Portal(WEB)及802.1X认证

认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

三种方式有其产生的背景原因和技术特点，以下对这三种主要认证技术作一个简要的分析：一、PPPOE优点：1.*是传统PSTN窄带拨号接入技术在以太网接入技术的延伸2.*和原有窄带网络用户接入认证体系一致3.*最终用户相对比较容易接收缺点：1.*PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低2.*PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响3.*组播业务开展困难，而视频业务大部分是基于组播的4.*需要运营商提供客户终端软件，维护工作量过大5.*PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。

二、Web+ Portal优点：1.*不需要特殊的客户端软件，降低网络维护工作量2.*l可以提供Portal等业务认证缺点：1.*WEB承载在7层协议上，对于设备的要求较高，建网成本高；2.*用户连接性差，不容易检测用户离线，基于时间的计费较难实现；3.*易用性不够好，用户在访问网络前，不管是TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证；4.IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。

5.*认证前后业务流和数据流无法区分三、802.1x优点：1.*802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

2.*通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。

802.1x重认证原理标题：802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要，802.1x协议作为一种可扩展的身份验证协议，被广泛应用于无线网络接入控制。

它能有效防止未经授权的设备访问网络资源，保护网络的安全性。

本文将详细介绍802.1x重认证原理。

二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议，由IEEE（电气电子工程师学会）制定。

它定义了用户接入网络时的身份认证过程，包括用户身份的鉴别、授权和计费等功能。

在802.1x协议中，主要涉及到三个角色：客户端、认证服务器和交换机。

三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后，由于某些原因需要重新进行认证的过程。

这个过程中，客户端会发送一个EAP-Request/Identity给认证服务器，认证服务器接收到请求后，会发送一个EAP-Response/Identity给客户端，然后客户端根据接收到的信息判断是否需要重新认证。

重认证的主要原因是保持用户的在线状态，防止用户的非法使用。

例如，如果用户的账号密码发生了改变，或者用户的权限发生了变化，就需要重新进行认证。

此外，如果用户的设备更换或者移动到另一个位置，也需要重新进行认证。

四、802.1x重认证流程1. 客户端发起重认证请求：客户端向交换机发送一个EAP-Request/Identity消息，表示需要进行重认证。

2. 交换机转发请求：交换机接收到请求后，将其转发给认证服务器。

3. 认证服务器响应：认证服务器接收到请求后，会发送一个EAP-Response/Identity消息给交换机，表明接受重认证请求。

4. 交换机转发响应：交换机接收到响应后，将其转发给客户端。

5. 客户端进行重认证：客户端接收到响应后，会进行重新认证，包括输入新的账号密码等信息。

6. 认证服务器验证：认证服务器接收到客户端的新信息后，会进行验证。

7. 交换机控制端口状态：如果验证成功，交换机会打开相应的端口，允许客户端访问网络；如果验证失败，交换机会关闭相应的端口，阻止客户端访问网络。

ARUBA AC实验（PSK、PORTAL、MAC和802.1X认证）2020-4-27作者：J|NQQ:342774473Aruba AC实验（PSK、PORTAL、MAC和802.1X认证）一、实验拓扑图二、无线控制器初始化配置三、 电脑设置手动IP 与无线控制器互联。

四、增加VLAN、无线控制器管理IP(192.168.53.107)和IPSET认证允许。

五、添加192.168.53.250默认路由。

六、添加VLAN默认网关七、添加DHCP服务器和网段八、新建无线组（HM和ZP）九、新建Guest无线配置文件(PSK+PORTAL认证VLAN10)9.1新建Guest角色配置9.2新建Guest AAA配置9.3新建Gues VAP配置9.4在VAP配置增加Guest 无线SSID9.5关联Guest VAP 无线VLAN9.6添加vlan nat 访问外网9.8添加Potal认证关联9.9建立内部用户测试Portal认证。

