97国际

97国际睿易 97国际官方商城

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

Global / English
France / Fran?ais
Germany / Deutsch
Indonesia / Indonesian
Italy / Italiano
Japan / 日本語
Kazakhstan / Pусский
Poland / Polski

Portugal / Português
Spain / Espa?ol (Espa?a)
Thailand / ???????
Vietnam / Vi?t Nam
LATAM / Espa?ol
(América Latina)
Türkiye / Türk?e
Brazil / Português(Brazil)

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

交流机

交流机所有产品

< 返回产品

交流机主页

交流机

园区网交流机

园区网交流机所有产品

数据中心与云盘算交流机

数据中心与云盘算交流机所有产品

行业精选交流系列

行业精选交流系列所有产品

工业交流机

工业交流机所有产品

SDN

SDN所有产品

配件

配件所有产品

所有手艺解决计划

全万兆园区网络
全万兆园区网络

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

焦点路由器

焦点路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有手艺解决计划

园区网计划
极简出口解决计划

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

无线管理与应用
RG-WIS云管理平台

所有手艺解决计划

云桌面

云桌面产品计划中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

审查云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

服务产品

服务产品所有产品

所有手艺解决计划

清静

清静所有产品

< 返回产品

清静主页

清静

大数据清静平台

大数据清静平台所有产品

下一代防火墙

下一代防火墙所有产品

清静网关

清静网关所有产品

检测管理清静

检测管理清静所有产品

清静服务

清静服务所有产品

清静云

清静云所有产品

所有手艺解决计划

清静
97国际网络出口网安融合解决计划
企业办公综合出口解决计划
商贸连锁综合网关解决计划
高职教多营业出口解决计划

软件

软件所有产品

< 返回产品

软件主页

软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有手艺解决计划

教育
极简校园网综合运维管理

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

清静管理系列

清静管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

所有手艺解决计划

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实验服务

基础实验服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

清静服务

清静服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

97国际睿易

体验中心

97国际AI应用

网络钻研会

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商首页 >

运营商

政府

< 返回行业

政府首页 >

政府

金融

< 返回行业

金融首页 >

金融

好体验智营销强管理
金融无线互联网解决计划

互联网

< 返回行业

互联网首页 >

互联网

制造业

< 返回行业

制造业首页 >

制造业

高教/职教

< 返回行业

高教/职教首页 >

高教/职教

普教

< 返回行业

普教首页 >

普教

教育新基建
教育极简城域网解决计划
教育局云桌面

医疗卫生

< 返回行业

医疗卫生首页 >

医疗卫生

交通

< 返回行业

交通首页 >

交通

97国际睿易

体验中心

网络钻研会

解决计划

< 返回主菜单

行业

手艺及场景解决计划

交流机所有产品

< 返回解决计划

交流机

EDN体验驱动网络

热门计划

97国际·(中国区)集团官方网站

EDN体验驱动网络解决计划

面向金融、教育、企业等行业园区网以及分支网场景，从客户体验角度出发，打造弹性组网体验、优质用网体验、便捷清静体验、轻松运维体验，助力打造智慧园区，加速企业数字化转型。

算力互联

热门计划

97国际·(中国区)集团官方网站

AI Fabric智算中心网络解决计划

面向大规模智算场景，接纳高带宽、低时延的RoCE无损网络设计，为各行业用户提供无邪组网、智能调优、智能运维的算力中心建设计划。

智能园区与无线网络

热门计划

97国际·(中国区)集团官方网站

医疗新一代全院零周游解决计划

面向病房、门诊、科室等医疗场景，搭建高速、稳固、清静、简运维，适配未来医疗营业演进的无线网络，提升医疗服务效率和质量，助力智慧医院高效建设。

全光网

热门计划

97国际全场景全光园区网解决计划

97国际全场景全光园区网解决计划

融合以太彩光、光电混淆实时分复用手艺，突破古板网络带宽、距离、供电与运维瓶颈，为教育、医疗、企业办公、智能制造等场景提供万兆到桌面、营业零中止、分钟级运维的新一代全光网络基座。

