《YD∕T 3921-2021 公众无线局域网用户集中认证和数据本地转发技术要求(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 3921-2021 公众无线局域网用户集中认证和数据本地转发技术要求(通信).pdf(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 33.040.40 M 32 YD 中华人民共和国通信行业标准 XX/T XXXXXXXXX 公众无线局域网用户集中认证和数据本地转发技术要求 Technical requirements for user centralized authentication and data local forwarding of public wireless LAN (报批稿)(本稿完成日期:)XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国工业和信息化部 发布 YD/T XXXXXXXXI目 次 前言.II 1范围.1 2规范性引用文件.1 3术语、定义和缩略语.1 3.
2、1术语和定义.1 3.2缩略语.2 4组网架构.2 4.1概述.2 4.2组网场景.2 4.2.1AP 通过 Internet 接入组网.3 4.2.2AP 通过专线接入组网.3 4.2.2.1模式一组网.3 4.2.2.2模式二组网.4 5功能要求.5 6AP 通过 Internet 接入业务流程.5 6.1WLAN 用户关联过程.5 6.2WLAN 用户 IP 地址分配.6 6.3WLAN 用户上线流程.6 6.4WLAN 用户下线流程.8 6.4.1WLAN 用户正常下线.8 6.4.2WLAN 用户异常下线.9 7AP 通过专线接入业务流程.10 7.1WLAN 用户关联过程.10 7
3、.2WLAN 用户 IP 地址分配.11 7.3WLAN 用户上线流程.11 7.4WLAN 用户下线流程.13 7.4.1WLAN 用户正常下线.13 7.4.2WLAN 用户异常下线.13 附录 A(资料性性附录)AC 负责重定向的认证流程图.15 YD/T XXXXXXXXII前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国信息通信研究院、新华三技术有限公司。本
4、标准主要起草人:高波、王波、于鸿洲、邱勇、夏骆辉、傅嘉嘉、万晓兰。YD/T XXXXXXXX1公众无线局域网用户集中认证和数据本地转发技术要求 1范围 本标准规定了接入控制器与“瘦”接入点(以下均简称“接入点”)组网模式下用户集中认证、用户业务数据本地转发的技术要求,包括组网架构、功能要求和接入业务流程等。本标准适用于接入点通过因特网接入部署于公网的接入控制器和接入点通过专线和因特网接入接入控制器的组网场景。2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IETF RF
5、C 5176 远程身份验证拨入用户服务(RADIUS)的动态授权扩展(Dynamic Authorization Extensions to Remote Authentication Dial In User Service(RADIUS))IETF RFC 5415 无线接入点控制与配置协议规范(Control And Provisioning of Wireless Access Points(CAPWAP)Protocol Specification)IETF RFC 5416 IEEE 802.11无线接入点的控制和配置协议绑定(Control and Provisioning of
6、 Wireless Access Points(CAPWAP)Protocol Binding for IEEE 802.11)3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。3.1.1 宽带网络接入服务器 broadband remote access server 位于骨干网的边缘层、可以完成用户宽带网络的数据接入的面向宽带网络应用的新型接入网关。3.1.2 域名解析服务器 DHCP Server 动态主机配置。3.1.3 门户 portal 运营商的WLAN门户业务。3.1.4 YD/T XXXXXXXX2远程认证拨号用户服务 remote authenticatio