9.10设置Portal认证跳转页面和自动跳转时间十、新建Staff无线配置文件(802.1X认证VLAN20)10.1新建Staff角色配置10.2添加Radius服务器和Radius组10.3添加L2 802.1X配置文件10.4添加Staff AAA配置10.5添加VLAN NAT10.6新建Staff VAP 文件10.7新建Staff VAP 的SSID文件10.8关联Staff无线VLAN十一、新建VIP无线配置文件(MAC+PORTAL认证VLAN30)11.1新建VIP角色配置11.2新建VIP AAA配置11.3新建VIP VAP配置11.4新建VIP SSID配置11.5新建VLAN NAT11.6绑定电脑MAC地址11.6新建和绑定VIP角色PORTAL文件十二、新建Fasion无线配置文件(802.1X认证VLAN40)12.1新建Fasion角色文件12.2新建Fashion AAA配置12.3新建Fash VAP配置12.4新建Fashion SSID 配置12.5关联Fasion VLAN12.6添加Fasion VLAN NAT。

无线上网认证之Portal认证2016-01-14Portal认证介绍Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal认证实现Portal认证支持NAC本地认证（内置本地服务器，最多支持65000个本地账号），也支持第三方的认证服务器：RADIUS服务器、LDAP服务器、Windows Active Directory。

三层Portal认证的流程如下：1、Portal用户通过HTTP协议发起认证请求。

HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。

Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

3、Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4、接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、接入设备向Portal服务器发送认证应答报文。

6、Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

PPPOE、Web+Portal、802.1x三种认证方式一览引言认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

三种方式有其产生的背景原因和技术特点，以下对这三种主要认证技术作一个简要的分析：技术分析1．PPPOE1998年后期问世的以太网上点对点协议（PPP over Ethernet）技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。

主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。

它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。

通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

华为802.1x认证客户端使用说明新802.1X认证客户端使用方法1.卸载原有的802.1X客户端。

2.下载安装新的客户端。

3.安装完后重启计算机。

4.双击桌面的H3C802.1X图标进入如下界面，网络适配器选择你自己的网卡5.点击属性进入设置，默认设置如下图,把两个勾全部去掉，如果你要自动重拨，你可以把“握手超时后重认证”这个勾选上。

如下图：完成后点击确定，然后点连接出现下图，连接成功后最小化到屏幕右下角，与老客户端一样的小电脑标志。

6.断开连接方法：点击屏幕右下角的小电脑图标右键，点断开连接或者退出程序。

断开连接(£)用户配置©网塔配置(N)显示营理面口萸改用户密码升级程序&帮助.…遽出程序7.点击小电脑右键出现在菜单中，用户配置可以看自己的上网时间，可以累计, 也可以清零后重新计时。

网络配置则回到第5步进行配置。

确定 取消8 Client〔4K'H3C 802用户提示;般用户使用以上功能即可，还有更高级的功能就是打开管理窗口，如下图: 系统1S 知：^802. IX 用户设置r 陀藏蜀录宙口 r 显示管理留口广保存L0睹息 r记录网络報文 SG 丈件名；120050613. LOG| | 更卩「黒计上网时间:01 :⑴06 I 賢零默认设詈 网络®）配置©帮助® 2005-06-1315:56:49 2005-05-3315:56:49 2005-06-1316:05:46 2Q05-Q5-13 2005-06-132005-06-13 16;06：53 H3C S02. 1S 客户E&na ：323E Receivers ； OH 已成功通过网络验证16；06:邨 ttifteoz. ix 认证 已成功適过网塔验证 中斷602. IX 认证链押 用尸主动离线 fli^eoa. ix 认证 已成功通过网勰证Message ： Message ： Message ：Message ：。

新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求，。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，更适合在宽带以太网中的使用随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，更适合在宽带以太网中的使用。

什么是IEEE 802.1x协议IEEE 802.1x 称为基于端口的访问控制协议（Port work a clearcase/" target="_blank" >ccess control protocol）。

IEEE 802.1x协议的体系结构包括三个重要的部分：Supplic ant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。

客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

为支持基于端口的接入控制，客户端系统需支持EAPOL （Extensible Authentication Protocol Over LAN）协议。

认证系统通常为支持IEEE 802.1x协议的网络设备。

该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。

不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端始终可以发出或接受认证。