本幫助主要介紹以下內容：

·     特性簡介

○     Portal認證服務器

○     Portal Web服務器

○     本地Portal Web服務器

○     免認證規則

○     接口策略

○     在線用戶信息

·     使用限製和注意事項

特性簡介

Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，即通過Web頁麵接受用戶輸入的用戶名和密碼，對用戶進行身份認證，以達到對用戶訪問進行控製的目的。

Portal認證是一種靈活的訪問控製技術，可以在接入層以及需要保護的關鍵數據入口處實施訪問控製，具有如下優勢：

·     可以不安裝客戶端軟件，直接使用Web頁麵認證，使用方便。

·     可以為運營商提供方便的管理功能和業務拓展功能，例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。

·     支持多種組網型態，例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址，可跨三層認證方式可以跨網段對用戶作認證。

Portal係統中包括五個實體：

·     認證客戶端：用戶終端的客戶端係統，為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。

·     接入設備：交換機、路由器等寬帶接入設備的統稱。

·     Portal認證服務器：接收Portal客戶端認證請求的服務器端係統，與接入設備交互認證客戶端的認證信息。

·     Portal Web服務器：負責向客戶端提供Web認證頁麵，並將客戶端的認證信息（用戶名、密碼等）提交給Portal認證服務器。Portal Web服務器通常與Portal認證服務器是一體的，也可以是獨立的服務器端係統。

·     AAA服務器：與接入設備進行交互，完成對用戶的認證、授權和計費。

Portal認證服務器

服務器可達性探測

在Portal認證的過程中，如果接入設備與Portal認證服務器的通信中斷，則會導致新用戶無法上線，已經在線的Portal用戶無法正常下線的問題。為解決這些問題，需要接入設備能夠及時探測到Portal認證服務器可達狀態的變化，並能觸發執行相應的操作來應對這種變化帶來的影響。

開啟Portal認證服務器的可達性探測功能後，無論是否有接口上開啟了Portal認證功能，設備會定期檢測Portal認證服務器發送的報文（例如，用戶上線報文、用戶下線報文、心跳報文）來判斷服務器的可達狀態：若設備在指定的探測時長內收到Portal報文，且驗證其正確，則認為此次探測成功且服務器可達，否則認為此次探測失敗，服務器不可達。

當接入設備檢測到Portal認證服務器可達或不可達狀態改變時，可執行以下一種或多種操作：

·     發送Trap信息：Portal認證服務器可達或者不可達的狀態改變時，向網管服務器發送Trap信息。Trap信息中記錄了Portal認證服務器名以及該服務器的當前狀態。

·     發送日誌：Portal認證服務器可達或者不可達的狀態改變時，發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。

用戶信息同步

為了解決接入設備與Portal認證服務器通信中斷後，兩者的Portal用戶信息不一致問題，設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製，具體實現如下：

1.     由Portal認證服務器周期性地（周期為Portal認證服務器上指定的用戶心跳間隔值）將在線用戶信息通過用戶同步報文發送給接入設備。

2.     接入設備在用戶上線之後，即開啟用戶同步檢測定時器，在收到用戶同步報文後，將其中攜帶的用戶列表信息與自己的用戶列表信息進行對比，如果發現同步報文中有設備上不存在的用戶信息，則將這些自己沒有的用戶信息反饋給Portal認證服務器，Portal認證服務器將刪除這些用戶信息；如果發現接入設備上的某用戶信息在一個用戶同步報文的檢測超時時間內，都未在該Portal認證服務器發送過來的用戶同步報文中出現過，則認為Portal認證服務器上已不存在該用戶，設備將強製該用戶下線。

Portal Web服務器

URL攜帶的參數

該功能用於配置用戶訪問Portal Web服務器時，要求攜帶的一些參數，比較常用的是要求攜帶用戶IP地址、用戶MAC地址、初始訪問的URL。在自定義URL參數中用戶也可以手工指定，攜帶一些特定的字符信息。配置完成後，在設備給用戶強製重定向URL時會攜帶這些參數，例如配置Portal Web服務器的URL為：http://www.test.com/portal，若同時選擇如下兩個參數信息：用戶的IP地址和初始訪問的URL，且初始訪問的URL為http://www.abc.com/welcome則設備給源IP為1.1.1.1的用戶重定向時回應的URL格式即為：http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

服務器可達性探測

在Portal認證的過程中，如果接入設備與Portal Web服務器的通信中斷，將無法完成整個認證過程，因此必須對Portal Web服務器的可達性進行探測。

由於Portal Web服務器用於對用戶提供Web服務，不需要和設備交互報文，因此無法通過發送某種協議報文的方式來進行可達性檢測。無論是否有接口上開啟了Portal認證功能，開啟了Portal Web服務器的可達性探測功能之後，接入設備模擬用戶進行Web訪問的過程來實施探測：接入設備主動向Portal Web服務器發起TCP連接，如果連接可以建立，則認為此次探測成功且服務器可達，否則認為此次探測失敗。

