㈠ 手機wifi聯網需要web認證,怎麼做
Web認證其實准確說法叫Portal認證,它是未認證用戶在接入網路時,必須先在指定Web頁進行認證,才可以使用網路資源。具體做法是先找寧盾說明企業無線認證的需求,大致的場景描述,客服會幫忙協調銷售人員對接,申請試用等;不過寧盾他們只針對企業做無線認證的,個人的不支持;
㈡ portal認證和802.1x認證有什麼區別應該選擇哪種認證方式
portal認證和802.1x認證主要區別如下:
Portal認證
採用HTTP/HTTPS+Radius協議,通過Web頁面引導用戶進行身份認證,交互友好便捷,可擴展增加雙因素認證,保護用戶密碼安全。由於認證之前終端需要獲取ip,存在一定的網路安全風險,故可以結合802.1x認證。
802.1x
經過數據鏈路層加密,當用戶名認證通過後,可動態下發VLAN、ACL。終端需要進行一定的配置,且用戶密碼存在一定的安全風險。
802.1x+Portal
由於802.1x和Portal都存在一定的安全風險,但兩者之間的優勢可以進行相互補充,即同時使用802.1x與Portal認證,802.1x對用戶的數據鏈路層進行保護,Portal上針對用戶開啟認證判斷終端類型,保護用戶密碼安全性,確保用戶接入網路身份的唯一性及安全性。
企業選擇portal認證還是802.1x認證主要看企業的需求,在第三方無線認證公司的選擇上可以看看寧盾無線認證平台,寧盾無線認證平台除了portal認證,802.1x認證之外,802.1x認證和portal認證也可以做。
㈢ 如何建立Portal認證WEB伺服器
可以直接用一台PORTAL認證的設備, 對接AC, 單獨在互聯網上部署一台WEB伺服器,把所有的要推送的頁面都存儲在這台WEB伺服器上面, 用戶一接入無線以後,會由AC重定向到PORTAL,PORTAL從WEB伺服器中調取頁面下發給用戶. 藍海卓越的方案裡面有這種組網,
㈣ 如何開啟portal認證
我所了解的portal認證,是一種認證方式,portal的英文翻譯是入門或者進入的意思,portal認證就是進入時候的一種驗證方式,有人也和它叫web認證,這個定義就小一點了,就是互聯網接入的一種認證方式,目前我所知道的是wifi廣告路由器可以實現這樣的功能,它是您首先將wifi廣告路由器像普通wifi路由器那樣和電腦或者數據機,網關等相連,之後打開瀏覽器輸入10.10.10.254就可以進入wifi廣告路由器的後台設置界面,然後注冊一個登陸賬號,裡面根據現有的幾套廣告模板上傳廣告即可。登陸過程中,首先連接電腦右下角的既定wifi名稱,之後打開瀏覽器就會率先彈出wifi廣告界面,之後點擊界面上的登錄按鈕,就會出現portal認證界面,這種認證界面是通過手機號碼獲取動態密碼來實現既定號碼的實名認證,也叫web認證,第二次該手機號使用者登陸免費wifi網路時直接登錄,無需二次獲取驗證碼。希望對大家有所幫助。
㈤ 什麼是portal 認證 (轉)
PORTAL概述
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。它提供了一種較為簡單的用戶認證方法,對用戶而言,相對其它認證方式更易於使用。它有兩大特色:
• 免客戶端
只需要網頁瀏覽器(如IE)支持,即可為用戶提供認證服務,不需要安裝專門的客戶端或者撥號程序。免客戶端軟體對於像賓館、酒店等公共網路節點,免客戶端軟體是一個基本要求。
• 新業務載體
利用Portal認證的門戶功能,運營商可以將小區廣播、廣告、信息查詢、網上購物等業務放到Portal上。用戶上網時會強制地看到上述信息。
Portal認證的基本方式是通過在Portal頁面的顯著位置設置認證窗口,用戶開機獲取IP地址後,通過登錄Portal認證頁面進行認證,認證通過後即可訪問Internet。
對於用戶來說有兩種方式訪問認證頁面:
• 主動Portal:用戶必須知道PORTAL伺服器的IP地址,主動登陸PORTAL伺服器進行認證,之後才能訪問網路。
• 強制Portal:未認證用戶訪問網址,都會先強制定向到PORTAL伺服器進行認證,用戶不需要記憶Portal伺服器的IP地址。