7、n dial in user service 认证、授权及计费三种服务的网络传输协议。3.1.5 网页认证 web authentication 通过Web方式进行用户认证,又称为Portal认证。3.1.6 用户数据集中转发 centralized forwarding of user data 用户数据经过AP-AC隧道、由AC集中进行转发的方式。3.1.7 用户数据本地转发 local forwarding of user data 用户数据不经过AP-AC隧道、而是由AP直接转发到上联交换机的方式。3.2缩略语 下列缩略语适用于本文件。AAA 认证,授权,计帐 Authenticati
8、on Authorization Accounting AC 接入控制器 Access Controller AP 接入点 Access Point BRAS 宽带远程接入服务器 Broadband Remote Access Server CAPWAP 无线接入点的控制和配置协议 Control And Provisioning of Wireless Access Points Protocol Specification CHAP 挑战握手认证协议 Challenge Handshake Authentication Protocol DHCP Server DHCP服务器 DHCP S
9、erver DNS Server 动态域名解析服务器 DNS Server HTTP 超文本传输协议 Hypertext Transfer Protocol NAT 网络地址转换 Network Address Translation PAP 口今认证协议 Password Authentication Protocol PORTAL 门户 Portal STA 站点 Station 4组网架构 4.1概述 在AP+AC组网架构下,通过AC集中转发用户业务数据,其转发性能会受限于AC设备的性能。在AC部署于云端或公网等应用场景时,采用用户经AC集中认证、用户业务数据由AP本地转发模式,既满足用
10、户集中认证和集中管理的运营级要求,又能提高用户接入的转发性能。AP与AC之间通信均遵循IETF RFC 5415和IETF RFC 5416。4.2组网场景 YD/T XXXXXXXX34.2.1AP 通过因特网接入组网 AP通过内置NAT功能的网关设备接入因特网(Internet),其中AP预配置AC的域名,其组网如图1所示。AP的工作流程如下:a)网关设备通过PPPoE拨号或其它方法接入Internet,网关设备启用DHCPServer负责为AP分配私网IP地址;b)AP发送AC的DNS域名到DNS服务器解析获得AC的IP地址;c)AP根据AC地址与AC通信、注册,使AP与AC建立隧道,A
11、P正常工作。图1 AP通过因特网接入组网拓扑示意图 4.2.2AP 通过专线接入组网 4.2.2.1模式一组网 模式一组网为AC部署于BRAS之上,一台AC可以管理多个场点的AP,如图2所示。预先为每个AP分配指定的管理VLAN,管理VLAN由AP发起,终结于BRAS。BRAS根据预先配置的AP管理VLAN,将AP的报文转发给AP。WLAN用户IP地址分配、认证、管理均由AC负责。AP的工作流程如下:a)AP发起DHCP请求报文;BRAS将DHCP请求报文转发给AC(内置DHCP Server);b)AC判别AP为合法的AP后,为AP下发IP地址,并且在Option43报文中携带AC地址反馈给
12、AP;c)AP根据AC地址与AC通信、注册,使AP与AC建立隧道,AP正常工作。如果为AP分配IP地址的是专用DHCP Server,AC将DHCP请求报文转发给专用DHCP Server,由专用DHCP Server为合法的AP分配IP地址和下发AC的地址。因特网因特网接入控制器(AC)接入点(AP)站点(STA)门户服务器认证、授权、计帐服务器域名解析服务器网关设备123YD/T XXXXXXXX4 图2 AP通过专线接入组网模式一组网示意图 4.2.2.2模式二组网 模式二组网为AC部署于场点,一台AC只管理本场点的AP,如图3所示。预先为每个AP分配指定的管理VLAN,管理VLAN由A
13、P发起,终结于AC;AP与AC是二层通信,AP通过DHCP广播发现AC。AC上联端口预配置业务VLAN,终结于BRAS。WLAN用户地址分配、认证、管理均由AC负责。AP的工作流程如下:a)AP发起DHCP请求报文,AC将DHCP请求报文转发给AC(内置DHCP Server);b)AC判别AP后,为AP下发IP地址,并且在Option43报文中携带AC地址反馈给AP;c)AP根据AC地址与AC通信、注册,使AP与AC建立隧道,AP正常工作。因特网因特网接入控制器(AC)接入点(AP)站点(STA)门户服务器认证、授权、计费服务器交换机宽带远程接入服务器动态主机配置协议服务器本地网因特网因特网
