收藏 分享(赏)
下载资源 加入VIP,免费下载

Web认证方案说明.doc

上传人:精品资料 文档编号:7663828 上传时间:2019-05-23 格式:DOC 页数:15 大小:1.58MB
下载 相关 举报
Web认证方案说明.doc_第1页
第1页 / 共15页
Web认证方案说明.doc_第2页
第2页 / 共15页
Web认证方案说明.doc_第3页
第3页 / 共15页
Web认证方案说明.doc_第4页
第4页 / 共15页
Web认证方案说明.doc_第5页
第5页 / 共15页
点击查看更多>>
资源描述

1、Web认证接入方案说明目录目录 21.爱立信 DHCP+WEB 认证原理 31.1.WEB 认证方案概述 31.1.1.系统部署图 31.1.2.WEB 认证 /登出流程 41.2.NPM 与 WEB PORTAL 服务器的沟通机制 62.苏州移动 WEB 认证建议方案 92.1.方案一:使用 SE800 作为 DHCP 服务器 92.1.1.用户上网认证的步骤如下:92.1.2.用户登出过程:102.1.3.SE800 的配置 102.1.4.对其他系统的要求 122.2.方案二: SE800 作为 DHCP PROXY,使用广电 DHCP SERVER122.2.1.用户上网认证的步骤如下

2、:132.2.2.用户登出过程:132.2.3.SE800 的配置 142.2.4.对其他系统的要求 153.总结 151. 爱立信 DHCP+Web 认证原理1.1. Web 认证方案概述1.1.1. 系统部署图Ericsson的Web认证方案基于SE800 BRAS和策略管理服务器NPM系统实现。下图是Web认证涉及的各单元的关系图。PRODUCT AREA PCKET NETWORKSUNIFYINGFIXED AND MOBILE NTWORKSSlide tileIn CAPITALS 50 ptSlide subtile 32 ptWeb 认 证 示 意 图 Portal说 明 :

3、用 户 的 DHCP请 求 必 须 通 过 SE80, 用 来 确 定 用 户 的 上 下 线 , 并 且 可 以 防 止 IP地 址 盗 用 的 问 题 。 如 果 DHCP请 求 不 经 过 SE80, 则 无 法 确 定 用 户 上 下 线 ,也 很 难 防 止 用 户 地 址 盗 用 的 问 题DHC服 务 器 可 以 外 置 , 也 可 以 使 用 SE80内 置 服 务 器在 三 层 连 接 时 , 配 置 DHCP Relay, 使 得 DHCP请 求 需要 经 过 SE80整个组网方案元件包括 用户:使用DHCP获得IP地址的用户 接入网:二层网络或者支持DHCP Relay的

4、三层网络 宽带接入服务器SmartEdge 800。负责DHCP的用户接入管理。 NPM策略管理器Netop 策略管理器NPM,作为用户和 Web Portal/Radius server 的桥梁。Web Portal Server 通过API XML SOAP Call 把用户的Web 帐号发送到 NPM,用户在网页登陆的帐号会通过NPM 发送到Radius Server 进行认证 后台服务器Web Portal 服务器用户通过Web Portal 服务器进行网上登录。利用Ericsson 策略管理器可以把用户帐号从NPM 发送到Radius 服务器进行认证。Radius 服务器主要用作用户

5、帐号的认证和计费之用。DHCP服务器负责用户的DHCP地址分配管理。在Ericsson解决方案中,可以采用SE800内置的DHCP服务器。1.1.2. Web 认证/登出流程用户只需要通过DHCP 接入方式,就可以在开启浏览器后连到Web Portal 服务器进行登陆,而用户在网上所登陆的帐号会通过NPM 服务器再 Proxy 到Radius 服务器进行认证。当认证通过后,用户就会自动获得所需要的网络服务。而用户在网上所使用的流量和时间都会记录在Radius 服务器作为计费之用。 下面为Web认证的具体过程1. 用户登录过程如上图所示,步骤 1: 用户在通过 DHCP 获得 IP 地址时,SE

6、800 检查 DHCP 报文,记录用户的 MAC 地址,并以MAC 地址到 NPM 用户认证。步骤 2:NPM 认证通过,返回缺省策略,也就是允许用户通过 DHCP 获得 IP 地址,并且可以访问Portal 服务器,这时不允许访问 Internet步骤 3:用户访问 Internet 时被重定向到 Portal 服务器,输入认证用户/口令,Portal 和 NPM 通信,以用户的 IP 地址/用户名/口令要求 NPM 认证,NPM 将认证请求转发给后台服务器,认证通过后,则到步骤 4步骤 4:NPM 通知 SE800 用户认证通过,改变用户的策略,允许访问 Internet步骤 5:SE80