Portal業務可以為運營商提供方便的管理功能,基於其門戶網站可以開展廣告、社區服務、個性化的業務等,使寬頻運營商、設備提供商和內容服務提供商形成一個產業生態系統。
1 PORTAL系統組成
1.1 Portal的四大主要系統
• 認證客戶端
安裝於用戶終端的客戶端系統,如運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟體的主機等。對接入終端的安全性檢測是通過Portal客戶端和安全策略伺服器之間的信息交流完成的。
• 接入設備(BAS)
交換機、路由器等寬頻接入設備的統稱,主要有三方面的作用:
在認證之前,將用戶的所有HTTP請求都重定向到Portal伺服器。
在認證過程中,與Portal伺服器、安全策略伺服器、認證/計費伺服器交互,完成身份認證/安全認證/計費的功能。
在認證通過後,允許用戶訪問被管理員授權的互聯網資源。
• Portal伺服器
接收Portal客戶端認證請求的伺服器端系統,提供免費門戶服務和基於Web認證的界面,與接入設備交互認證客戶端的認證信息。
• 認證/計費伺服器
與接入設備進行交互,完成對用戶的認證和計費。
以上四個基本要素的交互過程為:
1. 未認證用戶訪問網路時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP請求在經過接入設備時會被重定向到Portal伺服器的Web認證主頁上;
2. 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal伺服器會將用戶的認證信息傳遞給接入設備;
3. 然後接入設備再與認證/計費伺服器通信進行認證和計費;
4. 認證通過後,則接入設備會打開用戶與互聯網的通路,允許用戶訪問被管理員授權的互聯網資源。
認證的實現機制
2.1 發起認證的方式
雖然免客戶端認證是Portal認證的一種主流方式,但在需要實現更安全靈活的功能的前提下,也可以採用客戶端認證的方式進行認證,這兩種方式的認證流程大致如下:
對於通過Web進行認證的用戶(免客戶端方式),採用對HTTP報文重定向的方式,接入設備對用戶連接進行TCP仿冒和認證客戶端建立TCP連接,然後將頁面重定向到Portal伺服器,而從實現向客戶推出認證頁面。用戶通過在該頁面登錄將用戶信息傳遞給了Portal伺服器,隨後Portal伺服器通過PAP或CHAP的方式向接入設備傳遞用戶信息。接入設備獲取到用戶信息後,將該信息通過AAA模塊完成認證。
對於使用客戶端進行認證的用戶,直接使用portal協議報文與portal-server進行交互,實現對客戶端的相關控制和用戶狀態的實時上報。隨後Portal伺服器與接入設備交互,接入設備再通過AAA模塊完成認證。
2.2 用戶保活機制
用戶通過WEB實現認證時,認證後在線窗口處於開打狀態,並採用上層的http協議的get動作實現心跳機制,用戶下線時需要在該頁面上主動點擊下線按鈕觸發下線動作,如果該頁面或用戶PC不正常關閉,可能導致用戶在一定時間內無法手動下線,直到Portal伺服器側超時後,再觸發下線動作,通知接入設備將用戶下線。
用戶使用專用的客戶端時,使用Portal握手報文來確認用戶是否在線。對於客戶端來說,4個心跳沒有收到答復,就認為自己已經下線,重新發起認證;對於Portal伺服器,在指定的時間內沒有收到心跳報文,就認為用戶下線,並通知接入設備將用戶下線。
2.3 產品實現原理
產品對Portal的實現是基於ACL的,通過QACL模塊來支持對用戶報文的重定向以及限制用戶可以使用的相關資源;通常我們把Portal使用的ACL分為4類(對於底層沒有什麼區別,主要是查找匹配的順序)
Type1:FreeIP規則,動作是permit(到Portal-Server的規則為第1個freeip)
Type2:用戶認證通過後添加的規則,動作是permit
Type3:用戶網段重定向規則,對HTTP報文重定向到CPU(實現認證頁面的推出)
Type4:用戶網段禁止規則,動作是deny
Portal規則在埠上下發,排列需要有嚴格的順序,匹配時按照Type1-4的順序從前往後排列。如果在一個埠上既有普通ACL規則(通過命令行配置的ACL)下發,又啟用了portal,則portal所添加的規則會排列在普通ACL之後。
