1、，安全與VPN-Portal技術介紹技術介紹安全和 VPN 業務目 錄i目 錄 HYPERLINK l _bookmark0 Portal HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 Portal簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 Portal擴展功能 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 Portal的系統組成 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark2 使用本地Po

2、rtal服務器的Portal認證系統 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 系統組成 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 認證客戶端和本地Portal服務器之間的交互協議 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 本地Portal服務器支持用戶自定義認證頁面 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 Portal的認證方式 HYPERLINK l _bookmark3 4

3、 HYPERLINK l _bookmark4 二層認證方式 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 三層認證方式 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark5 Portal支持EAP認證 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 二層Portal認證過程 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 二層Portal認證流程 HYPERLINK l _bookmark5 6 HYPER

4、LINK l _bookmark6 支持下發授權VLAN HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark6 支持Auth-Fail VLAN HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark7 三層Portal認證過程 HYPERLINK l _bookmark7 8 HYPERLINK l _bookmark7 直接認證和可跨三層Portal認證的流程（CHAP/PAP認證方式） HYPERLINK l _bookmark7 8 HYPERLINK l _bookmark8 二次地址分配認證方式的流程（

5、CHAP/PAP認證方式） HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark9 使用本地Portal服務器的認證流程 HYPERLINK l _bookmark9 10 HYPERLINK l _bookmark10 Portal支持EAP認證流程 HYPERLINK l _bookmark10 11 HYPERLINK l _bookmark11 Portal支持雙機熱備 HYPERLINK l _bookmark11 12 HYPERLINK l _bookmark12 Portal支持多實例 HYPERLINK l _bookmark12 14

6、技術介紹安全和 VPN 業務Portal PAGE 15PortalPortal 簡介Portal 在英語中是入口的意思。Portal 認證通常也稱為 Web 認證，一般將 Portal 認證網站稱為門戶網站。未認證用戶上網時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時，必須在門戶網站進行認證，只有認證通過后才可以使用互聯網資源。用戶可以主動訪問已知的 Portal 認證網站，輸入用戶名和密碼進行認證，這種開始Portal 認證的方式稱作主動認證。反之，如果用戶試圖通過 HTTP 訪問其他外網， 將被強制訪問 Portal 認證網站，從而開始 P

7、ortal 認證過程，這種方式稱作強制認證。Portal 業務可以為運營商提供方便的管理功能，門戶網站可以開展廣告、社區服務、個性化的業務等，使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態系統。Portal 擴展功能Portal 的擴展功能主要是指通過強制接入終端實施補丁和防病毒策略，加強網絡終端對病毒攻擊的主動防御能力。具體擴展功能如下：在 Portal 身份認證的基礎上增加了安全認證機制，可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統補丁等；用戶通過身份認證后僅僅獲得訪問部分互聯網資源（受限資源）的權限，如病毒服務器、操作系統補丁

8、更新服務器等；當用戶通過安全認證后便可以訪問更多的互聯網資源（非受限資源）。Portal 的系統組成Portal的典型組網方式如 HYPERLINK l _bookmark1 圖 1所示，它由五個基本要素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。由于 Portal 服務器可以是接入設備之外的獨立實體，也可以是存在于接入設備之內的內嵌實體，本文稱之為“本地 Portal 服務器”，因此下文中除對本地支持的 Portal 服務器做特殊說明之外，其它所有 Portal 服務器均指獨立的 Portal 服務器，請勿混淆。圖1 Portal 系統組成示意圖認證客戶

9、端安裝于用戶終端的客戶端系統，為運行 HTTP/HTTPS 協議的瀏覽器或運行 Portal 客戶端軟件的主機。對接入終端的安全性檢測是通過 Portal 客戶端和安全策略服務器之間的信息交流完成的。接入設備交換機、路由器等寬帶接入設備的統稱，主要有三方面的作用：在認證之前，將用戶的所有 HTTP 請求都重定向到 Portal 服務器。在認證過程中，與 Portal 服務器、安全策略服務器、認證/計費服務器交互， 完成身份認證/安全認證/計費的功能。在認證通過后，允許用戶訪問被管理員授權的互聯網資源。Portal 服務器接收 Portal 客戶端認證請求的服務器端系統，提供免費門戶服務和基于

