Portal协议介绍ISSUE1.
2杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解Portal典型组网理解Portal协议原理熟悉Portal基本配置简单的Portal故障排除课程目标学习完本课程,您应该能够:Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com4Portal协议概述Portal协议的起源Portal在英语中是入口的意思.
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站.
基本思想:未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务.
当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源.
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务等个性化业务.
Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com6典型组网(一)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com7典型组网(二)PortalBASL3SwitchGatewayiMCServerwww.
h3c.
com8三层Portal与二层Portal的比较三层Portal认证与二层Portal认证的比较组网方式上,三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发.
三层Portal认证仅以IP地址唯一标识用户;而二层Portal认证以IP和MAC地址的组合来唯一标识用户.
www.
h3c.
com9典型组网(三)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com10典型组网(四)ACPortalBASAPiMCServerGatewayTrunkVLAN1VLAN2VLAN10www.
h3c.
com11Portal认证与802.
1x认证的比较Portal认证相对于802.
1x认证的优势支持网页方式认证,免客户端安装部署方式灵活、快捷,适合旧网改造Portal认证的不足之处没有802.
1x认证对客户端的控制严格www.
h3c.
com12Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com13Portal协议框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortalServerIEiNodePortalKernelBASAAAServerPortal私有协议Portal协议Radius协议UDPwww.
h3c.
com14Portal协议框架协议主体:PortalServer和Portal设备.
承载协议:基于UDP.
端口定义:PortalServer:使用本地的50100端口监听BAS设备发送的非响应类报文,使用目的端口2000向BAS设备发送所有报文.
BAS:使用本地的2000端口监听PortalServer发送的所有报文.
使用目的端口50100向PortalServer发送非响应类报文.
Portal协议版本:2.
0www.
h3c.
com15Portal认证流程-Web认证方式推出强制认证页面用户浏览器BASPortalWebPortalKernelHTTP请求重定向HTTP请求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出强制认证页面ACK_INFOwww.
h3c.
com16Portal认证流程-Web认证方式从强制页面发起认证用户浏览器BASPortalWebPortalKernel上传用户名密码等用户信息CODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHRadius-AccessRequestACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHRadius-AccessResponseRadius-AccountingRequestRadius-AccountingResponse返回认证成功提示www.
h3c.
com17Portal认证流程-Web认证方式维持在线和用户下线用户浏览器BASPortalWebPortalKernelHTTP心跳报文CODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEHTTP心跳回应报文提交下线请求AAAServerCODE_PP_LOGOUT_REQUEST返回下线成功页面REQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsewww.
h3c.
com18Portal认证流程-iNode客户端认证方式iNode客户端BASPortalTransferPortalKernelHTTP请求重定向CODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONESACK_INFO创建客户端Portal连接CODE_PP_PORTAL_USER_CUSTOM_INFOCODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_PP_DOMAIN_REQUESTCODE_PP_DOMAIN_RESPONESwww.
h3c.
com19从iNode客户端发起认证BASiNodePortalKernelCODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHPortal认证流程-iNode客户端认证方式.
.
.
.
.
Radius认证过程www.
h3c.
com20维持在线和用户下线BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerCODE_PP_LOGOUT_REQUESTREQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsePortal认证流程-iNode客户端认证方式www.
h3c.
com21异常情况分析(一)PC异常下线(如PC掉电、直接关闭认证网页、iNode客户端异常退出)BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerREQ_LOGOUTACK_LOGOUTRadius-AccountingRequestRadius-AccountingResponseTimeout.
.
.
.
.
www.
h3c.
com22异常情况分析(二)BAS设备重启BASiNodePortalKernelAAAServerREQ_LOGOUTdeleteportalonlinetableCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEnoresponsedeleteportalonlinetableCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimited.
.
.
Timeoutwww.
h3c.
com23异常情况分析(三)Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线BASiNodePortalKernelCODE_PP_HANDSHAKEAAAServerKeepingAccountingUpdateKeepingAccountingUpdateTimeout.
