二、MAC 认证

01

MAC 认证简介

MAC 认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了 MAC 认证的端口上首次检测到用户的 MAC 地址以后，即启动对该用户的认证操作。

认证过程中，不需要用户手动输入用户名或者密码。

根据设备最终用于验证用户身份的用户名格式和内容的不同，可以将 MAC 认证使用的用户名格式分为两种类型：

①MAC 地址用户名格式：使用用户的 MAC 地址作为认证时的用户名和密码。

②固定用户名形式：不论用户的 MAC 地址为何值，所有用户均使用设备上指定的一个固定用户名和密码替代用户的 MAC 地址作为身份信息进行认证。

由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有 MAC 认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求，这适用于接入客户端比较可信的网络环境。

02

MAC 认证支持的 Guest VLAN 功能

Guest VLAN 功能开启后，当用户不响应 MAC 认证请求时，设备会将用户所在端口加入到 Guest VLAN 中，这样用户就可以访问 Guest VLAN 中的资源，从而满足了用户不进行认证也能够访问某些网络资源的需求。

03

用户组授权功能

设备支持根据用户组对用户进行授权控制，即用户认证成功后，认证服务器下发用户组，将用户进行分类。

每个用户组可以关联不同的 ACL 规则，通过用户组和 ACL 规则的关联，实现对每类用户进行 ACL 授权信息控制，即同类用户采用同样的授权信息。

三、Portal 认证

01

Portal 认证简介

Portal 认证通常也称为 Web 认证，一般将 Portal 认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的 Portal 认证网站，输入用户名和密码进行认证，这种开始 Portal 认证的方式称作主动认证。

反之，如果用户试图通过 HTTP 访问其他外网，将被强制访问 Portal 认证网站，从而开始 Portal 认证过程，这种方式称作强制认证。

Portal 认证业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

02

Portal 认证系统结构

Portal 服务器可以是接入设备之外的独立实体（外置 Portal 服务器），也可以是存在于接入设备之内的内嵌实体（内置 Portal 服务器）。

使用外置 Portal 服务器的 Portal 认证系统

如图所示， Portal 认证系统的典型组网方式由四个基本要素组成：认证客户端、接入设备、 Portal 服务器与认证/计费服务器。

使用外置 Portal 服务器的 Portal 认证系统组成示意图：

1. 认证客户端：安装于用户终端的客户端系统，为运行 HTTP/HTTPS 协议的浏览器或运行 Portal 客户端软件的主机。

2. 接入设备：交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

①在认证之前，将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务器。

②在认证过程中，与 Portal 服务器、认证/计费服务器交互，完成身份认证/计费的功能。

③在认证通过后，允许用户访问被管理员授权的互联网资源。

3. Portal 服务器：接收 Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于 Web 认证的界面，与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器：与接入设备进行交互，完成对用户的认证和计费。

①使用内置 Portal 服务器的 Portal 认证系统

内置 Portal 服务器是指， Portal 认证系统中不采用外部独立的 Portal 服务器，而由接入设备实现 Portal 服务器功能。这种情况下， Portal 认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器，如图所示。

使用内置 Portal 服务器的 Portal 认证系统组成示意图：

03

Portal 认证方式

不同的组网方式下，可采用的 Portal 认证方式不同。按照网络中实施 Portal 认证的网络层次来分， Portal 的认证方式分为两种：二层认证方式和三层认证方式。

04

二层认证方式

认证客户端与接入设备直连（或之间只有二层设备存在），设备能够学习到用户的 MAC 地址，则设备可以利用IP 和 MAC 地址来识别用户，此时可配置 Portal 认证为二层认证方式。

二层认证流程简单，安全性高，但由于限制了用户只能与接入设备处于同一网段，降低了组网的灵活性。

在二层认证方式下，用户上线时的报文交互过程如图所示：

1.Portal 用户通过 HTTP 协议发起认证请求。HTTP 报文经过接入设备时，对于访问 Portal 服务器或设定的免认证网络资源的 HTTP 报文，接入设备允许其通过。

对于访问其它地址的 HTTP 报文，接入设备将其重定向到 Portal 服务器。Portal 服务器提供 Web 页面供用户输入用户名和密码来进行认证。

2.Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。

若采用 PAP（Password Authentication Protocol，密码验证协议）认证则 Portal 服务器无需与接入设备进行 PAP 认证交互，而直接进行第三步。

3.Portal 服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

4.接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。

5. 接入设备向 Portal 服务器发送认证应答报文。

6. Portal 服务器向客户端发送认证通过报文，通知客户端认证成功。

7. Portal 服务器向接入设备发送认证应答确认。

05

三层认证方式

当设备部署在汇聚层或核心层时，在认证客户端和设备之间存在三层转发设备，此时设备不一定能获取到认证客户端的 MAC 地址，所以将以 IP 地址唯一标识用户，此时需要将 Portal 认证配置为三层认证方式。

三层认证的报文处理流程跟二层认证完全一致。三层认证组网灵活，容易实现远程控制，但由于只有 IP 可以用来标识一个用户，所以安全性不高。

06

Portal 认证探测与逃生功能

Portal 认证实际组网应用中，若设备与 Portal 服务器之间出现网络故障导致通信中断或者 Portal 服务器本身出现故障，则会造成新的 Portal 认证用户无法上线，已经在线的 Portal 用户也无法正常下线。

这将给用户带来很大的不便，同时可能会造成 Portal 服务器与设备的用户信息不一致，以致带来计费不准确等问题。

Portal 探测和逃生功能可使在网络故障或 Portal 服务器无法正常工作的情况下，设备让用户仍然能够正常使用网络并具有一定的网络访问权限，并通过日志和 Trap 的方式报告故障。

同时设备通过用户信息同步机制，可保证Portal 服务器与设备上用户信息的一致性，以避免可能出现的计费不准确问题。

用户组授权功能设备支持根据用户组对用户进行授权控制，即用户认证成功后，认证服务器下发用户组，将用户进行分类。

每个用户组可以关联不同的 ACL 规则，通过用户组和 ACL 规则的关联，实现对每类用户进行 ACL 授权信息控制，即同类用户采用同样的授权信息。

四、混合认证

在客户端形式多样的网络环境中，不同客户端支持的接入认证方式有所不同。

有的客户端只能进行 MAC 地址认证（比如打印机终端）；有的主机安装了 802.1x 客户端软件，可以进行 802.1x 认证；有的用户主机则只希望通过 Web 访问进行 Portal 认证。

为了灵活地适应这种网络环境中的多种认证需求，需要在接入用户的端口上对三种认证方式进行统一部署，使得用户可以选择任何一种适合的认证机制来进行认证，且只需要成功通过一种方式的认证即可实现接入。

混合认证方案可满足以上需求，通过同时在设备的二层端口上使能 Portal 认证、 MAC 地址认证、 802.1x 认证，使得客户端可以通过三种认证方式中的任意一种进行认证即可接入网络。

说明：混合认证中的 Portal 认证仅支持使用内置 Portal 服务器认证场景。