10、Web 認證的界面，與接入設備交互認證客戶端的認證信息。認證/計費服務器與接入設備進行交互，完成對用戶的認證和計費。安全策略服務器與 Portal 客戶端、接入設備進行交互，完成對用戶的安全認證，并對用戶進行授權操作。以上五個基本要素的交互過程為：未認證用戶訪問網絡時，在 Web 瀏覽器地址欄中輸入一個互聯網的地址，那么此 HTTP 請求在經過接入設備時會被重定向到 Portal 服務器的 Web 認證主頁上；若需要使用 Portal 的擴展認證功能，則用戶必須使用 Portal 客戶端。用戶在認證主頁/認證對話框中輸入認證信息后提交，Portal 服務器會將用戶的認證信息傳遞給接入設備；然后

11、接入設備再與認證/計費服務器通信進行認證和計費；認證通過后，如果未對用戶采用安全策略，則接入設備會打開用戶與互聯網的通路，允許用戶訪問互聯網；如果對用戶采用了安全策略，則客戶端、接入設備與安全策略服務器交互，對用戶的安全檢測通過之后，安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。無論是 Web 客戶端還是 H3C iNode 客戶端發起的 Portal 認證，均能支持 Portal 認證穿越 NAT，即 Portal 客戶端位于私網、Portal 服務器位于公網，接入設備上啟用 NAT 功能的組網環境下，NAT 地址轉換不會對 Portal 認證造成影響。目前支持 Portal 認證的

12、遠端認證/計費服務器為 RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器。目前通過訪問 Web 頁面進行的 Portal 認證不能對用戶實施安全策略檢查，安全檢查功能的實現需要與 H3C iNode 客戶端配合。使用本地 Portal 服務器的 Portal 認證系統本特性的支持情況與設備的型號有關，請以設備的實際情況為準。系統組成本地Portal服務器功能是指，Portal認證系統中不采用外部獨立的Portal服務器，而由接入設備實現Portal服務器功能。這種情況下，Portal認證系統僅包括三個基本要素：認證

13、客戶端、接入設備和認證/計費服務器，如 HYPERLINK l _bookmark3 圖 2所示。由于設備支持Web用戶直接認證，因此就不需要部署額外的Portal服務器，增強了Portal認證的通用性。圖2 使用本地Portal 服務器的 Portal 系統組成示意圖使用本地 Portal 服務器的 Portal 認證系統不支持 Portal 擴展功能，因此不需要部署安全策略服務器。內嵌本地 Portal 服務器的接入設備實現了簡單的 Portal 服務器功能，僅能給用戶提供通過 Web 方式登錄、下線的基本功能，并不能完全替代獨立的 Portal 服務器。認證客戶端和本地 Portal 服

14、務器之間的交互協議認證客戶端和內嵌本地 Portal 服務器的接入設備之間可以采用 HTTP 和 HTTPS 協議通信。若客戶端和接入設備之間交互 HTTP 協議，則報文以明文形式傳輸，安全性無法保證；若客戶端和接入設備之間交互 HTTPS 協議，則報文基于 SSL 提供的安全機制以密文的形式傳輸，數據的安全性有保障。本地 Portal 服務器支持用戶自定義認證頁面本地 Portal 服務器支持由用戶自定義認證頁面的內容，即允許用戶編輯一套認證頁面的 HTML 文件，并在壓縮之后保存至設備的存儲設備中。該套自定義頁面中包括六個認證頁面：登錄頁面、登錄成功頁面、在線頁面、下線成功頁面、登錄失敗頁

15、面和系統忙頁面。本地 Portal 服務器根據不同的認證階段向客戶端推出對應的認證頁面，若不自定義，則分別推出系統提供的缺省認證頁面。Portal 的認證方式不同的組網方式下，可采用的 Portal 認證方式不同。按照網絡中實施 Portal 認證的網絡層次來分，Portal 的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式的支持情況與設備的型號有關，請以設備的實際情況為準。二層認證方式這種方式支持在接入設備連接用戶的二層端口上開啟 Portal 認證功能，只允許源MAC 地址通過認證的用戶才能訪問外部網絡資源。目前，該認證方式僅支持本地Portal 認證，即接入設備作為本地 Po

16、rtal 服務器向用戶提供 Web 認證服務。另外，該方式還支持服務器下發授權 VLAN 和將認證失敗用戶加入認證失敗 VLAN功能（三層認證方式不支持）。三層認證方式這種方式支持在接入設備連接用戶的三層接口上開啟 Portal 認證功能。三層接口Portal 認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉發；可跨三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉發設備。直接認證方式用戶在認證前通過手工配置或 DHCP 直接獲取一個 IP 地址，只能訪問 Portal 服務器，以

