九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

1、Portal簡(jiǎn)介

    Portal在英語(yǔ)中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。

未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。

    用戶可以主動(dòng)訪問已知的Portal認(rèn)證網(wǎng)站，輸入用戶名和密碼進(jìn)行認(rèn)證，這種開始Portal認(rèn)證的方式稱作主動(dòng)認(rèn)證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強(qiáng)制訪問Portal認(rèn)證網(wǎng)站，從而開始Portal認(rèn)證過程，這種方式稱作強(qiáng)制認(rèn)證。

    Portal業(yè)務(wù)可以為運(yùn)營(yíng)商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務(wù)、個(gè)性化的業(yè)務(wù)等，使寬帶運(yùn)營(yíng)商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。

2、Portal擴(kuò)展功能

    Portal的擴(kuò)展功能主要是指通過強(qiáng)制接入終端實(shí)施補(bǔ)丁和防病毒策略，加強(qiáng)網(wǎng)絡(luò)終端對(duì)病毒攻擊的主動(dòng)防御能力。具體擴(kuò)展功能如下：

• 在Portal身份認(rèn)證的基礎(chǔ)上增加了安全認(rèn)證機(jī)制，可以檢測(cè)接入終端上是否安裝了防病毒軟件、是否更新了病毒庫(kù)、是否安裝了非法軟件、是否更新了操作系統(tǒng)補(bǔ)丁等；
• 用戶通過身份認(rèn)證后僅僅獲得訪問部分互聯(lián)網(wǎng)資源（受限資源）的權(quán)限，如病毒服務(wù)器、操作系統(tǒng)補(bǔ)丁更新服務(wù)器等；當(dāng)用戶通過安全認(rèn)證后便可以訪問更多的互聯(lián)網(wǎng)資源（非受限資源）。

3、Portal系統(tǒng)的組成

    Portal的典型組網(wǎng)方式如下圖所示，它由五個(gè)基本要素組成：認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器和安全策略服務(wù)器。

•  認(rèn)證客戶端：安裝于用戶終端的客戶端系統(tǒng)，為運(yùn)行HTTP/HTTPS協(xié)議的瀏覽器或運(yùn)行Portal客戶端軟件的主機(jī)。對(duì)接入終端的安全性檢測(cè)是通過Portal客戶端和安全策略服務(wù)器之間的信息交流完成的。
• 接入設(shè)備：交換機(jī)、路由器等寬帶接入設(shè)備的統(tǒng)稱，在認(rèn)證之前，將用戶的所有HTTP請(qǐng)求都重定向到Portal服務(wù)器；在認(rèn)證過程中，與Portal服務(wù)器、安全策略服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器交互，完成身份認(rèn)證/安全認(rèn)證/計(jì)費(fèi)的功能； 在認(rèn)證通過后，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。
• Portal服務(wù)器：接收Portal客戶端認(rèn)證請(qǐng)求的服務(wù)器端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。
• 認(rèn)證計(jì)費(fèi)服務(wù)器：與接入設(shè)備進(jìn)行交互，完成對(duì)用戶的認(rèn)證和計(jì)費(fèi)。
• 安全策略服務(wù)器：與Portal客戶端、接入設(shè)備進(jìn)行交互，完成對(duì)用戶的安全認(rèn)證，并對(duì)用戶進(jìn)行授權(quán)操作。

4、Portal認(rèn)證的交互過程

1. 未認(rèn)證用戶訪問網(wǎng)絡(luò)時(shí)，在Web瀏覽器地址欄中輸入一個(gè)互聯(lián)網(wǎng)的地址，那么此HTTP請(qǐng)求在經(jīng)過接入設(shè)備時(shí)會(huì)被重定向到Portal服務(wù)器的Web認(rèn)證主頁(yè)上；若需要使用Portal的擴(kuò)展認(rèn)證功能，則用戶必須使用Portal客戶端。
2. 用戶在認(rèn)證主頁(yè)/認(rèn)證對(duì)話框中輸入認(rèn)證信息后提交，Portal服務(wù)器會(huì)將用戶的認(rèn)證信息傳遞給接入設(shè)備；
3. 然后接入設(shè)備再與認(rèn)證/計(jì)費(fèi)服務(wù)器通信進(jìn)行認(rèn)證和計(jì)費(fèi)；
4. 認(rèn)證通過后，如果未對(duì)用戶采用安全策略，則接入設(shè)備會(huì)打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問互聯(lián)網(wǎng)；如果對(duì)用戶采用了安全策略，則客戶端、接入設(shè)備與安全策略服務(wù)器交互，對(duì)用戶的安全檢測(cè)通過之后，安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源。