2.4 PORTAL協議框架
Portal協議主要涉及Portal伺服器(Portal Server)和接入設備(BAS),採用C/S結構,基於UDP。
埠定義:
PortalServer通過默認埠(50100)偵聽BAS發來的報文;
BAS通過埠2000偵聽來自PortalServer的所有報文。
2.5 對EAD系統的支持
通過EAD的系統中的安全策略伺服器,Portal可以實現其擴展認證功能,實現基於客戶端與安全策略伺服器之間的交互來進行後續的安全檢測功能。
Portal對EAD的支持需要用戶在終端上安裝專用的Portal客戶端軟體,用戶在通過Portal認證後,安全策略伺服器通過與Portal客戶端、接入設備進行交互,完成對用戶的安全認證。若對用戶採用了安全策略,則用戶的安全檢測通過之後,安全策略伺服器根據用戶的安全策略,授權用戶訪問非受限資源。
Portal在EAD系統中通過聯動的機制主動的實施安全策略,聯動的基本方式如下:
• 客戶端與安全策略伺服器聯動
1、客戶端上線時Portal伺服器會在Login-Response報文中攜帶EAD伺服器的IP地址及埠號;
2、用戶上線後客戶端和安全策略伺服器進行交互,伺服器下發檢查策略,客戶端按策略檢查所在PC的安全情況,並上報伺服器;
3、用戶在線過程中客戶端仍會定期上報安全情況,以適應動態檢測(即EAD心跳),安全檢測使用的報文為UDP,通常埠號是9019(Server)/10102(Client)。
• 接入設備與安全策略伺服器的聯動
H3C對Radius協議進行了擴展,定義了Type20(Session-Control),當用戶上線後,通過該類型的Radius報文下發隔離ACL,等通過安全檢查後,再下發安全ACL。
認證方式
3.1 認證方式分類
不同的組網方式下,可採用不同的Portal認證方式。按照網路中實施Portal認證的網路層次來分,Portal的認證方式分為兩種:二層認證方式和三層認證方式。
• 二層認證方式
二層認證方式支持在接入設備連接用戶的二層埠上開啟Portal認證功能,只允許源MAC地址通過認證的用戶才能訪問外部網路資源。目前,該認證方式僅支持本地Portal認證,即接入設備作為本地Portal伺服器向用戶提供Web認證服務。
• 三層認證方式
三層認證方式支持在接入設備連接用戶的三層介面上開啟Portal認證功能。三層介面Portal認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式和跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端必須通過二層直接連接到接入設備;跨三層認證方式下,認證客戶端和接入設備之間可以跨接三層轉發設備。
直接認證
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,只能訪問Portal伺服器,以及設定的free IP地址;認證通過後即可訪問網路資源。認證流程相對二次地址分配認證較為簡單。
二次地址分配認證
用戶在認證前通過DHCP獲取一個私網IP地址,只能訪問Portal伺服器,以及設定的免費訪問地址;認證通過後,用戶會重新申請到一個公網IP地址,即可訪問網路資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬頻用戶只在訪問小區外部資源時才分配公網IP。
跨三層認證
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對介面上通過認證的用戶報文轉發進行控制。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此介面可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控制粒度。
3.2 二層Portal認證過程
(1) Portal用戶通過HTTP或HTTPS協議發起認證請求。HTTP報文經過配置了本地Portal伺服器的接入設備的埠時會被重定向到本地Portal伺服器的監聽IP地址,本地Portal伺服器提供Web頁面供用戶輸入用戶名和密碼來進行認證。該本地Portal伺服器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層介面IP地址(通常為Loopback介面IP)。
