YD T 3921-2021 公众无线局域网用户集中认证和数据本地转发技术要求.pdf

1、ICS 33.040.40 M 32 YD 中华人民共和国 通信 行业标准 XX/T XXXXXXXXX 公众无线局域网用户集中认证和数据本地 转发技术要求 Technical requirements for user centralized authentication and data local forwarding of public wireless LAN （报批稿） （本稿完成日期：） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发 布 YD/T XXXXXXXX I 目 次 前言 .II 1

2、范围 .1 2 规范性引用文件 .1 3 术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩略语 .2 4 组网架构 .2 4.1 概述 .2 4.2 组网场景 .2 4.2.1 AP 通过 Internet 接入组网 .3 4.2.2 AP 通过专线接入组网 .3 4.2.2.1 模式一组网 .3 4.2.2.2 模式二组网 .4 5 功能要求 .5 6 AP 通过 Internet 接入业务流程 .5 6.1 WLAN 用户关联过程 .5 6.2 WLAN 用户 IP 地址分配 .6 6.3 WLAN 用户上线流程 .6 6.4 WLAN 用户下线流程 .8 6.4.1 WLA

3、N 用户正常下线 .8 6.4.2 WLAN 用户异常下线 .9 7 AP 通过专线接入业务流程 .10 7.1 WLAN 用户关联过程 .10 7.2 WLAN 用户 IP 地址分配 .11 7.3 WLAN 用户上线流程 .11 7.4 WLAN 用户下线流程 .13 7.4.1 WLAN 用户正常下线 .13 7.4.2 WLAN 用户异常下线 .13 附录 A （资料性性附录） AC 负责重定向的认证流程图 .15 YD/T XXXXXXXX II 前 言 本标准 按照 GB/T 1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利

4、的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位 ： 中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有 限公司、中国信息通信研究院、新华三技术有限公司。 本标准主要起草人：高波、王波、于鸿洲、邱勇、夏骆辉、傅嘉嘉、万晓兰。 YD/T XXXXXXXX 1 公众无线局域网用户集中认证和数据本地转发技术要求 1 范围 本标准规定了接入控制器与“瘦”接入点（以下均简称“接入点 ”）组网模式下 用户集中认证、用 户业务数据本地转发的技术要求， 包括组网架构、功能要求和接入业务流程等 。 本标准适用于接入点通过因特网接入部署于公网的接入控制器和接入点通过专线和因特网

5、接入接 入控制器的组网场景。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IETF RFC 5176 远程身份验证拨入用户服务（ RADIUS）的动态授权扩展（ Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS) ） IETF RFC 5415 无线接入点控制与配置协议规范（ Control And Provisioning o

6、f Wireless Access Points (CAPWAP) Protocol Specification） IETF RFC 5416 IEEE 802.11无线接入点的控制和配置协议绑定（ Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11） 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 宽带网络接入服务器 broadband remote access server 位于骨干网的边缘层、可以完成用户宽带网络的数

7、据接入的面向宽带网络应用的新型接入网关。 3.1.2 域名解析服务器 DHCP Server 动态主机配置。 3.1.3 门户 portal 运营商的 WLAN门户业务。 3.1.4 YD/T XXXXXXXX 2 远程认证拨号用户服务 remote authentication dial in user service 认证、授权及计费三种服务的网络传输协议。 3.1.5 网页认证 web authentication 通过 Web方式进行用户认证，又称为 Portal认证。 3.1.6 用户数据集中转发 centralized forwarding of user data 用户数据经过

8、AP-AC隧道、由 AC集中进行转发的方式。 3.1.7 用户数据本地转发 local forwarding of user data 用户数据不经过 AP-AC隧道、而是由 AP直接转发到上联交换机的方式。 3.2 缩略语 下列缩略语适用于本文件。 AAA 认证，授权，计帐 Authentication Authorization Accounting AC 接入控制器 Access Controller AP 接入点 Access Point BRAS 宽带远程接入服务器 Broadband Remote Access Server CAPWAP 无线接入点的控制和配置 协议 Contro