5、使用本地Portal服務(wù)器的Portal認(rèn)證系統(tǒng)

    本地Portal服務(wù)器功能是指，Portal認(rèn)證系統(tǒng)中不采用外部獨(dú)立的Portal服務(wù)器，而由接入設(shè)備實(shí)現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個(gè)基本要素：認(rèn)證客戶端、接入設(shè)備和認(rèn)證/計(jì)費(fèi)服務(wù)器，如下圖所示。由于設(shè)備支持Web用戶直接認(rèn)證，因此就不需要部署額外的Portal服務(wù)器，增強(qiáng)了Portal認(rèn)證的通用性。

• 認(rèn)證客戶端和內(nèi)嵌本地Portal服務(wù)器的接入設(shè)備之間可以采用HTTP和HTTPS協(xié)議通信。若客戶端和接入設(shè)備之間交互HTTP協(xié)議，則報(bào)文以明文形式傳輸，安全性無(wú)法保證；若客戶端和接入設(shè)備之間交互HTTPS協(xié)議，則報(bào)文基于SSL提供的安全機(jī)制以密文的形式傳輸，數(shù)據(jù)的安全性有保障。

• 本地Portal服務(wù)器支持由用戶自定義認(rèn)證頁(yè)面的內(nèi)容，即允許用戶編輯一套認(rèn)證頁(yè)面的HTML文件，并在壓縮之后保存至設(shè)備的存儲(chǔ)設(shè)備中。該套自定義頁(yè)面中包括六個(gè)認(rèn)證頁(yè)面：登錄頁(yè)面、登錄成功頁(yè)面、在線頁(yè)面、下線成功頁(yè)面、登錄失敗頁(yè)面和系統(tǒng)忙頁(yè)面。本地Portal服務(wù)器根據(jù)不同的認(rèn)證階段向客戶端推出對(duì)應(yīng)的認(rèn)證頁(yè)面，若不自定義，則分別推出系統(tǒng)提供的缺省認(rèn)證頁(yè)面。

  
  

6、Portal的認(rèn)證方式

不同的組網(wǎng)方式下，可采用的Portal認(rèn)證方式不同。按照網(wǎng)絡(luò)中實(shí)施Portal認(rèn)證的網(wǎng)絡(luò)層次來分，Portal的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。其中，三層接口Portal認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和可跨三層認(rèn)證方式。

• 二層認(rèn)證：

  這種方式支持在接入設(shè)備連接用戶的二層端口上開啟Portal認(rèn)證功能，只允許源MAC地址通過認(rèn)證的用戶才能訪問外部網(wǎng)絡(luò)資源。目前，該認(rèn)證方式僅支持本地Portal認(rèn)證，即接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)。另外，該方式還支持服務(wù)器下發(fā)授權(quán)VLAN和將認(rèn)證失敗用戶加入認(rèn)證失敗VLAN功能（三層認(rèn)證方式不支持）。

• 三層認(rèn)證：

  這種方式支持在接入設(shè)備連接用戶的三層接口上開啟Portal認(rèn)證功能。三層接口Portal認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和可跨三層認(rèn)證方式。直接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間沒有三層轉(zhuǎn)發(fā)；可跨三層認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。  

  
  三層直接認(rèn)證：用戶在認(rèn)證前通過手工配置或DHCP直接獲取一個(gè)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過后即可訪問網(wǎng)絡(luò)資源。認(rèn)證流程相對(duì)二次地址較為簡(jiǎn)單。

二次地址分配方式認(rèn)證：用戶在認(rèn)證前通過DHCP獲取一個(gè)私網(wǎng)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過后，用戶會(huì)申請(qǐng)到一個(gè)公網(wǎng)IP地址，即可訪問網(wǎng)絡(luò)資源。該認(rèn)證方式解決了IP地址規(guī)劃和分配問題，對(duì)未認(rèn)證通過的用戶不分配公網(wǎng)IP地址。例如運(yùn)營(yíng)商對(duì)于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時(shí)才分配公網(wǎng)IP。

 

可跨三層認(rèn)證方式：和直接認(rèn)證方式基本相同，但是這種認(rèn)證方式允許認(rèn)證用戶和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。

 

對(duì)于以上三種認(rèn)證方式，IP地址都是用戶的唯一標(biāo)識(shí)。接入設(shè)備基于用戶的IP地址下發(fā)ACL對(duì)接口上通過認(rèn)證的用戶報(bào)文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶的MAC地址，接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對(duì)用戶報(bào)文轉(zhuǎn)發(fā)的控制粒度。

