web认证流程及常见问题分析

1、web认证流程及常见问题分析认证流程及常见问题分析2010.12.16 junkyGO一一Whats WEB认证认证1.认证技术是AAA（认证，授权， 计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为认证方式。目前的主要技术有以下三种：PPPoE、WebPortal、IEEE802.1x。 2.三种方式的技术优缺点 PPPoE优点：优点：是传统PSTN窄带拨号接入技术在以太网接入技术的延伸和原有窄带网络用户接入认证体系一致最终用户相对比较容易接收缺点：缺点：PPP协议和Ethernet技术

2、本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响组播业务开展困难，而视频业务大部分是基于组播的需要运营商提供客户终端软件，维护工作量过大PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵WEB+Portal 优点：优点：不需要特殊的客户端软件，降低网络维护工作量可以提供Portal等业务认证缺点：缺点：WEB承载在7层协议上，对于设备的要求较高，建网成本高用户连接性差，不容易检测用户离线，基于时间的计费较难实现易用性不够好，用户在访问网

3、络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证 IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持8021X优点：优点：802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求 缺点：缺点：需要特定客户端软件 网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求

4、楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题IP地址分配和 网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地 址分配、三层网络安全等问题，因此，单靠以太网交换机802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题 计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求综合比较综合比较GO二二WEB+Portal认

5、证流程认证流程1.WEB认证流程认证流程用户开始部分用户开始部分流程描述流程描述用户无线成功链接瘦AP用户DHCP获取IP地址，地址一般由AC分配用户HTTP 请求上网，AC推送Portal URL，携带ssid、userip、ACname等信息Portal Server返回请求页面与与Portal Server 交互流程交互流程流程描述流程描述与Portal交互流程，有CHAP和PAP两种a)用户上线CHAP认证流程用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面用户填入用户名、密码，提交页面，向Portal Server发起连接请求Porta

6、l Server向向AC请求请求ChallengeAC分配分配Challenge给给Portal Server Portal Server向AC发起认证请求而后AC进行RADIUS认证，获得RADIUS认证结果AC向Portal Server送认证结果Portal Server将认证结果填入页面，和门户网站一起推送给客户Portal Server回应确认收到认证结果的报文b)用户上线PAP认证流程用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面用户填入用户名、密码，提交页面，向Portal Server发起连接请求Portal Server向AC

7、发起认证请求而后AC进行RADIUS认证，获得RADIUS认证结果AC向Portal Server送认证结果Portal Server将认证结果填入页面，和门户网站一起推送给客户Portal Server回应确认收到认证结果的报文与与Radius Server 交互流程交互流程流程描述流程描述与Portal服务器认证流程成功结束后由Portal服务器发起认证请求AC接收到认证请求报文后向Radius 服务器发送认证请求报文Radius 服务器返回认证响应AC返回认证结果给Portal服务器。（以及相关业务属性）Portal服务器根据认证结果，推送认证结果页面Portal服务器回应AC收到认证结

8、果报文。如果认证失败，则流程到此结束。 认证如果成功，AC发起计费开始请求给RADIUS用户认证服务器RADIUS回应计费开始响应报文，并将响应信息返回给AC。用户上线完毕，开始上网在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息RADIUS计费服务器回应实时计费确认报文给AC当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文RADIUS计费服务器回应AC的计费结束报文正常下线流程正常下线流程流程描述流程描述当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发

9、起一个下线请求Portal服务器向AC发起下线请求AC返回下线结果给Portal服务器Portal服务器根据下线结果，推送含有对应的信息的页面给用户当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文RADIUS用户认证服务器回应AC的计费结束报文异常下线流程异常下线流程流程描述流程描述AC侦测到用户下线，向Portal服务器发出下线请求Portal服务器回应下线成功当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费结束报文用户强制下线流程用户强制下线流程流程描述流程描述AC侦测到用户的本次连接最大允许接入时间结束，向Porta

10、l服务器发出下线请求 Portal服务器回应下线成功,并向用户推送下线结果页面当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费结束报文DM消息强制下线流程消息强制下线流程流程描述流程描述Radius向AC下发Disconnect-Request消息 AC向Portal服务器发出下线请求Portal服务器回应下线成功,并向用户推送下线结果页面AC向Radius回应Disconnect-ACK下线成功AC向中央RADIUS计费服务器发计费结束报文中央RADIUS计费服务器回应AC的计费结束报文如AC踢用户下线失败，则向Radius回应Disc

11、onnect-NAK2.WEB认证流程报文分析认证流程报文分析上线流程报文上线流程报文报文描述报文描述4 号报文是Portal Server to AC (Request Challenge : 0 x01)5 号报文是AC to Portal Server (ACK Challenge : 0 x02)6 号报文是Portal Server to AC (Request Auth : 0 x03)7 号报文是AC to Radius Server (Access Request)8 号报文是Radius Server to AC (Access Accept)9 号报文是AC to Radi

12、us Server (Accounting Request Start)10 号报文是AC to Portal Server (ACK Auth : 0 x04)11 号报文是Portal Server to AC (AFF ACK Auth : 0 x07)12 号报文是Radius Server to AC (Accounting Response)下线流程报文下线流程报文报文描述报文描述80 号报文是Portal Server to AC (Request Logout :0 x05)81 号报文是AC to Portal Server (ACK Logout : 0 x06)82 号报

13、文是AC to Radius Server (Accounting Request Stop)83 号报文是Radius Server to AC (Accounting Response)中间计费报文中间计费报文报文描述报文描述38 号报文是AC to Radius Server (Accounting Request Status)39 号报文是Radius Server to AC (Accounting Response)GO三三常见问题分析常见问题分析1.Portal 页面无法推出页面无法推出通常Portal 页面推不出一般是由AC、Portal服务器地址配置不正确引起AC的Portal服务器地址确认加入到认证前白名单中？URL中的User IP 是否在Portal Server的地址池中？Wlan ACname 是否正确？2.认证失败认证失败引起Radius Server返回认证被拒绝的情况有很多：认证请求报文中参数不正确a)用户名是否正确b)NAS_IP_ADDRESS, AC的外网IPc)CALLED_STAT