浙江移动wlan培训-IAG介绍

浙江移动WLAN培训-IAG介绍杭州华三通信技术有限公司H3CnH3CSecBladeIAG(IntelligentApplicationGateway)智能业务网关（以下简称IAG）是华三公司面向企业、教育、运营商开发的智能业务网关产品。IAG应用网关产品基于强大的多核处理器硬件平台，集BAS（BroadAccessServer）和EAD网关的功能于一体，具备完善的接入、认证、授权和计费功能、丰富的QoS机制以及丰富的业务处理能力，是运营商宽带接入服务和企业EAD部署的理想设备。SecBladeIAG产品介绍H3C视图：•产品规表0～40℃环境温度40.1×399.2×376.5mm尺寸（高×宽×深）1个配置口（CON）2个千兆RJ45电口2个千兆Combo口管理接口WX6103/S7500E应用于H3CSecBladeIAG智能接入网关模块项目H3C（PS）：使用本地的50100端口监听BAS设备发送的报文，使用目的端口2000向BAS设备发送所有报文。BAS（BroadAccessServer）：使用本地的2000端口监听PortalServer发送的所有报文。使用目的端口50100向PortalServer发送报文。Portal协议框架：H3C用户门户网站（Portal）接入控制器（AC）连接请求请求认证认证结果推送归属地定制的页面，通知用户认证结果，并启动正计时提醒用户请求，通过AC强制到Portalserver统一认证页面推送请求Challenge分配Challenge查询用户信息返回查询结果及用户连接时长相关信息RadiusRADIUS认证流程如果查询失败，直接给出提示信息，结束认证判断归属地PortalH3C认证过程简述：(1)WLAN用户通过HTTP协议发起连接请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，IAG允许其通过；对于访问其它地址的HTTP报文，IAG将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。(2)Portal服务器与IAG之间进行CHAP（ChallengeHandshakeAuthenticationProtocol，质询握手验证协议）认证交互。若采用PAP（PasswordAuthenticationProtocol，密码验证协议）认证则直接进入下一步骤。(3)Portal服务器将用户输入的用户名和密码组装成认证请求报文发往IAG，同时开启定时器等待认证应答报文。(4)IAG向Portal服务器发送认证应答报文。(5)IAG与RADIUS服务器之间进行RADIUS协议报文的交互。(6)Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。(7)Portal服务器向IAG发送认证应答确认。H3C用户下线流程：Portal（1）主动下线流程1.用户发起下线请求到PortalServer；2.PortalServer向AC请求下线；3.AC回应PortalServer下线请求；4.PortalServer推送下线结果页面给用户。WLAN用户门户网站（Portal）接入控制器（AC）下线请求请求下线下线回应告诉用户下线结果H3C用户下线流程：Portal（2）用户异常下线流程1.AC侦测到用户下线，向PortalServer请求下线；2.PortalServer回应下线成功；WLAN用户门户网站（Portal）接入控制器（AC）请求下线下线成功AC侦测到用户下线H3C:7080/zmcc/index.php?wlanacname=0019.0571.571.00&wlanuserip=117.131.19.105H3C位数字（详见《中国移动WLAN漫游业务总体技术要求v1.1.0（修订稿）》)ØHST表示WLAN热点覆盖地区，由4位数字组成，各省自己规划和分配，该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。出访不需要。ØCTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示,右对齐左填零。出访不需要。ØPRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表。出访不需要。ØOPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。目前中国移动为漫游服务提供商分配的代码参见《中国移动WLAN漫游业务总体技术要求v1.1.0（修订稿）》附录B。出访需要。ØNAT表示WLAN所属的国家或者地区，由3位数字组成，中国为460。H3C之间的封装后，到达IAG，IAG作为用户的网关和认证网关，所以IAG之下的网络对于用户而言可以认为是一个二层网络，抽象化的拓扑如下：LSW（1）LSW1和LSW2为AC的交换板卡；（2）LSW为IAG以下的网络部分，被抽象为一个二层交换机；（3）IAG之间的连线为IAG热备的链路，使用IAG插卡外部的GE通道；（4）实际网络中，IAG向上可能双归属到两台路由器；（5）实际网络中，用户的地址可能为私网地址，所以还需要进行NAT；路由器H3C的部署：模糊VLAN终结对于WLAN热点建设来说，一般一个热点的所有用户对应一个VLAN，或者一个AP下的所有用户对应一个VLAN。