网安融合

热门计划

97国际·(中国区)集团官方网站

97国际网络出口网安融合解决计划

面向高教、普教、政府、企业、医疗等用户的网络出口等场景, 通过网安融合，提供横向全域危害检测能力，并可通过外地情报库降低清静危害外溢，同时提供自动溯源和清静告警能力，资助运维职员提升一样平常清静运维管理效率。

云桌面

热门计划

97国际·(中国区)集团官方网站

清静云办公3.0解决计划

通过可靠的虚拟化平台、富厚的功效特征，为用户提供高清静、高体验、高效率的桌面办公计划。

行业解决计划

交流机所有产品

< 返回解决计划

交流机

运营商

运营商所有解决计划

运营商所有解决计划 >

政府

政府所有解决计划 >

金融

好体验智营销强管理
金融无线互联网解决计划

金融所有解决计划 >

互联网

互联网所有解决计划 >

制造业

制造业所有解决计划 >

高教/职教

高教/职教所有解决计划 >

普教

教育新基建
极智V5教育城域网
教育局云桌面

普教所有解决计划 >

医疗卫生

医疗卫生所有解决计划 >

交通

交通所有解决计划 >

97国际睿易

体验中心

网络钻研会

服务支持

< 返回主菜单

服务与支持中心

服务与支持

服务工具

小锐云服
小锐云桥
客服中心AI闪电侠
智能云管平台MACC
无线智能服务WIS
97国际清静云平台
审查所有

服务平台

云桌面服务平台
睿易服务平台
合作伙伴服务平台

手艺支持

服务产品

产品服务

教学服务

97国际ICT人才教育中心
校企合作
认证系统
培训妄想

合作伙伴

< 返回主菜单

合作伙伴中心

合作伙伴

成为97国际伙伴

合作伙伴政策
行为准则
清廉及合规举报
我要签约
SMB事业部分销专区

售前营销

市场资料库(合作伙伴)
97国际产品设置器
营销资料平台
售前认证
售前工具包
合作伙伴礼物库
e-Learning
产品资质盘问
远程POC

销售与订单

项目报备管理系统
订单管理
产品停服信息
产品停售信息
商务手册
行业渠道产品电商平台
历史订单盘问
授权函盘问

售后及服务

售后认证
售后工具包
RSDP 97国际服务交付平台
售后服务认证
售后知识平台
渠道服务管理系统（CSM）
SMB渠道客户服务平台（CCSP）

用户中心

系统指导大全
账号管理
下载电子授权牌
签约信息审查
资质盘问
签章管理
返利管理
睿易手艺认证盘问

关于97国际

< 返回主菜单

关于97国际首页

关于97国际

公司先容

公司动态

加入我们

社会招聘
校园招聘

联系97国际

营销资料平台

投资者关系

小我私家中心

97国际商城

返回主菜单

选择区域/语言

Global / English

Japan / 日本語

Türkiye / Türk?e

Vietnam / Vi?t Nam

Indonesia / Indonesian

Thailand / ???????

Spain / Espa?ol (Espa?a)

Portugal / Português

France / Fran?ais

Poland / Polski

Kazakhstan / Pусский

Germany / Deutsch

Italy / Italiano

Brazil / Português(Brazil)

LATAM / Espa?ol (América Latina))

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

企业办公网接入认证手艺详解

【网络接入认证】在企业办公网场景中最常用到的就是802.1X认证和Portal认证。本文将对802.1X认证手艺和Portal认证手艺举行详细解说。

宣布时间：2019-04-12
点击量：
点赞：

分享至

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

我想谈论

背景

办公网承载着企业内部众多要害营业系统，若是终端毗连到网络中便可直接会见办公网络资源，会带来网络被攻击的危害，企业内部资料有可能被具有不法意图的攻击者窃取。怎样包管用户接入网络的合规与正当性，早已成为业界关注的焦点。网络接入认证手艺就是在这样的配景下爆发的。

