wifi学习资料四川电信WIFI平台说明和操作手册(第二版).doc

四川电信WIFI平台说明和操作手册（第二版）四川电信WIFI平台说明和操作手册（2007-3-5 第二版）目 录一、WLAN系统原理3通过Juniper SDX接入3基于华为BAS接入6二、端到端流程：7三、Portal平台相关参数11四、Juniper BAS配置方法12五、华为BAS配置方法18六、其他27一、WLAN系统原理目前的WLAN系统支持Juniper和华为的接入设备。不管是通过Juniper或华为的设备接入，都会面对相同的Portal，用户不会觉察到这之间的差异。WLAN平台基本逻辑架构：在实际网络数据配置上，通过Juniper和华为接入WLAN平台，在接入方式上存在着较大的差异。Juniper设备需要经过ATM一跳可达重定向服务器（见下文详细说明），华为设备只需要IP可达即可。通过Juniper SDX接入通过Juniper SDX接入时，网络的拓扑结构如下图所示：图一 四川电信WLAN平台建设网络拓扑图，红色圆圈内为WLAN系统平台目前，WLAN中用到的多个Juniper ERX连接到同一个Juniper SAE。实际上，在基于Juniper SDX的系统中，Juniper ERX会把用户的登录和下线等请求交给Juniper SAE处理。基于Juniper SDX接入的情况下，各个设备之间的连接方式如下：图二 Juniper SDX网络结构在基于Juniper SDX的系统中，用户上网的大致过程如下图所示：图三 通过Juniper SDX接入基于Juniper SDX接入的情况下，上网用户的PC通过DHCP的方式接入到网络。Juniper ERX从Juniper SAE得知用户尚未通过认证，会分配一个受限的IP给上网用户的PC使用。使用这个IP地址，用户通过浏览器访问任何网址，都会被强制重定向到Portal。只有通过Portal登录成功之后，用户才能够访问其他的网址。用户在Portal上的某些行为（如：登录、下线、选择带宽、），Portal会通过CORBA的方式通知给Juniper SAE，而Juniper SAE和Juniper ERX之间是通过基于COPS的方式交互的。用户在Portal上另外一些行为（如：申请WLAN账户、选择不同计费策略的服务、），Portal可以通过改变计费数据的方式实现。注意，由于用户上网要由重定向服务器推送Portal，因此要求用户上行的所有BAS服务器与重定向服务器必须要二层互联，即通过ATM一跳可达。基于华为BAS接入基于华为BAS的接入方式与基于Juniper SDX接入的很大一个不同是：Portal会通过私有协议直接和华为的BAS通信，通知用户登录、下线等行为，在Portal和华为BAS之间没有一个集中的节点。同样，用户在Portal上申请WLAN账户、选择不同计费策略的服务等行为，Portal可以通过改变计费数据的方式实现。由于华为重定向功能是集成在BAS服务器上的，因此只需要BAS与Portal服务器不需要二层互联，IP可达即可。二、端到端流程：1 热点场所布点： 注意：热点场所宽带带宽不能低于2M，各分公司根据实际情况可选用光纤、以太网和ADSL方式。2 WIFI上网卡模式：（1） 开卡流程：普通卡：酒店卡：（2） 卡用户上网流程：3 宽带用户上网模式：（1） 宽带用户注册：注意：身份证无法通过的需要打10000号或到营业厅修改用户资料（2） 宽带用户登陆：（3） 宽带用户证件同步：4 金蓉卡扣费使用模式：（1） 金蓉卡用户注册：（2） 金蓉卡用户登陆：5 帐务流程：三、Portal平台相关参数产品描述数量IP地址备注访问端口处理能力放置位置Sun Fire V440 服务器，2个1.5GHz UltraSPARC 处理器，4GB 内存，2个千兆/百兆/十兆网口，4*73G硬盘,Solaris102浮动IP:3334无公网IP数据库服务器1521与磁盘阵列相关新华机房11楼Sun V240 2CPU/2G内存/73G * 2硬盘/双网卡(1000M网卡）,Saloris102浮动IP:3536对应公网IP:1617Portal服务器8080并发估计为1万用户新华机房11楼HP DL380 3.0G双CPU/1G内存/36G * 2硬盘/双网卡（不含操作系统）2浮动IP:3738对应公网IP:1819Radius服务器UDP1645、UDP1646、UDP1812、UDP1813最大并发：5万8万用户新华机房11楼Sun Fire V440 2个1.5G UltraSPARC III处理器，4G 内存，4*73G 硬盘， DVD，2个千兆/百兆/十兆网口,Solaris 102浮动IP:3132对应公网IP:2021SAE服务器TCP8443,TCP8080,TCP7001,TCP80最大并发：4000用户新华机房14楼四、Juniper BAS配置方法（注：以下介绍的配置方法是在网络中的基本配置案例，各分公司可根据实际情况进行调整或咨询Juniper公司支持人员梁松1 网络拓扑：如上图所示，用户端如果是普通上网用户，就以xxx163或无后缀名发起拨号，WiFi用户以DHCP方式，进入到ERX设备的不同Virtual Router（VR），通过不同的上行GE VLAN链路进入城域网，访问不同的目的地址（WIFI用户只能访问portal网站）。两种流量互相不干扰。2 用户端：用户可以配置成PPPoE和DHCP共存的方式，DHCP的线路是桥接模式。不同的VR会区分开PPPoE和DHCP。3 DSLAM / IPDSLAM / 汇聚交换机端：用户是通过一条链路共享各种业务，汇聚设备需要将用户带宽放开到各种业务带宽之和或者不限速。