14、接入控制器(AC)接入点(AP)站点(STA)门户服务器认证、授权、计费服务器交换机宽带远程接入服务器本地网YD/T XXXXXXXX5图3 AP通过专线接入模式二组网示意图 5功能要求 WLAN用户获取由网关或由AC分配的IP地址,通过AC实现Portal集中认证,用户数据本地接入Internet。对于AP通过Internet接入组网,WLAN用户通过AP-AC隧道自动获取由网关或由AC分配的IP地址;对于专线接入组网,WLAN用户自动获取AC分配的IP地址。用户数据转发模式由AP根据SSID确定是经AC集中转发还是由AP本地转发。对于需要集中转发的用户数据,经由AC-AP隧道封装后,发送给
15、AC进行处理。对于本地转发数据,要求用户数据由AP经本地转发。对于未认证或认证未通过的用户报文,AP应将此报文重定向到Portal Server;当WLAN用户认证通过后,AC将用户的业务规则下发到AP,后续报文由AP按业务规则进行正常的转发。业务流程包括以下部分:a)WLAN用户关联过程;b)用户IP地址分配;c)用户上线流程;d)用户下线流程:1)用户正常下线;2)用户异常下线。6AP 通过 Internet 接入业务流程 6.1WLAN 用户关联过程 WLAN用户(STA)关联过程如图4所示,WLAN用户通过主动扫描或被动扫描方式发现AP。WLAN用户关联AP时,由AP将WLAN用户发送
16、的802.11协议规定的链路层认证报文和关联报文通过AP-AC隧道分别转发给AC,由AC集中处理和反馈。WLAN用户关联成功后,由AC通知AP添加用户,用户可以接收或发送数据报文。YD/T XXXXXXXX6 图4 WLAN用户关联流程图 6.2WLAN 用户 IP 地址分配 有两种WLAN用户IP地址分配方法:a)由AC直接为WLAN用户分配IP地址:当AP收到WLAN用户发送的DHCP报文时,AP将该用户的DHCP报文经AP-AC隧道上传给AC,由AC统一为各用户分配IP地址,应由AC进行全网IP地址统一规划,确保各用户分配的IP地址不重复;b)由网关直接为WLAN用户分配IP地址:当AP
17、收到WLAN用户发送的DHCP报文时,直接走本地转发流程,AP将用户的DHCP报文送到网关设备,网关直接为用户分配私网IP地址。由网关设备为用户分配IP地址,存在不同网关为用户分配相同私网IP地址的情况,因此AC、Portal Server和AAA均应以“IP地址+MAC地址”来标识用户身份属性。6.3WLAN 用户上线流程 当AP首次接收用户发送的HTTP报文时,由于AP没有该用户的业务规则,因此AP将用户重定向到Portal Server进行认证,如图5所示。用户认证通过后,AC将该用户的业务规则下发给AP,AP根据业务规则转发用户的各类报文。AC与AAA之间通信遵循IETF RFC 51
18、76协议。STAAP网关设备AC主动扫描/被动扫描802.11 Authentication Request802.11 Authentication Response802.11 Association Request802.11 Association Response处理认证请求处理关联请求802.11 Association Success通过AP-AC隧道反馈802.11 Authentication Response通过AP-AC隧道发送802.11 Association Request通过AP-AC隧道反馈802.11 Association ResponseYD/T XXXX
19、XXXX7 a)Portal Server与AC采用CHAP认证方式 STAAPACPortal Server网关设备InternetAAA发送HTTP报文没有查到该STA业务规则重定向到Portal Server获取STA认证信息发送challenge请求challenge回应报文STA认证信息STA认证信息STA认证结果反馈STA认证结果反馈STA访问Portal Server推送个性化Portal认证页面STA认证信息(如:STA帐号、IP地址、MAC地址等)下发该STA业务规则建立该STA业务规则回应报文(如下发成功)认证成功信息STA访问InternetYD/T XXXXXXXX8
20、b)Portal Server与AC采用PAP认证方式 图5 用户上线流程图 WLAN用户上线,也可以由AC负责重定向,具体参见附录A。当AP收到WLAN用户发送的HTTP报文时,如果查到该WLAN用户业务规则,就直接按业务规则处理,跳过重定向到Portal Server进行认证的这段流程。6.4WLAN 用户下线流程 6.4.1WLAN 用户正常下线 当WLAN用户点击下线按钮时,用户主动发送下线请求报文给Portal Server,Portal Server转发用户下线请求报文给AC,AC将停止计费的请求报文发给AAA,同时AC通知AP删除用户的业务规则(即控制用户下线后不能访问网络),如