多种网络接入认证方法

接入认证的方法有许多种，在园区网中常见的有以下四种：

1、802.1X（Port-Based Network Access Control）认证：

• 是一个基于端口的网络存取控制标准，为LAN提供点对点式的清静接入；

• 802.1X的最终目的就是确认一个物理端口或Wi-Fi毗连是否可用，若是认证乐成绩允许使用该物理端口或Wi-Fi毗连。

2、Portal认证：

• 也称Web认证，是一种对用户会见网络的权限举行控制的认证要领；

• 当用户需要会见认证服务器以外的其它网络资源时，就必需通过浏览器在Portal服务器上举行身份认证，只有认证通事后才可以会见相关网络资源。

3、PPPoE（Point-to-Point Protocol Over Ethernet）认证：

• 从窄带手艺演化而来，PPP最早就是专门为电话线上网而设计的，当宽带普及后，为了兼容以前的电话线用户习惯，故在宽带网络中继续了PPP手艺；

• 当客户端要通过PPPoE上网时，它必需首先举行发明阶段以识别对端的以太网MAC地址，并建设一个PPPoE ID，这样才华乐成建设一个会话，从而会见网络资源。

4、IPoE认证：

• 又称DHCP+认证，使用DHCP配合其他手艺实现认证，如DHCP+OPTION扩展字段举行认证；

• IPoE认证基于上网用户的物理位置（唯一的VLAN ID/PVC ID）对用户举行认证和计费，用户上网时无需输入用户名和密码。

在企业办公网场景中最常用到的就是802.1X认证和Portal认证。本文将对802.1X认证手艺和Portal认证手艺举行详细解说。

802.1X认证手艺详解

802.1X认证系统组成

如图1所示，802.1X认证系统由恳请者、认证者、认证服务器三个角色组成。在现实应用中，三者划分对应为：客户端（Client）、网络接入控制装备(Network Access Server，NAS)、RADIUS Server。

97国际·(中国区)集团官方网站
▲图1：802.1X认证系统组成

• 恳请者

恳请者是客户端所饰演的角色；
它请求对网络的会见，并对认证者的请求报文举行应答；
恳请者必需运行切合802.1X客户端标准的软件（现在各操作系统均已集成支持）。

• 认证者

认证者在客户端与认证服务器之间，一样平常是交流机、AP等接入装备；

认证者装备也称为NAS，它要认真把从客户端收到的认证信息封装成RADIUS名堂的报文并转发给RADIUS Server，同时要把从RADIUS Server收到的信息举行剖析后转发给客户端；

认证者装备有两种类型的端口：受控端口（Controlled Port）和非受控端口（Uncontrolled Port）：

• 毗连在受控端口的用户只有通过认证才华会见网络资源；

• 毗连在非受控端口的用户无须经由认证便可以直接会见网络资源。非受控端口主要是用来毗连认证服务器，以便包管服务器与装备的正常通讯。

• 认证服务器

认证服务器通常为RADIUS服务器，和认证者配合完成认证；

认证服务器生涯了用户名和密码，以及响应的授权信息；

一台服务器可以对多台认证者提招供证服务，这样就可以实现对用户的集中管理。

802.1X认证状态机

认证通过前（非授权状态）

97国际·(中国区)集团官方网站

▲图2：认证通过前的端口状态

如图2，端口未认证，受控端口开路，只允许EAPOL（Extensible Authentication Protocol over LAN）报文和广播报文（DHCP,ARP）通过端口，不允许其它营业流通过。

• 认证通事后（授权状态）

97国际·(中国区)集团官方网站

▲图3：认证通事后的端口状态

如图3，认证通事后，受控端口闭合，用户的营业流可以顺遂通过。

• 认证状态的坚持

认证者可以准时要求客户端重新认证，时间可设置，重新认证的历程对用户是无感知的，即用户不需要重新输入密码。

• 下线方法

1) 物理端口Down——拔插网线、关机、断开Wi-Fi等；

2) 重新认证欠亨过或超时；

3) 用户自动下线；

4) 网管强制下线。

802.1X认证基础协议

97国际·(中国区)集团官方网站

▲图4：装备间的报文交互

如图4，客户端和认证者之间用EAPoL名堂封装EAP协议传送认证信息；认证者与认证服务器之间通过RADIUS协议传送信息。

• EAPoL协议

802.1x协议界说了一种报文封装名堂，这种报文称为EAPoL（EAP over LANs局域网上的扩展认证协议）报文，主要用于在客户端和认证系统之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。

