web認(rèn)證流程及常見(jiàn)問(wèn)題分析_第1頁(yè)
web認(rèn)證流程及常見(jiàn)問(wèn)題分析_第2頁(yè)
web認(rèn)證流程及常見(jiàn)問(wèn)題分析_第3頁(yè)
web認(rèn)證流程及常見(jiàn)問(wèn)題分析_第4頁(yè)
web認(rèn)證流程及常見(jiàn)問(wèn)題分析_第5頁(yè)
已閱讀5頁(yè),還剩29頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、web認(rèn)證流程及常見(jiàn)問(wèn)題分析認(rèn)證流程及常見(jiàn)問(wèn)題分析2010.12.16 junkyGO一一Whats WEB認(rèn)證認(rèn)證1.認(rèn)證技術(shù)是AAA(認(rèn)證,授權(quán), 計(jì)費(fèi))的初始步驟,AAA一般包括用戶終端、AAAClient、AAA Server和計(jì)費(fèi)軟件四個(gè)環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱(chēng)為認(rèn)證方式。目前的主要技術(shù)有以下三種:PPPoE、WebPortal、IEEE802.1x。 2.三種方式的技術(shù)優(yōu)缺點(diǎn) PPPoE優(yōu)點(diǎn):優(yōu)點(diǎn):是傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致最終用戶相對(duì)比較容易接收缺點(diǎn):缺點(diǎn):PPP協(xié)議和Ethernet技術(shù)

2、本質(zhì)上存在差異,PPP協(xié)議需要被再次封裝到以太幀中,所以封裝效率很低PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量,對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響組播業(yè)務(wù)開(kāi)展困難,而視頻業(yè)務(wù)大部分是基于組播的需要運(yùn)營(yíng)商提供客戶終端軟件,維護(hù)工作量過(guò)大PPPoE認(rèn)證一般需要外置BAS,認(rèn)證完成后,業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過(guò)BAS設(shè)備,容易造成單點(diǎn)瓶頸和故障,而且該設(shè)備通常非常昂貴WEB+Portal 優(yōu)點(diǎn):優(yōu)點(diǎn):不需要特殊的客戶端軟件,降低網(wǎng)絡(luò)維護(hù)工作量可以提供Portal等業(yè)務(wù)認(rèn)證缺點(diǎn):缺點(diǎn):WEB承載在7層協(xié)議上,對(duì)于設(shè)備的要求較高,建網(wǎng)成本高用戶連接性差,不容易檢測(cè)用戶離線,基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)易用性不夠好,用戶在訪問(wèn)網(wǎng)

3、絡(luò)前,不管是 TELNET、FTP還是其它業(yè)務(wù),必須使用瀏覽器進(jìn)行WEB認(rèn)證 IP地址的分配在用戶認(rèn)證前,如果用戶不是上網(wǎng)用戶,則會(huì)造成地址的浪費(fèi),而且不便于多ISP的支持8021X優(yōu)點(diǎn):優(yōu)點(diǎn):802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,而且接入層交換機(jī)無(wú)需支持802.1q的VLAN,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本通過(guò)組播實(shí)現(xiàn),解決其他認(rèn)證協(xié)議廣播問(wèn)題,對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上;用戶通過(guò)認(rèn)證后,業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離,對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求 缺點(diǎn):缺點(diǎn):需要特定客戶端軟件 網(wǎng)絡(luò)現(xiàn)有樓道交換機(jī)的問(wèn)題:由于802.1x是比較新的二層協(xié)議,要求

4、樓道交換機(jī)支持認(rèn)證報(bào)文透?jìng)骰蛲瓿烧J(rèn)證過(guò)程,因此在全面采用該協(xié)議的過(guò)程中,存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問(wèn)題IP地址分配和 網(wǎng)絡(luò)安全問(wèn)題:802.1x協(xié)議是一個(gè)2層協(xié)議,只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制,對(duì)于完成端口認(rèn)證后,用戶進(jìn)入三層IP網(wǎng)絡(luò)后,需要繼續(xù)解決用戶IP地 址分配、三層網(wǎng)絡(luò)安全等問(wèn)題,因此,單靠以太網(wǎng)交換機(jī)802.1x,無(wú)法全面解決城域網(wǎng)以太接入的可運(yùn)營(yíng)、可管理以及接入安全性等方面的問(wèn)題 計(jì)費(fèi)問(wèn)題:802.1x協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長(zhǎng)計(jì)費(fèi),不能對(duì)流量進(jìn)行統(tǒng)計(jì),因此無(wú)法開(kāi)展基于流量的計(jì)費(fèi)或滿足用戶永遠(yuǎn)在線的要求綜合比較綜合比較GO二二WEB+Portal認(rèn)

