[转]Web Portal的基本认证过程

     纯转~原文地址：http://jingyan.baidu.com/article/c910274bdc9521cd361d2db0.html

     Portal认证方式具有：不需要安装认证客户端， 减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、 技术成熟等优点而被广泛应用于运营商、学校等网络。    

   目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.

 

1. 用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

2.  

   用户获取到地址后，可以通过IE访问网页，BAS为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS），并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。表现的结果就是用户连接上但不认证的情况下，只能访问指定的页面，浏览指定页面 上的广告、新闻等免费信息。

3.  

   Portal server向用户提供认证页面，在该页面中，用户输入帐号和口令，并单击"log in"按钮，也可不输入由帐号和口令，直接单击"Log in"按钮；

4.  

   该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备BAS；

5.  

   BAS利用IP地址得到用户的二层地址、物理端口号（如Vlan ID, ADSL PVC ID，PPP session ID），利用这些信息，对用户的合法性进行检查，如果用户输入了帐号，使用用户输入的帐号和口令到Radius server对用户进行认证，如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令，将帐号送到Radius server进行认证；

6.  

   Radius Server返回认证结果给BAS；

7.  

   认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；BAS开始计费。

8.  

   用户离开网络前，连接到portal server上，单击"断开网络"按钮，系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络；

   
   
    
   END

注意事项

二次地址分配问题：

      二次地址分配是指在802.1X或Web Portal接入方式中，初始DHCP时为用户预分配IP地址（通常为私网地址），在用户通过认证后，重新为用户分配地址（通常为公网地址）的技术。这是 因为如果在用户开机后未经过认证，DHCP时全部为用户分配公网IP地址，显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地 址不足的问题，提高公网地址的利用率。

二次地址分配的配置是在BRAS上配置认证域时配置的，需要启用二次地址分配功能并配置地址池。