9、l And Provisioning of Wireless Access Points Protocol Specification CHAP 挑战握手认证协议 Challenge Handshake Authentication Protocol DHCP Server DHCP服务器 DHCP Server DNS Server 动态域名解析服务器 DNS Server HTTP 超文本传输协议 Hypertext Transfer Protocol NAT 网络地址转换 Network Address Translation PAP 口今认证协议 Password Authentica

10、tion Protocol PORTAL 门户 Portal STA 站点 Station 4 组网架构 4.1 概述 在 AP+AC组网架构下，通过 AC集中转发用户业务数据，其转发性能会受限于 AC设备的性能。 在 AC部署于云端或公网等应用场景时，采用用户经 AC集中认证、用户业务数据由 AP本地转发模 式 ， 既满足用户集中认证和集中管理的运营级要求 ， 又能提高用户接入的转发性能 。 AP与 AC之间通信 均遵循 IETF RFC 5415和 IETF RFC 5416。 4.2 组网场景 YD/T XXXXXXXX 3 4.2.1 AP 通过因特网接入组网 AP通过内置 NAT功能

11、的网关设备接入因特网（ Internet） ，其中 AP预配置 AC的域名，其组网如图 1 所示。 AP的工作流程如下： a） 网关设备通过 PPPoE拨号或其它方法接入 Internet， 网关设备启用 DHCPServer负责为 AP分配私 网 IP地址； b） AP发送 AC的 DNS域名到 DNS服务器解析获得 AC的 IP地址； c） AP根据 AC地址与 AC通信、注册，使 AP与 AC建立隧道， AP正常工作。 图 1 AP通过因特网接入组网拓扑示意图 4.2.2 AP 通过专线接入组网 4.2.2.1 模式一组网 模式一组网为 AC部署于 BRAS之上，一台 AC可以管理多个场

12、点的 AP，如图 2所示。预先为每个 AP分配 指定的管理 VLAN， 管理 VLAN由 AP发起 ， 终结于 BRAS。 BRAS根据预先配置的 AP管理 VLAN， 将 AP的报文转发 给 AP。 WLAN用户 IP地址分配、认证、管理均由 AC负责。 AP的工作流程如下： a） AP发起 DHCP请求报文； BRAS将 DHCP请求报文转发给 AC（内置 DHCP Server）； b） AC判别 AP为合法的 AP后，为 AP下发 IP地址，并且在 Option43报文中携带 AC地址反馈给 AP； c） AP根据 AC地址与 AC通信、注册，使 AP与 AC建立隧道， AP正常工作。

13、 如果为 AP分配 IP地址的是专用 DHCP Server， AC将 DHCP请求报文转发给专用 DHCP Server， 由专用 DHCP Server为合法的 AP分配 IP地址和下发 AC的地址。 因特网 接入控制器 （ AC ） 接入点 （ AP ) 站点 （ STA ） 门户服务器 认证 、 授 权 、 计帐 服务器 域名解析服务器 网关设备 1 2 3 YD/T XXXXXXXX 4 图 2 AP通过专线接入组网模式一组网示意图 4.2.2.2 模式二组网 模式二组网为 AC部署于场点，一台 AC只管理本场点的 AP，如图 3所示。预先为每个 AP分配指定的管 理 VLAN， 管

14、理 VLAN由 AP发起 ， 终结于 AC； AP与 AC是二层通信 ， AP通过 DHCP广播发现 AC。 AC上联端口预配 置业务 VLAN，终结于 BRAS。 WLAN用户地址分配、认证、管理均由 AC负责。 AP的工作流程如下： a） AP发起 DHCP请求报文， AC将 DHCP请求报文转发给 AC（内置 DHCP Server）； b） AC判别 AP后，为 AP下发 IP地址，并且在 Option43报文中携带 AC地址反馈给 AP； c） AP根据 AC地址与 AC通信、注册，使 AP与 AC建立隧道， AP正常工作。 因特网 接入控制器 （ AC ） 接入点 （ AP ） 站

