《WLAN网络方案5.doc》由会员分享,可在线阅读,更多相关《WLAN网络方案5.doc(9页珍藏版)》请在三一办公上搜索。
1、WLAN接入网络方案Issue Date 3/9/2010目 录1概述42网管63认证、计费74IP自动分配(DHCP服务器)95Portal过程10图表索引图表 1 WLAN系统总体拓扑图4图表 2 RADIUS认证与计费流程8图表 3 Portal流程图101 概述该文档描述了WIFI系统整体解决方案涉及到的各个部分,包括电信核心网中的用户认证、计费及DHCP服务器等内容。图表 1 WLAN系统总体拓扑图从上图看到WLAN系统主要由几部分组成:AP设备(图中蓝色部分)二层/三层交换机核心网部分,图中粉刷部分(广域网中其他设备)AP设备,图中WBS-2400为二层设备,相当于一个二层的无线交
2、换机设备。AP对于用户数据可以做简单的处理和认证功能,比如 可以对用户做MAC地址或IP地址的过滤。 可以设置通过WEP、WPA、TKIP等方式对用户进行接入控制。 能够支持对同一个AP下用户不同VLAN的分配和标记能力。二层和三层交换设备负责数据包的交换和转发,同时,交换机便于VLAN的配置和划分。二层交换机主要目的是提供端口之间数据通路。计费、认证、IP地址自动分配等功能主要在核心网模块中实现。 如图中WIFI系统核心网主要包括: WIFI综合网管,该网管可以通过SNMP协议管理不同厂家、不同型号的AP产品。 可以设置通过WEP、WPA、TKIP等方式对用户进行接入控制。 BRAS/BAS
3、服务器,负责用户的管理特性和业务发起功能,Portal,自动IP地址分配和认证功能通过BAS发起并配合AAA服务器、DHCP服务器或Portal服务器完成。 远程配置管理服务器,该服务器的功能是通过TR069协议实现对AP的管理,相当AC的功能,可以替代“CAPWAP协议+SNMP协议+AC交换机”方式实现瘦AP结构。注意:AP只是一个接入点,功能上来讲只是对用户数据做非常简单的处理甚至不做处理的透传。其他,如计费、认证、IP分配等功能均在核心网侧实现。核心网设备可能是电信现有设备,也可能是第三方厂家提供的设备,AP只需接入核心网即可。我们无需关心核心网设备的细节。虽然从功能上来讲,所有的AP
4、都是大同小异,关键的区别在于AP的射频特性。作为对AP接入核心网后如何实现IP的自动分配,如何实现认证、计费等功能的疑虑,下面对这些关键的部分做一个简单的介绍。2 网管WBS-2400产品解决方案中包含网管软件,该网管软件包括了WIFI设备资产管理、故障管理、性能监控、配置等丰富功能。但建议把AP纳入运营商的综合网管中管理,而不是一个厂家提供一套网管,这样会比较乱。电信对WIFI网管的要求和指标可参见中国电信WLAN热点接入设备技术要求(V2.0)。只需提供我们设备的MIB库,综合网管即可扩展把我们的设备纳入综合网管的管理体系。3 认证、计费用户认证、计费通过AAA服务器完成,实现: 认证用户
5、是否可以访问网络 授权用户可以使用哪些网络 记录用户使用网络资源的情况RADIUS是AAA最为通用的标准。RADIUS 的主要特点如下: 采用C/S模式客户端的任务是把用户信息(用户名,口令等)传递给指定的RADIUS服务器,并负责执行返回的响应。RADIUS服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。 网络安全RADIUS客户端和服务器之间的交互经过了共享保密字的认证。另外,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输。 灵活的认证机制RADIUS服务器可以采用多
6、种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制。图表 2 RADIUS认证与计费流程RADIUS的典型认证授权工作过程描述如下:1. 用户发起连接请求,向RADIUS客户端发送用户名和密码。2. RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。3. RADIUS服务器对用户名和密码进行认证。如果认证成功,RADI
7、US服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。4. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。5. RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。6. 用户开始访问网络资源;7. 用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止
8、请求包(Accounting-Request)。8. RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。9. 用户结束访问网络资源。见RADIUS认证与计费流程图。4 IP自动分配(DHCP服务器)当BRAS服务器收到终端的DHCP请求后,BRAS服务器转发到DHCP服务器,由DHCP给终端用户分配IP地址。5 Portal过程Portal即用户访问某个互联网资源(上网)时,页面自动转向到电信的认证页面,要求用户输入用户名、密码的过程。图表 3 Portal流程图该过程的简单描述如下:1. 用户打开浏览器,输入任意URL或地址,通过HTTP协议触发Po
9、rtal client,Portal Client发送认证请求给Server。2. Portal sever收到认证请求后,首先向BAS设备发送Challenge请求报文3. BAS设备收到Challenge请求报文后,检查报文的合法性,对合法的报文进行响应。4. Portal server收到Challenge请求报文的响应报文后,向BAS设备发送请求认证报文。5. BAS设备收到请求认证报文后,首先进行合法性检查,对合法的报文进行认证处理,然后向RADIUS服务器发送认证请求报文,并等待RADIUS server的认证回应(RADIUS认证过程详见 第3节 计费和认证部分)。如果在规定的时间内RADIUS server无响应,则认为本次认证失败。6. BAS设备根据认证的结果向Portal sever发送认证请求响应报文。7. Portal server根据认证请求响应报文表示的认证结果(成功,失败)通知Portal client是否认证成功。8. 最终结果通过HTTP显示给用户页面。
