portal认证

 简单了解：

认证服务器和portal可以分开

 客户端从接入设备接入时，需要先通过portal服务器，认证通过后才可以接入；

二层：接入设备可以学习到客户端的IP+MAC地址---安全性较高，但是只能在同一网段（不灵活）

3层：IP唯一认证标识---不安全--灵活组网

连接过程：

二层是有预连接过程的---即认证成功之前是存在用户在线表项的（可以有部分网络权限）

三层没有预连接

客户端发起http请求-----如果是访问portal服务器的/免认证网络资源的http流量---放行

其他-----接入设备回复指定URL---客户端重新流量发向到portal服务器----服务器返回认证页面

（portal认证需要先有IP地址，区别于802.1.X）

客户端认证---- portal服务器做认证（或者再把流量发到认证服务器认证）---两钟认证协议---成功---接入接入设备；

portal认证协议过程：

客户端输入用户密码----发送认证请求。

 特点：

1.C/S  基于UDP

2.CHAP与PAP认证方式

3.TLV携带用户名密码MAC等

如果是CHAP的方式-----portal会先和接入设备之间交互7 8 步

如果PAP--直接第九步，用户名密码携带在POrtal请求报文中---发给接入设备；

接入设备再2和认证服务器之间交互用户名密码密码（验证radius的认证授权计费信息）---radius服务器告诉接入设备认证结果----接入设备执行认证结果。如果允许---向Radius设备发送计费请求报文；

当然--如果是同一台设备的话，相当于内部交互；

配置命令：

开启对接功能：

https的话还要指定SSL策略名。

进入服务器模板

配置认证的协议。

基于portal协议时：

配置认证时服务器地址，与服务器通信的地址，共享密钥，重定向URL

 基于Https /http时只需要配置URL参数。