【導讀】ONENETCampus園區(qū)WLAN方案。技術(shù)建議書。文檔版本01. 發(fā)布日期2021-07-30. ONENETCampus園區(qū)WLAN方案。技術(shù)建議書目錄。目錄。3WLAN

　　

【正文】 網(wǎng)絡訪問的實體，在無線網(wǎng)絡中，通常指訪問接入點 AP 或控制器 AC 設備 。 ? 認證服務器（ Authentication Sever）：為認證方提供認證服務的實體。認證服務器對請求方進行驗證，然后告知認證方該請求者是否為授權(quán)用戶。認證服務器可以是某個單獨的服務器實體，也可以不是，后一種情況通常是將認證功能集成在認證方Authenticator 中。 解決方案。在采用 LAN 中，無線用戶端安裝 作為請求方 ，無線 設備 AP /AC 內(nèi)嵌 作為認證方 ，同時它還作為 Radius 認證 服務器的客戶端，負責用戶與 Radius 服務器之間認證信息的轉(zhuǎn)發(fā)。 ，而是一個通用架構(gòu)。用來傳輸實際的認證協(xié)議。 ，基礎的 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 制不需要隨著改變。 EAP（ Extensible Authentication Protocol） 認證協(xié)議 ，目前有超過 20 種不同的 EAP 協(xié)議。 EAP 認證模式： ? EAPMD5 ? EAPTLS(Transport Layer Security) ? EAPTTLS(Tunneled Transport Layer Security) ? EAPPEAP(Protected EAP) ? EAPLEAP(Lightweight EAP) ? EAPSIM PPPoE認證 PPPoE 是 PPP 協(xié)議應用到以太網(wǎng)進行的再一次封裝，進行廣播鏈路上點對點通訊的協(xié)商，包括服務器的發(fā) 現(xiàn)和會話標識 Session ID 的確認。主要包括三個部分 ： ? 用戶和接入設備在 LCP 階段協(xié)商鏈路層參數(shù) 。 ? 將用戶名和密碼發(fā)送給接入設備進行 CHAP/PAP 認證，接入設備可以進行本地認證，也可以將用戶名和密碼發(fā)送給 AAA 服務器進行認證。 ? 根據(jù)認證結(jié)果，是否進入到 NCP（ IPCP）協(xié)商階段，接入設備給用戶計算機分配網(wǎng)絡層參數(shù) （ 例如 IP 地址等 ） 。 PPP 的三個協(xié)商階段通過后，用戶就可以發(fā)送和接收數(shù)據(jù)報文 。 PPPoE也是一種認證模式， PPPoE 在 WLAN 使用時，和 WLAN 本身采用的認證加密沒有關系。即不管采用 WEP、 WPA或者 WAPI，都可以選擇 PPPoE 作為用戶業(yè)務的認證協(xié)議 。 Portal認證 Portal認證也稱 Web 認證 或 DHCP+Web認證?？蛻舳耸褂脴藴?Web 瀏覽器（例如 IE），填入用戶名、密碼信息，頁面提交后，由 Web 服務器和設備配合完成用戶的認證。 接入設備將來自客戶的 HTTP 請求重定向到 Portal服務器， 在 Portal頁面上輸入用戶名、密碼進行認證。用戶在 Web 認證之前，必須先通過 DHCP、靜態(tài)配置等獲得 IP 地址。用戶如果被配置成強制 Web 認證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動下載認證網(wǎng) 頁。主要認證過程為： 1. 動態(tài)用戶通過 DHCP 協(xié)議獲取地址； 2. 用戶訪問 Web 認證服務器的認證頁面，并在其中輸入用戶名、密碼， Web 認證服務器將用戶的信息通過內(nèi)部協(xié)議，通知接入設備； 3. 接入服務器 到相應的 AAA 服務器對該用戶進行認證，將認證結(jié)果通知 Web 認證服務器； 4. Web 認證服務器通過 HTTP 頁面將認證結(jié)果通知用戶，如果認證成功用戶即可正常訪問網(wǎng)絡資源。 Portal認證通常需要多個服務器支持， DHCP 服務器、 AAA 服務器等 。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 無線接入認證和安全協(xié)議對應關系 表 33 無線接入認證和安全協(xié)議對應關系表 認證方法 安全協(xié)議 安全性 封裝開銷 地址分配 客戶端軟件 應用場景 MAC 認證 Open System 低 小 認證后分配 不需要 PDA、 IP 電話等啞終端設備接入。 WEP/WPA/WPA2+PSK 低 小 認證后分配 不需要 場景同上，需要維護 PSK 密碼。 Portal認證 Open System 中 小 認證前分配 不需要 中小型園區(qū)網(wǎng)絡。 WEP/WPA/WPA2+PSK 中 小 認證前分配 不需要 場景同上，需要維護 PSK 密碼。 