Portal服务器中的Portal认证是如何工作的？

1、Portal认证简介

定义：Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站，用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。

优点：客户端不需要安装额外的软件，直接在Web页面上认证，简单方便；便于运营，可以在Portal页面上进行业务拓展，如广告推送、企业宣传等；技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。

2、Portal认证系统

基本要素：主要包括四个基本要素：客户端、接入设备、Portal服务器与认证服务器。

客户端：安装有运行HTTP协议的浏览器的主机。

接入设备：交换机、路由器等接入设备的统称，主要有三方面的作用：在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器；在认证过程中，与Portal服务器、RADIUS服务器交互，完成对用户身份认证、授权与计费的功能；在认证通过后，允许用户访问被管理员授权的互联网资源。

Portal服务器：接收客户端认证请求的服务器系统，提供免费门户服务和认证界面，与接入设备交互客户端的认证信息。

认证服务器：与接入设备进行交互，完成对用户的认证、授权与计费。

3、Portal认证流程

用户触发方式：用户可以通过主动访问已知的Portal认证网站输入用户名和密码进行认证（主动认证），或者尝试通过HTTP访问其他外网时被强制访问Portal认证网站从而开始Portal认证过程（强制认证）。

具体流程：以用户通过Web客户端进行Portal认证为例，流程如下：

1. 客户端通过HTTP协议发起连接请求。

2. HTTP报文经过接入设备时，对于访问Portal服务器或设定的免认证网络资源的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其URL地址重定向到Portal认证页面。

3. 用户在Portal认证页面输入用户名和密码，向Portal服务器发起认证请求。

4. Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互，若采用PAP（Password Authentication Protocol，密码验证协议）认证则无需此步骤。

5. 接入设备向Portal服务器回应Portal挑战字应答报文。

6. Portal服务器将用户输入的用户名和密码封装成认证请求报文发往接入设备。

7. 接入设备根据获取到的账号和密码，向RADIUS服务器发送认证请求。

8. RADIUS服务器对账号和密码进行认证，如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受报文；如果认证失败，则返回认证拒绝报文，由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

9. 接入设备根据接收到的认证结果接入/拒绝用户，如果允许用户接入，则接入设备向RADIUS服务器发送计费开始请求报文。

10. RADIUS服务器返回计费开始响应报文，并开始计费，将用户加入自身在线用户列表，如果开启了MAC优先的Portal认证，RADIUS服务器同时将终端的MAC地址和Portal认证连接的SSID加入服务器缓存和数据库中（只有二层认证方式支持MAC优先的Portal认证）。

11. 接入设备向Portal服务器返回Portal认证结果。

12. Portal服务器向客户端发送认证结果报文，通知客户端认证成功，并将用户加入自身在线用户列表。

13. Portal服务器向接入设备发送认证应答确认。

4、Portal协议

报文格式：Portal协议报文由固定长度头和可变长度的属性字段组成，属性字段采用TLV（Type-Length-Value）格式，报文字段包括Version（版本号）、Type（报文类型）、AuthType（认证方式）、Rsvd（保留字段）、SerialNo（序列号）、RequestID（报文ID）、UserIP（用户IP地址）、UserPort、ErrCode（错误码）、Authenticator（验证字段）、Attribute（属性）等。

常用报文类型：REQ_CHALLENGE（挑战请求）、ACK_CHALLENGE（挑战应答）、REQ_AUTH（认证请求）、ACK_AUTH（认证应答）、REQ_LOGOUT（下线请求）、ACK_LOGOUT（下线应答）、NTF_LOGOUT（强制下线通知）、ACK_NTF_LOGOUT（强制下线成功通知）、AFF_ACK_AUTH（认证成功响应）等。

5、Portal认证方式

CHAP认证：三次握手认证，密文方式传输用户名和密码，保密性较好。

PAP认证：两次握手认证，明文方式传输用户名和密码。

6、内置Portal服务器

定义：指的就是会话认证。

适用场景：适用于功能简单、接入人数少的场景，例如小型餐馆提供的连接Internet服务，由于受限于接入设备存储空间、功能和性能，内置的Portal服务器只实现了简单的Portal功能，不能完全替代独立的外置实体服务器。

7、定制内置Portal服务器登录页面

方法：可以通过配置Portal服务器模板和URL模板来实现，配置重定向URL携带参数以便Portal服务器根据URL中的参数获取到用户终端的信息，从而满足为不同用户提供不同的Web认证界面。

小伙伴们，上文介绍portal服务器_Portal认证的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。