.
.
OfflineCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimitedwww.
h3c.
com24Portal逃生方案(一)Portal逃生方案解决了两个问题:增加BAS与PortalKernel之间的心跳机制,防止服务器宕机引起的故障.
增加BAS与PortalKernel之间比较Portal在线用户表的机制,主要针对Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线而引发的用户永久挂死的问题.
www.
h3c.
com25Portal逃生方案(二)Portal逃生特性设计了两种心跳:逃生心跳和用户心跳.
逃生心跳仅依赖PortalKernel进程正常运行.
一旦BAS设备连续几次没有收到PortalKernel的心跳,则立即启用逃生自动取消认证.
当再次收到收到PortalKernel的心跳时自动开启认证.
逃生心跳由设备单向检测服务器是否定时发送,只作逃生用.
Portal服务器和设备上均需配置.
www.
h3c.
com26Portal逃生方案(三)用户心跳的作用是在心跳间隔时间段内,服务器会将在线用户列表中的所有用户分多个报文发送给设备.
设备与内存中的用户进行比较,比较的结果分以下两种:设备发现自己记录的在线用户比服务器的少,则设备立即用Portal报文通知服务器,服务器用Portal报文通知客户端下线,避免造成客户端还在线的假象.
但RADIUS在线表仍然要等待老化清除.
设备发现自己记录的在线用户在一段时间内(该时间由设备决定,至少应该长于Portal心跳)都比服务器多(比如服务器重启的情况,如果这段时间服务器收到用户的Portal心跳则会重构在线表),则设备发送计费结束通知AAA模块下线.
www.
h3c.
com27Portal逃生方案(四)在Portal服务器配置中配置"逃生心跳间隔时长"以及"用户心跳间隔时长".
在Portal设备配置中使能逃生功能.
www.
h3c.
com28Portal逃生方案(五)以S75E设备为例,在设备全局模式下使能Portal逃生功能:portalserverimcserver-detectmethodportal-heartbeatactionpermit-all//使能逃生心跳portalserverimcuser-sync//使能用户心跳www.
h3c.
com29Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com30Portal设备配置配置Radius认证方案以及Radius认证域略进入系统视图,在全局模式下配置Portal服务器portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string]*配置举例:portalserveriMCip192.
168.
0.
1keysharekeyport50100urlhttp://192.
168.
0.
1:8080/portal进入接口视图,在接口上使能Portalportalserverserver-namemethod{direct|layer3|redhcp}配置举例:portalserveriMCmethodlayer3www.
h3c.
com31Portal设备可选配置进入系统视图,在全局模式下配置Portal免认证规则portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}|source{any|[interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|mask}|any}|macmac-address|vlanvlan-id配置举例:portalfree-rule0sourceip192.
168.
0.
1mask255.
255.
255.
0destinationanywww.
h3c.
com32Portal服务器配置(一)保持缺省即可,一般情况下无需修改.
www.
h3c.
com33Portal服务器配置(二)配置Portal设备信息,其中IP地址为使能Portal的接口IP地址.
www.
h3c.
com34Portal服务器配置(三)增加IP地址组,地址段需包含所有认证终端IP地址.
www.
h3c.
com35Portal服务器配置(四)增加设备端口组,引用之前创建的IP地址组.
www.
h3c.
com36PortalNAT穿越(一)PortalNAT穿越特性支持Portal设备本身或Portal设备与服务器之间存在NAT,将用户及Portal设备的地址转换为公网地址.
支持私网地址即用户地址段重叠.
PortalBASNATGatewayiMCServerwww.
h3c.
com37PortalNAT穿越(二)配置IP地址组,填写NAT前IP地址段以及NAT后IP地址段.
配置Portal设备地址为NAT后地址在Portal设备端口组中使能NAT穿越,并引用已有的NAT地址组.
www.
h3c.
com38定制Portal认证页面iMC安装目录下client\web\apps\portal\userindex\template中的文件可用于定制.
