蓝海卓越Portal接口描述

蓝海卓越校园全光网络无线认证计费解决方案成都星锐蓝海网络科技有限公司2021-9目录一、项目背景 (3)二、需求分析 (4)三、校园分析 (6)四、建设目标 (7)五、方案设计原则 (8)六、方案设计说明 (11)6.1方案拓扑图 (11)6.2认证与计费管理主要功能 (15)6.3方案特点 (21)一、项目背景在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。

但随着教学设施的完善，越来越多的便捷式计算机终端被带进了校园，教师和学生对高校校园网的依赖性愈来愈高，“随时随地获取信息”已成为广大师生们的新需求。

而无线校园网络的快速发展与应用，将对学校的教学模式、教学理念及教学管理产生深远的影响，也将对学校教师、学生的学习、生活方式产生积极影响。

无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所，除此之外，校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。

因此，在整个校园内，同一个设备可以在任何时候、任何地方与校园网络连接，不间断地访问校园网络资源。

同时针对学生和教职工家属基于无线网络进行宽带运营，也是高校无线网络建设中考虑的重要环节。

基于校园无线网向不同的用户群体提供不同的无线上网服务，教职工可以基于无线开展教学活动访问某些教育网资源，学生和家属可以基于无线进行付费上网。

而传统无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。

二、需求分析蓝海卓越针对目前高校在无线认证和计费中存在的问题，推出适合高校校园的无线认证计费解决方案，该方案需要满足以下需求：1、全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务，采取光纤到户的GPON网络组网；2、每间宿舍一个ONU+WiFi一体化设备；3、支持多种认证方式，包括针对教师的AD域认证上网，以及针对宿舍学生和教职工家属的静态用户名密码认证上网；4、支持基于不同的SSID推送不同的Portal认证页面，面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面；5、支持对接学校现有的管理系统数据库或LDAP数据库，教师可以直接在认证页面输入相关AD账户密码进行认证上网；6、学生和教职工家属可以采用付费的方式上网，通过向高校信息中心提供相应的证件办理无线上网套餐，套餐可以按照包月/包年基于时长或者流量进行计费，并通过静态用户名密码的方式认证上网，套餐到期后账户停机；7、可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；8、方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理；9、认证成功后可以实现强制跳转至高校官网或其他指定网站，可以有效的进行宣传和推广；10、所有认证用户均需审计监控；11、部署方便，维护简单，同时对整体设备需要易操作易管理，维护简单；将来增加覆盖范围和用户数量能够方便的进行扩展升级。

蓝海卓越WEB认证（WEB PORTAL）原理及组网方式Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。

目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.下图是WEB认证的原理图(CHAP认证):本文所要描述的就是PortalServer的原理与算法.PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式:以下是部分源代码和说明.typedef struct portal_header{u_int8_t ver; //版本,在本例中为1u_int8_t type; //报文类型u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议u_int8_t rsv; //保留字段,恒为零u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的u_int16_t reqid; //应答IDu_int32_t userip; //用户的IPu_int16_t userport; //用户端口,恒为零u_int8_t errcode; //错误码,非常有用的字段u_int8_t attrnum; //属性个数}portal_header_t;定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性.以下是构造挑战报文的代码:sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码req_chap->ver=ver;req_chap->type=REQ_CHALLENGE;req_chap->auth_type=CHAP;req_chap->rsv=0x00;req_chap->sn=sn;req_chap->reqid=0x00;;req_chap->userip = in->s_addr; //客户的IPreq_chap->userport=0x0;req_chap->errcode=0x0;req_chap->attrnum=0x0;当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:(ra->header).ver = 0x01;(ra->header).type=REQ_AUTH;(ra->header).auth_type=CHAP;(ra->header).rsv=0x00;(ra->header).sn= //新的随机码(ra->header).reqid = req_chap->reqid;(ra->header).userip = req_chap->userip;(ra->header).userport=0x0;(ra->header).errcode=0x0;(ra->header).attrnum=0x2;这个请求报文带两个属性.关键的CHAP密码构造代码如下:MD5_Init(&ctx);MD5_Update(&ctx, &reqid, 1);MD5_Update(&ctx, passwd, strlen(passwd));MD5_Update(&ctx, challenge, 16);MD5_Final(d3, &ctx);如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.本程序的使用命令如下:cr ver protocol basip username password client_ipver 协议版本,本文只实现了V1protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.basip BAS的ip ,就是报文发送到的设备IPusername 从WEB过来的用户名password 从WEB PORTAL 过来的密码client_ip 客户的IP地址蓝海卓越Web Portal的组网方式通常如下：蓝海卓越Web Portal的基本认证过程为：（1）用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。

