17-Portal操作.doc

目 录 第1章 Portal配置 1-1 1.1 Portal简介 1-1 1.1.1 Portal概述 1-1 1.1.2 Portal认证方式对EAD的支持 1-1 1.1.3 Portal的系统组成 1-1 1.1.4 Portal的认证方式 1-3 1.1.5 Portal认证过程 1-4 1.2 Portal配置任务简介 1-7 1.3 Portal的基本配置 1-7 1.3.1 配置准备 1-7 1.3.2 配置Portal 1-8 1.4 配置免认证规则 1-8 1.5 配置认证网段 1-9 1.6 配置强制用户下线 1-9 1.7 Portal显示和维护 1-10 1.8 Portal典型配置举例 1-10 1.8.1 Portal直接认证方式配置举例 1-10 1.8.2 Portal二次地址分配认证方式配置举例 1-12 1.8.3 三层Portal认证方式配置举例 1-14 1.8.4 Portal直接认证方式（支持EAD）配置举例 1-15 1.9 常见配置错误举例 1-18 1.9.1 接入设备和Portal服务器上的密钥不一致 1-18 1.9.2 接入设备上服务器端口配置错误 1-18 Portal配置 Portal简介 Portal概述 Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。 未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。 Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。 Portal认证方式对EAD的支持 Portal认证方式也支持EAD，通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力： 在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等； 用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）。 Portal的系统组成 Portal的典型组网方式如图1-1所示，它由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。 Portal系统组成示意图 认证客户端 安装于用户终端的客户端系统。为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的Host。如果需要支持EAD认证，那么必须使用Portal客户端软件才可以，并且该客户端软件也必须支持EAD。 接入设备 交换机、路由器等宽带接入设备的统称，主要有三方面的作用： 在认证之前，如果不采用Portal客户端，用户直接使用IE上网浏览，那么设备将用户的HTTP请求重定向到Portal服务器；如果采用Portal客户端，那么在用户创建连接的时候，设备将会返回给客户端Portal服务器的IP地址、服务端口等信息。 与Portal服务器、认证/计费服务器、安全策略服务器交互，完成身份认证、安全认证、计费等功能。 在认证通过后，允许用户访问被管理员授权的部分互联网资源。 Portal服务器 接受Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 认证/计费服务器 与接入设备进行交互，完成对用户的认证和计费。 安全策略服务器 与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。 以上五个基本要素的交互过程为： 对于一个未认证用户访问网络的情况 对于不使用Portal客户端的方式：用户在IE地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上； 对于使用Portal客户端的方式：接入设备检测到来自用户的TCP/UDP请求报文时，向Portal客户端发送强制认证报文。客户端弹出认证对话框等待用户输入。 用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备； 然后接入设备再与认证/计费服务器通信进行认证和计费； 认证通过