7、Portal支持EAP認(rèn)證

    在對(duì)接入用戶身份可靠性要求較高的網(wǎng)絡(luò)應(yīng)用中，傳統(tǒng)的基于用戶名和口令的用戶身份驗(yàn)證方式存在一定的安全問題，基于數(shù)字證書的用戶身份驗(yàn)證方式通常被用來建立更為安全和可靠的網(wǎng)絡(luò)接入認(rèn)證機(jī)制。

    EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議）可支持多種基于數(shù)字證書的認(rèn)證方式（例如EAP-TLS），它與Portal認(rèn)證相配合，可共同為用戶提供基于數(shù)字證書的接入認(rèn)證服務(wù)。

    如上圖所示，在Portal支持EAP認(rèn)證的實(shí)現(xiàn)中，客戶端與Portal服務(wù)器之間交互EAP認(rèn)證報(bào)文，Portal服務(wù)器與接入設(shè)備之間交互攜帶EAP-Message屬性的Portal協(xié)議報(bào)文，接入設(shè)備與RADIUS服務(wù)器之間交互攜帶EAP-Message屬性的RADIUS協(xié)議報(bào)文，由具備EAP服務(wù)器功能的RADIUS服務(wù)器處理EAP-Message屬性中封裝的EAP報(bào)文，并給出EAP認(rèn)證結(jié)果。整個(gè)EAP認(rèn)證過程中，接入設(shè)備只是對(duì)Portal服務(wù)器與RADIUS服務(wù)器之間的EAP-Message屬性進(jìn)行透?jìng)?，并不?duì)其進(jìn)行任何處理，因此接入設(shè)備上無(wú)需任何額外配置。

8、二層portal的認(rèn)證過程

    目前，二層Portal認(rèn)證只支持本地Portal認(rèn)證，即由接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)，具體認(rèn)證過程如下。

• Portal用戶通過HTTP或HTTPS協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過配置了本地Portal服務(wù)器的接入設(shè)備的端口時(shí)會(huì)被重定向到本地Portal服務(wù)器的監(jiān)聽IP地址，本地Portal服務(wù)器提供Web頁(yè)面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。該本地Portal服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個(gè)與用戶之間路由可達(dá)的三層接口IP地址（通常為Loopback接口IP）。
• 接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互，對(duì)用戶身份進(jìn)行驗(yàn)證。
• 如果RADIUS認(rèn)證成功，則接入設(shè)備上的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁(yè)面，通知客戶端認(rèn)證（上線）成功。

9、三層Portal認(rèn)證過程

圖5 直接認(rèn)證/可跨三層Portal認(rèn)證流程圖

直接認(rèn)證/可跨三層Portal認(rèn)證流程：

(1)        Portal用戶通過HTTP協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過接入設(shè)備時(shí)，對(duì)于訪問Portal服務(wù)器或設(shè)定的免費(fèi)訪問地址的HTTP報(bào)文，接入設(shè)備允許其通過；對(duì)于訪問其它地址的HTTP報(bào)文，接入設(shè)備將其重定向到Portal服務(wù)器。Portal服務(wù)器提供Web頁(yè)面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。

(2)        Portal服務(wù)器與接入設(shè)備之間進(jìn)行CHAP（Challenge Handshake Authentication Protocol，質(zhì)詢握手驗(yàn)證協(xié)議）認(rèn)證交互。若采用PAP（Password Authentication Protocol，密碼驗(yàn)證協(xié)議）認(rèn)證則直接進(jìn)入下一步驟。

(3)        Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請(qǐng)求報(bào)文發(fā)往接入設(shè)備，同時(shí)開啟定時(shí)器等待認(rèn)證應(yīng)答報(bào)文。

(4)        接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。

(5)        接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報(bào)文。

(6)        Portal服務(wù)器向客戶端發(fā)送認(rèn)證通過報(bào)文，通知客戶端認(rèn)證（上線）成功。

(7)        Portal服務(wù)器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。

(8)        客戶端和安全策略服務(wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測(cè)接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫(kù)、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。

(9)        安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。

(10)    步驟(8)、(9)為Portal認(rèn)證擴(kuò)展功能的交互過程。

圖6 二次地址分配認(rèn)證方式流程圖

二次地址分配認(rèn)證流程：

(1)～(6)同直接/可跨三層Portal認(rèn)證中步驟（1）～（6）。

(7)        客戶端收到認(rèn)證通過報(bào)文后，通過DHCP獲得新的公網(wǎng)IP地址，并通知Portal服務(wù)器用戶已獲得新IP地址。

(8)        Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。

(9)        接入設(shè)備通過檢測(cè)ARP協(xié)議報(bào)文發(fā)現(xiàn)了用戶IP變化，并通告Portal服務(wù)器已檢測(cè)到用戶IP變化。