蓝海卓越BRAS 设备NA T 配置环境需求：内网中的拨号用户172.18.0.0/16和固定IP用户192.168.2.0/24都需要通过BRAS设备上外网。

拓扑图如下：分析：目前存在固定IP的192.168.2.0/24和PPPOE拨号的172.16.0.0/16.这二个网段需要访问外部网络。

就需要对其进行NA T转换。

将私网地址转换成公网地址才可以访问Internet资源。

这里的NAT转换就有2种方案方案一：直接在蓝海BRAS设备上设置NA T规则方案二：BRAS与防火墙设备之间完全通过路由方式来实现访问。

BRAS设备上只需要做一条到达防火墙的默认路由即可，不做NAT所有的NA T规则和访问控制完全交由防火墙设备来完成，方便统一管理方案一实施根据拓扑此时10.0.0.2就属于192.168.2.0/24和172.16.0.0/16的外网地址。

直接在BRAS 设备上直接做NA T规则具体步骤：1.进入BRAS配置管理界面。

进入“防火墙”菜单，打开NAT设置。

点击添加NAT设置。

2.状态为启用，源地址就是你内部需要访问外网的网段。

在这里是192.168.2.0/24与172.18.0.0/16 外部网络接口选择你内网的报文从哪个外部网络接口（E3）出去最后点击添加。

3.此时还需要一条到底BRAS的外部网络的默认路由条目。

进入“网络配置”点击静态路由。

点击添加，目的地址可以是主机也可以是网络。

此时选择网络。

目的地址就是你内网需要和外网通信的网段。

网关地址就是下一跳地址。

所谓的出口地址。

方案二实施BRAS设备上只需要做一条到达防火墙的默认路由即可，不做NAT所有的NAT规则和访问控制完全交由防火墙设备来完成，方便统一管理具体步骤：1.进入BRAS设备管理界面，配置默认路由。

目的地址的路由类型可以是内部的一个网络或者一个主机。

一台主机就是单台PC与外网通信，网络就是整个内部网段与外部通信。

在这里我们选择网络。

蓝海卓越有线无线一体化认证解决方案目前在很多场合（比如出租屋、企业园区、校园网、小区宽带、商场等环境）需要使用到有线无线一体化认证的方案，蓝海卓越结合自身在有线拨号认证计费以及无线portal认证基础上，推出蓝海卓越自有的有线无线一体化解决方案。

（欢迎私信了解详情）客户需求：1、针对有线网络用户采用PPPOE拨号认证，并可以实现包月/年等计费管理功能；2、针对无线用户可以采用portal认证，需要用户手机短信认证上网，可以根据实际情况实施免费上网和付费上网；3、电脑拨号账户和无线认证账户不能互相使用；4、通过认证计费管理系统可以对所有账户进行管理；5、可以对portal认证的用户进行认证页面的定制，以便推送通知/公告或广告。

网络拓扑：方案说明：1、通过蓝海卓越BRAS网关和认证计费系统实现对有线网络电脑主机的拨号认证上网功能，同时绑定MAC；2、通过蓝海卓越AC设备对所有的AP进行集中管理，蓝海卓越AC同蓝海卓越统一无线认证管理系统（Portal）平台对接，实现对无线终端用户的portal认证上网功能，并且绑定MAC；3、无线portal认证页面可以进行随意修改，可以实现手机终端自注册，自主选择套餐并支付宝付费。

4、AP自动发现AC，并由AC进行统一管理，下发参数。

方案特点：1、有线无线在同一项目中混合部署，节约成本，同一台交换机上即可接有线电脑，也可接无线AP。

2、有线和无线混合接入，但是采用不同的认证方式。

有线用户可以采用路由器或电脑拨号上网，无线用户手机或平板、笔记本采用WEB PORTAL认证方式，符合用户的使用习惯和实际使用场景。

3、有线和无线可以支持完全不同和策略，有线收费、无线免费，或者部分无线收费，部分无线免费，可以根据运营情况灵活调。

4、收费可以按月、年、天、小时、流量等不同策略设定套餐，所有的套餐均由管理员自定义。

5、无线免费上网，支持短信注册认证、帐号密码认证、微信免费上网、一键登录免费上网等多种主流的免费上网方式。

AC、Portal与AAA 交互协议分析上海寰创通信科技有限公司文档更新记录目录1PORTAL协议协议概述 (5)2PORTAL协议报文格式 (5)3PORTAL协议报文字段说明 (5)4与PORTAL交互中报文填充说明 (6)4.1REQ_CHALLENGE (6)4.2ACK_CHALLENGE (7)4.3REQ_AUTH (8)4.4ACK_AUTH (8)4.5AFF_ACK_AUTH (9)5与3A相关的交互中报文填充说明 (10)5.1A CCESS_R EQUEST (10)5.2A CCOUNTING-R EQUEST/S TART (10)5.3A CCOUNTING-R EQUEST/I NTERIM-U PDATE (11)5.4A CCOUNTING-R EQUEST/S TOP (11)6HTTP REQUEST PORTAL-URL (11)1 Portal 协议协议概述AC 与Portal Server 之间通过Portal 协议交互。