97国际·(中国区)集团官方网站
▲图5：EAPoL报文名堂

EAPoL报文名堂如图5，下面将对报文各字段举行诠释：

● PAE（Port Access Entity）Ethernet Type：2字节，体现协议类型，为0x888E；

● Protocol Version：1字节，体现EAPOL帧的发送方所支持的协议版本号；

● Type：1字节，体现EAPoL数据帧类型，详细类型如图6所示；

97国际·(中国区)集团官方网站
▲图6：EAPoL数据帧类型

● Length：2字节，体现数据长度，也就是“Packet Body”字段的长度，单位为字节。若是为0，则体现没有后面的数据域；

• EAPoL-Start和EAPoL-Logoff报文的Length值都为0

● Packet Body：体现数据内容，凭证差别的Type有差别的名堂。

• EAP协议

当EAPoL数据帧名堂Type域为EAP-Packet时，Packet Body为EAP数据报文。

97国际·(中国区)集团官方网站
▲图7：EAP报文名堂

EAP报文名堂如图7，下面将对报文各字段举行诠释：

●Code：一个字节，指明EAP包的类型，共有4种，界说如下：

1--------Request

2--------Response

3--------Success

4--------Failure

由于该字段值只界说了1到4，若是EAP报文的该字段为其它值，则应被认证者和客户端扬弃；

● Identifier：一个字节，用于应答报文和请求报文之间举行匹配；

● Length：两个字节，EAP包的长度，包括Code、Identifier、Length和Data域，单位为字节；

● Data：EAP数据包内容，长度为零个或多个字节，由Code类型决议。Request和Response类型报文的Data域名堂如图8所示：

97国际·(中国区)集团官方网站
▲图8：Request/Response Data域名堂

Type：1个字节，标识EAP的认证类型，Type字段现在界说的值及其简要说明如下：

• Type＝1 ----Identifier（用来询问对端的身份）

• Type＝2 ----Notification（非必需的一个新闻，传送一些忠言新闻，好比提醒密码将要超期、OTP的顺序号码靠近零以及认证失败的忠言等）

• Type＝3 ----Nak (Response Only)（Request报文中的认证类型不可接受时回复该类型的报文）

• Type＝4 ----MD5-Challenge（类似于CHAP中的MD5-Challenge，使用MD5算法）

• Type＝5 ----One-Time Password (OTP，一种密码交互的方法）

• Type＝6 ----Generic Token Card（通用令牌卡类型，适用于种种需要用户输入信息的令牌卡的实现）

• Type＝254 ----Expanded Types（供厂商支持自己的扩展类型）

Type＝255 ----Experimental use（在实验新的类型时使用）

Type Data：该字段的内容由Type字段的值决议。

• RADIUS协议

RADIUS是AAA(Authentication、Authorization、Accounting)协议的一个实现，RADIUS协议划定了NAS与RADIUS服务器之间怎样转达用户信息和记账信息，RADIUS服务器认真吸收用户的毗连请求，完成验证，并把转达服务给用户所需的设置信息返回给NAS。

97国际·(中国区)集团官方网站
▲图9：RADIUS报文名堂

RADIUS报文名堂如图9，下面将对报文各字段举行诠释：

● Code：代指数据包的编号，标识了该数据包是什么类型的，若是是未知类型的数据包就会被默认扬弃，现在大致有以下几种常用编号：

1----Access-Request（接入请求，认证用）

2----Access-Accept （赞成接入，认证用）

3----Access-Reject （拒绝接入，认证用）

4----Accounting-Request（计费请求，计用度）

5----Accounting-Response （计费响应，计用度）

11----Access-Challenge （接入挑战，认证用）

● Identifier：RADIUS报文标识；

● Length：RADIUS报文长度；

● Authenticator：用于RADIUS Client 和Server之间新闻认证的有用性，和密码隐藏算法。

• 在Access-Request数据包中，Authenticator的值是16字节随机数，被称为请求认证器，认证字的值要不可被展望并且在一个共享密钥的生命期内唯一；

• 在Access-Accept、Access-Reject和Access-Challenge数据包中的Authenticator被称为响应认证器，值界说为MD5(Code + ID + Length + RequestAuth + Attributes + Secret)。

