中国移动无线局域网(WLAN)PEAP、SIM认证兼容性测试方案V2.0.0

无感知测试用例（SIM、PEAP）测试用例8.4.1混合接入认证支持能力(以下测试的手机终端，都需要覆盖到主流手机操作系统类型：Ophone、IPhone、Android、WM、Symbian)8.4.1.1SIM认证方式的手机和PEAP认证方式的手机混合接入场景测试编号：8.4.1.1参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（WebPortal/PEAP/SIM认证）测试目的：1、检验WLAN接入系统能够同时支持多种接入认证方式（WebPortal、PEAP和SIM认证）测试组网图：预置条件：1、配置两个SSID，一个为CMCC（配置WebPortal认证方式，不加密），另一个为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行STA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPPAAAServerPortal测试流程：1、开启3台WLAN接入终端（终端1为PC，终端2和终端3为手机，其中终端2中装有2G的SIM卡），分别采用WEB、EAP-SIM、PEAP-MSCHAPv2接入认证方式2、依次接入这3种不同认证类型的用户终端并进行认证，整个过程需抓包3、3种不同认证类型的用户终端同时访问HTTP业务4、用户下线5、更换终端2为3G手机，装有3G的USIM卡，采用EAP-AKA接入认证方式6、重复步骤2到4预期结果：1、步骤2和6中，3台用户终端均能成功接入并通过认证2、步骤3和6中，3台WLAN用户终端均能成功使用HTTP业务3、SIM以及PEAP认证流程以及用户下线流程符合《中国移动无线局域网（WLAN）用户接入流程技术规范（SIMPEAP）》要求测试说明：1、需重点验证SIM及PEAP认证接入流程过程中，AC按照用户认证、DHCP服务器完成IP地址分配、AC开始对用户计费的顺序进行2、当用户下线时，AC需与RADIUS服务器交互上报用户此次连接记录：以本次连接中AC开始计费时间为本次连接开始时间，以AC下线时间为本次用户下线时间测试结果：8.4.1.2SIM认证方式的手机和PEAP认证方式的PC混合接入场景测试编号：8.4.1.2参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（WebPortal/PEAP/SIM认证）测试目的：1、检验WLAN接入系统能够同时支持多种接入认证方式（WebPortal、PEAP和SIM认证）测试组网图：预置条件：1、配置两个SSID，一个为CMCC（配置WebPortal认证方式，不加密），另一个为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、开启3台WLAN接入终端（终端1和终端3为PC，终端2为手机，装有2G的SIM卡），分别采用WEB、EAP-SIM、PEAP-MSCHAPv2接入认证方式2、依次接入这3种不同认证类型的用户终端并进行认证，整个过程需抓包3、3种不同认证类型的用户终端同时访问HTTP业务4、用户下线5、更换终端2为3G手机，装有3G的USIM卡，采用EAP-AKA接入认证方式6、重复步骤2到4预期结果：1、步骤2和6中，3台用户终端均能成功接入并通过认证2、步骤3和6中，3台WLAN用户终端均能成功使用HTTP业务3、SIM以及PEAP认证流程以及用户下线流程符合《中国移动无线局域网（WLAN）用户接入流程技术规范（SIMPEAP）》要求测试说明：1、需重点验证SIM及PEAP认证接入流程过程中，AC按照用户认证、DHCP服务器完成IP地址分配、AC开始对用户计费的顺序进行2、当用户下线时，AC需与RADIUS服务器交互上报用户此次连接记录：以本次连接中AC开始计费时间为本次连接开始时间，以AC下线时间为本次用户下线时间STA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPPAAAServerPortal测试结果：8.4.1.3SIM认证终端的快速重鉴权场景测试编号：8.4.1.3参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（WebPortal/PEAP/SIM认证）测试目的：1、检验WLAN接入系统能够支持SIM认证方式下的快速重鉴权流程测试组网图：预置条件：1、配置SSID为CMCC-AUTO（配置SIM认证方式，采用WPA2加密）2、WLAN接入系统配置正确3、用户认证服务器配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、开启2台WLAN接入终端（终端1为装有2GSIM卡的手机，终端2为装有3GSIM卡的3G手机），分别采用EAP-SIM、EAP-AKA接入认证方式2、依次接入这两台终端并进行认证，整个过程需抓包3、两台用户终端同时访问HTTP业务4、用户下线后，再次接入这两台终端并进行认证5、两台用户终端同时访问HTTP业务6、用户下线STA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPPAAAServerPortal预期结果：1、步骤2和4中，2台用户终端均能成功接入并通过认证2、步骤3和5中，2台WLAN用户终端均能成功使用HTTP业务3、步骤4中，PC可以抓取到AC和3GPPAAAServer之间进行EAP-SIM/AKA快速重鉴权流程的交互消息4、SIM认证的快速重鉴权流程符合《中国移动无线局域网（WLAN）用户接入流程技术规范（SIMPEAP）》要求测试说明：1、需重点验证SIM认证终端的快速重鉴权流程，3GPPAAAServer和HLR之间将不存在任何消息交互。