·     探測參數

○     探測間隔：進行探測嚐試的時間間隔。

○     探測次數：允許連續探測失敗的最大次數。若連續探測失敗數目達到此值，則認為服務器不可達。

·     可達狀態改變時觸發執行的操作（可以選擇其中一種或同時使用多種）

○     發送Trap信息：Portal Web服務器可達或者不可達的狀態改變時，向網管服務器發送Trap信息。Trap信息中記錄了Portal Web服務器名以及該服務器的當前狀態。

○     發送日誌：Portal Web服務器可達或者不可達的狀態改變時，發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。

本地Portal Web服務器

係統組成

本地Portal Web服務器功能是指，Portal認證係統中不采用外部獨立的Portal Web服務器和Portal認證服務器，而由接入設備實現Portal Web服務器和Portal認證服務器的功能。這種情況下，Portal認證係統僅包括三個基本要素：認證客戶端、接入設備和AAA服務器。

認證客戶端和本地Portal Web服務器之間的交互協議

認證客戶端和內嵌本地Portal Web 服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議，則報文以明文形式傳輸，安全性無法保證；若客戶端和接入設備之間交互HTTPS協議，則報文基於SSL提供的安全機製以密文的形式傳輸，數據的安全性有保障。

本地Portal Web服務器支持用戶自定義認證頁麵

本地Portal Web服務器支持由用戶自定義認證頁麵的內容，即允許用戶編輯一套或多套認證頁麵的HTML文件，並將其壓縮之後使用添加按鈕將其上傳到設備中。

需要將設備中的一套自定義的認證頁麵文件設置為係統缺省的認證頁麵文件。從而本地Portal Web服務器可以根據不同的認證階段向客戶端推出對應的認證頁麵。如果沒有設置缺省認證頁麵文件，則本地Portal Web服務器功能無法實現。

自定義認證頁麵文件

用戶自定義的認證頁麵為HTML文件的形式，並將其壓縮之後使用添加按鈕將其上傳到設備中。每套認證頁麵可包括六個主索引頁麵（登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙碌頁麵、下線成功頁麵）及其頁麵元素（認證頁麵需要應用的各種元素，如Logon.htm頁麵中的背景圖片），每個主索引頁麵可以引用若幹頁麵元素。

用戶在自定義這些頁麵時需要遵循一定的規範，否則會影響本地Portal Web服務器功能的正常使用和係統運行的穩定性。

文件名規範

主索引頁麵文件名不能自定義，必須使用下表中所列的固定文件名。

表-1 認證頁麵文件名

主索引頁麵文件之外的其他文件名可由用戶自定義，但需注意文件名和文件目錄名中不能含有中文且不區分大小寫。

頁麵請求規範

·     本地Portal Web服務器隻能接受Get請求和Post請求。

·     Get請求用於獲取認證頁麵中的靜態文件，其內容不能為遞歸內容。例如，Logon.htm文件中包含了Get ca.htm文件的內容，但ca.htm文件中又包含了對Logon.htm的引用，這種遞歸引用是不允許的。

·     Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。

Post請求中的屬性規範

·     認證頁麵中表單（Form）的編輯必須符合以下原則：

○     認證頁麵可以含有多個Form，但是必須有且隻有一個Form的action=logon.cgi，否則無法將用戶信息送到本地Portal服務器。

○     用戶名屬性固定為”PtUser”，密碼屬性固定為”PtPwd”。

○     需要有用於標記用戶登錄還是下線的屬性”PtButton”，取值為"Logon"表示登錄，取值為"Logoff"表示下線。

○     登錄Post請求必須包含”PtUser”，”PtPwd”和"PtButton"三個屬性。

○     下線Post請求必須包含”PtButton”這個屬性。

·     需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。

logon.htm頁麵腳本內容的部分示例：

<form action=logon.cgi method = post >

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;”>

</form>

·     需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。

online.htm頁麵腳本內容的部分示例：

<form action=logon.cgi method = post >

<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">

</form>

頁麵文件壓縮及保存規範

·     完成所有認證頁麵的編輯之後，必須按照標準Zip格式將其壓縮到一個Zip文件中，該Zip文件的文件名隻能包含字母、數字和下劃線。

·     壓縮後的Zip文件中必須直接包含認證頁麵，不允許存在間接目錄。

認證成功後認證頁麵自動跳轉

若要支持認證成功後自定義認證頁麵的自動跳轉功能，即認證頁麵會在用戶認證成功後自動跳轉到設備指定的網站頁麵，則需要按照如下要求在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。

·     將logon.htm文件中的Form的target值設置為“_blank”。

修改的腳本內容如下突出顯示部分所示：

    <form method=post action=logon.cgi target="_blank">

·     logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。

增加的腳本內容如下突出顯示部分所示：

    <html>

    <head>

    <title>LogonSuccessed</title>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onload="pt_init();" onbeforeunload="return pt_unload();">

    ... ...