15、点 （ STA ） 门户服务器 认证 、 授 权 、 计费 服务器 交换机 宽带远程接 入服务器 动态主机配置 协议服务器 本地网 因特网 接入控制器 （ AC ） 接入点 （ AP ） 站点 （ STA ） 门户服务器 认证 、 授 权 、 计费 服务器 交换机 宽带远程接 入服务器 本地网 YD/T XXXXXXXX 5 图 3 AP通过专线接入模式二组网示意图 5 功能要求 WLAN用户获取由网关或由 AC分配的 IP地址，通过 AC实现 Portal集中认证，用户数据本地接入 Internet。对于 AP通过 Internet接入组网， WLAN用户通过 AP-AC隧道自动获取由网关或

16、由 AC分配的 IP地 址；对于专线接入组网， WLAN用户自动获取 AC分配的 IP地址。 用户数据转发模式由 AP根据 SSID确定是经 AC集中转发还是由 AP本地转发 。 对于需要集中转发的用户 数据 ， 经由 AC-AP隧道封装后 ， 发送给 AC进行处理 。 对于本地转发数据 ， 要求用户数据由 AP经本地转发 。 对于未认证或认证未通过的用户报文， AP应将此报文重定向到 Portal Server； 当 WLAN用户认证通过后 ， AC将用户的业务规则下发到 AP，后续报文由 AP按业务规则进行正常的转发。 业务流程包括以下部分： a) WLAN用户关联过程； b) 用户 IP

17、地址分配； c) 用户上线流程； d) 用户下线流程： 1) 用户正常下线； 2) 用户异常下线。 6 AP 通过 Internet 接入业务流程 6.1 WLAN 用户关联过程 WLAN用户 （ STA） 关联过程如图 4所示 ， WLAN用户通过主动扫描或被动扫描方式发现 AP。 WLAN用户关 联 AP时，由 AP将 WLAN用户发送的 802.11协议规定的链路层认证报文和关联报文通过 AP-AC隧道分别转发 给 AC， 由 AC集中处理和反馈 。 WLAN用户关联成功后 ， 由 AC通知 AP添加用户 ， 用户可以接收或发送数据报 文。 YD/T XXXXXXXX 6 图 4 WLA

18、N用户关联流程图 6.2 WLAN 用户 IP 地址分配 有两种 WLAN用户 IP地址分配方法： a) 由 AC直接为 WLAN用户分配 IP地址 ： 当 AP收到 WLAN用户发送的 DHCP报文时， AP将该用户的 DHCP报 文经 AP-AC隧道上传给 AC，由 AC统一为各用户分配 IP地址，应由 AC进行全网 IP地址统一规划， 确保各用户分配的 IP地址不重复； b) 由网关直接为 WLAN用户分配 IP地址 ： 当 AP收到 WLAN用户发送的 DHCP报文时，直接走本地转发流 程 ， AP将用户的 DHCP报文送到网关设备 ， 网关直接为用户分配私网 IP地址 。 由网关设备

19、为用户 分配 IP地址 ， 存在不同网关为用户分配相同私网 IP地址的情况 ， 因此 AC、 Portal Server和 AAA 均应以“ IP地址 +MAC地址”来标识用户身份属性。 6.3 WLAN 用户上线流程 当 AP首次接收用户发送的 HTTP报文时，由于 AP没有该用户的业务规则，因此 AP将用户重定向到 Portal Server进行认证 ， 如图 5所示 。 用户认证通过后 ， AC将该用户的业务规则下发给 AP， AP根据业务 规则转发用户的各类报文。 AC与 AAA之间通信遵循 IETF RFC 5176协议。 STA AP 网关设备 AC 主动扫描 / 被动扫描 802

20、 . 11 Authentic ation Request 802 . 11 Authentic ation Response 802 . 11 Association Reque s t 802 . 11 Association Response 处理认证请求 处理关联请求 802 . 11 Association Succe s s 通过 AP - AC 隧道反馈 802 . 11 Authentic ation Response 通过 AP - AC 隧道发送 802 . 11 Association Reque s t 通过 AP - AC 隧道反馈 802 . 11 Associat