7、0 发送 Acct-Start 信息,开始记账2.用户显式登出过程 如上图,步骤 1:用户访问 Portal 服务器,点击登出,Portal 获得用户的 IP 地址,步骤 2:Portal 以 IP 地址为参数调用 NPM 的 logout API 和 NPM 通信,NPM 通知 SE800 将此 IP 地址用户下线步骤 3:SE800 发送 Acct-stop 信息,停止计费3. 用户非显式登出过程用户非显示登出是指用户不登录到 Portal 点击登出,而是用户关机、超时等情况下 SE800 检查到用户下线,告知后台系统用户已下线,停止计费在上图中,SE800 检查用户已经下线的机制包括:1

8、、 用户 DHCP 的 Lease time 过期2、 用户在一定时间内没有流量1.2. NPM 与 Web Portal 服务器的沟通机制NPM 本身具备了API(Application Programming Interface )服务器的功能。这个功能主要是给予外部的服务器连接到NPM 的一个公开接口。外部服务器主要包括Web Portal 服务器,Netop Client 和一些OSS 系统。通过这个接口,外部服务器可以在NPM 进行认证和服务选择的功能。NPM 的API 是基于Simple Object Access Protocol(SOAP)来进行。这个协议的优点是简单和利用XM

9、L(Extensible Markup Language)文件为协议传输的格式。在这个方案里,用户打开浏览器后会先在Web Portal 上登陆,然后通过NPM 再向Radius 进行认证,Web Portal 跟NPM 之间的沟通就是通过SOAP 的脚本来实现。以下是用户在Web Portal 登陆的认证流程,当中会牵涉到NPM 和Web Portal 服务器之间的沟通。用户登录流程1 用户接入到BRAS 并获得IP 地址。在取得网络服务之前,首先在Web Portal 服务器登陆用户登录流程2 当Web Portal 服务器接收到用户帐号和密码后,Web Portal 服务器会通过API

10、接口发送用户认证信息(包括IP地址、用户名、口令)到NPM 。 用户登录流程3 当NPM 通过API 接收到从Web Portal 发送的用户帐号信息后, NPM 会利用标准Radius 协议发送用户认证请求包到Radius 服务器。用户登录流程4 Radius 服务器返回NPM 认证结果。 认证通过发送Access-Accept 包并带有用户属性,例如Session-Timeout. 认证失败发送Access-Reject 包用户登录流程5 NPM 从Radius 服务器接收到认证结果并通过API 接口把认证确认包返回Web Portal 服务器 认证通过NPM将通过API给Portal服务

11、器返回Sucessful信息 认证失败NPM将通过API给Portal服务器返回Error信息用户登录流程6 Web Portal 服务器通过网页显示显示给用户,例如 认证通过显示登陆成功信息! 用户可以开始网络服务 认证失败显示登陆错误信息,并提示请重新输入用户登录流程7 NPM 更新BRAS 的用户参数,例如Session-Timout, 把http redirect 策略删除等,用户可以正常访问Internet。2. 苏州移动 Web 认证建议方案根据上面Web认证的原理,我们可以看到,要采用SE800实现Web认证,用户的DHCP过程(包括获取地址,地址续租,释放地址等)必须经过SE8

12、00。根据实际情况,要达到这一要求,可以有两种方案: 由SE800作为DHCP服务器 SE800作为DHCP Proxy,继续使用广电DHCP服务器2.1. 方案一:使用 SE800 作为 DHCP 服务器如下图所示: Top right crner for field-mark, custoer or partnr lgtypes. Se Best practi for xamle.Slide tile 40 ptSlide subtile 24 ptText24 ptBulets levl -520 ptCopyright Ericson AB 208. Al rights resrved

13、. 7Web认 证 ( 通 过 3层 网 ) -建 议 方 案 1CMTS as DHCP RelayL3 NetworkSE80/DHCP ServerCM NetWeb Server Radius ServerExit Router广 电 移 动Users用 户 的 DHCP 过 程 必 须 经 过 SE80, CMTS配 置 DHCP relay(可 用 SE80内 部 DHCP服 务 器 )在 用 户 经 过 SE80时 , 为 用 户 建 立 会 话 , 并 且 带 有 重 定 向 到 Portal服 务 器 的 策略 , 但 不 可 以 访 问 Internet在 Portal上