● Attributes：存储用户的信息，如用户名，IP地址等。

802.1X认证流程详解

802.1X认证历程如图10：

97国际·(中国区)集团官方网站
▲图10：802.1X认证历程

1. 当用户会见网络时翻开（Windows自带客户端可自动翻开）802.1x客户端程序，凭证提醒输入已经在RADIUS服务器中建设的用户名和密码，提倡毗连请求，此时，客户端程序将向装备端发出认证请求�。‥APoL-Start），启动认证历程；

2. NAS收到该报文后，发送一个EAP-Request报文响应客户端的认证请求，要求用户提供用户名信息；

3. 客户端收到EAP-Request之后响应一个EAP-Response报文，将用户名封装在EAP报文中发给NAS；

4. NAS将客户端送来的EAP-Request报文与自己的装备IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证服务；

5. 认证服务器收到RADIUS Access-Request报文后举行验证，若是该用户的相关信息有用，则对该用户提倡一次认证挑战（RADIUS Access-Challenge），要求用户提供密码；

6. NAS收到这条RADIUS Access-Challenge报文后，将挑战请求用EAP-Challenge Request转发给客户端；

7. 客户端接到挑战请求后，将用户密码举行MD5加密处置惩罚，并封装在EAP-Challenge Response中返回给NAS；

8. NAS将用户的EAP-Challenge Response封装为RADIUS Access-Request报文转发给认证服务器；

9. 认证服务器对用户的密码举行验证，若是验证失败，服务器将返回一条RADIUS Access-Reject报文，拒绝用户的认证请求；若是验证通过，则发送一条RADIUS Access-Accept报文给交流机；

10. NAS在接到认证服务器发来的RADIUS Access-Accept之后，扫除对客户端的会见控制，同时发送一条EAP-Success报文给客户端通知其认证已经乐成；

11. NAS向认证服务器发送一条RADIUS Accounting-Request（Start）报文，申请对该用户举行记账；

12. 认证服务器接到请求后最先记账，并向NAS返回一条RADIUS Accounting-Response报文，见告记账操作已经最先；

13. 用户下线时，客户端向NAS发送一条EAPoL-Logoff报文，申请下线；

14. NAS向认证服务器发送RADIUS Accounting-Request（Stop）请求，申请对该用户阻止记账；

15. 认证服务器收到请求后阻止记账，同时响应一条RADIUS Accounting-Response报文；

16. NAS发送一条EAPoL Failure新闻给客户端提醒下线乐成，并翻开对该用户的会见控制。

Portal认证手艺详解

Portal认证，以其轻量、易安排等特点，受到许多企业用户的欢迎。Portal认证营业可以为管理者提供利便的管理功效，如要求所有用户在门户网站举行认证，门户网站可以开展企业个性化信息推广营业等，为信息撒播提供一个优异的载体。

Portal认证系统组成

97国际·(中国区)集团官方网站

▲图11：Portal认证系统

• Client

认证客户端，通常是一个浏览器，运行HTTP协议，用户通过浏览器上网时浏览器将发出HTTP请求。

• NAS

在网络拓扑中一样平常是接入层装备，和用户终端装备直接相连；
在NAS上需要启动Portal认证功效，NAS吸收Portal Server发过来的用户认证信息，并向RADIUS Server提倡认证请求，凭证认证效果设置用户是否可以上网，同时向Portal Server反响认证效果。

• Portal 服务器

提供Portal认证页面，和NAS交互认证客户端的认证信息；
Portal 服务器向客户端推送认证页面，用户在认证页面上填入帐号、密码等信息，提交到Portal服务器，Portal服务器提取其中的账号信息，并将此信息发送到NAS，同时凭证NAS反响的认证效果，通过页面反响给用户；
Portal服务器可分为内置Portal服务器和外置Portal服务器两种。

