P o r t a l认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，就无能为力。

1.PPPoE通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE 的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

在网络拓扑中，主机能与之通信的可能有不只一个网络设备。

在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。

（2）（2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的。

（3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响2、认证，起源于协议，后者是标准的无线局域网协议，协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。

其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）。

认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP 协议。

EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。

最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生。

协议为二层协议，不需要到达三层，而且接入层交换机无需支持的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

缺点：*需要特定客户端软件*网络现有楼道交换机的问题：由于是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；*IP地址分配和网络安全问题：协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题；*计费问题：协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。

Web+ PortalPortal简介Portal在英语中是入口的意思。

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal 认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器。

1. 认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。

对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：●在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

●在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

●在认证通过后，允许用户访问被管理员授权的互联网资源。

3. Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。

设备内嵌portal-web Server ：设备内嵌portal-web Server 能够解析客户端发来的http 上线认证、下线，形成认证、下线请求给portal 模块，然后根据返回的结果，推出对应的页面给客户端。

这样设备就支持web 用户直接登录而不需要额外的部署portal server ，从而大大加强了portal 功能的通用性。

http 报文线请求；设备portal-web server 解析http 请求，封装成portal-web server 模块与portal 模块之间的消息，传递给portal 模块；portal 接收到消息后，触发相应的动作，向radius server 发送认证、授权和计费报文。

Portal 的认证方式不同的组网方式下，可采用的Portal 认证方式不同。

按照网络中实施Portal 认证的 网络层次来分，Portal 的认证方式分为两种：二层认证方式和三层认证方式。

二层认证方式这种方式支持在接入设备连接用户的二层端口上开启Portal 认证功能，只允许源 MAC 地址通过认证的用户才能访问外部网络资源。

目前，该认证方式仅支持本地 Portal 认证，即接入设备作为本地Portal 服务器向用户提供Web 认证服务。

另外，该方式还支持服务器下发授权VLAN 和将认证失败用户加入认证失败VLAN 功能（三层认证方式不支持）。

三层认证方式这种方式支持在接入设备连接用户的三层接口上开启Portal 认证功能。

三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式。

直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。

1. 直接认证方式用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。

认证流程相对二次地址较为简单。

2. 二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源。

该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP 地址。

例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。

使用内嵌Portal服务器的Portal认证不支持二次地址分配认证方式。

3. 可跨三层认证方式和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式，IP地址都是用户的唯一标识。

接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。

由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。

(1) Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2) Portal 服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5) 接入设备向Portal服务器发送认证应答报文。

(6) Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

(7) 客户端收到认证通过报文后，通过DHCP获得新的公网IP地址，并通知Portal服务器用户已获得新IP地址。

(8) Portal服务器通知接入设备客户端获得新公网IP地址。

(9) 接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal服务器已检测到用户IP变化。

(10) Portal服务器通知客户端上线成功。

(11) Portal服务器向接入设备发送IP变化确认报文。

注：可跨三层认证方式省略二次地址分配认证方式的7~11步骤，上线成功后portal服务器向接入设备发送认证应答确认。