14、输 入 用 户 名 /口 令 , Portal和 NPM通 信 , 进 行 认 证认 证 通 过 后 , 用 户 获 得 访 问 Internet的 权 限 , 并 发 送 计 费 包如 果 用 户 使 用 NAT, 那 么 访 问 Portal服 务 器 时 , 应 该 直 接 路 由 过 去 , 而 不 能 通 过 NAT( SE80上 可 以 配 置 这 种 方 式 )NPMCMTS as DHCP Relay2.1.1. 用户上网认证的步骤: 广电 CMTS 配置 DHCP Relay 到 SE800,用户通过 DHCP 要求获得地址时,请求被Relay 到 SE800 在用户 DHC

15、P 请求到 SE800 时,SE800 为用户建立会话,由 SE800 根据用户的 Relay地址分配相应网段的地址给用户,并且给用户设置重定向到 Portal 服务器的策略,但不可以访问 Internet 在 Portal 上输入用户名/口令,Portal 和 NPM 通信,进行认证 认证通过后,用户获得访问 Internet 的权限,并发送计费包2.1.2. 用户登出过程:1. 用户显式登出 用户在 Portal 页面选择 Logout Portal 与 NPM 通信,通知 IP 地址为用户地址( 通过用户访问 Portal 的 IP 地址获得)的用户下线 NPM 通知 SE800 用户下

16、线 SE800 发送 Acct_stop 计费包2. 用户异常下线当用户异常下线(关机、拔网线等)时,由SE800判断用户下线。在SE800作为DHCP服务器的方案中,建议采用DHCP租约来判断用户下线: SE800 在用户租约到期没有收到该用户的续租,则判断该用户已下线 SE800 清除用户在线记录,发送 Acct_stop 计费包2.1.3. SE800 的配置以下为SE800上与Web认证相关的主要配置:! global config! 以下配置用于 WebPortal 重定向forward policy captiveportalaccess-group captiveportalac

17、l WebAuthclass CAPTIVE_PORTALredirect destination localclass IPdrop! 以下用于 NPM 与 SE800 的 SNMP 通讯snmp serversnmp view netopview internet includedsnmp community redback-npm all-contexts view netopview read-write! 以下配置 context WebAuth,用于终结 web 认证用户context WebAuth!interface loopback1 loopbackip address 1

18、.1.1.1/32!interface tocatv ip address 10.1.1.1/30 ! 和广电互联的接口地址 interface dhcp1 multibindip address 2.1.1.1/24ip address 3.1.1.1/24 secondaryip address 4.1.1.1/24 secondarydhcp server interface!以上 ip 地址和用户地址段匹配,每个地址段都应该有相应的 ip 地址,并且和CMTS 上的用户接口地址一致dhcp server policy default-lease-time 900 /配置租约时间为 15

19、 分钟subnet 1.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 2.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 3.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 4.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1!为每个用户地址段配置subscriber defaultip address pooldhcp max-

20、addrs 1dns primary x.x.x.xdns secondary y.y.y.y!policy access-list captiveportalaclseq 10 permit udp any any eq bootps class BOOTPSseq 20 permit udp any any eq domain class DNSseq 30 permit udp any any eq netbios-ns class DNSseq 35 permit tcp any host x.x.x.x eq www class WEB!上面的地址为 Portal Server 的地

21、址seq 36 permit tcp any host 其他不需认证可访问的服务器 eq www class WEBseq 50 permit tcp any any eq www class CAPTIVE_PORTALseq 60 permit ip any class IP!2.1.4. 对其他系统的要求对广电网络的要求:要求CMTS能区分用户DHCP和Cable Modem的DHCP请求,并且只将用户DHCP请求Relay到SE800。DHCP Relay用户请求时,要求giaddr是用户网段的缺省网关,这样在SE800上才能为用户分配正确的IP地址。对移动网络的要求:因为在Porta

22、l服务器认证时,需要知道用户的真实地址,如果用户使用NAT,那么访问Portal服务器时,应该直接路由过去,而不能通过NAT,也就是要求用户的IP能直接访问Portal服务器。对Portal/Radius等系统的要求没有特殊要求。2.2. 方案二: SE800 作为 DHCP Proxy,使用广电 DHCP Server如果广电要求DHCP服务器设在广电,可以在广电设置DHCP服务器,如下图所示,在SE800和DHCP服务器之间建立一个VLAN连接,在SE800上配置DHCP Proxy指向广电的DHCP服务器,同样可以实现用户三层接入的认证。Top right crner for field