21、图6所示。STAAPACPortal Server网关设备InternetAAA发送HTTP报文没有查到该STA业务规则重定向到Portal Server获取STA认证信息STA认证信息STA认证信息STA认证结果反馈STA认证结果反馈STA访问Portal Server推送个性化Portal认证页面STA认证信息(如:STA帐号、IP地址、MAC地址等)下发STA业务规则建立该STA业务规则回应报文(如下发成功)认证成功信息STA访问InternetYD/T XXXXXXXX9 图6 用户正常下线流程图 6.4.2WLAN 用户异常下线 WLAN用户异常下线是指用户未执行主动下线操作而断开网
22、络连接的情况,包括用户关机、重启、离开WLAN覆盖区域或网络故障等。有如下两种检测WLAN用户异常下线的方法:a)有线侧检测WLAN用户异常下线。由AC检测到用户在预定的时间内没有流量,则判定该用户异常下线;或者AC发送ARP探测报文检测用户异常下线,如图7所示。图7 用户异常下线流程图(有线侧检测方法)STAAPACPortal ServerAAASTA点击下线按钮,发起下线请求转发下线请求发起停止计费请求回应停止计费结果通知AP删除该STA规则网关设备回应下线请求通知STA下线成功回应AC规则删除结果APACPortal ServerAAA网关设备AC通过流量检测或ARP报文检测确定用户异
23、常下线回应AC规则删除结果通知AP删除该STA规则通知AAA服务器停止计费 下线通知下线回应AAA服务器回应停止计费结果YD/T XXXXXXXX10b)空口侧检测WLAN用户异常下线。当AP收到用户发送的去关联报文(Disassociation)或在预定的时间内没有收到用户任何报文(包括管理帧报文和数据帧报文),则判定该用户异常下线,如图8所示。图8 用户异常下线流程图(空口侧检测方法)7AP 通过专线接入业务流程 7.1WLAN 用户关联过程 WLAN用户(STA)关联过程如图9所示,WLAN用户通过主动扫描或被动扫描方式发现AP。WLAN用户关联AP时,由AP将WLAN用户发送的802.
24、11协议规定的链路层认证报文和关联报文通过AP-AC隧道分别转发给AC,由AC集中处理和反馈。WLAN用户关联成功后,由AC通知AP添加用户,用户可以接收或发送数据报文。STAAPACPortal ServerAAA检测STA侧报文STA异常下线通知计费停止通知检测到STA发送的去关联报文或在预定时间内没有接收到任何报文,判断STA异常下线STA异常下线通知停止该STA异常下线检测,并删除用户表项网关设备YD/T XXXXXXXX11 图9 用户关联流程图 7.2WLAN 用户 IP 地址分配 当AP收到WLAN用户发送的DHCP报文时,AP将该用户的DHCP报文经AP-AC隧道转发给AC,由
25、AC或专用DHCP Server统一为各用户分配IP地址。7.3WLAN 用户上线流程 当AP首次接收WLAN用户发送的HTTP报文时,由于AP没有该用户的业务规则,因此AP将用户重定向到Portal Server进行认证,如图10所示。用户认证通过后,AC将该用户的业务规则下发给AP,AP根据业务规则转发用户的各类报文。AC与AAA之间通信遵循IETF RFC 5176协议。STAAP本地网AC主动扫描/被动扫描802.11 Authentication Request802.11 Authentication Response802.11 Association Request802.11
26、 Association Response处理认证请求处理关联请求802.11 Association Success通过AP-AC隧道发送802.11 Authentication Request通过AP-AC隧道反馈802.11 Authentication Response通过AP-AC隧道发送802.11 Association Request通过AP-AC隧道反馈802.11 Association ResponseYD/T XXXXXXXX12 a)Portal Server与AC采用CHAP认证方式 b)Portal Server与AC采用PAP认证方式 STAAPACPorta