17、及設定的免費訪問地址；認證通過后即可訪問網絡資源。認證流程相對二次地址較為簡單。二次地址分配認證方式用戶在認證前通過 DHCP 獲取一個私網 IP 地址，只能訪問 Portal 服務器，以及設定的免費訪問地址；認證通過后，用戶會申請到一個公網 IP 地址，即可訪問網絡資源。該認證方式解決了 IP 地址規劃和分配問題，對未認證通過的用戶不分配公網 IP 地址。例如運營商對于小區寬帶用戶只在訪問小區外部資源時才分配公網 IP。使用本地 Portal 服務器的 Portal 認證不支持二次地址分配認證方式?？煽缛龑诱J證方式和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發

18、設備。對于以上三種認證方式，IP 地址都是用戶的唯一標識。接入設備基于用戶的 IP 地址下發 ACL 對接口上通過認證的用戶報文轉發進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備，因此接口可以學習到用戶的MAC 地址，接入設備可以利用學習到 MAC 地址增強對用戶報文轉發的控制粒度。Portal 支持EAP 認證在對接入用戶身份可靠性要求較高的網絡應用中，傳統的基于用戶名和口令的用戶身份驗證方式存在一定的安全問題，基于數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機制。EAP（Extensible Authentication Proto

19、col，可擴展認證協議）可支持多種基于數字證書的認證方式（例如 EAP-TLS），它與 Portal 認證相配合，可共同為用戶提供基于數字證書的接入認證服務。圖3 Portal 支持 EAP 認證協議交互示意圖如 HYPERLINK l _bookmark5 圖 3所示，在Portal支持EAP認證的實現中，客戶端與Portal服務器之間交互EAP認證報文，Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文，接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文，由具備EAP服務器功能的RADIUS服務器處理EAP-Mes

20、sage屬性中封裝的EAP 報文，并給出EAP認證結果。整個EAP認證過程中，接入設備只是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳，并不對其進行任何處理，因此接入設備上無需任何額外配置。該功能僅能與 H3C iMC 服務器以及 H3C iNode 客戶端配合使用。目前，僅使用遠程 Portal 服務器的三層 Portal 認證支持 EAP 認證。二層Portal 認證過程二層 Portal 認證流程目前，二層 Portal 認證只支持本地 Portal 認證，即由接入設備作為本地 Portal 服務器向用戶提供 Web 認證服務，具體認證過程如下。圖4

21、二層 Portal 認證流程圖Portal 用戶通過 HTTP 或 HTTPS 協議發起認證請求。HTTP 報文經過配置了本地Portal 服務器的接入設備的端口時會被重定向到本地Portal 服務器的監聽IP 地址，本地 Portal 服務器提供 Web 頁面供用戶輸入用戶名和密碼來進行認證。該本地 Portal 服務器的監聽 IP 地址為接入設備上一個與用戶之間路由可達的三層接口 IP 地址（通常為 Loopback 接口 IP）。接入設備與 RADIUS 服務器之間進行 RADIUS 協議報文的交互，對用戶身份進行驗證。如果 RADIUS 認證成功，則接入設備上的本地 Portal 服務

22、器向客戶端發送登錄成功頁面，通知客戶端認證（上線）成功。支持下發授權 VLAN二層 Portal 認證支持服務器下發授權 VLAN。當用戶通過 Portal 認證后，如果授權服務器上配置了下發 VLAN 功能，那么服務器會將授權 VLAN 信息下發給接入設備， 由接入設備將認證成功的用戶加入對應的授權 VLAN 中，則端口上會生成該用戶MAC 對應的 MAC VLAN 表項，若該 VLAN 不存在，則接入設備首先創建 VLAN， 而后將用戶加入授權 VLAN 中。通過支持下發授權 VLAN，可實現對已認證用戶可訪問網絡資源的控制。支持 Auth-Fail VLANAuth-Fail VLAN