23、-mark, custoer or partnr lgtypes. Se Best practi for xamle.Slide tile 40 ptSlide subtile 24 ptText24 ptBulets levl -520 ptCopyright Ericson AB 208. Al rights resrved. 8Web认 证 ( 通 过 3层 网 ) -建 议 方 案 2CMTS/DHCP RelayL3 NetworkSE80/DHCP roxyCM NetWeb Server Radius Server出 口广 电 移 动Users如 果 要 求 DHCP服 务 器

24、在 广 电 网 络 , 可 在 SE80配 置 DHCP roxy指 向 广 电 服 务 器在 用 户 经 过 SE80时 , SE80为 用 户 建 立 会 话 , 并 且 带 有 重 定 向 到 Portal服务 器 的 策 略 , 但 不 可 以 访 问 Internet在 Portal上 输 入 用 户 名 /口 令 , Portal和 NPM通 信 , 进 行 认 证认 证 通 过 后 , 用 户 获 得 访 问 Internet的 权 限 , 并 发 送 计 费 包如 果 用 户 使 用 NAT, 那 么 访 问 Portal服 务 器 时 , 应 该 直 接 路 由 过 去 ,

25、而 不 能 通 过NAT( SE80上 可 以 配 置 这 种 方 式 )NPMCMTS/DHCP RelayDHCP Server2.2.1. 用户上网认证的步骤: 广电 CMTS 配置 DHCP Relay 到 SE800,用户通过 DHCP 要求获得地址时,请求被Relay 到 SE800 在用户 DHCP 请求到 SE800 时,SE800 为用户建立会话,SE800 并且将 DHCP 请求Proxy 到广电的 DHCP 服务器,并且给用户设置重定向到 Portal 服务器的策略,但不可以访问 Internet。广电分配相应网段的地址给用户。 在 Portal 上输入用户名/口令,Po

26、rtal 和 NPM 通信,进行认证 认证通过后,用户获得访问 Internet 的权限,并发送计费包2.2.2. 用户登出过程:3. 用户显式登出与方案一相同4. 用户异常下线当用户异常下线(关机、拔网线等)时,由SE800判断用户下线。在SE800作为DHCPProxy的方案中,可以采用采用DHCP租约或用户流量来判断用户下线。如果广电DHCP服务器能支持用户较短的租约时间(如10分钟),那么建议采用基于DHCP租约的方式,如果不支持较短租约,则建议基于流量来判断用户下线。 基于租约的判断同方式一。 基于流量的配置见 SE800 配置部分2.2.3. SE800 的配置和方案一相比,主要的

27、差别在DHCP配置部分和异常下线判断部分,以下是这两部分的配置例子:context WebAuth!interface loopback1 loopbackip address 1.1.1.1/32!interface tocatv ip address 10.1.1.1/30 ! 和广电互联的接口地址 interface dhcp1 multibindip address 2.1.1.1/24dhcp proxy 500interface dhcp2 multibindip address 3.1.1.1/24 secondarydhcp proxy 500interface dhcp3 m

28、ultibindip address 4.1.1.1/24 secondarydhcp proxy 500!以上 ip 地址和 CMTS 地址段匹配,每个 CMTS 面向用户的接口都必须有相应的Interface 匹配。subscriber defaultip address pooltimeout idle 10 direction in threshold 500!该配置表示在 10 分钟内用户发出的流量平均小于 500bps,则认为用户已下线,可以根据实际情况调整dhcp max-addrs 1dns primary x.x.x.xdns secondary y.y.y.y!dhcp r

29、elay server z.z.z.z / 该地址为广电 DHCP 服务器地址2.2.4. 对其他系统的要求对广电网络的要求:CMTS最好能区分用户DHCP和Cable Modem的DHCP请求,并且只将用户DHCP请求Relay到SE800。DHCP Relay用户请求时,要求giaddr是用户网段的缺省网关。如果CMTS不能区分用户DHCP和Cable Modem的请求,可以将两类DHCP请求均Relay到SE800,由SE800 Relay到广电DHCP服务器。要求SE800和DHCP Server之间IP连通。对广电DHCP Relay Server而言,DHCP请求与由CMTS直接Relay过来类似,不需要特殊的配置。对移动网络的要求:同方案一对Portal/Radius等系统的要求没有特殊要求。3. 总结采用爱立信 Web 认证的方案的主要优点: SE800 能实现用户上下线的检测,实现准确的计费 具有强的扩展能力,整机支持最大 48,000 个用户 能防止用户私配地址导致的计费、安全问题除了提供 Web 认证的,结合 NPM 系统,可以开发按需带宽( BOD)等应用

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报