AP接入系统方案5.docVIP

WIFI接入网络方案 Issue Date – 3/9/2010 Revision # Author Reviewed By A. Description Of Change B. Summary of Review Issued by / Date Chengan  目 录 1 概述 4 2 网管 6 3 认证、计费 7 4 IP自动分配（DHCP服务器） 9 5 Portal过程 10 图表索引 图表 1 WLAN系统总体拓扑图 4 图表 2 RADIUS认证与计费流程 8 图表 3 Portal流程图 10 概述 该文档描述了WIFI系统整体解决方案涉及到的各个部分，包括电信核心网中的用户认证、计费及DHCP服务器等内容。 图表 1 WLAN系统总体拓扑图 从上图看到WLAN系统主要由几部分组成： AP设备（图中蓝色部分） 二层/三层交换机 核心网部分，图中粉刷部分 （广域网中其他设备） AP设备，图中WBS-2400为二层设备，相当于一个二层的无线交换机设备。AP对于用户数据可以做简单的处理和认证功能，比如 可以对用户做MAC地址或IP地址的过滤。 可以设置通过WEP、WPA、TKIP等方式对用户进行接入控制。 能够支持对同一个AP下用户不同VLAN的分配和标记能力。 二层和三层交换设备负责数据包的交换和转发，同时，交换机便于VLAN的配置和划分。二层交换机主要目的是提供端口之间数据通路。 计费、认证、IP地址自动分配等功能主要在核心网模块中实现。 如图中WIFI系统核心网主要包括： WIFI综合网管，该网管可以通过SNMP协议管理不同厂家、不同型号的AP产品。 可以设置通过WEP、WPA、TKIP等方式对用户进行接入控制。 BRAS/BAS服务器，负责用户的管理特性和业务发起功能AAA最为通用的标准RADIUS 的主要特点如下：模式客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。网络安全RADIUS客户端和服务器之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输灵活的认证机制RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）和其他认证机制。 图表 2 RADIUS认证与计费流程 RADIUS的典型认证授权工作过程RADIUS客户端发送用户名和密码。 RADIUS客户端根据获取的用户名和密码，向RADIUS服务器发送认证请求包（Access-Request），其中的密码在共享密钥的参与下由MD5算法进行加密处理。 RADIUS服务器对用户名和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受包（Access-Accept）；如果认证失败，则返回认证拒绝包（Access-Reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受包中也包含了用户的授权信息。 RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求包（Accounting-Request）。 RADIUS服务器返回计费开始响应包（Accounting-Response），并开始计费。 用户开始访问网络资源； 用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包（Accounting-Request）。 RADIUS服务器返回计费结束响应包（Accounting-Response），并停止计费。 用户结束访问网络资源。 见RADIUS认证与计费流程图。 IP自动分配（DHCP服务器） 当BRAS服务器收到终端的DHCP请求后，BRAS服务器转发到DHCP服务器，由DHCP给终端用户分配IP地址。 Portal过程 Portal即用户访问某个互联网资源（上网）时，页面自动转向到电信的认证页面，要求用户输入用户名、密码的过程。 图表 3 Portal流程图 该过程的简单描述如下： 用户打开浏览器，输入任意URL或地址Portal client，Portal Client发送认证请求给Server。 Portal sever收到认证请求后，首先向BAS设备发送Challenge请求报文 BAS设备收到Challenge请求报