23、功能允許用戶在認證失敗的情況下，可以訪問某一特定 VLAN 中的資源，比如病毒補丁服務器，存儲客戶端軟件或殺毒軟件的服務器，進行升級客戶端或執行其他一些用戶升級程序。這個 VLAN 稱之為 Auth-Fail VLAN。二層 Portal 認證支持基于 MAC 的 Auth-Fail VLAN，如果接入用戶的端口上配置了Auth-Fail VLAN，則端口上會基于認證失敗的 MAC 地址生成相應的 MAC VLAN 表項，認證失敗的用戶將會被加入 Auth-Fail VLAN 中。加入 Auth-Fail VLAN 中的用戶可以訪問該 VLAN 中的非 HTTP 資源，但用戶的所有 HTTP

24、訪問請求會被重定向到接入設備上進行認證，若用戶仍然沒有通過認證，則將繼續處于 Auth-Fail VLAN 內；若認證成功，則回到加入 Auth-Fail VLAN 之前端口所在的 VLAN。處于 Auth-FailVLAN 中的用戶，若在指定時間（默認 90 秒）內無流量通過接入端口，則將離開該VLAN，回到端口的初始 VLAN。用戶加入授權 VLAN 或 Auth-Fail VLAN 后，需要自動申請或者手動更新客戶端 IP地址，以保證可以與授權 VLAN 或 Auth-Fail VLAN 中的資源互通。三層Portal 認證過程直接認證和可跨三層 Portal 認證流程相同。二次地址分配

25、認證流程因為有兩次地址分配過程，所以其認證流程和另外兩種認證方式有所不同。直接認證和可跨三層 Portal 認證的流程（CHAP/PAP 認證方式）圖5 直接認證/可跨三層 Portal 認證流程圖（1）發起連接（2）CHAP認證交互（3）認證請求（4）RADIUS協議的認證交互（5）認證應答（6）通知用戶上線成功認證應答確認（7）（8）安全檢測信息交互（9）授權定時器安全策略服務器Portal服務器認證/計費服務器接入設備認證客戶端直接認證/可跨三層 Portal 認證流程：Portal 用戶通過 HTTP 協議發起認證請求。HTTP 報文經過接入設備時，對于訪問Portal 服務器或設定的

26、免費訪問地址的HTTP 報文，接入設備允許其通過； 對于訪問其它地址的 HTTP 報文，接入設備將其重定向到 Portal 服務器。Portal 服務器提供 Web 頁面供用戶輸入用戶名和密碼來進行認證。Portal 服 務器與接 入設備之 間進行 CHAP （ Challenge Handshake Authentication Protocol，質詢握手驗證協議）認證交互。若采用PAP（Password Authentication Protocol，密碼驗證協議）認證則直接進入下一步驟。Portal 服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備， 同時開啟定時器等待認證應

27、答報文。接入設備與 RADIUS 服務器之間進行 RADIUS 協議報文的交互。接入設備向 Portal 服務器發送認證應答報文。Portal 服務器向客戶端發送認證通過報文，通知客戶端認證（上線）成功。Portal 服務器向接入設備發送認證應答確認?？蛻舳撕桶踩呗苑掌髦g進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統補丁等。安全策略服務器根據用戶的安全性授權用戶訪問非受限資源，授權信息保存到接入設備中，接入設備將使用該信息控制用戶的訪問。步驟(8)、(9)為 Portal 認證擴展功能的交互過程。

28、二次地址分配認證方式的流程（CHAP/PAP 認證方式）圖6 二次地址分配認證方式流程圖（1）發起連接（2）CHAP認證交互（3）認證請求（4）RADIUS協議的認證交互（5）認證應答（6）認證成功（7）用戶已獲得新IP發現用戶IP變化檢測到用戶IP變化（10）通知用戶上線成功（11）IP變換確認（12）安全檢測信息交互（13）授權定時器安全策略服務器Portal服務器認證/計費服務器接入設備認證客戶端二次地址分配認證流程：(1)(6)同直接/可跨三層 Portal 認證中步驟（1）（6）?？蛻舳耸盏秸J證通過報文后，通過 DHCP 獲得新的公網 IP 地址，并通知 Portal服務器用戶已獲得

29、新 IP 地址。Portal 服務器通知接入設備客戶端獲得新公網 IP 地址。接入設備通過檢測 ARP 協議報文發現了用戶 IP 變化，并通告 Portal 服務器已檢測到用戶 IP 變化。Portal 服務器通知客戶端上線成功。Portal 服務器向接入設備發送 IP 變化確認報文。客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統補丁等。安全策略服務器根據用戶的安全性授權用戶訪問非受限資源，授權信息保存到接入設備中，接入設備將使用該信息控制用戶的訪問。步驟(12)、(13)為

