一、什么是Portal认证
根据国家接入互联网的相关规定，在接入互联网之前必须通过身份认证。考虑到移动终端的复杂性，在终端上安装认证客户端进行身份认证是不现实的。而几乎全部的智能终端都装有Web浏览器。身份认证最好是能够通过Web页面的方式进行。
Portal认证（也称为Web认证）能够基于网页的形式向用户提供身份认证和个性化的信息服务。
Portal认证系统的典型组网方式由四个基本要素组成：认证客户端、接入设备、Portal服务器与AAA服务器。
 
 Portal认证的设备要素
认证客户端：运行HTTP协议的浏览器或运行Portal客户端软件的主机。 
接入设备：交换机、路由器或AC（Access Controller）等宽带接入设备的统称。如果把网络看成一栋高楼，那接入设备就是门卫，要进屋必须由门卫放行。接入设备主要有三方面的作用： 
在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 
在认证过程中，与Portal服务器、AAA服务器交互，完成身份认证/授权的功能。 
在认证通过后，允许用户访问被管理员授权的互联网资源。
Portal服务器：接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 
Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器，帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能，内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。
如果需要实现微信接入、短信接入等复杂的功能，考虑到接入设备性能和认证体验，内置Portal服务器恐怕难以胜任，需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。
受益于独立的硬件服务器提供充足的存储空间和性能保证，外置Portal服务器在功能上可获得充分的扩展。例如华为Agile Controller服务器中的Portal服务器组件，可在体育馆、机场、地铁、大型商场等用户密集场馆提供可靠的认证和接入服务。
AAA服务器：与接入设备进行交互，完成对用户的认证、计费和授权。
不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问Internet，而员工认证能够访问内部的业务系统。终端认证后访问网络的权限大小，是由AAA服务器说了算。
Portal认证可同时应用于有线终端认证和无线终端认证，在网络中可打造有线无线一体化接入方案。有线终端的Portal认证可由交换机负责接入，而无线终端Portal认证可由无线接入设备来完成。Portal认证技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。
二、Portal认证流程

1、用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面；

2、用户填入用户名、密码，提交页面，向Portal Server发起连接请求；

3、Portal Server向AC请求Challenge；

4、AC分配Challenge给Portal Server；

5、Portal Server向AC发起认证请求；

6、AC进行RADIUS认证，获得RADIUS认证结果；

7、AC向Portal Server送认证结果；

8、Portal Server将认证结果填入页面，和门户网站一起推送给客户；

9、Portal Server回应确认收到认证结果的报文。

Portal认证有如下优点：

l   不需要安装客户端。使用Web页面认证，使用方便，减少客户端的维护工作量。

l   便于运营。可以在Portal页面上开展业务拓展，如广告展示、责任公告、企业宣传等。

l   提供计费功能，通过计费功能来限制终端接入网络的时长。

Portal认证优势明显，故此无处不在。
三、当Portal用户首次接入，自动完成MAC绑定

在Portal无感知认证解决方案，用户首次接入WLAN网络认证流程如图1所示。具体认证流程如下：

步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。

步骤2、AC将监控用户的上网流量。         

步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向MAC绑定服务器发起MAC 查询请求。

步骤4、MAC绑定服务器向AC返回查询结果：此终端MAC信息未绑定。（由于此终端用户是首次连接WLAN网络，所以MAC绑定服务器中无此终端的MAC地址信息）

步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。

步骤6、用户终端输入用户名、密码信息发起Portal认证。

步骤7、AC与Portal服务器、AAA服务器之间完成Portal认证。

步骤8、AC向MAC绑定服务器发起MAC绑定请求，MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。

步骤9、用户认证成功，正常上网。
四、 Portal用户再次接入，后台自动认证，用户零配置.

在Portal无感知认证解决方案，用户再次接入WLAN网络认证流程如图2所示。具体认证流程如下：

步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。

步骤2、AC将监控用户的上网流量。

步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向MAC绑定服务器发起MAC 查询请求。

步骤4、MAC绑定服务器向AC返回查询结果：此终端MAC信息已绑定，并携带此终端的Portal账号/密码等信息向AC发起Portal认证。（由于此终端用户已完成首次登录，MAC地址、Portal账号/密码已在MAC绑定服务器中完成信息绑定）

步骤5、AC与Portal服务器、AAA服务器之间完成Portal认证。

步骤6、用户认证成功，正常上网。

五、 用户下线方式

在Portal无感知认证解决方案，用户下线可以通过idle-cut方式被动下线，即一段时间内AC没有检测到用户流量，AC则强制用户下线，流程如图3所示：

步骤1、AC 将监控用户的上网流量。

步骤2、一定时间内（例如15分钟）AC检测到用户无流量，则向AAA发送计费结束报文。

步骤3、AC强制用户下线。

同时在Portal无感知认证解决方案，用户也可以考虑采用短信主动下线的方式完成用户下线，具体流程如图4所示：

步骤1、用户发送下线请求短信（例如10085xxqq）到短信网关。

步骤2、短信网关收到用户下线请求的短信后将通知MAC绑定服务器。

步骤3、MAC绑定服务器向AC设备发送下线请求。

步骤4、AC收到下线请求，则向AAA发送计费结束报文。

步骤5、AC强制用户下线。

通过以上Portal无感知认证解决方案相关流程的介绍可以看出，对于终端用户此方案大大简化了用户的Portal接入流程，可以使得终端用户一次认证，永久接入，省去了每次在页面中输入用户名/密码信息的重复繁琐操作，大大提升了WLAN网络Portal认证接入的网络体验与易操作性。

同时可以看到，与之前的Portal解决方案相比，Portal无感知认证解决方案需要增加一台MAC绑定服务器，用来完成用户终端的MAC、账号/密码等信息的记录、发起Portal认证等功能，以简化终端用户操作，保障终端用户零配置再次接入。目前H3C iMC软件管理平台已支持MAC绑定服务器的相关功能，可在Portal无感知认证解决方案中担当MAC绑定服务器的角色。