认证服务器宕机

Portal协议介绍ISSUE1.
2杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解Portal典型组网理解Portal协议原理熟悉Portal基本配置简单的Portal故障排除课程目标学习完本课程,您应该能够:Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com4Portal协议概述Portal协议的起源Portal在英语中是入口的意思.
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站.
基本思想:未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务.
当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源.
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务等个性化业务.
Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com6典型组网(一)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com7典型组网(二)PortalBASL3SwitchGatewayiMCServerwww.
h3c.
com8三层Portal与二层Portal的比较三层Portal认证与二层Portal认证的比较组网方式上,三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发.
三层Portal认证仅以IP地址唯一标识用户;而二层Portal认证以IP和MAC地址的组合来唯一标识用户.
www.
h3c.
com9典型组网(三)iMCServerPortalBASL2SwitchGatewaywww.
h3c.
com10典型组网(四)ACPortalBASAPiMCServerGatewayTrunkVLAN1VLAN2VLAN10www.
h3c.
com11Portal认证与802.
1x认证的比较Portal认证相对于802.
1x认证的优势支持网页方式认证,免客户端安装部署方式灵活、快捷,适合旧网改造Portal认证的不足之处没有802.
1x认证对客户端的控制严格www.
h3c.
com12Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com13Portal协议框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortalServerIEiNodePortalKernelBASAAAServerPortal私有协议Portal协议Radius协议UDPwww.
h3c.
com14Portal协议框架协议主体:PortalServer和Portal设备.
承载协议:基于UDP.
端口定义:PortalServer:使用本地的50100端口监听BAS设备发送的非响应类报文,使用目的端口2000向BAS设备发送所有报文.
BAS:使用本地的2000端口监听PortalServer发送的所有报文.
使用目的端口50100向PortalServer发送非响应类报文.
Portal协议版本:2.
0www.
h3c.
com15Portal认证流程-Web认证方式推出强制认证页面用户浏览器BASPortalWebPortalKernelHTTP请求重定向HTTP请求CODE_PP_DEVICE_REQUESTCODE_PP_DEVICE_RESPONESCODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONES推出强制认证页面ACK_INFOwww.
h3c.
com16Portal认证流程-Web认证方式从强制页面发起认证用户浏览器BASPortalWebPortalKernel上传用户名密码等用户信息CODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHRadius-AccessRequestACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHRadius-AccessResponseRadius-AccountingRequestRadius-AccountingResponse返回认证成功提示www.
h3c.
com17Portal认证流程-Web认证方式维持在线和用户下线用户浏览器BASPortalWebPortalKernelHTTP心跳报文CODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEHTTP心跳回应报文提交下线请求AAAServerCODE_PP_LOGOUT_REQUEST返回下线成功页面REQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsewww.
h3c.
com18Portal认证流程-iNode客户端认证方式iNode客户端BASPortalTransferPortalKernelHTTP请求重定向CODE_PP_DOMAIN_REQUESTREQ_INFOCODE_PP_DOMAIN_RESPONESACK_INFO创建客户端Portal连接CODE_PP_PORTAL_USER_CUSTOM_INFOCODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSECODE_PP_DOMAIN_REQUESTCODE_PP_DOMAIN_RESPONESwww.
h3c.
com19从iNode客户端发起认证BASiNodePortalKernelCODE_PP_LOGIN_REQUESTREQ_INFOACK_INFOREQ_CHALLENGEACK_CHALLENGEREQ_AUTHACK_AUTHCODE_PP_LOGIN_ResponseAAAServerAFF_ACK_AUTHPortal认证流程-iNode客户端认证方式.
.
.
.
.
Radius认证过程www.
h3c.
com20维持在线和用户下线BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerCODE_PP_LOGOUT_REQUESTREQ_LOGOUTACK_LOGOUTCODE_PP_LOGOUT_RESPONSERadius-AccountingRequestRadius-AccountingResponsePortal认证流程-iNode客户端认证方式www.
h3c.
com21异常情况分析(一)PC异常下线(如PC掉电、直接关闭认证网页、iNode客户端异常退出)BASiNodePortalKernelCODE_PP_HANDSHAKECODE_PP_HANDSHAKE_RESPONSEAAAServerREQ_LOGOUTACK_LOGOUTRadius-AccountingRequestRadius-AccountingResponseTimeout.
.
.
.
.
www.
h3c.
com22异常情况分析(二)BAS设备重启BASiNodePortalKernelAAAServerREQ_LOGOUTdeleteportalonlinetableCODE_PP_LOGOUT_REQUESTCODE_PP_LOGOUT_RESPONSEnoresponsedeleteportalonlinetableCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimited.
.
.
Timeoutwww.
h3c.
com23异常情况分析(三)Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线BASiNodePortalKernelCODE_PP_HANDSHAKEAAAServerKeepingAccountingUpdateKeepingAccountingUpdateTimeout.
.
.
OfflineCODE_PP_LOGIN_REQUEST.
.
.
Radius-AccessRequestOnlineusernumberlimitedwww.
h3c.
com24Portal逃生方案(一)Portal逃生方案解决了两个问题:增加BAS与PortalKernel之间的心跳机制,防止服务器宕机引起的故障.
增加BAS与PortalKernel之间比较Portal在线用户表的机制,主要针对Portal服务器重启时间过长导致Portal心跳超时或服务器重启期间有终端手动下线而引发的用户永久挂死的问题.
www.
h3c.
com25Portal逃生方案(二)Portal逃生特性设计了两种心跳:逃生心跳和用户心跳.