21、ion Response YD/T XXXXXXXX 7 a) Portal Server与 AC采用 CHAP认证方式 STA AP AC Portal Server 网关 设备 Internet AAA 发送 HTTP 报文 没有查到该 STA 业务规则 重定向到 Portal Server 获取 STA 认证信息 发送 chall enge 请求 chall enge 回应报文 STA 认证信息 STA 认证信息 STA 认证结果反馈 STA 认证结果反馈 STA 访问 Portal Server 推送个性化 Portal 认证页面 STA 认证信息 （ 如 : STA 帐号 、 IP

22、地址 、 MAC 地址等 ） 下发该 STA 业务规则 建立该 STA 业务规则 回应报文 （ 如下发成功 ） 认证成功信息 STA 访问 Internet YD/T XXXXXXXX 8 b) Portal Server与 AC采用 PAP认证方式 图 5 用户上线流程图 WLAN用户上线，也可以由 AC负责重定向，具体参见附录 A。 当 AP收到 WLAN用户发送的 HTTP报文时 ， 如果查到该 WLAN用户业务规则 ， 就直接按业务规则处理 ， 跳 过重定向到 Portal Server进行认证的这段流程。 6.4 WLAN 用户下线流程 6.4.1 WLAN 用户正常下线 当 WLA

23、N用户点击下线按钮时，用户主动发送下线请求报文给 Portal Server， Portal Server转发用 户下线请求报文给 AC， AC将停止计费的请求报文发给 AAA，同时 AC通知 AP删除用户的业务规则（即控制 用户下线后不能访问网络），如图 6所示。 STA AP AC Portal Server 网关 设备 Internet AAA 发送 HTTP 报文 没有查到该 STA 业务规则 重定向到 Portal Server 获取 STA 认证信息 STA 认证信息 STA 认证信息 STA 认证结果反馈 STA 认证结果反馈 STA 访问 Portal Server 推送个性化

24、 Portal 认证页面 STA 认证信息 （ 如 : STA 帐号 、 IP 地址 、 MAC 地址等 ） 下发 STA 业务规则 建立该 STA 业务规则 回应报文 （ 如下发成功 ） 认证成功信息 STA 访问 Internet YD/T XXXXXXXX 9 图 6 用户正常下线流程图 6.4.2 WLAN 用户异常下线 WLAN用户异常下线是指用户未执行主动下线操作而断开网络连接的情况 ， 包括用户关机 、 重启 、 离 开 WLAN覆盖区域或网络故障等。 有如下两种检测 WLAN用户异常下线的方法： a）有线侧检测 WLAN用户异常下线。由 AC检测到用户在预定的时间内没有流量，则

25、判定该用户异常 下线；或者 AC发送 ARP探测报文检测用户异常下线，如图 7所示。 图 7 用户异常下线流程图（有线侧检测方法） STA AP AC Portal Server AAA STA 点击下线按钮 ， 发起下线请求 转发下线请求 发起停止计费请求 回应停止计费结果 通知 AP 删除该 STA 规则 网关设备 回应下线请求 通知 STA 下线成功 回应 AC 规则删除结果 AP AC Portal Server AAA 网关设备 AC 通过流量检测或 ARP 报 文检测确定用户异常下线 回应 AC 规则删除结果 通知 AP 删除该 STA 规则 通知 AAA 服务器停止计费 下线通知

26、 下线回应 AAA 服务器回应停止计费结果 YD/T XXXXXXXX 10 b）空口侧检测 WLAN用户异常下线。当 AP收到用户发送的去关联报文（ Disassociation）或在预定 的时间内没有收到用户任何报文（包括管理帧报文和数据帧报文），则判定该用户异常下线， 如图 8所示。 图 8 用户异常下线流程图（空口侧检测方法） 7 AP 通过专线接入业务流程 7.1 WLAN 用户关联过程 WLAN用户 （ STA） 关联过程如图 9所示 ， WLAN用户通过主动扫描或被动扫描方式发现 AP。 WLAN用户关 联 AP时，由 AP将 WLAN用户发送的 802.11协议规定的链路层认证