(10)    Portal服務(wù)器通知客戶端上線成功。

(11)    Portal服務(wù)器向接入設(shè)備發(fā)送IP變化確認(rèn)報(bào)文。

(12)    客戶端和安全策略服務(wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測(cè)接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫(kù)、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。

(13)    安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。

(14)    步驟(12)、(13)為Portal認(rèn)證擴(kuò)展功能的交互過程。

圖7 使用本地Portal服務(wù)器的認(rèn)證流程圖

直接/可跨三層本地Portal認(rèn)證流程：

(1)        Portal用戶通過HTTP或HTTPS協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過配置了本地Portal服務(wù)器的接入設(shè)備的接口時(shí)會(huì)被重定向到本地Portal服務(wù)器，本地Portal服務(wù)器提供Web頁(yè)面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。該本地Portal服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個(gè)與用戶之間路由可達(dá)的三層接口IP地址。

(2)        接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。

(3)        接入設(shè)備中的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁(yè)面，通知客戶端認(rèn)證（上線）成功。

圖8 Portal支持EAP認(rèn)證流程圖

支持EAP認(rèn)證的Portal認(rèn)證流程如下（各Portal認(rèn)證方式對(duì)于EAP認(rèn)證的處理流程相同，此處僅以直接認(rèn)證為例）：

(1)        Portal客戶端發(fā)起EAP認(rèn)證請(qǐng)求，向Portal服務(wù)器發(fā)送Identity類型的EAP請(qǐng)求報(bào)文。

(2)        Portal服務(wù)器向接入設(shè)備發(fā)送Portal認(rèn)證請(qǐng)求報(bào)文，同時(shí)開啟定時(shí)器等待Portal認(rèn)證應(yīng)答報(bào)文，該認(rèn)證請(qǐng)求報(bào)文中包含若干個(gè)EAP-Message屬性，這些屬性用于封裝Portal客戶端發(fā)送的EAP報(bào)文，并可攜帶客戶端的證書信息。

(3)        接入設(shè)備接收到Portal認(rèn)證請(qǐng)求報(bào)文后，構(gòu)造RADIUS認(rèn)證請(qǐng)求報(bào)文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互，該RADIUS認(rèn)證請(qǐng)求報(bào)文的EAP-Message屬性值由接入設(shè)備收到的Portal認(rèn)證請(qǐng)求報(bào)文中的EAP-Message屬性值填充。

(4)        接入設(shè)備根據(jù)RADIUS服務(wù)器的回應(yīng)信息向Portal服務(wù)器發(fā)送證書請(qǐng)求報(bào)文，該報(bào)文中同樣會(huì)包含若干個(gè)EAP-Message屬性，可用于攜帶RADIUS服務(wù)器的證書信息，這些屬性值由RADIUS認(rèn)證回應(yīng)報(bào)文中的EAP-Message屬性值填充。

(5)        Portal服務(wù)器接收到證書請(qǐng)求報(bào)文后，向Portal客戶端發(fā)送EAP認(rèn)證回應(yīng)報(bào)文，直接將RADIUS服務(wù)器響應(yīng)報(bào)文中的EAP-Message屬性值透?jìng)鹘oPortal客戶端。

(6)        Portal客戶端繼續(xù)發(fā)起的EAP認(rèn)證請(qǐng)求，與RADIUS服務(wù)器進(jìn)行后續(xù)的EAP認(rèn)證交互，期間Portal認(rèn)證請(qǐng)求報(bào)文可能會(huì)出現(xiàn)多次。后續(xù)認(rèn)證過程與第一個(gè)EAP認(rèn)證請(qǐng)求報(bào)文的交互過程類似，僅EAP報(bào)文類型會(huì)根據(jù)EAP認(rèn)證階段發(fā)展有所變化，此處不再詳述。

(7)        EAP認(rèn)證通過后，RADIUS服務(wù)器向接入設(shè)備發(fā)送認(rèn)證通過響應(yīng)報(bào)文，該報(bào)文的EAP-Message屬性中封裝了EAP認(rèn)證成功報(bào)文（EAP-Success）。

(8)        接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報(bào)文，該報(bào)文的EAP-Message屬性中封裝了EAP認(rèn)證成功報(bào)文。

(9)        Portal服務(wù)器根據(jù)認(rèn)證應(yīng)答報(bào)文中的認(rèn)證結(jié)果通知Portal客戶端認(rèn)證成功。

(10)    后續(xù)為Portal認(rèn)證擴(kuò)展功能的交互過程，可參考CHAP/PAP認(rèn)證方式下的認(rèn)證流程介紹，此處略。