WEP/WPA/WPA2 高 小 認證后分配 需要 大 中型園區(qū)網(wǎng)絡。 PPPoE認證 Open System 低 大 認證后分配 需要 運營商市場 WEP/WPA/WPA2+PSK 低 大 認證后分配 需要 場景同上，需要維護 PSK 密碼。 當前 WAPI 在企業(yè)網(wǎng)和運營商中應用很少，一般作為準入門檻測試，園區(qū)網(wǎng)中，從安全性和易部署性等多方面考慮，推薦 ＋ WPA2 的機制。 無線用戶 AC集中認證 方案 無線用戶在 AC 上集中認證，可以保證無線用戶集中管理，授權(quán)通過 AC 控制隧道下發(fā)到 AP 設備，精細化控制用戶訪問權(quán)限，并在用戶漫游、安全控制等 方面 由 AC 做到 靈活控制。 無線用戶集中認證，需要保證相關認證協(xié)議能夠上送 AC 處理。集中轉(zhuǎn)發(fā)場景下， EAP、Portal報文 作為數(shù)據(jù)報文通過 CAPWAP 數(shù)據(jù)隧道上送 AC；在本地轉(zhuǎn)發(fā)場景下，可通過配置讓 EAP、 Portal報文進入 CAPWAP 控制隧道，從而上送到 AC 設備完成認證過程。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 31 無線 用戶 AC集中認證示意圖 本地轉(zhuǎn)發(fā) 8 0 2 . 1 x 、P o r t a l 認證報文走C A P W A P 控制隧道集中轉(zhuǎn)發(fā) 8 0 2 . 1 X 、P o r t a l認證報文走C A P W A P 數(shù)據(jù)隧道集中轉(zhuǎn)發(fā)區(qū)域 本地轉(zhuǎn)發(fā)區(qū)域C A P W A P 控制隧道C A P W A P 數(shù)據(jù)隧道園區(qū)網(wǎng)服務器區(qū)域 AC 集中認證組網(wǎng)如 圖 31所示，認證方式 包括 MAC、 、 Portal、 PPPoE等方式。園區(qū)網(wǎng)中，從安全性、易部署等角度考慮，一般推薦 +WPA2 接入認證。 認證、安全、計費 功能與部署 由于無 線網(wǎng)絡安全威脅日益嚴重， 因此對于企業(yè)園區(qū)的無線接入用戶存在 認證、授權(quán)、安全檢查等需求 ；對于某些行業(yè)，例如 校園網(wǎng)、廣電網(wǎng)、酒店等行業(yè)， 除了認證授權(quán)以外還 要求實現(xiàn)計費功能。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 32 用戶認證、安全 、計費集成方案 組網(wǎng)圖 用戶認證流程用戶計費流程園區(qū)內(nèi)部流量園區(qū)外部流量核心設備AC 設備計費網(wǎng)關準出計費點準入認證點服務器區(qū)域 如上圖所示， 無線用戶在 AC 集中認證和授權(quán)，實現(xiàn)準入控制 。 園區(qū)出口部署計費服務器，實現(xiàn)園區(qū)出口流量統(tǒng)一計費。無線數(shù)據(jù)轉(zhuǎn)發(fā)模型采用本地轉(zhuǎn)發(fā)，數(shù)據(jù)流量不經(jīng)過AC，提升網(wǎng)絡性能。 采用此方式，實現(xiàn) 無線園區(qū)用戶集中認證，數(shù)據(jù)流量本地轉(zhuǎn)發(fā)，安全管理和網(wǎng) 絡性能做到完美結(jié)合 ；并且實現(xiàn) 各功能組件按需選擇，提供認證、認證＋安全、認證＋計費、認證＋安全＋計費等多套方案。 認證、安全、計費 系統(tǒng) 功能 組件 認證、安全、計費集成方案主要由 服務器、客戶端、計費網(wǎng)關三部分 組成 ，其中服務器系統(tǒng)可分為認證、安全、計費、 Portal等四個組件，各組件功能如下表： 表 34 認證、安全、計費系統(tǒng) 各 組件 功能 序號 組件名稱 功能描述 備注 1 用戶認證組件 支持 MAC、 、 Portal、 PPPoE 等接入認證和相關統(tǒng)計報表。 必選 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 序號 組件名稱 功能描述 備注 2 安全管理組件 通過和客戶端聯(lián)動，支持終端補丁、防 病毒等安全檢查和修復功能。 可選 3 用戶計費組件 支持基于時間和流量的計費，包括包月、包年、包半年、包學期、動態(tài)包天、動態(tài)包月、動態(tài)包年、包時長、包流量等主流計費方式。 可選 4 Portal組件 彈出用戶定制的認證頁面，提供方便的用戶自助服務平臺，實現(xiàn)用戶 Portal接入認證。 可選 5 客戶端軟件 通過和服務器聯(lián)動，完成接入認證、安全檢查、用戶計費等功能。 可選 6 計費網(wǎng)關 部署在園區(qū)網(wǎng)出口，實現(xiàn)出外網(wǎng)報文計費功能，包括基于時間和基于流量計費兩種方式。 