《ap接入系统方案5》由会员分享,可在线阅读,更多相关《ap接入系统方案5(10页珍藏版)》请在金锄头文库上搜索。
1、WIFI 系统解决方案 Page 1 of 10WIFI 接入网络方案Issue Date 3/9/2010WIFI 系统解决方案 Page 2 of 10Revision # Author Reviewed ByA. Description Of ChangeB. Summary of ReviewIssued by / DateChenganWIFI 系统解决方案 Page 3 of 10目 录1 概述 .42 网管 .63 认证、计费 .74 IP 自动分配( DHCP 服务器) .95 Portal 过程 .10图表索引图表 1 WLAN 系统总体拓扑图 .4图表 2 RADIUS 认
2、证与计费流程 .8图表 3 Portal 流程图 .10WIFI 系统解决方案 Page 4 of 101 概述该文档描述了 WIFI 系统整体解决方案涉及到的各个部分,包括电信核心网中的用户认证、计费及 DHCP 服务器等内容。图表 1 WLAN 系统总体拓扑图从上图看到 WLAN 系统主要由几部分组成:AP 设备(图中蓝色部分)二层/三层交换机核心网部分,图中粉刷部分(广域网中其他设备)AP 设备,图中 WBS-2400 为二层设备,相当于一个二层的无线交换机设备。AP 对于用户数据可以做简单的处理和认证功能,比如 可以对用户做 MAC 地址或 IP 地址的过滤。 可以设置通过 WEP、W
3、PA 、TKIP 等方式对用户进行接入控制。 能够支持对同一个 AP 下用户不同 VLAN 的分配和标记能力。二层和三层交换设备负责数据包的交换和转发,同时,交换机便于 VLAN 的配置和划分。二层交换机主要目的是提供端口之间数据通路。计费、认证、IP 地址自动分配等功能主要在核心网模块中实现。 WIFI 系统解决方案 Page 5 of 10如图中 WIFI 系统核心网主要包括: WIFI 综合网管,该网管可以通过 SNMP 协议管理不同厂家、不同型号的 AP 产品。 可以设置通过 WEP、WPA 、TKIP 等方式对用户进行接入控制。 BRAS/BAS 服务器,负责用户的管理特性和业务发起
4、功能,Portal,自动 IP 地址分配和认证功能通过 BAS 发起并配合 AAA 服务器、DHCP 服务器或 Portal 服务器完成。 远程配置管理服务器,该服务器的功能是通过 TR069 协议实现对 AP 的管理,相当 AC 的功能,可以替代“CAPWAP 协议+SNMP 协议+AC 交换机”方式实现瘦AP 结构。注意:AP 只是一个接入点,功能上来讲只是对用户数据做非常简单的处理甚至不做处理的透传。其他,如计费、认证、IP 分配等功能均在核心网侧实现。核心网设备可能是电信现有设备,也可能是第三方厂家提供的设备,AP 只需接入核心网即可。我们无需关心核心网设备的细节。虽然从功能上来讲,所
5、有的 AP 都是大同小异,关键的区别在于 AP 的射频特性。作为对 AP 接入核心网后如何实现 IP 的自动分配,如何实现认证、计费等功能的疑虑,下面对这些关键的部分做一个简单的介绍。WIFI 系统解决方案 Page 6 of 102 网管WBS-2400 产品解决方案中包含网管软件,该网管软件包括了 WIFI 设备资产管理、故障管理、性能监控、配置等丰富功能。但建议把 AP 纳入运营商的综合网管中管理,而不是一个厂家提供一套网管,这样会比较乱。电信对 WIFI 网管的要求和指标可参见中国电信 WLAN 热点接入设备技术要求(V2.0) 。只需提供我们设备的 MIB 库,综合网管即可扩展把我们
6、的设备纳入综合网管的管理体系。WIFI 系统解决方案 Page 7 of 103 认证、计费用户认证、计费通过 AAA 服务器完成,实现: 认证用户是否可以访问网络 授权用户可以使用哪些网络 记录用户使用网络资源的情况RADIUS 是 AAA 最为通用的标准。RADIUS 的主要特点如下: 采用 C/S 模式客户端的任务是把用户信息(用户名,口令等)传递给指定的 RADIUS 服务器,并负责执行返回的响应。RADIUS 服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。 网络安全RADIUS 客户端和服务器之间的交互经过了共享保密字的认证。另外
7、,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和 RADIUS 服务器之间的任何用户密码都是被加密后传输。 灵活的认证机制RADIUS 服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS 服务器可以支持点对点的 PAP 认证(PPP PAP) 、点对点的 CHAP 认证(PPP CHAP) 、UNIX 的登录操作(UNIX Login )和其他认证机制。WIFI 系统解决方案 Page 8 of 10图表 2 RADIUS 认证与计费流程RADIUS 的典型认证授权工作过程描述如下:1. 用户发起连接请求,向 RADIUS 客户端发送用户名和
8、密码。2. RADIUS 客户端根据获取的用户名和密码,向 RADIUS 服务器发送认证请求包(Access-Request) ,其中的密码在共享密钥的参与下由 MD5 算法进行加密处理。3. RADIUS 服务器对用户名和密码进行认证。如果认证成功,RADIUS 服务器向RADIUS 客户端发送认证接受包(Access-Accept) ;如果认证失败,则返回认证拒绝包(Access-Reject) 。由于 RADIUS 协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。4. RADIUS 客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS 客户端向
9、RADIUS 服务器发送计费开始请求包(Accounting-Request ) 。5. RADIUS 服务器返回计费开始响应包(Accounting-Response) ,并开始计费。6. 用户开始访问网络资源;7. 用户请求断开连接,RADIUS 客户端向 RADIUS 服务器发送计费停止请求包(Accounting-Request) 。8. RADIUS 服务器返回计费结束响应包(Accounting-Response) ,并停止计费。9. 用户结束访问网络资源。见 RADIUS 认证与计费流程图。WIFI 系统解决方案 Page 9 of 104 IP 自动分配(DHCP 服务器)当
10、BRAS 服务器收到终端的 DHCP 请求后,BRAS 服务器转发到 DHCP 服务器,由 DHCP给终端用户分配 IP 地址。WIFI 系统解决方案 Page 10 of 105 Portal 过程Portal 即用户访问某个互联网资源(上网)时,页面自动转向到电信的认证页面,要求用户输入用户名、密码的过程。图表 3 Portal 流程图该过程的简单描述如下:1. 用户打开浏览器,输入任意 URL 或地址,通过 HTTP 协议触发 Portal client, Portal Client 发送认证请求给 Server。2. Portal sever 收到认证请求后,首先向 BAS 设备发送
11、Challenge 请求报文3. BAS 设备收到 Challenge 请求报文后,检查报文的合法性,对合法的报文进行响应。4. Portal server 收到 Challenge 请求报文的响应报文后,向 BAS 设备发送请求认证报文。 。5. BAS 设备收到请求认证报文后,首先进行合法性检查,对合法的报文进行认证处理,然后向 RADIUS 服务器发送认证请求报文,并等待 RADIUS server 的认证回应(RADIUS 认证过程详见 第 3 节 计费和认证部分)。如果在规定的时间内RADIUS server 无响应,则认为本次认证失败。6. BAS 设备根据认证的结果向 Portal sever 发送认证请求响应报文。7. Portal server 根据认证请求响应报文表示的认证结果(成功,失败)通知 Portal client 是否认证成功。8. 最终结果通过 HTTP 显示给用户页面。