(2) 接入設備與RADIUS伺服器之間進行RADIUS協議報文的交互,對用戶身份進行驗證。
(3) 如果RADIUS認證成功,則接入設備上的本地Portal伺服器向客戶端發送登錄成功頁面,通知客戶端認證(上線)成功。
3.3 三層Portal認證過程
直接認證和可跨三層Portal認證的流程
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時,對於訪問Portal伺服器或設定的免費訪問地址的HTTP報文,接入設備允許其通過;對於訪問其它地址的HTTP報文,接入設備將其重定向到Portal伺服器。Portal伺服器提供Web頁面供用戶輸入用戶名和密碼來進行認證。
(2) Portal伺服器與接入設備之間進行CHAP(Challenge HandshakeAuthentication Protocol,質詢握手驗證協議)認證交互。若採用PAP(PasswordAuthentication Protocol,密碼驗證協議)認證則直接進入下一步驟。
(3) Portal伺服器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(4) 接入設備與RADIUS伺服器之間進行RADIUS協議報文的交互。
(5) 接入設備向Portal伺服器發送認證應答報文。
(6) Portal伺服器向客戶端發送認證通過報文,通知客戶端認證(上線)成功。
(7) Portal伺服器向接入設備發送認證應答確認。
(8) 客戶端和安全策略伺服器之間進行安全信息交互。安全策略伺服器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟體、是否更新病毒庫、是否安裝了非法軟體、是否更新操作系統補丁等。
(9) 安全策略伺服器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控制用戶的訪問。
步驟(8)、(9)為Portal認證擴展功能的交互過程
二次地址分配認證方式的流程:
二次地址分配認證流程:
(1)~(4)同直接/可跨三層Portal認證中步驟(1)~(4)。
(5) 用戶在接入設備上認證成功後,BAS向Portal-Server發送帶有IP-Config屬性的認證回應報文,指出用戶需要更新IP地址。
(6) Portal-Server再向客戶端發送帶有IP-Config屬性的認證通過報文(Login-Response),要求客戶程序釋放再申請IP地址。
(7) 客戶端成功更新IP地址後,向Portal-Server報告更新IP地址成功。
(8) Portal伺服器通知接入設備客戶端獲得新公網IP地址。
(9) 接入設備通過檢測ARP協議報文檢測到了用戶IP變化,並通告Portal伺服器已檢測到用戶IP變化。
(10) Portal伺服器通知客戶端上線成功。
(11) Portal伺服器向接入設備發送IP變化確認報文。
(12) 客戶端和安全策略伺服器之間進行安全信息交互。安全策略伺服器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟體、是否更新病毒庫、是否安裝了非法軟體、是否更新操作系統補丁等。
(13) 安全策略伺服器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控制用戶的訪問。
步驟(12)、(13)為Portal認證擴展功能的交互過程
㈥ 成web portal認證什麼意思
方法/步驟
用戶連接到網路後,終端通過DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址(私網或公網);(也可能由BAS直接做DHCP Server)。
用戶獲取到地址後,可以通過IE訪問網頁,BAS為該用戶構造對應表項信息(基於埠號、IP),添加用戶ACL服務策略(讓用戶只能訪問portal server和一些內部伺服器,個別外部伺服器如DNS),並將用戶訪問其他地址的請求強制重定向到強制Web認證伺服器進行訪問。表現的結果就是用戶連接上但不認證的情況下,只能訪問指定的頁面,瀏覽指定頁面 上的廣告、新聞等免費信息。
