portal+radius认证流程和原理详解

概述

portal+radius是目前主流的上网认证方式，可以支持各种类型的用户终端和有线无线接入方式，只需用户使用浏览器即可认证。radius为标准协议
portal使用的是移动/华为portal协议。下面介绍认证流程和原理，同时附上通讯报文截图。

流程图

流程详解

1. 用户接入网络后，浏览器访问任意网站（如访问百度）。

2. 网关检测到该用户IP没有经过认证，便会拦截此http请求，伪装目的服务器的http回复，回复的内容是一个http 302重定向，重定向地址为网关上配置好的portal web地址，同时还会在URL里加上相关的参数，如用户ip、设备名等。
   一个典型的重定向地址
   http://portal.net/auth?wlanuserip=192.168.10.123&wlanacname=test1

3. 浏览器收到302回复后，根据302里的重定向地址，访问portal登陆页面，用户输入用户名密码并提交。
   http交互
   

   

4. portal web接收到用户名和密码，通过portal协议将用户名密码和用户IP发送给网关，并等待回复。
   （协议端口UDP2000）
   portal认证请求报文，密码在报文中明文传输
   

   

5. 网关接收到portal协议发来的用户名密码后，使用这组用户名密码通过radius协议向radius服务器发起认证请求。
   （协议端口UDP1812）
   radius认证请求报文，密码使用的是对称加密，也就是双方需要事先配置好相同的加密密钥
   

   

6. radius服务器接收到认证请求后，检查用户是否合法，如果合法则响应认证通过，此认证响应报文往往还带有限速值、最大在线时长等属性信息。
   radius认证响应报文
   

   

7. 网关接收到radius认证通过响应后，通过portal协议回复认证结果给portal。
   portal结果响应报文
   

   

8. portal服务器接收到认证结果后，还会再回复一次确认给网关，这时候网关才会放通用户IP。其实这时候还会有一次跟radius服务器的计费请求交互（协议端口UDP1813），流程图中省略了这一步。
   portal结果确认报文
   

   

9. 用户浏览器的登陆网页会显示认证结果。

10. 网关已经放通了用户的所有流量，用户可以正常上网。