可選 表中，除了用戶認證是必選組件 外，其他組件可基于現(xiàn)網(wǎng)需求選擇。例如，如果用戶部署認證＋安全方案，并采用 Portal認證，則可選取 5 組件。 注 意 不同廠商對于 功能 組件的劃分存在差異，另外用戶需求也具有多樣性，不能簡單的和報價組件進行對應。 認證、安全、計費 集成方案 集成方案之一：認證 方案 認證 方案適合中、小型企業(yè)用戶，需要控制用戶接入園區(qū)網(wǎng)絡，同時由于企業(yè)員工較少，沒有終端健康檢查等安全需求。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 33 認證 方案組網(wǎng)圖 如上圖， 用戶可選擇 Portal認證部署，本方案以 Portal認證為例，服務器組件采用 XXTSM系統(tǒng)，認證服務器和 Portal服務器可部署在同一臺服務器上。 功能實現(xiàn)流程： 1. 無線用戶通過 Web頁面認證，認證報文到 AC 后，通過 Portal協(xié)議向 Portal服務器發(fā)起認證。 2. Portal服務器把用戶信息回傳給 AC 設備。 3. AC 設備和認證服務器通過 Radius 協(xié)議完成用戶準入認證。 集成方案之二 ：認證＋安全 方案 認證 +安全部署方案 適合政府、企業(yè)等對于安全要求較高的行業(yè)客戶 。通過 準入控制＋安全檢查，提升內(nèi)網(wǎng)安全 。并且 服務器組件 支持 定制化選擇，若用戶只作準入認證，則可不選擇安全組件。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 34 認證＋安全 方案組網(wǎng)圖 如上圖，認證組件、安全組件、客戶端為必選組件。其中 服務器 組件 采用 XXTSM系統(tǒng)，認證服務器和安全服務器之間為內(nèi)部通道，一般部署在同一臺服務器上。 功能實現(xiàn)流程： 1. 無線用戶認證報文到 AC 后，通過 Radius 協(xié)議（ Portal認證先到 Portal服務器交互）到認證服務器完成認證過程。 2. 安全服務器和客戶端配合，完成終端病毒庫、補丁等健康檢查功能，并可和軟件服務器聯(lián)動 ， 進行終端修復操作。 集成方案之三 ： 認證＋安全＋ AD 認證＋安全＋ AD 方案 適合已經(jīng)使用 LDAP 服務器管理用戶，同時對于內(nèi)網(wǎng)安全要求較高的企業(yè)。 通過 部署準入控制＋安全檢查，提升內(nèi)網(wǎng)安全；并 和現(xiàn)有 AD 對接，保護用戶投資。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 35 認證＋安全 +AD方案組網(wǎng)圖 如上圖，要實現(xiàn)認證 +安全 +AD 功能，認證組件、安全組件、客戶端為必選組件； 服務器組件采用 XXTSM 系統(tǒng)，認證服務器和安全服務器之間為內(nèi)部通道，一般部署在同一臺服務器上； LDAP 服務器為微軟 AD 域服務器。 功能實現(xiàn)流程： 1. 無線用戶認證報文到 AC 后，通過 Radius 協(xié)議 向認證服務器發(fā)起準入認證。 2. 認證服務器和 AD 服務器通過 LDAP 協(xié)議獲取用戶信息，完成認證過程。 3. 安全服務器和客戶端配合，完成終端病毒庫、補丁 等健康檢查，并可和軟件服務器聯(lián)動，進行終端修復操作。 集成方案之四 ：認證＋計費 認證＋計費 適合教育、酒店等有計費要求的行業(yè)網(wǎng)，同時對于內(nèi)網(wǎng)安全要求一般 的客戶。通過 準入準出一次認證，提升用戶體驗。 并且 計費網(wǎng)關 可 按需選擇，節(jié)省用戶投資。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 3 WLAN 接入認證計費方案 圖 36 認證＋ 計費 方案組網(wǎng)圖 如上圖，要實現(xiàn)認證 +計費功能，認證組件、計費組件、 Portal組件、客戶端、計費網(wǎng)關為必選組件。 其中服務器 組件采用合作方產(chǎn)品 ； 認證服務器和計費服務器之間為內(nèi)部通道，一般部署在同一臺服務器上；計費網(wǎng)關一般選擇合作方產(chǎn)品，大型行業(yè)網(wǎng)可使用ME60 設備 。 功能實現(xiàn)流程： 1. 無線用戶認證報文到 AC 后，通過 Radius 協(xié)議到認證服務器完成內(nèi)網(wǎng)準入認證。 2. 認證服務器通過 Radius 協(xié)議，主動通知計費網(wǎng)關進行準出認證，打開外網(wǎng)權(quán)限 。 3. 用戶訪問外網(wǎng)，則計費網(wǎng)關開始計費，并向計費服務器通告計費信息。 集 成方案之五 ： 認證＋安全＋計費 認證＋安全＋計費 部署方案 適合