Portal server向用戶提供認證頁面,在該頁面中,用戶輸入帳號和口令,並單擊"log in"按鈕,也可不輸入由帳號和口令,直接單擊"Log in"按鈕;
該按鈕啟動portal server上的Java程序,該程序將用戶信息(IP地址,帳號和口令)送給網路中心設備BAS;
BAS利用IP地址得到用戶的二層地址、物理埠號(如Vlan ID, ADSL PVC ID,PPP session ID),利用這些信息,對用戶的合法性進行檢查,如果用戶輸入了帳號,使用用戶輸入的帳號和口令到Radius server對用戶進行認證,如果用戶未輸入帳號,則認為用戶是固定用戶,網路設備利用Vlan ID(或PVC ID)查用戶表得到用戶的帳號和口令,將帳號送到Radius server進行認證;
Radius Server返回認證結果給BAS;
認證通過後,BAS修改該用戶的ACL,用戶可以訪問外部網際網路或特定的網路服務;BAS開始計費。
用戶離開網路前,連接到portal server上,單擊"斷開網路"按鈕,系統停止計費,刪除用戶的ACL和轉發信息,限制用戶不能訪問外部網路;
END
注意事項
二次地址分配問題:
二次地址分配是指在802.1X或Web Portal接入方式中,初始DHCP時為用戶預分配IP地址(通常為私網地址),在用戶通過認證後,重新為用戶分配地址(通常為公網地址)的技術。這是 因為如果在用戶開機後未經過認證,DHCP時全部為用戶分配公網IP地址,顯然是對IP地址資源的極大浪費。採用二次地址分配則可以較為有效的解決公網地 址不足的問題,提高公網地址的利用率。
二次地址分配的配置是在BRAS上配置認證域時配置的,需要啟用二次地址分配功能並配置地址池。
㈦ 什麼是Portal認證方式
Portal認證方式:
Portal方式(即WEB+DHCP方式)是指用戶第一次啟動瀏覽器訪問互聯網時,將會被強制定向到Web認證頁面,用戶在認證頁面輸入WiFi帳號和密碼通過認證後,由DHCP伺服器分配IP地址即可訪問互聯網。
㈧ 如何在路由器上實現portal認證
認證路由器是當你鏈接WiFi的時候,會跳出一個portal頁面來認證登陸的方式。如果你改造這樣的路由器的話,需要刷路由器的固件。系統有些老路由器不支持。
㈨ 什麼是portal認證
我所了解的portal認證,是一種認證方式,portal的英文翻譯是入門或者進入的意思,portal認證就是進入時候的一種驗證方式,有人也和它叫web認證,這個定義就小一點了,就是互聯網接入的一種認證方式,目前我所知道的是wifi廣告路由器可以實現這樣的功能,它是您首先將wifi廣告路由器像普通wifi路由器那樣和電腦或者數據機,網關等相連,之後打開瀏覽器輸入10.10.10.254就可以進入wifi廣告路由器的後台設置界面,然後注冊一個登陸賬號,裡面根據現有的幾套廣告模板上傳廣告即可。登陸過程中,首先連接電腦右下角的既定wifi名稱,之後打開瀏覽器就會率先彈出wifi廣告界面,之後點擊界面上的登錄按鈕,就會出現portal認證界面,這種認證界面是通過手機號碼獲取動態密碼來實現既定號碼的實名認證,也叫web認證,第二次該手機號使用者登陸免費wifi網路時直接登錄,無需二次獲取驗證碼。
㈩ portalweb認證校園網登不上
Portal認證是指用戶第一次啟動瀏覽器訪問互聯網時,將會被強制重定向到Web認證頁面,用戶在認證頁面輸入帳號(一般是手機號)和密碼通過認證後,即可訪問互聯網。
如果一直出現認證頁面,需確保:1,是否登錄認證過。如果未認證,根據提示認證即可。如果已認證過,聯系運營者,可能是系統故障。2,是否認證時間到期。如果到期,聯系運營者,咨詢如何續費即可。
校園網是為學校師生提供教學、科研和綜合信息服務的寬頻多媒體網路。首先,校園網應為學校教學、科研提供先進的信息化教學環境。這就要求:校園網是一個寬頻、具有交互功能和專業性很強的區域網絡。多媒體教學軟體開發平台、多媒體演示教室、教師備課系統、電子閱覽室以及教學、考試資料庫等,都可以在該網路上運行。