5、證流程認(rèn)證流程1.WEB認(rèn)證流程認(rèn)證流程用戶開(kāi)始部分用戶開(kāi)始部分流程描述流程描述用戶無(wú)線成功鏈接瘦AP用戶DHCP獲取IP地址,地址一般由AC分配用戶HTTP 請(qǐng)求上網(wǎng),AC推送Portal URL,攜帶ssid、userip、ACname等信息Portal Server返回請(qǐng)求頁(yè)面與與Portal Server 交互流程交互流程流程描述流程描述與Portal交互流程,有CHAP和PAP兩種a)用戶上線CHAP認(rèn)證流程用戶訪問(wèn)網(wǎng)站,經(jīng)過(guò)AC重定向到Portal Server,Portal Server推送認(rèn)證頁(yè)面用戶填入用戶名、密碼,提交頁(yè)面,向Portal Server發(fā)起連接請(qǐng)求Porta

6、l Server向向AC請(qǐng)求請(qǐng)求ChallengeAC分配分配Challenge給給Portal Server Portal Server向AC發(fā)起認(rèn)證請(qǐng)求而后AC進(jìn)行RADIUS認(rèn)證,獲得RADIUS認(rèn)證結(jié)果AC向Portal Server送認(rèn)證結(jié)果Portal Server將認(rèn)證結(jié)果填入頁(yè)面,和門(mén)戶網(wǎng)站一起推送給客戶Portal Server回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文b)用戶上線PAP認(rèn)證流程用戶訪問(wèn)網(wǎng)站,經(jīng)過(guò)AC重定向到Portal Server,Portal Server推送認(rèn)證頁(yè)面用戶填入用戶名、密碼,提交頁(yè)面,向Portal Server發(fā)起連接請(qǐng)求Portal Server向AC

7、發(fā)起認(rèn)證請(qǐng)求而后AC進(jìn)行RADIUS認(rèn)證,獲得RADIUS認(rèn)證結(jié)果AC向Portal Server送認(rèn)證結(jié)果Portal Server將認(rèn)證結(jié)果填入頁(yè)面,和門(mén)戶網(wǎng)站一起推送給客戶Portal Server回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文與與Radius Server 交互流程交互流程流程描述流程描述與Portal服務(wù)器認(rèn)證流程成功結(jié)束后由Portal服務(wù)器發(fā)起認(rèn)證請(qǐng)求AC接收到認(rèn)證請(qǐng)求報(bào)文后向Radius 服務(wù)器發(fā)送認(rèn)證請(qǐng)求報(bào)文Radius 服務(wù)器返回認(rèn)證響應(yīng)AC返回認(rèn)證結(jié)果給Portal服務(wù)器。(以及相關(guān)業(yè)務(wù)屬性)Portal服務(wù)器根據(jù)認(rèn)證結(jié)果,推送認(rèn)證結(jié)果頁(yè)面Portal服務(wù)器回應(yīng)AC收到認(rèn)證結(jié)

8、果報(bào)文。如果認(rèn)證失敗,則流程到此結(jié)束。 認(rèn)證如果成功,AC發(fā)起計(jì)費(fèi)開(kāi)始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器RADIUS回應(yīng)計(jì)費(fèi)開(kāi)始響應(yīng)報(bào)文,并將響應(yīng)信息返回給AC。用戶上線完畢,開(kāi)始上網(wǎng)在用戶上網(wǎng)過(guò)程中,為了保護(hù)用戶計(jì)費(fèi)信息,每隔一段時(shí)間AC就向RADIUS用戶認(rèn)證服務(wù)器報(bào)一個(gè)實(shí)時(shí)計(jì)費(fèi)信息,包括當(dāng)前用戶上網(wǎng)總時(shí)長(zhǎng),以及用戶總流量信息RADIUS計(jì)費(fèi)服務(wù)器回應(yīng)實(shí)時(shí)計(jì)費(fèi)確認(rèn)報(bào)文給AC當(dāng)AC收到下線請(qǐng)求時(shí),向RADIUS用戶認(rèn)證服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文RADIUS計(jì)費(fèi)服務(wù)器回應(yīng)AC的計(jì)費(fèi)結(jié)束報(bào)文正常下線流程正常下線流程流程描述流程描述當(dāng)用戶需要下線時(shí),可以點(diǎn)擊認(rèn)證結(jié)果頁(yè)面上的下線機(jī)制,向Portal服務(wù)器發(fā)

