目前Portal认证是WLAN网络的主流接入认证方式之一。当采用Portal认证时，用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息，操作较为不便。特别是当前使用WiFi网络的Pad、智能手机等终端设备越来越多，而此类终端受到屏幕、浏览器等资源限制，在Portal页面中输入用户名/密码等信息时极为不便，使得用户上网体验大打折扣。针对此问题，H3C特提出Portal无感知认证解决方案，大大简化Portal接入流程，提升用户的接入体验。本文将为大家简单介绍Portal无感知认证解决方案的相关流程。

一、     Portal用户首次接入，自动完成MAC绑定

图1 Portal用户首次接入认证流程

在Portal无感知认证解决方案，用户首次接入WLAN网络认证流程如图1所示。具体认证流程如下：

步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。

步骤2、AC将监控用户的上网流量。         

步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向MAC绑定服务器发起MAC 查询请求。

步骤4、MAC绑定服务器向AC返回查询结果：此终端MAC信息未绑定。（由于此终端用户是首次连接WLAN网络，所以MAC绑定服务器中无此终端的MAC地址信息）

步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。

步骤6、用户终端输入用户名、密码信息发起Portal认证。

步骤7、AC与Portal服务器、AAA服务器之间完成Portal认证。

步骤8、AC向MAC绑定服务器发起MAC绑定请求，MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。

步骤9、用户认证成功，正常上网。

二、     Portal用户再次接入，后台自动认证，用户零配置

图2 Portal用户再次接入认证流程

在Portal无感知认证解决方案，用户再次接入WLAN网络认证流程如图2所示。具体认证流程如下：

步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。

步骤2、AC将监控用户的上网流量。

步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向MAC绑定服务器发起MAC 查询请求。

步骤4、MAC绑定服务器向AC返回查询结果：此终端MAC信息已绑定，并携带此终端的Portal账号/密码等信息向AC发起Portal认证。（由于此终端用户已完成首次登录，MAC地址、Portal账号/密码已在MAC绑定服务器中完成信息绑定）

步骤5、AC与Portal服务器、AAA服务器之间完成Portal认证。

步骤6、用户认证成功，正常上网。

三、     用户下线方式

图3 用户idle-cut被动下线方式流程

在Portal无感知认证解决方案，用户下线可以通过idle-cut方式被动下线，即一段时间内AC没有检测到用户流量，AC则强制用户下线，流程如图3所示：

步骤1、AC 将监控用户的上网流量。

步骤2、一定时间内（例如15分钟）AC检测到用户无流量，则向AAA发送计费结束报文。

步骤3、AC强制用户下线。

图4 用户短信主动下线方式流程

同时在Portal无感知认证解决方案，用户也可以考虑采用短信主动下线的方式完成用户下线，具体流程如图4所示：

步骤1、用户发送下线请求短信（例如10085xxqq）到短信网关。

步骤2、短信网关收到用户下线请求的短信后将通知MAC绑定服务器。

步骤3、MAC绑定服务器向AC设备发送下线请求。

步骤4、AC收到下线请求，则向AAA发送计费结束报文。

步骤5、AC强制用户下线。

四、     结束语

通过以上Portal无感知认证解决方案相关流程的介绍可以看出，对于终端用户此方案大大简化了用户的Portal接入流程，可以使得终端用户一次认证，永久接入，省去了每次在页面中输入用户名/密码信息的重复繁琐操作，大大提升了WLAN网络Portal认证接入的网络体验与易操作性。

同时可以看到，与之前的Portal解决方案相比，Portal无感知认证解决方案需要增加一台MAC绑定服务器，用来完成用户终端的MAC、账号/密码等信息的记录、发起Portal认证等功能，以简化终端用户操作，保障终端用户零配置再次接入。目前H3C iMC软件管理平台已支持MAC绑定服务器的相关功能，可在Portal无感知认证解决方案中担当MAC绑定服务器的角色。