Portal协议介绍ISSUE1.
2杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解Portal典型组网理解Portal协议原理熟悉Portal基本配置简单的Portal故障排除课程目标学习完本课程,您应该能够:Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com4Portal协议概述Portal协议的起源Portal在英语中是入口的意思.
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站.
基本思想:未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务.
当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源.
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务等个性化业务.
Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com6典型组网(一)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com7典型组网(二)PortalBASL3SwitchGatewayiMCServerwww.
h3c.
com8三层Portal与二层Portal的比较三层Portal认证与二层Portal认证的比较组网方式上,三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发.
三层Portal认证仅以IP地址唯一标识用户;而二层Portal认证以IP和MAC地址的组合来唯一标识用户.
www.
h3c.
com9典型组网(三)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com10典型组网(四)ACPortalBASAPiMCServerGatewayTrunkVLAN1VLAN2VLAN10www.
h3c.
com11Portal认证与802.
1x认证的比较Portal认证相对于802.
1x认证的优势支持网页方式认证,免客户端安装部署方式灵活、快捷,适合旧网改造Portal认证的不足之处没有802.
1x认证对客户端的控制严格www.
h3c.
com12Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com13Portal协议框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortalServerIEiNodePortalKernelBASAAAServerPortal私有协议Portal协议Radius协议UDPwww.
h3c.
com14Portal协议框架协议主体:PortalServer和Portal设备.
承载协议:基于UDP.
端口定义:PortalServer:使用本地的50100端口监听BAS设备发送的非响应类报文,使用目的端口2000向BAS设备发送所有报文.
BAS:使用本地的2000端口监听PortalServer发送的所有报文.
使用目的端口50100向PortalServer发送非响应类报文.
Portal协议版本:2.
0www.
h3c.
com15Portal认证流程-Web认证方式推出强制认证页面用户浏览器BASPortalWebPortalKernelHTTP请求重定向HTTP请求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出强制认证页面ACK_INFOwww.
h3c.
com16Portal认证流程-Web认证方式从强制页面发起认证用户浏览器BASPortalWebPortalKernel上传用户名密码等用户信息CODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHRadius-AccessRequestACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHRadius-AccessResponseRadius-AccountingRequestRadius-AccountingResponse返回认证成功提示www.
h3c.
com17Portal认证流程-Web认证方式维持在线和用户下线用户浏览器BASPortalWebPortalKernelHTTP心跳报文CODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEHTTP心跳回应报文提交下线请求AAAServerCODE_PP_LOGOUT_REQUEST返回下线成功页面REQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsewww.
h3c.
com18Portal认证流程-iNode客户端认证方式iNode客户端BASPortalTransferPortalKernelHTTP请求重定向CODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONESACK_INFO创建客户端Portal连接CODE_PP_PORTAL_USER_CUSTOM_INFOCODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_PP_DOMAIN_REQUESTCODE_PP_DOMAIN_RESPONESwww.
h3c.
com19从iNode客户端发起认证BASiNodePortalKernelCODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHPortal认证流程-iNode客户端认证方式.
.
.
.
.
Radius认证过程www.
h3c.
com20维持在线和用户下线BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerCODE_PP_LOGOUT_REQUESTREQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsePortal认证流程-iNode客户端认证方式www.
h3c.
com21异常情况分析(一)PC异常下线(如PC掉电、直接关闭认证网页、iNode客户端异常退出)BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerREQ_LOGOUTACK_LOGOUTRadius-AccountingRequestRadius-AccountingResponseTimeout.
.
.
.
.
www.
h3c.
com22异常情况分析(二)BAS设备重启BASiNodePortalKernelAAAServerREQ_LOGOUTdeleteportalonlinetableCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEnoresponsedeleteportalonlinetableCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimited.
.
.
Timeoutwww.
h3c.
com23异常情况分析(三)Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线BASiNodePortalKernelCODE_PP_HANDSHAKEAAAServerKeepingAccountingUpdateKeepingAccountingUpdateTimeout.
.
.
OfflineCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimitedwww.
h3c.
com24Portal逃生方案(一)Portal逃生方案解决了两个问题:增加BAS与PortalKernel之间的心跳机制,防止服务器宕机引起的故障.