逃生心跳仅依赖PortalKernel进程正常运行.
一旦BAS设备连续几次没有收到PortalKernel的心跳,则立即启用逃生自动取消认证.
当再次收到收到PortalKernel的心跳时自动开启认证.
逃生心跳由设备单向检测服务器是否定时发送,只作逃生用.
Portal服务器和设备上均需配置.
www.
h3c.
com26Portal逃生方案(三)用户心跳的作用是在心跳间隔时间段内,服务器会将在线用户列表中的所有用户分多个报文发送给设备.
设备与内存中的用户进行比较,比较的结果分以下两种:设备发现自己记录的在线用户比服务器的少,则设备立即用Portal报文通知服务器,服务器用Portal报文通知客户端下线,避免造成客户端还在线的假象.
但RADIUS在线表仍然要等待老化清除.
设备发现自己记录的在线用户在一段时间内(该时间由设备决定,至少应该长于Portal心跳)都比服务器多(比如服务器重启的情况,如果这段时间服务器收到用户的Portal心跳则会重构在线表),则设备发送计费结束通知AAA模块下线.
www.
h3c.
com27Portal逃生方案(四)在Portal服务器配置中配置"逃生心跳间隔时长"以及"用户心跳间隔时长".
在Portal设备配置中使能逃生功能.
www.
h3c.
com28Portal逃生方案(五)以S75E设备为例,在设备全局模式下使能Portal逃生功能:portalserverimcserver-detectmethodportal-heartbeatactionpermit-all//使能逃生心跳portalserverimcuser-sync//使能用户心跳www.
h3c.
com29Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com30Portal设备配置配置Radius认证方案以及Radius认证域略进入系统视图,在全局模式下配置Portal服务器portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string]*配置举例:portalserveriMCip192.
168.
0.
1keysharekeyport50100urlhttp://192.
168.
0.
1:8080/portal进入接口视图,在接口上使能Portalportalserverserver-namemethod{direct|layer3|redhcp}配置举例:portalserveriMCmethodlayer3www.
h3c.
com31Portal设备可选配置进入系统视图,在全局模式下配置Portal免认证规则portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}|source{any|[interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|mask}|any}|macmac-address|vlanvlan-id配置举例:portalfree-rule0sourceip192.
168.
0.
1mask255.
255.
255.
0destinationanywww.
h3c.
com32Portal服务器配置(一)保持缺省即可,一般情况下无需修改.
www.
h3c.
com33Portal服务器配置(二)配置Portal设备信息,其中IP地址为使能Portal的接口IP地址.
www.
h3c.
com34Portal服务器配置(三)增加IP地址组,地址段需包含所有认证终端IP地址.
www.
h3c.
com35Portal服务器配置(四)增加设备端口组,引用之前创建的IP地址组.
www.
h3c.
com36PortalNAT穿越(一)PortalNAT穿越特性支持Portal设备本身或Portal设备与服务器之间存在NAT,将用户及Portal设备的地址转换为公网地址.
支持私网地址即用户地址段重叠.
PortalBASNATGatewayiMCServerwww.
h3c.
com37PortalNAT穿越(二)配置IP地址组,填写NAT前IP地址段以及NAT后IP地址段.
配置Portal设备地址为NAT后地址在Portal设备端口组中使能NAT穿越,并引用已有的NAT地址组.
www.
h3c.
com38定制Portal认证页面iMC安装目录下client\web\apps\portal\userindex\template中的文件可用于定制.
在认证页面一栏填写认证页面的相对路径,比如userindex\template\example1.
htmlwww.
h3c.
com39可溶解客户端工作原理可溶解客户端无需安装,由网页认证时自动调用java完成DC的下载和启动.
可溶解客户端本身的实现完全基于目前的iNode客户端的平台代码和协议代码,是现有iNode功能的一个子集.
仅支持PortalEAD.
www.
h3c.
com40可溶解客户端功能特性可溶解客户端安全检查是普通iNode安全检查的一个子集,支持大部分功能.
补丁检查病毒库检查注册监控黑白软件检查弱密码检查安全会话心跳机制安全检查通过后的在线监控EAD在线重认证在线用户DMA检查防多网卡信息通知www.
h3c.
com41可溶解客户端安装部署可溶解客户端安装在iMC服务器上,以组件的形式存在,安装部署方式与iMC其他组件一致www.
h3c.
com42Portal概述Portal典型组网Portal协议原理Portal典型配置FAQ目录www.
h3c.
com43FAQQ:关于Portal认证的问题需要收集哪些信息A:视问题现象的不同,可能需要收集的信息如下:1.
组网描述2.
软件版本3.
iMC配置截图4.
Portal设备版本及配置5.
RADIUS调试级别日志6.
Portal调试级别日志7.
Portal设备上的debugPortal信息www.
h3c.
com44FAQQ:为什么在用户的IE地址栏中输入数字可以强制到PORTAL主页,而输入字母则不可以A:请确保未通过认证的情况下,用户可以访问DNS服务器.
可通过将DNS服务器的IP地址配置为Freerule来实现.
www.
h3c.
com45FAQQ:用户的页面弹出"您暂时不能使用WEB认证进行宽带上网,请与管理员联系.
"的信息,该如何排查A:检查Portal核心模块是否启动,检查Portal服务器配置台上所配置的设备IP地址、端口号、共享密钥是否正确,检查服务器上配置的认证终端的IP地址组、端口组是否与实际情况一致.
杭州华三通信技术有限公司www.
h3c.
com