收藏
下载资源

web认证流程及常见问题分析解析课件

上传人:我*** 文档编号:142182709 上传时间:2020-08-17 格式:PPT 页数:34 大小:1.18MB
返回 下载 相关 举报
web认证流程及常见问题分析解析课件_第1页
第1页 / 共34页
web认证流程及常见问题分析解析课件_第2页
第2页 / 共34页
web认证流程及常见问题分析解析课件_第3页
第3页 / 共34页
web认证流程及常见问题分析解析课件_第4页
第4页 / 共34页
web认证流程及常见问题分析解析课件_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《web认证流程及常见问题分析解析课件》由会员分享,可在线阅读,更多相关《web认证流程及常见问题分析解析课件(34页珍藏版)》请在金锄头文库上搜索。

1、web认证流程及常见问题分析,2010.12.16 junky,GO,Whats WEB认证,认证技术是AAA(认证,授权, 计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为认证方式。目前的主要技术有以下三种:PPPoE、WebPortal、IEEE802.1x。 三种方式的技术优缺点 PPPoE 优点: 是传统PSTN窄带拨号接入技术在以太网接入技术的延伸 和原有窄带网络用户接入认证体系一致 最终用户相对比较容易接收 缺点: PPP协议和Ethernet技术本质上存在差异,PPP协议需要

2、被再次封装到以太帧中,所以封装效率很低 PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响,组播业务开展困难,而视频业务大部分是基于组播的 需要运营商提供客户终端软件,维护工作量过大 PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵 WEB+Portal 优点: 不需要特殊的客户端软件,降低网络维护工作量 可以提供Portal等业务认证 缺点: WEB承载在7层协议上,对于设备的要求较高,建网成本高 用户连接性差,不容易检测用户离线,基于时间的计费较难实现 易用性不够好,用户在访问网络前,不管是 TEL

3、NET、FTP还是其它业务,必须使用浏览器进行WEB认证 IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持,8021X 优点: 802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本 通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求 缺点: 需要特定客户端软件 网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文

4、透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题 IP地址分配和 网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地 址分配、三层网络安全等问题,因此,单靠以太网交换机802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题 计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求,综合比较,GO,WEB+Portal认证流程,WEB认证流程 用

5、户开始部分,流程描述 用户无线成功链接瘦AP 用户DHCP获取IP地址,地址一般由AC分配 用户HTTP 请求上网,AC推送Portal URL,携带ssid、userip、ACname等信息 Portal Server返回请求页面,与Portal Server 交互流程,流程描述 与Portal交互流程,有CHAP和PAP两种 用户上线CHAP认证流程 用户访问网站,经过AC重定向到Portal Server,Portal Server推送认证页面 用户填入用户名、密码,提交页面,向Portal Server发起连接请求 Portal Server向AC请求Challenge AC分配Cha

6、llenge给Portal Server Portal Server向AC发起认证请求 而后AC进行RADIUS认证,获得RADIUS认证结果 AC向Portal Server送认证结果 Portal Server将认证结果填入页面,和门户网站一起推送给客户 Portal Server回应确认收到认证结果的报文,用户上线PAP认证流程 用户访问网站,经过AC重定向到Portal Server,Portal Server推送认证页面 用户填入用户名、密码,提交页面,向Portal Server发起连接请求 Portal Server向AC发起认证请求 而后AC进行RADIUS认证,获得RADIU

7、S认证结果 AC向Portal Server送认证结果 Portal Server将认证结果填入页面,和门户网站一起推送给客户 Portal Server回应确认收到认证结果的报文,与Radius Server 交互流程,流程描述 与Portal服务器认证流程成功结束后由Portal服务器发起认证请求 AC接收到认证请求报文后向Radius 服务器发送认证请求报文 Radius 服务器返回认证响应 AC返回认证结果给Portal服务器。(以及相关业务属性)Portal服务器根据认证结果,推送认证结果页面 Portal服务器回应AC收到认证结果报文。如果认证失败,则流程到此结束。 认证如果成功,