30、Portal 認證擴展功能的交互過程。使用本地 Portal 服務器的認證流程圖7 使用本地Portal 服務器的認證流程圖直接/可跨三層本地 Portal 認證流程：Portal 用戶通過 HTTP 或 HTTPS 協議發起認證請求。HTTP 報文經過配置了本地 Portal 服務器的接入設備的接口時會被重定向到本地 Portal 服務器，本地Portal 服務器提供 Web 頁面供用戶輸入用戶名和密碼來進行認證。該本地Portal 服務器的監聽 IP 地址為接入設備上一個與用戶之間路由可達的三層接口 IP 地址。接入設備與 RADIUS 服務器之間進行 RADIUS 協議報文的交互。接入設

31、備中的本地 Portal 服務器向客戶端發送登錄成功頁面，通知客戶端認證（上線）成功。Portal 支持 EAP 認證流程圖8 Portal 支持 EAP 認證流程圖支持 EAP 認證的 Portal 認證流程如下（各 Portal 認證方式對于 EAP 認證的處理流程相同，此處僅以直接認證為例）：Portal 客戶端發起 EAP 認證請求，向 Portal 服務器發送 Identity 類型的 EAP請求報文。Portal 服務器向接入設備發送 Portal 認證請求報文，同時開啟定時器等待Portal 認證應答報文，該認證請求報文中包含若干個 EAP-Message 屬性，這些屬性用于封裝

32、 Portal 客戶端發送的 EAP 報文，并可攜帶客戶端的證書信息。接入設備接收到 Portal 認證請求報文后，構造 RADIUS 認證請求報文與RADIUS 服務器進行認證交互，該 RADIUS 認證請求報文的 EAP-Message 屬性值由接入設備收到的 Portal 認證請求報文中的 EAP-Message 屬性值填充。接入設備根據 RADIUS 服務器的回應信息向 Portal 服務器發送證書請求報文， 該報文中同樣會包含若干個 EAP-Message 屬性，可用于攜帶 RADIUS 服務器的證書信息，這些屬性值由 RADIUS 認證回應報文中的 EAP-Message 屬性值填

33、充。Portal 服務器接收到證書請求報文后，向 Portal 客戶端發送 EAP 認證回應報文，直接將 RADIUS 服務器響應報文中的 EAP-Message 屬性值透傳給 Portal 客戶端。Portal 客戶端繼續發起的 EAP 認證請求，與 RADIUS 服務器進行后續的 EAP 認證交互，期間 Portal 認證請求報文可能會出現多次。后續認證過程與第一個EAP 認證請求報文的交互過程類似，僅 EAP 報文類型會根據 EAP 認證階段發展有所變化，此處不再詳述。EAP 認證通過后，RADIUS 服務器向接入設備發送認證通過響應報文，該報文的 EAP-Message 屬性中封裝了

34、EAP 認證成功報文（EAP-Success）。接入設備向 Portal 服務器發送認證應答報文，該報文的 EAP-Message 屬性中封裝了 EAP 認證成功報文。Portal 服務器根據認證應答報文中的認證結果通知 Portal 客戶端認證成功。后續為 Portal 認證擴展功能的交互過程，可參考 CHAP/PAP 認證方式下的認證流程介紹，此處略。Portal 支持雙機熱備本特性的支持情況與設備的型號有關，請以設備的實際情況為準。概述在當前的組網應用中，用戶對網絡可靠性的要求越來越高，特別是在一些重點的業務入口或接入點上需要保證網絡業務的不間斷性。雙機熱備技術可以保證這些關鍵業務節點在

35、單點故障的情況下，信息流仍然不中斷。所謂雙機熱備，其實是雙機業務備份?？梢苑謩e指定兩臺設備上的任意一個支持備份接口功能的以太網接口為備份接口，兩個備份接口通過備份鏈路相連?；蛘咴趦膳_設備上分別指定相同的備份 VLAN，專用于傳輸雙機熱備相關的報文。在設備正常工作時，對業務信息進行主備同步；在設備故障后，利用 VRRP 或動態路由（例如 OSPF）機制實現業務流量切換到備份設備，由備份設備繼續處理業務，從而保證了當前的業務不被中斷。關于雙機熱備的詳細介紹請參見“可靠性配置指導”中的“雙機熱備”。圖9 雙機熱備組網圖Router AGateway ARouter BServerInternetBackup interfaceIntranetBackup linkPortal