增加BAS与PortalKernel之间比较Portal在线用户表的机制,主要针对Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线而引发的用户永久挂死的问题.
www.
h3c.
com25Portal逃生方案(二)Portal逃生特性设计了两种心跳:逃生心跳和用户心跳.
逃生心跳仅依赖PortalKernel进程正常运行.
一旦BAS设备连续几次没有收到PortalKernel的心跳,则立即启用逃生自动取消认证.
当再次收到收到PortalKernel的心跳时自动开启认证.
逃生心跳由设备单向检测服务器是否定时发送,只作逃生用.
Portal服务器和设备上均需配置.
www.
h3c.
com26Portal逃生方案(三)用户心跳的作用是在心跳间隔时间段内,服务器会将在线用户列表中的所有用户分多个报文发送给设备.
设备与内存中的用户进行比较,比较的结果分以下两种:设备发现自己记录的在线用户比服务器的少,则设备立即用Portal报文通知服务器,服务器用Portal报文通知客户端下线,避免造成客户端还在线的假象.
但RADIUS在线表仍然要等待老化清除.
设备发现自己记录的在线用户在一段时间内(该时间由设备决定,至少应该长于Portal心跳)都比服务器多(比如服务器重启的情况,如果这段时间服务器收到用户的Portal心跳则会重构在线表),则设备发送计费结束通知AAA模块下线.
www.
h3c.
com27Portal逃生方案(四)在Portal服务器配置中配置"逃生心跳间隔时长"以及"用户心跳间隔时长".
在Portal设备配置中使能逃生功能.
www.
h3c.
com28Portal逃生方案(五)以S75E设备为例,在设备全局模式下使能Portal逃生功能:portalserverimcserver-detectmethodportal-heartbeatactionpermit-all//使能逃生心跳portalserverimcuser-sync//使能用户心跳www.
h3c.
com29Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com30Portal设备配置配置Radius认证方案以及Radius认证域略进入系统视图,在全局模式下配置Portal服务器portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string]*配置举例:portalserveriMCip192.
168.
0.
1keysharekeyport50100urlhttp://192.
168.
0.
1:8080/portal进入接口视图,在接口上使能Portalportalserverserver-namemethod{direct|layer3|redhcp}配置举例:portalserveriMCmethodlayer3www.
h3c.
com31Portal设备可选配置进入系统视图,在全局模式下配置Portal免认证规则portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}|source{any|[interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|mask}|any}|macmac-address|vlanvlan-id配置举例:portalfree-rule0sourceip192.
168.
0.
1mask255.
255.
255.
0destinationanywww.
h3c.
com32Portal服务器配置(一)保持缺省即可,一般情况下无需修改.
www.
h3c.
com33Portal服务器配置(二)配置Portal设备信息,其中IP地址为使能Portal的接口IP地址.
www.
h3c.
com34Portal服务器配置(三)增加IP地址组,地址段需包含所有认证终端IP地址.
www.
h3c.
com35Portal服务器配置(四)增加设备端口组,引用之前创建的IP地址组.
www.
h3c.
com36PortalNAT穿越(一)PortalNAT穿越特性支持Portal设备本身或Portal设备与服务器之间存在NAT,将用户及Portal设备的地址转换为公网地址.
支持私网地址即用户地址段重叠.
PortalBASNATGatewayiMCServerwww.
h3c.
com37PortalNAT穿越(二)配置IP地址组,填写NAT前IP地址段以及NAT后IP地址段.
配置Portal设备地址为NAT后地址在Portal设备端口组中使能NAT穿越,并引用已有的NAT地址组.
www.
h3c.
com38定制Portal认证页面iMC安装目录下client\web\apps\portal\userindex\template中的文件可用于定制.
在认证页面一栏填写认证页面的相对路径,比如userindex\template\example1.
htmlwww.
h3c.
com39可溶解客户端工作原理可溶解客户端无需安装,由网页认证时自动调用java完成DC的下载和启动.
可溶解客户端本身的实现完全基于目前的iNode客户端的平台代码和协议代码,是现有iNode功能的一个子集.