27、l Server本地网InternetAAA发送HTTP报文没有查到该STA业务规则重定向到Portal Server获取STA认证信息发送challenge请求challenge回应报文STA认证信息STA认证信息STA认证结果反馈STA认证结果反馈STA访问Portal Server推送个性化Portal认证页面STA认证信息(如:用户帐号、IP地址、MAC地址等)建立该STA业务规则下发STA业务规则回应报文(如下发成功)STA数据报文 STAAPACPortal Server本地网InternetAAA发送HTTP报文没有查到该STA业务规则重定向到Portal Server获取STA
28、认证信息STA认证信息STA认证信息STA认证结果反馈STA认证结果反馈STA访问Portal Server推送个性化Portal认证页面STA认证信息(如:用户帐号、IP地址、MAC地址等)建立该STA业务规则下发STA业务规则回应报文(如下发成功)STA数据报文YD/T XXXXXXXX13图10 用户上线流程图 当 AP 收到 WLAN 用户发送的 HTTP 报文时,如果查到该 WLAN 用户业务规则,就直接按业务规则处理,跳过重定向到 Portal Server 进行认证的这段流程。7.4WLAN 用户下线流程 7.4.1WLAN 用户正常下线 当 WLAN 用户点击下线按钮时,用户主
29、动发送下线请求的 HTTP 报文给 Portal Server,Portal Server 转发用户下线报文给 AC,AC 通知 AP 删除用户的业务规则(即控制用户下线后不能访问网络),同时 AC 将停止计费的请求报文发给 AAA,如图 11 所示。图11 用户正常下线流程图 7.4.2WLAN 用户异常下线 WLAN 用户异常下线是指用户未执行主动下线操作而断开网络连接的情况,包括用户关机、重启、离开 WLAN 覆盖区域或网络故障等。有如下两种检测 WLAN 用户异常下线的方法。a)有线侧检测WLAN用户异常下线。由AC检测到用户在预定的时间内没有流量,则判定该用户异常下线;AC也可以发送
30、ARP探测报文探来检测用户异常下线,如图12所示。STAAPACPortal Server本地网AAASTA点击下线按钮,发起下线请求转发下线请求通知AP删除该STA业务规则回应AC规则删除结果发起停止计费请求回应停止计费结果回应下线请求通知STA下线成功YD/T XXXXXXXX14 图12 用户异常下线流程图(有线侧检测方法)b)空口侧检测WLAN用户异常下线。当AP收到用户发送的去关联报文(Disassociation)或在预定的时间内没有收到用户任何报文(包括管理帧报文和数据帧报文),则判定该用户异常下线,如图13所示。图13 用户异常下线流程图(空口侧检测方法)APACPortal
31、Server本地网AAA下线回应通知Ap删除该STA规则回应AC规则删除结果发起停止计费请求回应停止计费结果下线通知AC通过流量检测或ARP报文检测确定用户异常下线STAAPACPortal ServerAAA检测STA侧报文STA异常下线通知计费停止通知检测到STA发送的去关联报文或在预定时间内没有接收到任何报文,判断STA异常下线STA异常下线通知停止该STA异常下线检测,并删除用户表项本地网YD/T XXXXXXXX15附录A(资料性性附录)AC 负责重定向的认证流程图 本附录给出了 AP 通过 Internet 接入 AC 组网场景下的 AC 负责重定向的认证流程图。AP 收到未认证的
32、 WLAN 用户 HTTP 报文时,AP 将该用户 HTTP 报文通过 AP-AC 隧道上传给 AC,由 AC下发重定向报文给用户,用户访问 Portal Server 启动认证流程,如图 A.1 所示。a)Portal Server与AC采用CHAP认证方式 STAAPACPortal ServerAAASTA发起HTTP请求STA认证信息STA认证结果反馈Internet重定向到Portal ServerSTA访问Portal Server推送个性化Portal认证页面STA认证信息(如:用户帐号、IP地址、MAC地址等)STA认证信息下发STA业务规则认证成功信息STA访问Interne
33、t获取STA认证信息认证结果反馈建立该STA业务规则回应报文发送challenge请求challenge回应报文YD/T XXXXXXXX16 b)Portal Server与AC采用PAP认证方式 图A.1 AC负责重定向流程图 STAAPACPortal ServerAAASTA发起HTTP请求STA认证信息STA认证结果反馈Internet重定向到Portal ServerSTA访问Portal Server推送个性化Portal认证页面STA认证信息(如:用户帐号、IP地址、MAC地址等)STA认证信息下发STA业务规则认证成功信息STA访问Internet获取STA认证信息认证结果反馈建立该STA业务规则回应报文(如下发成功)