测试结果：8.4.1.43GPPAAAServer发起用户下线场景测试编号：8.4.1.4参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（WebPortal/PEAP/SIM认证）测试目的：1、检验PEAP和SIM认证方式下，WLAN接入系统能够支持网络侧发起的用户下线流程。测试组网图：预置条件：1、配置SSID为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行STA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPPAAAServerPortal测试流程：1、开启3台WLAN接入终端（终端1为装有2GSIM卡的手机，终端2为装有3GSIM卡的3G手机，终端3为PC），分别采用EAP-SIM、EAP-AKA、PEAP-MSCHAPv2接入认证方式，依次接入这3种不同认证类型的用户终端并进行认证，整个过程需抓包2、3种不同认证类型的用户终端同时访问HTTP业务3、3GPPAAAServer触发Disconnect-Request消息给AC4、观察用户是否已经下线预期结果：1、步骤1中，3台用户终端均能成功接入并通过认证2、步骤3中，PC可以抓取到在网络侧发起用户下线场景下，AC和3GPPAAAServer之间的交互消息3、步骤4中，用户都已经下线。4、PEAP和SIM认证方式下，网络侧发起用户下线的流程符合《中国移动无线局域网（WLAN）用户接入流程技术规范（SIMPEAP）》要求测试说明：WLANUEWLANAN3GPPAAAServer用用用用4.Accounting_Request(Stop)5.Accounting_Response(Stop)2.用用用用用用1.Disconnect-Request3.Disconnect-ACK图1网络发起下线流程测试结果：8.4.14不同SSID可配置开启/取消空闲时长下线的功能测试编号：8.4.14参考：《中国移动WLAN新设备规范》项目：用户接入认证支持能力分项目：不同SSID可配置开启/取消空闲时长下线的功能测试组网图：测试目的：1、检验AC对特殊场景下认证权限控制的支持能力；2、检验AC在同一个AP下的同一射频口下，不同SSID可以配置不同的空闲下线策略；预置条件：1、用户已获取了密码，并开通了相应的业务；2、已经正确安装网卡；3、认证服务器配置正常；4、WLAN接入系统认证功能配置正确；5、配置交换机端口镜像，PC可以抓取AC出方向的报文；APLANSwitchACSTA1STA2RadiusPC测试流程：1、配置两个无线服务模板（SSID）CMCC1和CMCC2，CMCC1使用EAP-SIM认证方式，CMCC2使用Portal认证方式，两个服务均绑定到同一个AP的同一个射频口；2、开启CMCC1和CMCC2的空闲下线功能，CMCC1的空闲时间为3分钟，流量阈值为5M，CMCC2的空闲时间为5分钟，流量阈值为3M；3、STA1关联到CMCC1，STA2关联到CMCC2，使用各自账号登陆上线，可以ping通PC；4、STA1和STA2不进行任何操作，PC抓取AC出方向报文；5、修改AC配置，CMCC1的空闲时间为6分钟，CMCC2的空闲时间为4分钟，再进行步骤3，4的测试；6、关闭CMCC1的空闲下线功能，再进行步骤3，4的测试；7、关闭CMCC2的空闲下线功能，开启CMCC1的空闲下线功能，再进行步骤3，4的测试8、修改AC配置，开启CMCC1的空闲下线功能，空闲时间为5分钟，流量阈值为5M；开启CMCC2的空闲下线功能，空闲时间为5分钟，流量阈值为8M；9、STA1先在5分钟内从FTP服务器下载6M大小文件，然后再在接着的5分钟内下载3M大小文件，PC抓取AC出方向报文；10、STA2先在5分钟内从FTP服务器下载9M大小文件，然后再在接着的5分钟内下载6M大小文件，PC抓取AC出方向报文；11、修改AC配置，CMCC1的空闲下线流量阈值为8M，CMCC2的空闲下线流量阈值为5M；12、STA1先在5分钟内从FTP服务器下载9M大小文件，然后再在接着的5分钟内下载6M大小文件，PC抓取AC出方向报文；13、STA2先在5分钟内从FTP服务器下载6M大小文件，然后再在接着的5分钟内下载3M大小文件，PC抓取AC出方向报文；预期结果：1、步骤4和步骤5中，PC可以抓取到AC向radius服务器发送STA1和STA2的用户计费停止报文，比较AC针对同一用户发送的计费开始报文和计费结束报文之间的时间间隔，应该和AC上配置的空闲时间相一致。2、步骤6中，PC可以抓取到AC向radius服务器发送STA2的用户计费停止报文，STA1正常在线，可以ping通网关；3、步骤7中，PC可以抓取到AC向radius服务器发送STA1的用户计费停止报文，STA2正常在线，可以ping通网关；4、步骤9、10、12、13中，PC可以抓取到AC向radius服务器发送STA1和STA2的用户计费停止报文，观察AC针对同一用户发送的计费开始报文和计费结束报文之间的时间间隔，应该在5分钟到10分钟之间。测试说明：测试中需确保两个ssid配置在同一个射频口上测试结果：8.6.2WPA-Radius支持能力测试编号：8.6.2参考：《中国移动WLAN网络设备规范》项目：安全支持能力分项目：WPA-Radius支持能力测试目的：1、检验WLAN接入系统支持WPA-Radius认证加密能力测试组网图：预置条件：1、已经正确安装支持WPA的网卡2、AC上PEAP-MSCHAPv2认证功能配置正确，采用外置Radius认证和计费STA-WPAAPLANSwitchACPortalRadius测试流程：1、配置终端用户采用WPA-Radius