2 Portal 协议报文格式123468573 Portal 协议报文字段说明Ver Ver 字段是协议的版本号，长度为1字节，目前定义的值为0x01。

Type Type 字段定义报文的类型，长度为1字节。

Pap/ChapPap/Chap 字段定义此用户的认证方式，长度为1字节，只对Type 值为0x03的认证请求报文有意义：chap 方式认证（0x00）、Pap 方式认证（0x01）。

Rsv Rsv 目前是保留字段，长度为1字节，在所有报文中值为0。

SerialNoSerialNo 字段是报文的序列号，长度为2字节，由Portal Server 随机生成；由Portal Server 发给AC 的报文；每一个由AC 设备发给Portal Server 的响应报文的SerialNo 必须和Portal Server 发送的相应请求报文的SerialNo 一样。

Portal 解决方案简介Portal 解决方案是一个为企业提供的全面的门户网站解决方案。

它旨在提供一个集成的平台，使企业能够轻松地创建、管理和发布门户网站，并提供强大的功能和灵活的定制选项。

Portal 解决方案包含了一个易于使用的管理界面，使管理员能够轻松地配置和管理网站内容，并提供了多种设计和布局选项，以满足企业的特定需求。

除了提供传统的门户功能，如新闻公告、文档管理和用户管理，Portal 解决方案还支持集成其他企业应用程序和系统，如CRM、ERP和人力资源管理系统。

主要特点1. 简单易用的管理界面Portal 解决方案提供了一个直观的管理界面，使管理员能够轻松地配置和管理网站内容。

管理员可以使用该界面创建和编辑页面、添加和管理组件、设置访问权限等。

2. 强大的内容管理功能Portal 解决方案提供了一套强大的内容管理功能，使管理员能够轻松地创建、编辑和发布网站内容。

管理员可以使用富文本编辑器创建各种类型的内容，例如新闻公告、博客文章和产品介绍。

此外，管理员还可以使用附件管理功能上传和管理文件。

3. 多种设计和布局选项Portal 解决方案提供了多种设计和布局选项，以满足企业的特定需求。

管理员可以选择预定义的模板或自定义样式，还可以自由拖放组件来创建独特的页面布局。

此外，Portal 解决方案还支持响应式设计，以确保在不同设备上都能提供出色的用户体验。

4. 用户管理和访问控制Portal 解决方案提供完善的用户管理和访问控制功能。

管理员可以创建和管理用户账号，并设置不同的角色和权限。

这样，企业可以根据实际需求，为不同的用户提供个性化的访问权限，确保信息安全和数据保密。

5. 应用程序和系统集成Portal 解决方案支持与其他企业应用程序和系统的集成。

企业可以将各种应用程序和系统集成到门户网站中，与其他系统交换数据和信息。

例如，可以将CRM系统集成到门户网站，以便销售团队能够快速地了解客户信息和销售数据。

Portal（web应用）portal是一种web应用，通常用来提供个性化、单次登录、聚集各个信息源的内容，并作为信息系统表现层的宿主。

聚集是指将来自各个信息源的内容集成到一个web 页面里的活动”。

Portal的功能可以分为三个主要方面：1. Portlet容器：Portlet容器与servlet容器非常类似，所有的portlet都部署在portlet容器里，portlet容器控制portlet的生命周期并为其提供必要的资源和环境信息。

2.内容聚集：Portlet规范中规定portal的主要工作之一是聚集由各种portlet应用生成的内容3.公共服务：portlet服务器的一个强项是它所提供的一套公共服务。

单次登录：只需登录portal服务器一次就可以访问所有其它的应用个性化：个性化服务的基本实现使用户能从两方面个性化她的页面PortletPortlet是基于java的web组件，由portlet容器管理，并由容器处理请求，生产动态内容。

Portals使用portlets作为可插拔用户接口组件，提供信息系统的表示层。

作为利用servlets进行web应用编程的下一步，portlets实现了web应用的模块化和用户中心化。

LDAPLDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

SOA面向服务的体系结构（Service-Oriented Architecture，SOA）是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。