27、报文和关联报文通过 AP-AC隧道分别转发 给 AC， 由 AC集中处理和反馈 。 WLAN用户关联成功后 ， 由 AC通知 AP添加用户 ， 用户可以接收或发送数据报 文。 STA AP AC Portal Server AAA 检测 STA 侧 报文 STA 异常下线通知 计费停止通知 检测到 STA 发送的去关联报文 或在预定时间内没有接收到任 何报文 ， 判断 STA 异常下线 STA 异常下线通知 停止该 STA 异常下线检 测 ， 并删除用户表项 网关设备 YD/T XXXXXXXX 11 图 9 用户关联流程图 7.2 WLAN 用户 IP 地址分配 当 AP收到 WLAN用户发

28、送的 DHCP报文时， AP将该用户的 DHCP报文经 AP-AC隧道转发给 AC，由 AC或专用 DHCP Server统一为各用户分配 IP地址。 7.3 WLAN 用户上线流程 当 AP首次接收 WLAN用户发送的 HTTP报文时 ， 由于 AP没有该用户的业务规则 ， 因此 AP将用户重定向到 Portal Server进行认证，如图 10所示。用户认证通过后， AC将该用户的业务规则下发给 AP， AP根据业 务规则转发用户的各类报文。 AC与 AAA之间通信遵循 IETF RFC 5176协议。 STA AP 本地网 AC 主动扫描 / 被动扫描 802 . 11 Authenti

29、c ation Request 802 . 11 Authentic ation Response 802 . 11 Association Reque s t 802 . 11 Association Response 处理认证请求 处理关联请求 802 . 11 Association Succe s s 通过 AP - AC 隧道发送 802 . 11 Authentic ation Request 通过 AP - AC 隧道反馈 802 . 11 Authentic ation Response 通过 AP - AC 隧道发送 802 . 11 Association Reque s

30、t 通过 AP - AC 隧道反馈 802 . 11 Association Response YD/T XXXXXXXX 12 a) Portal Server与 AC采用 CHAP认证方式 b) Portal Server与 AC采用 PAP认证方式 STA AP AC Portal Server 本地网 Internet AAA 发送 HTTP 报文 没有查到该 STA 业务规则 重定向到 Portal Server 获取 STA 认证信息 发送 chall enge 请求 chall enge 回应报文 STA 认证信息 STA 认证信息 STA 认证结果反馈 STA 认证结果反馈 S

31、TA 访问 Portal Server 推送个性化 Portal 认证页面 STA 认证信息 ( 如 : 用户帐号 、 IP 地址 、 MAC 地址等 ) 建立该 STA 业务规则 下发 STA 业务规则 回应报文 （ 如下发成功 ） STA 数据报文 STA AP AC Portal Server 本地网 Internet AAA 发送 HTTP 报文 没有查到该 STA 业务规则 重定向到 Portal Server 获取 STA 认证信息 STA 认证信息 STA 认证信息 STA 认证结果反馈 STA 认证结果反馈 STA 访问 Portal Server 推送个性化 Portal 认

32、证页面 STA 认证信息 ( 如 : 用户帐号 、 IP 地址 、 MAC 地址等 ) 建立该 STA 业务规则 下发 STA 业务规则 回应报文 （ 如下发成功 ） STA 数据报文 YD/T XXXXXXXX 13 图 10 用户上线流程图 当 AP 收到 WLAN 用户 发送的 HTTP 报文时 ， 如果查到该 WLAN 用户业务规则 ， 就直接按业务规则处理 ， 跳过重定向到 Portal Server 进行认证的这段流程。 7.4 WLAN 用户下线流程 7.4.1 WLAN 用户正常下线 当 WLAN 用户点击下线按钮时，用户主动 发送下线请求的 HTTP 报文 给 Portal