    </body>

</html>

免認證規則

通過配置免認證規則可以讓特定的用戶不需要通過Portal認證即可訪問外網特定資源，這是由免認證規則中配置的源信息以及目的信息決定的。

免認證規則的匹配項包括IP地址、TCP/UDP端口號、源MAC地址、源接口和源VLAN ID，隻有符合免認證規則的用戶報文才不會觸發Portal認證，因此這些報文所屬的用戶可以直接訪問網絡資源。

接口策略

用戶逃生功能

當接入設備探測到Portal認證服務器不可達時，可打開接口的網絡限製，允許Portal用戶不需經過認證即可訪問網絡資源，也就是通常所說的Portal逃生功能。

BAS-IP地址功能

配置此功能後，設備向Portal認證服務器上傳通知類Portal協議報文時使用的源IP地址為設置的BAS-IP地址。

如果沒有配置此功能，則設備向Portal認證服務器上傳Portal協議報文時使用的源IP地址的選擇分為一下兩種情況：

·     對於響應類報文IPv4 Portal報文中的BAS-IP屬性為報文的源IPv4地址，IPv6 Portal報文中的BAS-IPv6屬性為報文源IPv6地址。

·     對於通知類報文IPv4 Portal報文中的BAS-IP屬性為出接口的IPv4地址，IPv6 Portal報文中的BAS-IPv6屬性為出接口的IPv6地址。

用戶探測功能

IPv4探測類型為ARP方式探測或ICMP方式探測，IPv6探測類型為ND方式探測或ICMPv6方式探測。

ARP和ND方式的探測隻適用於直接方式和二次地址分配方式的Portal認證。ICMP和ICMPv6方式的探測適用於所有認證方式。

根據探測類型的不同，設備有以下兩種探測機製：

·     當探測類型為ICMP/ICMPv6時，若設備發現在設定的閑置時間內接口上未收到某Portal用戶的報文，則會向該用戶以設置的探測間隔來周期性的發送探測報文。如果在指定探測次數之內，設備收到了該用戶的響應報文，則認為用戶在線，且停止發送探測報文，重複這個過程，否則，強製其下線。

·     當探測類型為ARP/ND時，若設備發現在設定的閑置時間內接口上未收到某Portal用戶的報文，則會向該用戶發送ARP/ND請求報文。設備以設置的探測間隔定期檢測用戶ARP/ND表項是否被刷新過，如果在指定探測次數內用戶ARP/ND表項被刷新過，則認為用戶在線，且停止檢測用戶ARP/ND表項，重複這個過程，否則，強製其下線。

在線用戶信息

在線用戶信息列表可顯示當前所有或某個接口上通過Portal認證的在線用戶信息，通過查看該列表可獲取當前在線用戶的用戶名、用戶地址、MAC地址、Portal認證服務器名稱和詳細內容。

使用限製和注意事項

關於Portal認證服務器探測性功能的注意事項

·     目前，隻有iMC的Portal認證服務器支持發送心跳報文，由於心跳報文是周期性發送的，所以iMC的Portal認證服務器可以更好得與設備配合，使其能夠及時而準確地探測到它的可達性狀態。如果要采用心跳報文探測Portal服務器的可達性，服務器上必須保證逃生心跳功能處於開啟狀態。

·     如果同時指定了多種操作，則Portal認證服務器可達狀態改變時係統可並發執行多種操作。

關於用戶信息同步功能的注意事項

隻有在支持Portal用戶心跳功能（目前僅iMC的Portal認證服務器支持）的Portal認證服務器的配合下，本功能才有效。為了實現該功能，還需要在Portal認證服務器上選擇支持用戶心跳功能，且服務器上配置的用戶心跳間隔要小於等於設備上配置的檢測超時時間。

關於本地Portal Web服務器的注意事項

·     內嵌本地Portal Web服務器的接入設備實現了簡單的Portal Web服務器功能，僅能給用戶提供通過Web方式登錄、下線的基本功能，並不能完全替代獨立的Portal服務器。

·     相同協議類型的本地Portal Web服務器僅能創建一個。

·     若HTTPS協議類型的本地Portal Web服務器指定了SSL服務器端策略，則該服務器的TCP端口號不可配置為443。

關於免認證規則的注意事項

·     如果免認證規則中同時配置了接口和VLAN，則要求接口屬於指定的VLAN，否則該規則無效。

·     相同內容的免認證規則不能重複配置，否則提示免認證規則已存在或重複。

·     無論接口上是否使能Portal認證，隻能添加或者刪除免認證規則，不能修改。

關於BAS-IP地址功能的注意事項

·     設備上運行Portal協議2.0版本時，主動發送給Portal認證服務器的報文（例如強製用戶下線報文）中必須攜帶BAS-IP屬性。設備上運行Portal協議3.0版本時，主動發送給Portal認證服務器必須攜帶BAS-IP或者BAS-IPv6屬性。

·     接口上使能了二次地址分配認證方式的Portal認證時，如果Portal認證服務器上指定的設備IP不是Portal報文出接口IP地址，則必須通過配置相應的BAS-IP地址，使其值與Portal認證服務器上指定的設備IP一致，否則Portal用戶無法認證成功。

·     使用iMC的Portal認證服務器的情況下，如果Portal服務器上指定的設備IP不是設備上Portal報文出接口的IP地址，則使能了Portal認證的接口上必須配置BAS-IP地址。