WLAN项目AC培训

内蒙兴安盟WLAN项目AC培训售后部主要内容一、名词解释二、AC转发方式三、兴安盟AC组网四、相关原理五、AC管理操作实例六、AC配置实例七、常见故障处理名词解释1、APAccessPoint无线局域网接入点（AP）2、ACAccessController无线局域网业务用户接入认证点和业务控制点3、DHCPDynamicHostConfigurationProtocol动态主机设置协议4、DNSDomainNameService域名服务5、RADIUSRemoteAuthenticationDialInUserService远程用户拨号认证系统，RADIUS用户认证服务器完成基于WEB方式的用户认证。6、WLANWirelessLocalAreaNetwork无线局域网络7、PORTALWEB“门户”服务器完成向WLAN用户推送认证页面和门户网站名词解释AC转发方式●集中数据转发●AP和AC间通过专用的数据隧道进行数据转发，AP和AC间的数据隧道中为二层数据。采用此模式时，所有用户数据都要通过AC进行转发。●此种方式下，用户数据流向容易控制，适合运营商的组网架构。而且由于采用隧道技术，对用户IP分配可以更加灵活。●本地数据转发●AC只对AP进行管理和控制，并不发起和AP的隧道连接，所有的用户数据通过本地网络转发。●此种方式下，本地用户数据交换无需通过AC进行集中交换，减少了网络流量迂回，更适合本地数据交换量大的企业网使用。组网方式组网方式集中转发组网方式本地转发兴安盟AC组网一、组网方式AC采用集中转发方式组网，AC负责用户及AP的IP地址分配，portal和radius服务器的推送.AP和AC间通过专用的数据隧道进行数据转发，AP和AC间的数据隧道中为二层数据。采用此模式时，所有用户数据都要通过AC进行转发兴安盟AC组网•二、拓扑图兴安盟AC组网兴安盟AC组网•三、实现方式WLAN用户终端WLAN接入点（AP）WLAN接入系统RADIUS用户认证服务器Portal服务器WLAN业务用户接入认证点和业务控制点（AC/SC）采用用户名及密码认证的OPEN门户认证流程Internet认证网AAA认证服务器外置Portal服务器Radius外置Portal协议WAPIAP用户可以正常上网•OPEN•①•⑤•②•⑧•⑦•⑨•⑥•⑩①建立OPEN无线连接②用户打开浏览器，访问互联网，AC将用户强制定向到接入门户,用户输入用户名和密码，③验证用户密码、查询用户信息,返回最大时长④CHALLENGE及传送账号⑤根据用户名和密码信息进行相应的网络接入授权⑥门户页面认证结果⑦用户接入网络，开始使用⑧开始计费⑨用户关掉浏览器的计时窗口或断线。⑩停止计费相关原理AC的发现过程，是指当WTP进入网络时，通过发送AC发现请求信息，并获得AC发现响应信息，从而，找到可用的AC，并选择最为合适的AC以建立CAPWAP会话的过程。–静态发现：可以在WTP上预置AC地址，则不需要发现过程。–动态发现：通常情况下WTP需要对备选AC进行动态发现，此时，就会有AC的发现过程。二层广播发现当WTP和AC在同一个第二层VLAN和IP子网时，WTP可以通过广播AC发现请求信息发现AC。位于同一个子网的AC都将进行应答。三层发现：AP首先通过DHCP或DNS方式得到AC的IP地址，然后向AC发现发现请求信息，进而认证建立连接的过程。DHCP发现过程DNS发现过程AC的发现过程DHCP发现过程1.AP接入网络中任意网口后，开始receivesDHCP。2.AP取得AC地址后，主动发起与AC的认证连接。3.AC对AP进行验证后，与AP建立连接。4.AP获得配置信息。5.终端正常访问网络。DHCPSever注：DHCP方式可以部署在二层和三层组网中，但是当采用三层组网时，需要所有开启DHCPRelay的设备都支持Option43，并保证AP可以正确获得Option43的值。DNS发现过程1.AP接入网络中任意网口后,根据事先配置好的域名向DNS服务器提起解析请求。2.AP取得AC地址后，主动发起与AC的认证连接。3.AC对AP进行验证后，与AP建立连接。4.AP获得配置信息。5.终端正常访问网络。在三层组网中，也可以使用DHCP的方式完成零配置，但需要所有开启DHCPRelay的设备都支持Option43，并保证AP可以正确获得Option43的值。DNSSeverL2/L3•1.AP接入网络后，会发起ACDiscover请求。•2.AC会响应请求并返回AC地址。•3.AP取得AC地址后，主动发起与AC的认证连接。•4.AC对AP进行验证后，与AP建立CAPWAP连接。•5.AP从AC上获得配置信息，完成配置过程。二层广播发现过程WEB用户接入流程10.REQ_AUTH[IP,username,pwd,challenge,reqID]13.ACK_AUTH[IP]14.HTTPResponseportal-url[认证结果，推送分省或集团客户定制的门户页面]15.AFF_ACK_AUTH[IP]2.HTTPRequestuser-url8.REQ_CHALLENGE[IP]9.ACK_CHALLENGE[IP,challenge,reqID]11.Access-Request[username,pwd,challenge,chaID=reqID,Called-Station-Id]12.Access-Accept/Access-Reject[interim-update]3.HTTPRequestportal-url（携带SSID）4.HTTPResponseportal-url（分省或集团客户定制页面）5.HTTPsPOSTportal-url[username,pwd]17.Accounting-Response/Start强制Portal流程认证流程计费开始如果成功，计费；如果失败，流程结束DHCP地址分配流程ProbeRequestProbeResponse连接建立WLAN用户终端ACAPPORTALAuthenticationRequestAssociationRequestAuthenticationResponseAssociationResponse1.DHCP地址分配中央RADIUS认证服务器16.Accounting-Request/Start[username]18.Accounting-Request/Interim-Update[username]19.Accounting-Response/Interim-Update实时计费20.Accounting-Request/Stop[username]21.Accounting-Response/Stop停止计费6.UserInfoRequest[username,pwd]7.UserInfoResponse[查询结果，SessionTimeout，AvailableTime]认证验证用户密码查询用户信息1、用户通过标准的DHCP协议，通过AC获取到规划的IP地址。2、用户打开IE，访问某个网站，发起HTTP请求。3、AC截获用户的HTTP请求，由于用户没有认证过，就强制Portal服务器。并在强制PortalURL中加入相关参数，具体请参见《中国移动WLAN业务PORTAL协议规范》。4、Portal服务器向WLAN用户终端推送WEB认证页面。5、用户在认证页面上填入帐号、密码等信息，提交到Portal服务。6、Portal服务器接收到用户信息，向Radius发出用户信息查询请。7、Radius验证用户密码、查询用户信息，并向Portal返回查询结及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。8、如查询成功，Portal服务器按照CHAP流程向AC请求Challenge。如果查询失败，Portal直接返回提示信息给用户，流程至此结。9、AC返回Challenge，包括ChallengeID和Challenge。10、Portal将密码和ChallengeID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。11、AC将ChallengeID、Challenge、Challenge-Password、Called-Station-ID和帐号一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证。12、中央RADIUS服务器根据用户信息判断用户是否合法（对于省内预付费卡用户，还需要判断用户接入地和归属地是否一致）。RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。如果两次都失败，RADIUS向AC返回认证失败报文。13、AC返回认证结果给Portal服务器。（以及相关业务属性。）14、Portal服务器根据认证结果，推送认证结果页面。如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。如果失败，页面提示用户失败原因。15、Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。16、认证如果成功，AC发起计费开始请求给中央RADIUS用户认证服务器。17、中央RADIUS回应计费开始响应报文，并将响应信息返回给AC。用户上线完毕，开始上网。18、在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。19、中央RADIUS计费服务器回应实时计费确认报文给AC。20、当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。21、中央RADIUS计费服务器回应AC的计费结束报文。•本地转发模式下的二层切换：在本地转发模式下执行二层切换时，AP需要执行桥模式，AP与AC之间无隧道，用户流量由AP直接转发。用户关联到AP1时，同时可以通过频率扫描发现附近的可选择的切换候选AP2（与AP1需要采用同一个SSID），当用户与AP1关联后，同时可以执行对AP2的预认证，并保持相关的预认证信息，当用户终端感知到AP2的信息已经达到从AP1切换的阈值时，终端会决策漫游到AP2上的同一个SSID上去，终端利用原来保存的预认证信息快速与AP2进行关联，并切断与AP1原来的关联。由于此时AP1、AP2执行的是桥模式，当用户由AP1切换到AP2时，用户只是更换了桥接的端口，但并没有更换MAC地址，缺省网关的MAC地址也仍是原来的地址。因此，实际上AC侧和用户侧均无实质改变，从而没有更换地址的问题，所以这样的切换不会影响用户的业务。•集中转发模式下的二层切换及三层切换：1、在集中转发模式下，AP与AC之间的用户流量通过隧道传送，如果是同一子网内部的AP切换（二层切换），AP可以采用桥模式，如果是不同子网间AP的切换（三层切换），AP可以采用桥模式以及路由模式，用户的关联由AC进行控制。2、隧道方式下，AP本身采用的模式与具体的子网已经不重要，因为用户的流量都是经过隧道送到AC，由AC解开隧道后进行相应的处理，如打上VLAN标签、进行优先级处理等。这个时候AP在这个流程中是基本透明的。3、当用户从AP1切换到AP2时，实际上的流量只是从经过AP1的隧道改为经过AP2的隧道，而对AC来说，仍然识别为是这个用户的流量，处理方式完全没有变化，同样，对用户终端来说，上连的任何参数包括VLAN、网关等也不会有任何变化，因而切换后业务不会受到影响。AP切换AC管理操作实例•基本配置•无线参数配置•无线安全配置•WLAN配置•在线AP查看•统计信息AC管理操作实例基本配置1、AC登陆管理页