8、AC发起计费开始请求给RADIUS用户认证服务器 RADIUS回应计费开始响应报文,并将响应信息返回给AC。用户上线完毕,开始上网 在用户上网过程中,为了保护用户计费信息,每隔一段时间AC就向RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息 RADIUS计费服务器回应实时计费确认报文给AC 当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文 RADIUS计费服务器回应AC的计费结束报文,正常下线流程,流程描述 当用户需要下线时,可以点击认证结果页面上的下线机制,向Portal服务器发起 一个下线请求 Portal服务器向AC发起下线请求 A

9、C返回下线结果给Portal服务器 Portal服务器根据下线结果,推送含有对应的信息的页面给用户 当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文 RADIUS用户认证服务器回应AC的计费结束报文,异常下线流程,流程描述 AC侦测到用户下线,向Portal服务器发出下线请求 Portal服务器回应下线成功 当AC收到下线请求时,向中央RADIUS计费服务器发计费结束报文 中央RADIUS计费服务器回应AC的计费结束报文,用户强制下线流程,流程描述 AC侦测到用户的本次连接最大允许接入时间结束,向Portal服务器发出下线请求 Portal服务器回应下线成功,并向用户推送下线结

10、果页面 当AC收到下线请求时,向中央RADIUS计费服务器发计费结束报文 中央RADIUS计费服务器回应AC的计费结束报文,DM消息强制下线流程,流程描述 Radius向AC下发Disconnect-Request消息 AC向Portal服务器发出下线请求 Portal服务器回应下线成功,并向用户推送下线结果页面 AC向Radius回应Disconnect-ACK下线成功 AC向中央RADIUS计费服务器发计费结束报文 中央RADIUS计费服务器回应AC的计费结束报文 如AC踢用户下线失败,则向Radius回应Disconnect-NAK,WEB认证流程报文分析 上线流程报文,报文描述 4 号

11、报文是Portal Server to AC (Request Challenge : 0 x01) 5 号报文是AC to Portal Server (ACK Challenge : 0 x02) 6 号报文是Portal Server to AC (Request Auth : 0 x03) 7 号报文是AC to Radius Server (Access Request) 8 号报文是Radius Server to AC (Access Accept) 9 号报文是AC to Radius Server (Accounting Request Start) 10 号报文是AC to

12、 Portal Server (ACK Auth : 0 x04) 11 号报文是Portal Server to AC (AFF ACK Auth : 0 x07) 12 号报文是Radius Server to AC (Accounting Response) 下线流程报文,报文描述 80 号报文是Portal Server to AC (Request Logout :0 x05) 81 号报文是AC to Portal Server (ACK Logout : 0 x06) 82 号报文是AC to Radius Server (Accounting Request Stop) 83

13、号报文是Radius Server to AC (Accounting Response),中间计费报文 报文描述 38 号报文是AC to Radius Server (Accounting Request Status) 39 号报文是Radius Server to AC (Accounting Response),GO,常见问题分析,Portal 页面无法推出 通常Portal 页面推不出一般是由AC、Portal服务器地址配置不正确引起 AC的Portal服务器地址确认加入到认证前白名单中? URL中的User IP 是否在Portal Server的地址池中? Wlan ACnam

14、e 是否正确?,认证失败 引起Radius Server返回认证被拒绝的情况有很多: 认证请求报文中参数不正确 用户名是否正确,NAS_IP_ADDRESS, AC的外网IP CALLED_STATION_ID, 用户所连AP的MAC还有SSID,注意格式,CALLING_STATION_ID,用户MAC地址 NAS ID,通常是计费时使用,确认是否设置正确,ACCT_SESSION_ID, 认证中唯一的ID,用户MAC加上累加值 用户下线失败吊死Radius 服务器用户上线后继续登录,或由于某种原因下线失败导致吊死在Radius上的情况,中间计费报文 主要查看报文中计费信息是否准确是否有异常超大值出现,Thank You !,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号