9、起一個(gè)下線請(qǐng)求Portal服務(wù)器向AC發(fā)起下線請(qǐng)求AC返回下線結(jié)果給Portal服務(wù)器Portal服務(wù)器根據(jù)下線結(jié)果,推送含有對(duì)應(yīng)的信息的頁(yè)面給用戶當(dāng)AC收到下線請(qǐng)求時(shí),向RADIUS用戶認(rèn)證服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文RADIUS用戶認(rèn)證服務(wù)器回應(yīng)AC的計(jì)費(fèi)結(jié)束報(bào)文異常下線流程異常下線流程流程描述流程描述AC偵測(cè)到用戶下線,向Portal服務(wù)器發(fā)出下線請(qǐng)求Portal服務(wù)器回應(yīng)下線成功當(dāng)AC收到下線請(qǐng)求時(shí),向中央RADIUS計(jì)費(fèi)服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文中央RADIUS計(jì)費(fèi)服務(wù)器回應(yīng)AC的計(jì)費(fèi)結(jié)束報(bào)文用戶強(qiáng)制下線流程用戶強(qiáng)制下線流程流程描述流程描述AC偵測(cè)到用戶的本次連接最大允許接入時(shí)間結(jié)束,向Porta

10、l服務(wù)器發(fā)出下線請(qǐng)求 Portal服務(wù)器回應(yīng)下線成功,并向用戶推送下線結(jié)果頁(yè)面當(dāng)AC收到下線請(qǐng)求時(shí),向中央RADIUS計(jì)費(fèi)服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文中央RADIUS計(jì)費(fèi)服務(wù)器回應(yīng)AC的計(jì)費(fèi)結(jié)束報(bào)文DM消息強(qiáng)制下線流程消息強(qiáng)制下線流程流程描述流程描述Radius向AC下發(fā)Disconnect-Request消息 AC向Portal服務(wù)器發(fā)出下線請(qǐng)求Portal服務(wù)器回應(yīng)下線成功,并向用戶推送下線結(jié)果頁(yè)面AC向Radius回應(yīng)Disconnect-ACK下線成功AC向中央RADIUS計(jì)費(fèi)服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文中央RADIUS計(jì)費(fèi)服務(wù)器回應(yīng)AC的計(jì)費(fèi)結(jié)束報(bào)文如AC踢用戶下線失敗,則向Radius回應(yīng)Disc

11、onnect-NAK2.WEB認(rèn)證流程報(bào)文分析認(rèn)證流程報(bào)文分析上線流程報(bào)文上線流程報(bào)文報(bào)文描述報(bào)文描述4 號(hào)報(bào)文是Portal Server to AC (Request Challenge : 0 x01)5 號(hào)報(bào)文是AC to Portal Server (ACK Challenge : 0 x02)6 號(hào)報(bào)文是Portal Server to AC (Request Auth : 0 x03)7 號(hào)報(bào)文是AC to Radius Server (Access Request)8 號(hào)報(bào)文是Radius Server to AC (Access Accept)9 號(hào)報(bào)文是AC to Radi

12、us Server (Accounting Request Start)10 號(hào)報(bào)文是AC to Portal Server (ACK Auth : 0 x04)11 號(hào)報(bào)文是Portal Server to AC (AFF ACK Auth : 0 x07)12 號(hào)報(bào)文是Radius Server to AC (Accounting Response)下線流程報(bào)文下線流程報(bào)文報(bào)文描述報(bào)文描述80 號(hào)報(bào)文是Portal Server to AC (Request Logout :0 x05)81 號(hào)報(bào)文是AC to Portal Server (ACK Logout : 0 x06)82 號(hào)報(bào)

13、文是AC to Radius Server (Accounting Request Stop)83 號(hào)報(bào)文是Radius Server to AC (Accounting Response)中間計(jì)費(fèi)報(bào)文中間計(jì)費(fèi)報(bào)文報(bào)文描述報(bào)文描述38 號(hào)報(bào)文是AC to Radius Server (Accounting Request Status)39 號(hào)報(bào)文是Radius Server to AC (Accounting Response)GO三三常見(jiàn)問(wèn)題分析常見(jiàn)問(wèn)題分析1.Portal 頁(yè)面無(wú)法推出頁(yè)面無(wú)法推出通常Portal 頁(yè)面推不出一般是由AC、Portal服務(wù)器地址配置不正確引起AC的Portal服務(wù)器地址確認(rèn)加入到認(rèn)證前白名單中?URL中的User IP 是否在Portal Server的地址池中?Wlan ACname 是否正確?2.認(rèn)證失敗認(rèn)證失敗引起Radius Server返回認(rèn)證被拒絕的情況有很多:認(rèn)證請(qǐng)求報(bào)文中參數(shù)不正確a)用戶名是否正確b)NAS_IP_ADDRESS, AC的外網(wǎng)IPc)CALLED_STAT

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論