在认证页面一栏填写认证页面的相对路径,比如userindex\template\example1.
htmlwww.
h3c.
com39可溶解客户端工作原理可溶解客户端无需安装,由网页认证时自动调用java完成DC的下载和启动.
可溶解客户端本身的实现完全基于目前的iNode客户端的平台代码和协议代码,是现有iNode功能的一个子集.
仅支持PortalEAD.
www.
h3c.
com40可溶解客户端功能特性可溶解客户端安全检查是普通iNode安全检查的一个子集,支持大部分功能.
补丁检查病毒库检查注册监控黑白软件检查弱密码检查安全会话心跳机制安全检查通过后的在线监控EAD在线重认证在线用户DMA检查防多网卡信息通知www.
h3c.
com41可溶解客户端安装部署可溶解客户端安装在iMC服务器上,以组件的形式存在,安装部署方式与iMC其他组件一致www.
h3c.
com42Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com43FAQQ:关于Portal认证的问题需要收集哪些信息A:视问题现象的不同,可能需要收集的信息如下:1.
组网描述2.
软件版本3.
iMC配置截图4.
Portal设备版本及配置5.
RADIUS调试级别日志6.
Portal调试级别日志7.
Portal设备上的debugPortal信息www.
h3c.
com44FAQQ:为什么在用户的IE地址栏中输入数字可以强制到PORTAL主页,而输入字母则不可以A:请确保未通过认证的情况下,用户可以访问DNS服务器.
可通过将DNS服务器的IP地址配置为Freerule来实现.
www.
h3c.
com45FAQQ:用户的页面弹出"您暂时不能使用WEB认证进行宽带上网,请与管理员联系.
"的信息,该如何排查A:检查Portal核心模块是否启动,检查Portal服务器配置台上所配置的设备IP地址、端口号、共享密钥是否正确,检查服务器上配置的认证终端的IP地址组、端口组是否与实际情况一致.
杭州华三通信技术有限公司www.
h3c.
com
快云科技: 11.11钜惠 美国云机2H5G年付148仅有40台,云服务器全场7折,香港云服务器年付388仅不到五折 公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP/ISP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机官网地址:www.345idc.com活动截止日期为2021年11月13日此次促销活动提供...
Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...
咖啡主机怎么样?咖啡主机是一家国人主机销售商,成立于2016年8月,之前云服务器网已经多次分享过他家的云服务器产品了,商家主要销售香港、洛杉矶等地的VPS产品,Cera机房 三网直连去程 回程CUVIP优化 本产品并非原生地区本土IP,线路方面都有CN2直连国内,机器比较稳定。咖啡主机目前推出美国洛杉矶弹性轻量云主机仅13元/月起,高防云20G防御仅18元/月;香港弹性云服务器,香港HKBN CN...
info是什么意思为你推荐
软银支付雅虎在05年就被阿里巴巴收购了,为什么现在又会出现马云收回支付宝产权,雅虎和软银不高兴的情况呢?美团月付怎么关闭商家退出美团怎么退华为p40和mate30哪个好Huawei Mate30 和 P40 哪个好?看书软件哪个好手机阅读软件哪个好用?电动牙刷哪个好什么品牌的电动牙刷比较好?视频软件哪个好安卓系统在线看视频软件哪个好牡丹江教育云空间登录云空间怎么登入qq空间登录网页版网页版QQ怎么登陆飞信空间登录移动飞信客户端怎么登陆???电信dns服务器地址电信宽带的DNS服务地址是多少
vps虚拟服务器 网站域名备案 金万维动态域名 唯品秀 美国主机评论 z.com 网络星期一 英语简历模板word 双11抢红包攻略 网站实时监控 国外在线代理 ibox官网 php空间申请 hostloc lol台服官网 qq对话框 超级服务器 闪讯官网 360云服务 跟踪路由命令 更多