这样，对于BAS设备来说，将看到上千个用户VLAN，如果每个VLAN创建一个子接口，配置比较麻烦，而且对于IP子网划分要求比较严格。通过模糊VLAN终结特性，可以将属于同一网段的VLAN用户在一个子接口终结，我们一般建议一个子接口模糊VLAN终结控制在50-100个VLAN内，我们会提及防止报文复制的方法（授权ARP+关闭VLAN广播复制），但是该接口使能VRRP的情况下还需要定时刷新下连交换机的MAC地址表项，如果VLAN范围太大，对于设备和网络带宽消耗也是较大的。H3C的部署：VRRP（1）VRRP是一种容错协议。在具有多播或广播能力的局域网（如以太网）中，借助VRRP能在某台设备出现故障时仍然提供高可靠的缺省链路，有效避免单一链路发生故障后网络中断的问题，而无需修改动态路由协议、路由发现协议等配置信息，也无需修改主机的默认网关配置。两台IAG面向用户的接口使用VRRP提供网关冗余保护，包括AP的网关和用户的网关。（2）为确保portal热备，当一台IAG故障时，portal服务器感知不到，需要使用VRRP虚地址作为NAS-IP，当IAG需要终结的用户接口较多时，单独拿出一个接口跑VRRP，该接口的虚地址作为NAS-IP，该接口不需终结用户。H3C的部署：授权ARP所谓授权ARP（AuthorizedARP），就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。静态ARP表项可以覆盖授权ARP表项，授权ARP表项可以覆盖动态ARP表项，但是授权ARP表项不能覆盖静态ARP表项，动态ARP表项不能覆盖授权ARP表项。这是一种ARP表项完全受控产生，不再动态产生表项的方法。一方面保证了表项的可靠性，另一方面由于不再动态学习表项，也避免了设备自身ARP广播请求报文的发送，减轻了设备这方面的资源消耗，尤其在启用模糊VLAN终结的情况下，这种好处就更为明显。使能接口的授权ARP功能后，系统会启动接口下授权ARP表项的老化探测功能，可以检测用户的非正常下线；同时，系统会禁止该接口学习动态ARP表项，可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击，保证只有合法的用户才能使用网络资源，增加了网络的安全性。H3C的部署：双机热备（1）双机热备的链路采用IAG插卡外部面板的GE口，该端口不用作用户报文的转发，一旦用作热备链路，该端口在设备上其它地方不可见即不能再用作其它用途；（2）目前主要用到的是portal双机热备和DHCPserver热备。H3C的部署：portal双机热备portal的双机热备：1、用户上线成功，备份用户上线信息和用户策略信息；2、同步数据的时机：（1）用户上线、下线状态发生变化时进行实时备份；（2）对新加入备份组的设备进行批量备份；3、工作模式主备模式：双机中一台作为主设备进行工作，另一台作为备设备专职进行备份。H3C的部署：portal双机热备4、设备状态双机热备的主要用途就是在两台设备之间传递信息，设备的热备状态有静默、独立运行和同步三种。静默：表示设备刚启动正在等待系统稳定，或者热备状态正在从同步向独立运行转换的中间状态。独立运行：表示静默定时器超时，但是设备没有与任何其它设备建立备份连接。同步：表示设备与对端设备状态协商成功，可以进行数据备份。三种状态之间的转换关系如左图所示。H3C的部署：portal双机热备5、应用限制（1）双机热备只支持两台设备进行备份。（2）双机热备只支持数据同步，不支持配置同步。所以在一端进行某些配置时，比如配置接口类型、接口允许通过的VLAN等，需要手工在对端也进行相应的配置。H3C的部署：DHCPserver双机热备为什么需要DHCPserver热备？（1）两台互为VRRP的IAG都作为DHCPserver，初始DHCP请求报文是广播报文，会到达两台IAG，任何一台IAG都可为用户分配地址；（2）无线网卡闪断前后，地址的分配可能是由不同的IAG分配，但是portal层面并感知不到，下发的ACL还是基于原来的IP地址，导致该用户即不能重新认证、又不能访问网络（3）如果主备设备间的dhcpserver没有互通信息，则切换后，旧用户续约，新用户申请（由于用户VLAN隔离，分配地址前的地址冲突检查不一定生效）都可能会有问题；（4）在使能授权ARP的基础上，用户上行流量走vrrpmaster下行有可能走slave，如果地址是由master分配的，slave上没有授权arp表项，流量不同（为用户分配地址的那台IAG出现故障，情况类似）H3C的部署：DHCPserver双机热备DHCPserver热备能做什么？DHCPServer所具有的关键表项信息为租约，包括IP、MAC、租约时间、类型字段。在双机热备状态协商成功后，租约信息会自动同步到对端。租约同步到对端后，两台设备都保存着租约信息，当表项发生变化，相应的动作也需要同步。租约存在几种操作：A）新增租约：Client申请地址B）租约变化：续约时，租约时间变化。租约的有效期内，Client可能做续约动作，向Server单播请求报文，导致Master上租约有效期变化，此变化也需要同步到Backup。C）删除租约：Client释放地址。Client释放地址，也是单播到Server，Server上删除租约也需要备份到Backup上。D）租约到期，Server删除租约。如果在有效期之内，client不续约，则Master和Backup都会根据租约有效期将租约删除，并通知对端，并非只由Master发起。H3C总结（1）无论采用哪种类型的组网，压力最大的