：portalserverimcserver-detectmethodportal-heartbeatactionpermit-all//使能逃生心跳

portalserverimcuser-sync//使能用戶心跳Portal概述Portal典型組網(wǎng)Portal協(xié)議原理Portal典型配置FAQ目錄Portal設(shè)備配置配置Radius認(rèn)證方案以及Radius認(rèn)證域略進(jìn)入系統(tǒng)視圖，在全局模式下配置Portal服務(wù)器portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string]*配置舉例：portalserveriMCipkeysharekeyport50100url進(jìn)入接口視圖，在接口上使能Portalportalserverserver-namemethod{direct|layer3|redhcp}配置舉例：portalserveriMCmethodlayer3Portal設(shè)備可選配置進(jìn)入系統(tǒng)視圖，在全局模式下配置Portal免認(rèn)證規(guī)則portalfree-rulerule-number{destination{any|ip{ip-address

mask{mask-length|netmask}|any}}|source{any|[interface

interface-type

interface-number|ip{ip-address

mask{mask-length|mask}|any}|mac

mac-address|vlan

vlan-id]*}}*

配置舉例：portalfree-rule0sourceipmaskdestinationanyPortal服務(wù)器配置（一）保持缺省即可，一般情況下無需修改。Portal服務(wù)器配置（二）配置Portal設(shè)備信息，其中IP地址為使能Portal的接口IP地址。Portal服務(wù)器配置（三）增加IP地址組，地址段需包含所有認(rèn)證終端IP地址。Portal服務(wù)器配置（四）增加設(shè)備端口組，引用之前創(chuàng)建的IP地址組。PortalNAT穿越（一）PortalNAT穿越特性支持Portal設(shè)備本身或Portal設(shè)備與服務(wù)器之間存在NAT，將用戶及Portal設(shè)備的地址轉(zhuǎn)換為公網(wǎng)地址。支持私網(wǎng)地址即用戶地址段重疊。PortalBASNATGatewayiMCServerPortalNAT穿越（二）配置IP地址組，填寫NAT前IP地址段以及NAT后IP地址段。PortalNAT穿越（三）配置Portal設(shè)備地址為NAT后地址在Portal設(shè)備