AP接入系统方案5

1、wifi接入网络方案issue date 3/9/2010revision #authorreviewed bya. description of changeb. summary of reviewissued by / datechengan目 录1概述42网管63认证、计费74ip自动分配（dhcp服务器）95portal过程10图表索引图表 1 wlan系统总体拓扑图4图表 2 radius认证与计费流程8图表 3 portal流程图101 概述该文档描述了wifi系统整体解决方案涉及到的各个部分，包括电信核心网中的用户认证、计费及dhcp服务器等内容。图表 1 wlan系统总体拓扑图

2、从上图看到wlan系统主要由几部分组成：ap设备（图中蓝色部分）二层/三层交换机核心网部分，图中粉刷部分（广域网中其他设备）ap设备，图中wbs-2400为二层设备，相当于一个二层的无线交换机设备。ap对于用户数据可以做简单的处理和认证功能，比如 可以对用户做mac地址或ip地址的过滤。 可以设置通过wep、wpa、tkip等方式对用户进行接入控制。 能够支持对同一个ap下用户不同vlan的分配和标记能力。二层和三层交换设备负责数据包的交换和转发，同时，交换机便于vlan的配置和划分。二层交换机主要目的是提供端口之间数据通路。计费、认证、ip地址自动分配等功能主要在核心网模块中实现。 如图中w

3、ifi系统核心网主要包括： wifi综合网管，该网管可以通过snmp协议管理不同厂家、不同型号的ap产品。 可以设置通过wep、wpa、tkip等方式对用户进行接入控制。 bras/bas服务器，负责用户的管理特性和业务发起功能，portal，自动ip地址分配和认证功能通过bas发起并配合aaa服务器、dhcp服务器或portal服务器完成。 远程配置管理服务器，该服务器的功能是通过tr069协议实现对ap的管理，相当ac的功能，可以替代“capwap协议+snmp协议+ac交换机”方式实现瘦ap结构。注意：ap只是一个接入点，功能上来讲只是对用户数据做非常简单的处理甚至不做处理的透传。其他，

4、如计费、认证、ip分配等功能均在核心网侧实现。核心网设备可能是电信现有设备，也可能是第三方厂家提供的设备，ap只需接入核心网即可。我们无需关心核心网设备的细节。虽然从功能上来讲，所有的ap都是大同小异，关键的区别在于ap的射频特性。作为对ap接入核心网后如何实现ip的自动分配，如何实现认证、计费等功能的疑虑，下面对这些关键的部分做一个简单的介绍。2 网管wbs-2400产品解决方案中包含网管软件，该网管软件包括了wifi设备资产管理、故障管理、性能监控、配置等丰富功能。但建议把ap纳入运营商的综合网管中管理，而不是一个厂家提供一套网管，这样会比较乱。电信对wifi网管的要求和指标可参见中国电信

5、wlan热点接入设备技术要求（v2.0）。只需提供我们设备的mib库，综合网管即可扩展把我们的设备纳入综合网管的管理体系。3 认证、计费用户认证、计费通过aaa服务器完成，实现： 认证用户是否可以访问网络 授权用户可以使用哪些网络 记录用户使用网络资源的情况radius是aaa最为通用的标准。radius 的主要特点如下： 采用c/s模式客户端的任务是把用户信息（用户名，口令等）传递给指定的radius服务器，并负责执行返回的响应。radius服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。 网络安全radius客户端和服务器之间的交互经过了

6、共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和radius服务器之间的任何用户密码都是被加密后传输。 灵活的认证机制radius服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，radius服务器可以支持点对点的pap认证（ppp pap）、点对点的chap认证（ppp chap）、unix的登录操作（unix login）和其他认证机制。图表 2 radius认证与计费流程radius的典型认证授权工作过程描述如下：1. 用户发起连接请求，向radius客户端发送用户名和密码。2. radius客户端根据获取的用户名和密码，向r

7、adius服务器发送认证请求包（access-request），其中的密码在共享密钥的参与下由md5算法进行加密处理。3. radius服务器对用户名和密码进行认证。如果认证成功，radius服务器向radius客户端发送认证接受包（access-accept）；如果认证失败，则返回认证拒绝包（access-reject）。由于radius协议合并了认证和授权的过程，因此认证接受包中也包含了用户的授权信息。4. radius客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则radius客户端向radius服务器发送计费开始请求包（accounting-request）。5. rad

8、ius服务器返回计费开始响应包（accounting-response），并开始计费。6. 用户开始访问网络资源；7. 用户请求断开连接，radius客户端向radius服务器发送计费停止请求包（accounting-request）。8. radius服务器返回计费结束响应包（accounting-response），并停止计费。9. 用户结束访问网络资源。见radius认证与计费流程图。4 ip自动分配（dhcp服务器）当bras服务器收到终端的dhcp请求后，bras服务器转发到dhcp服务器，由dhcp给终端用户分配ip地址。5 portal过程portal即用户访问某个互联网资源（上

9、网）时，页面自动转向到电信的认证页面，要求用户输入用户名、密码的过程。图表 3 portal流程图该过程的简单描述如下：1. 用户打开浏览器，输入任意url或地址，通过http协议触发portal client，portal client发送认证请求给server。2. portal sever收到认证请求后，首先向bas设备发送challenge请求报文3. bas设备收到challenge请求报文后，检查报文的合法性，对合法的报文进行响应。4. portal server收到challenge请求报文的响应报文后，向bas设备发送请求认证报文。5. bas设备收到请求认证报文后，首先进行合法性检查，对合法的报文进行认证处理，然后向radius服务器发送认证请求报文，并等待radius server的认证回应(radius认证过程详见 第3节 计费和认证部分)。如果在规定的时间内ra