web认证流程及常见问题分析优质PPT.ppt

1、PPPoE、WebPortal、IEEE802.1x。三种方式的技术优缺点 PPPoE优点：是传统PSTN窄带拨号接入技术在以太网接入技术的延伸和原有窄带网络用户接入认证体系一致最终用户相对比较容易接收缺点：PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响,组播业务开展困难，而视频业务大部分是基于组播的需要运营商提供客户终端软件，维护工作量过大PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵WEB+Po

2、rtal 优点：不需要特殊的客户端软件，降低网络维护工作量可以提供Portal等业务认证缺点：WEB承载在7层协议上，对于设备的要求较高，建网成本高用户连接性差，不容易检测用户离线，基于时间的计费较难实现易用性不够好，用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证 IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持,8021X优点：802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本通过组播实现，解决其他认证协议广播问题，对

3、组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求 缺点：需要特定客户端软件 网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题IP地址分配和 网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地 址分配、三层网络安全等问题，因此，单靠以太网交换机802.1x，无法全面解决城域网以太接入的可运营、可管

4、理以及接入安全性等方面的问题 计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求,综合比较,GO,WEB+Portal认证流程,WEB认证流程用户开始部分,流程描述用户无线成功链接瘦AP用户DHCP获取IP地址，地址一般由AC分配用户HTTP 请求上网，AC推送Portal URL，携带ssid、userip、ACname等信息Portal Server返回请求页面,与Portal Server 交互流程,流程描述与Portal交互流程，有CHAP和PAP两种用户上线CHAP认证流程用户访问网站，经过

5、AC重定向到Portal Server，Portal Server推送认证页面用户填入用户名、密码，提交页面，向Portal Server发起连接请求Portal Server向AC请求ChallengeAC分配Challenge给Portal Server Portal Server向AC发起认证请求而后AC进行RADIUS认证，获得RADIUS认证结果AC向Portal Server送认证结果Portal Server将认证结果填入页面，和门户网站一起推送给客户Portal Server回应确认收到认证结果的报文,用户上线PAP认证流程用户访问网站，经过AC重定向到Portal Serve

6、r，Portal Server推送认证页面用户填入用户名、密码，提交页面，向Portal Server发起连接请求Portal Server向AC发起认证请求而后AC进行RADIUS认证，获得RADIUS认证结果AC向Portal Server送认证结果Portal Server将认证结果填入页面，和门户网站一起推送给客户Portal Server回应确认收到认证结果的报文,与Radius Server 交互流程,流程描述与Portal服务器认证流程成功结束后由Portal服务器发起认证请求AC接收到认证请求报文后向Radius 服务器发送认证请求报文Radius 服务器返回认证响应AC返回认

7、证结果给Portal服务器。（以及相关业务属性）Portal服务器根据认证结果，推送认证结果页面Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。认证如果成功，AC发起计费开始请求给RADIUS用户认证服务器RADIUS回应计费开始响应报文，并将响应信息返回给AC。用户上线完毕，开始上网在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息RADIUS计费服务器回应实时计费确认报文给AC当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文RADIUS计费服务器回应A

8、C的计费结束报文,正常下线流程,流程描述当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求Portal服务器向AC发起下线请求AC返回下线结果给Portal服务器Portal服务器根据下线结果，推送含有对应的信息的页面给用户当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文RADIUS用户认证服务器回应AC的计费结束报文,异常下线流程,流程描述AC侦测到用户下线，向Portal服务器发出下线请求Portal服务器回应下线成功当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费结束报文,用户强

9、制下线流程,流程描述AC侦测到用户的本次连接最大允许接入时间结束，向Portal服务器发出下线请求 Portal服务器回应下线成功,并向用户推送下线结果页面当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费结束报文,DM消息强制下线流程,流程描述Radius向AC下发Disconnect-Request消息 AC向Portal服务器发出下线请求Portal服务器回应下线成功,并向用户推送下线结果页面AC向Radius回应Disconnect-ACK下线成功AC向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费

10、结束报文如AC踢用户下线失败，则向Radius回应Disconnect-NAK,WEB认证流程报文分析上线流程报文,报文描述4 号报文是Portal Server to AC（Request Challenge:0 x01）5 号报文是AC to Portal Server（ACK Challenge:0 x02）6 号报文是Portal Server to AC（Request Auth:0 x03）7 号报文是AC to Radius Server（Access Request）8 号报文是Radius Server to AC（Access Accept）9 号报文是AC to Radi

11、us Server（Accounting Request Start）10 号报文是AC to Portal Server（ACK Auth:0 x04）11 号报文是Portal Server to AC（AFF ACK Auth:0 x07）12 号报文是Radius Server to AC（Accounting Response）下线流程报文,报文描述80 号报文是Portal Server to AC（Request Logout:0 x05）81 号报文是AC to Portal Server（ACK Logout:0 x06）82 号报文是AC to Radius Server（

12、Accounting Request Stop）83 号报文是Radius Server to AC（Accounting Response）,中间计费报文报文描述38 号报文是AC to Radius Server（Accounting Request Status）39 号报文是Radius Server to AC（Accounting Response）,GO,常见问题分析,Portal 页面无法推出通常Portal 页面推不出一般是由AC、Portal服务器地址配置不正确引起AC的Portal服务器地址确认加入到认证前白名单中？URL中的User IP 是否在Portal Serve

13、r的地址池中？Wlan ACname 是否正确？,认证失败引起Radius Server返回认证被拒绝的情况有很多：认证请求报文中参数不正确用户名是否正确,NAS_IP_ADDRESS,AC的外网IPCALLED_STATION_ID,用户所连AP的MAC还有SSID，注意格式,CALLING_STATION_ID,用户MAC地址NAS ID，通常是计费时使用，确认是否设置正确,ACCT_SESSION_ID,认证中唯一的ID，用户MAC加上累加值用户下线失败吊死Radius 服务器用户上线后继续登录，或由于某种原因下线失败导致吊死在Radius上的情况,中间计费报文主要查看报文中计费信息是否准确是否有异常超大值出现,Thank You!,