33、Server， Portal Server 转发用户 下线报文给 AC， AC 通知 AP 删除用户的业务规则（即控制用户下线后不能访问网络 ） ， 同时 AC 将停止计费的请求报文发给 AAA， 如图 11 所示。 图 11 用户正常下线流程图 7.4.2 WLAN 用户异常下线 WLAN 用户异常下线是指用户未执行主动下线操作而断开网络连接的情况，包括用户关机、重启、 离开 WLAN 覆盖区域或网络故障等。 有如下两 种检测 WLAN 用户异常下线的方法。 a） 有线侧检测 WLAN用户异常下线 。 由 AC检测到用户在预定的时间内没有流量 ， 则判定该用户异常 下线； AC也可以发送 A

34、RP探测报文探来检测用户异常下线，如图 12所示。 STA AP AC Portal Server 本地网 AAA STA 点击下线按钮 ， 发起下线请求 转发下线请求 通知 AP 删除该 STA 业务规则 回应 AC 规则删除结果 发起停止计费请求 回应停止计费结果 回应下线请求 通知 STA 下线成功 YD/T XXXXXXXX 14 图 12 用户异常下线流程图（有线侧检测方法） b） 空口侧检测 WLAN用户异常下线 。 当 AP收到用户发送的去关联报文 （ Disassociation） 或在预定 的时间内没有收到用户任何报文（包括管理帧报文和数据帧报文），则判定该用户异常下线 ，

35、如图 13所示。 图 13 用户异常下线流程图（空口侧检测方法） AP AC Portal Server 本地网 AAA 下线回应 通知 Ap 删除该 STA 规则 回应 AC 规则删除结果 发起停止计费请求 回应停止计费结果 下线通知 AC 通过流量检测或 ARP 报 文检测确定用户异常下线 STA AP AC Portal Server AAA 检测 STA 侧 报文 STA 异常下线通知 计费停止通知 检测到 STA 发送的去关联报文 或在预定时间内没有接收到任 何报文 ， 判断 STA 异常下线 STA 异常下线通知 停止该 STA 异常下线检测 ， 并删除用户表项 本地网 YD/T

36、XXXXXXXX 15 附录 A （资料性性附录） AC 负责重定向的认证流程图 本附录给出了 AP 通过 Internet 接入 AC 组网场景下的 AC 负责重定向的认证流程图。 AP 收到未认证的 WLAN 用户 HTTP 报文时， AP 将该用户 HTTP 报文通过 AP-AC 隧道上传给 AC， 由 AC 下发重定向报文给用户，用户 访问 Portal Server 启动认证流程， 如图 A.1 所示。 a） Portal Server与 AC采用 CHAP认证方式 STA AP AC Portal Server AAA STA 发起 HTTP 请求 STA 认证信息 STA 认证结

37、果反馈 Internet 重定向到 Portal Server STA 访问 Portal Server 推送个性化 Portal 认证页面 STA 认证信息 （ 如 ： 用户帐号 、 IP 地址 、 MAC 地址等 ） STA 认证信息 下发 STA 业务规则 认证成功信息 STA 访问 Internet 获取 STA 认证信息 认证结果反馈 建立该 STA 业务规则 回应报文 发送 challenge 请求 challenge 回应报文 YD/T XXXXXXXX 16 b） Portal Server与 AC采用 PAP认证方式 图 A.1 AC负责重定向流程图 STA AP AC Portal Server AAA STA 发起 HTTP 请求 STA 认证信息 STA 认证结果反馈 Internet 重定向到 Portal Server STA 访问 Portal Server 推送个性化 Portal 认证页面 STA 认证信息 （ 如 ： 用户帐号 、 IP 地址 、 MAC 地址等 ） STA 认证信息 下发 STA 业务规则 认证成功信息 STA 访问 Internet 获取 STA 认证信息 认证结果反馈 建立该 STA 业务规则 回应报文 ( 如下发成功 )