不同的組網方式下,可采用的 Portal 認證方式不同。按照網絡中實施 Portal 認證的 網絡層次來分,Portal 的認證方式分為兩種:二層認證方式和三層認證方式。
二層認證方式。這種方式支持在接入設備連接用戶的二層端口上開啟 Portal 認證功能,只允許源 MAC 地址通過認證的用戶才能訪問外部網絡資源。目前,該認證方式僅支持本地 Portal 認證,即接入設備作為本地 Portal 服務器向用戶提供 Web 認證服務。 另外,該方式還支持服務器下發授權 VLAN 和將認證失敗用戶加入認證失敗 VLAN 功能(三層認證方式不支持)。
三層認證方式。這種方式支持在接入設備連接用戶的三層接口上開啟 Portal 認證功能。三層接口 Portal 認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式 和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接 入設備之間沒有三層轉發;可跨三層認證方式下,認證客戶端和接入設備之間可以 跨接三層轉發設備。1. 直接認證方式用戶在認證前通過手工配置或 DHCP 直接獲取一個 IP 地址,只能訪問 Portal 服務 器,以及設定的免費訪問地址;認證通過后即可訪問網絡資源。認證流程相對二次 地址較為簡單。2. 二次地址分配認證方式 用戶在認證前通過 DHCP 獲取一個私網 IP 地址,只能訪問 Portal 服務器,以及設 定的免費訪問地址;認證通過后,用戶會申請到一個公網 IP 地址,即可訪問網絡資 源。該認證方式解決了 IP 地址規划和分配問題,對未認證通過的用戶不分配公網 IP 地址。例如運營商對於小區寬帶用戶只在訪問小區外部資源時才分配公網 IP。3. 可跨三層認證方式 和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三 層轉發設備。 對於以上三種認證方式,IP 地址都是用戶的唯一標識。接入設備基於用戶的 IP 地址 下發 ACL 對接口上通過認證的用戶報文轉發進行控制。由於直接認證和二次地址分 配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的 MAC 地址,接入設備可以利用學習到 MAC 地址增強對用戶報文轉發的控制粒度。