• 通常交流机/AC会内置Portal服务器。受限于接入装备存储空间、功效和性能，内置Portal服务器只适合功效简朴、接入人数少的场景；

• 若是需要实现微信接入、短信接入等重大的功效，思量到接入装备性能和认证体验，需要具有自力于接入装备之外的硬件服务器来承载Portal认证营业。

• RADIUS服务器

与NAS举行交互，提供基于RADIUS协议的用户认证，从而完成对用户的认证、计费和授权。

Portal认证状态机

• 认证通过前

客户端通过手动设置或DHCP获取的一个公网IP举行认证，通过认证前用户的所有HTTP请求都重定向（使用的是HTTP协议中的302报文的特征）到Portal服务器。

• 认证通事后

接入装备会打起源口，允许用户会见被管理员授权的互联网资源。

• 认证状态的坚持

客户端和Portal 服务器准时发送心跳报文交互，关于客户端来说，4个心跳报文没有收到回复，就以为自己已经下线，重新提倡认证；关于Portal服务器，在指定的时间内没有收到心跳报文，就以为用户下线，并通知接入装备将用户下线。但在现实应用中，以97国际的交流机（交流机做NAS）为例，若是在一准时间内没有收到流量即以为用户下线。

• 下线方法

1) 物理端口Down——拔插网线、关机、断开Wi-Fi等；

2) 重新认证欠亨过或超时；

3) 用户自动下线；

4) 网管强制下线。

Portal认证基础协议

• Portal协议

Portal协议是一种私有协议，承载于TCP上。Portal协议现在有两个版本：Portal v1.0和Portal v2.0，v2.0协议是对原有v1.0协议保存的误差和不对理处举行部分完善：

1. 修改了报文名堂，在AttrNum字段之后增添了16个字节的Authenticator字段；

2. 增添对所有协议报文的校验，包括上线流程、下线流程和盘问流程；

3. 修改了TextInfo属性，使其完全切合TLV【Tag（标签），Length（长度），Value（值）】名堂。

若v1.0与v2.0有冲突的地方，现在均以v2.0版本为准。

97国际·(中国区)集团官方网站
▲图12：Portal报文名堂

Portal报文如图12，下面将对各字段举行诠释：

● Ver：协议的版本号，长度为 1 字节，Ver = 0x01或0x02；

● Type：界说报文的类型，长度为 1 字节；

● Pap/Chap ：Pap/Chap字段界说此用户的认证方法，长度为 1 字节，只对Type值为 0x03 的认证请求报文有意义：

• Chap方法认证－－－值为0x00

• Pap 方法认证－－－值为0x01

● Rsv：Rsv现在为保存字段，长度为 1 字节，在所有报文中值为 0；

● SerialNo：报文的序列号，长度为 2 字节，由PortalServer随机天生，该字段作用主要用于区别同类型但差别认证流程中的报文；

● ReqID：2个字节，由认证装备随机天生，该字段作用主要用于区别同类型但差别认证流程中的报文，该字段关于PAP认证无意义，在Chap认证中，该字段低8位作为Chap_Password 天生历程中MD5函数的输入；