仅支持PortalEAD.
www.
h3c.
com40可溶解客户端功能特性可溶解客户端安全检查是普通iNode安全检查的一个子集,支持大部分功能.
补丁检查病毒库检查注册监控黑白软件检查弱密码检查安全会话心跳机制安全检查通过后的在线监控EAD在线重认证在线用户DMA检查防多网卡信息通知www.
h3c.
com41可溶解客户端安装部署可溶解客户端安装在iMC服务器上,以组件的形式存在,安装部署方式与iMC其他组件一致www.
h3c.
com42Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com43FAQQ:关于Portal认证的问题需要收集哪些信息A:视问题现象的不同,可能需要收集的信息如下:1.
组网描述2.
软件版本3.
iMC配置截图4.
Portal设备版本及配置5.
RADIUS调试级别日志6.
Portal调试级别日志7.
Portal设备上的debugPortal信息www.
h3c.
com44FAQQ:为什么在用户的IE地址栏中输入数字可以强制到PORTAL主页,而输入字母则不可以A:请确保未通过认证的情况下,用户可以访问DNS服务器.
可通过将DNS服务器的IP地址配置为Freerule来实现.
www.
h3c.
com45FAQQ:用户的页面弹出"您暂时不能使用WEB认证进行宽带上网,请与管理员联系.
"的信息,该如何排查A:检查Portal核心模块是否启动,检查Portal服务器配置台上所配置的设备IP地址、端口号、共享密钥是否正确,检查服务器上配置的认证终端的IP地址组、端口组是否与实际情况一致.
杭州华三通信技术有限公司www.
h3c.
com
中午的时候有网友联系提到自己前几天看到Namecheap商家开学季促销活动期间有域名促销活动的,于是就信注册NC账户注册域名的。但是今天登录居然无法登录,这个问题比较困恼是不是商家跑路等问题。Namecheap商家跑路的可能性不大,前几天我还在他们家转移域名的。这里简单的记录我帮助他解决如何重新登录Namecheap商家的问题。1、检查邮件让他检查邮件是不是有官方的邮件提示。比如我们新注册账户是需...
3C云互联怎么样?3C云互联专注免备案香港美国日本韩国台湾云主机vps服务器,美国高防CN2GIA,香港CN2GIA,顶级线路优化,高端品质售后无忧!致力于对互联网云计算科技深入研发与运营的极客共同搭建而成,将云计算与网络核心技术转化为最稳定,安全,高速以及极具性价比的云服务器等产品提供给用户!专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端服务部署,促使用户云端部署化简为零,轻松...
HostKvm是一家成立于2013年的国外主机服务商,主要提供基于KVM架构的VPS主机,可选数据中心包括日本、新加坡、韩国、美国、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。目前商家发布了夏季特别促销活动,针对香港国际/韩国机房VPS主机提供7折优惠码,其他机房全场8折,优惠后2GB内存套餐月付5.95美元起。下面分别列出几款主机套餐配置信息。套餐:韩国KR...
info是什么意思为你推荐
桌面背景图片风景谁知道那个网站有好看的桌面背景图啊。百度空间首页怎样通过账号登录自己的百度空间天气预报哪个好用哪个最准确一般查看天气预报哪个软件好用?录屏软件哪个好有什么好用的录制屏幕的软件吗机械表和石英表哪个好手表石英和机械哪个好游戏盒子哪个好游戏盒子哪个好?看书软件哪个好推荐几个好用的手机看书软件东莞电信网上营业厅东莞虎门的中国电信营业厅的电话是多少?360云u盘怎么删除360云u盘360云盘36t现在360云盘不能免费领取36T了吗?活动到期了?怎么领取更多空间?详细步骤和地址。
中文域名 中文域名查询 网站域名备案 谷歌域名邮箱 webhosting linkcloud idc评测网 正版win8.1升级win10 云鼎网络 本网站在美国维护 vip购优汇 200g硬盘 网游服务器 最漂亮的qq空间 360云服务 论坛主机 免费网络 阿里云邮箱登陆地址 国外网页代理 1美元 更多