● UserIP：Portal用户的IP地址，长度为 4 字节，其值由PortalServer凭证其获得的IP地址填写，在所有的报文中此字段都要有详细的值；

● UserPort：该字段现在没有用到，长度为 2 字节，在所有报文中其值为0；

● ErrCode：该字段和Type字段一起体现一定的意义，长度为 1字节，各组合意义如下表：

97国际·(中国区)集团官方网站
▲表1： ErrCode值表
说明：其中type类型为9、10的两个报文其ErrCode的界说为v2.0新增界说。

● AttrNum：体现厥后边可变长度的属性字段属性的个数，长度为 1 字节，即最多可携带属性255个属性。

Portal认证流程详解

Portal认证流程如下：

97国际·(中国区)集团官方网站
▲图13：Portal认证流程

1. 用户通过标准的DHCP协议获取到妄想的IP地址；

2. 用户翻开IE，会见某个网站，提倡HTTP请求；

3. NAS截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器；

4. Portal服务器向用户终端推送Web认证页面；

5. 用户在认证页面上填入帐号、密码等信息，提交到Portal服务器；

6. Portal服务器将吸收到的用户认证信息发给NAS；

7. NAS向RADIUS服务器提倡RADIUS认证；

8. RADIUS服务器凭证用户信息判断用户是否正当,向NAS返回认证效果报文；

9. NAS返回认证效果给Portal服务器；

10. Portal服务器凭证认证效果，推送认证效果页面；

11. Portal服务器回应NAS收到认证效果报文,若是认证失败，则流程到此竣事；

12. 认证若是乐成，NAS提倡计费最先请求给RADIUS服务器；

13. RADIUS服务器回应计费最先响应报文，并将响应信息返回给NAS,用户上线完毕，最先上网；

14. 在用户上网历程中，为了�；び没Ъ品研畔�，每隔一段时间NAS就向RADIUS服务器发送记账更新报文；

15. RADIUS服务器回应实时计费确认报文给NAS。

总结

本文对802.1X 和Portal 认证举行了事情原理和认证流程的详细叙述。简朴的说，802.1X认证的最终目的，就是确定一个端口（物理端口或Wi-Fi毗连）是否能被放通，从而实现对接入实体的管控。关于一个端口，若是认证乐成绩翻开这个端口，并提供网络服务；若是认证失败就使这个端口坚持关闭，不提供网络服务。Portal认证的实质着实和802.1X一样，都是基于认证效果判断接口是否可用。相关于802.1X认证来说，Portal更轻量化，无需装置客户端软件，浏览器即可完成认证。同时，由于Portal服务器和用户浏览器有页面交互，用户可以凭证现实需求对认证页面举行定制，将认证主页建设为企业网内部员工信息宣布平台。

值得注重的是，现在许多认证计划都是基于这两种认证的，好比双因子认证（用户名密码+短信验证码）、无感知认证（802.1X+MAC或Portal+MAC）、证书认证（802.1X+证书或Portal+证书）、OTP认证（802.1X+随机验证码或Portal+随机验证码）等。别的，还能通过认证获得差别的会见权限。我们可以凭证现实需求应用差别的认证计划，关于这些扩展手艺计划的实现方法，我们将会在后续的文章中和各人分享。

本期作者：李莹
97国际网络互联网系统部行业咨询

97国际·(中国区)集团官方网站

往期精彩回首

【第一期】浅谈物联网手艺之通讯协议的纷争
【第二期】怎样通过网络遥测（Network Telemetry）手艺实现细腻化网络运维？
【第三期】泛论数据中心网络运维自动化
【第四期】基于Rogue AP反制的无线清静手艺探讨
【第五期】流量可视化之ERSPAN的宿世今生
【第六期】怎样实现数据中心网络架构“去”堆叠
【第七期】运维可视化之INT功效详解
【第八期】浅析RDMA网络下MMU水线设置
【第九期】第七代无线手艺802.11ax详解
【第十期】数据中心自动化运维手艺探索之交流机零设置上线
【第十一期】浅谈数据中心100G光�？�
【第十二期】数据中心网络等价多路径（ECMP）手艺应用研究
【第十三期】如作甚RDMA构建无损网络
【第十四期】基于EVPN的漫衍式VXLAN实现计划
【第十五期】数据中心自动化运维手艺探索之NETCONF
【第十六期】一文读懂网络界新贵Segment Routing手艺化繁为简的神秘
【第十七期】浅谈UWB（超宽带）室内定位手艺
【第十八期】PoE以太网供电手艺详解
【第十九期】机框式焦点交流机硬件架构演进
【第二十期】 IPv6基础篇（上）——地址与报文名堂
【第二十一期】IPv6系列基础篇（下）——邻人发明协议NDP
【第二十二期】IPv6系列清静篇——SAVI手艺剖析
【第二十三期】IPv6系列清静篇——园区网IPv6的接入清静战略
【第二十四期】Wi-Fi 6真的很“6”（概述篇）——不但是更高的传输速率
【第二十五期】 Wi-Fi 6真的很“6”（手艺篇） ——前方高能，小白慎入
【第二十六期】IPv6系列应用篇——数据中心IPv4/IPv6双栈架构探讨
【第二十七期】你不可忽视的园区网ARP清静防护

相关推荐：

你不可忽视的园区网ARP清静防护

相关标签：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

点赞

<< 你不可忽视的园区网ARP清静防护

互联网数据中心网络25G组网架构设计 >>

相关产品

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，请联系97国际

与售前照料攀谈

填写项目需求表单

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法