4 ERX端配置：4.1、增加新的VR和Domain-map域名映射；4.2、在新的VR中，增加上行链路和路由配置（建议使用缺省路由）；如果原有上行接口是三层接口，则需要改成VLAN方式封装；4.3、在新的VR中，针对WIFI用户创建DHCP接口；4.4、在新的VR中，配置WiFi服务器地址、端口号、连接参数等，及DHCP地址池、Radius服务器地址等等常规配置；5 GSR / M320端：配置到ERX WIFI VR的接口地址、路由，WIFI用户的路由；到WIFI SDX Server的路由；6 Radius服务器端：增加新的WIFI用户账号。7 ERX具体配置：（1） 增加新的VR和Domain-map域名映射：virtual-router WLANaaa domain-map WLAN WLAN（2） 在新的VR中，增加上行链路和路由配置：vir WLANinterface gi 11/0.10 ip add xxx.xxx.xxx.xxx 52ip route xxx.xxx.xxx.yyy如果原有上行接口是三层接口，则需要改成VLAN方式封装（所有上行流量会在此过程中中断，ERX如果是单上行，必须在现场以Console口登陆执行）：vir defaultinterface gi 11/0 no ip add no其它原有该接口下参数请删除干净 encap vlan mtu 1522 duplex full speed 1000interface gi 11/0.1（default VR中的上行VLAN） ip add xxx.xxx.xxx.xxx 52vir WLANinterface gi 11/0.10（WIFI VR中的上行VLAN） ip add xxx.xxx.xxx.xxx 52ip route xxx.xxx.xxx.yyy注意：上行GE接口下的安全策略请一定记住加载。如果是VLAN，那么在VLAN子接口下加载。WLANI VR中上行VLAN的安全策略参数与Default VR不尽一致，写法一样，屏蔽的地址有不同，具体请到时询问。（3） 在新的VR中，针对WIFI用户创建DHCP接口：针对DHCP用户，创建loopback0，一般为DHCP地址池的头个地址interface loopback 0 ip address 用户接口：interface atm 8/0.81380190ip description port8/081380190ip unnumbered loopback 0ip auto-configure ip-subscriber又一个用户接口：interface fastEthernet 3/7.1000 vlan id 1000 ip description port3/7.1000 ip auto-configure ip-subscriber ip unnumbered loopback 0（4） 在新的VR中，创建到重定向服务器的PVC连接interface atm 5/0.10020101 point-to-pointatm pvc 10020101 2 101 aal5snap 0 0 0encapsulation bridge1483ip address 192.168.100.xxx 该ATM子接口5/0.10020101是桥接接口，用于与成都新华马可尼1100接口再到中兴T16C再到WLAN工程的重定向服务器（两台HP360：PCServer）实现一跳可达。ATM省网络中的 VP交换方法这里无法给出。请询问相关专业组。所有四川要加入到WiFi业务组中的ERX的该条PVC都请设成192.168.100/24网段中的IP，以保证与重定向服务器一跳可达，具体地址分配请到时询问。（5） 在新的VR中，配置与WiFi SDX服务器的连接：snmp-server community private view user rwsnmp-server community public view user rosscc enablesscc sourceInterface gi 11/0.10sscc primary address 20 port 3288sscc second address 21 port 3288sscc transportRouter WLANsscc retryTimer 10（6） 在新的VR中，配置DHCP参数：service dhcp-local equal-access!设定dhcp服务为localip dhcp-local pool default lease 0 0 2! ip dhcp-local pool WLAN network dns-server 9 default-router lease 0 0 2 server-address !设定dhcp-local pool及租期时间，为ERX WLAN-VR的loopback ip dhcp-local excluded-address （7） 检查命令： sh sscc info ：查看sscc的信息正常时通常显示：The SSC Client is connected to: 20:3288The SSC Client configured servers are: Primary: 20:3288 Secondary: :0 Tertiary: :0 Local Source: GigaEthernet 11/0.10, Local Source Address: The configured transport router is: WLAN The configured retry timer is (seconds): 10 The connection state is: OpenSSC Client Statistics: Policy Commands received 618 Policy Commands(List) 0 Policy Commands(Acct) 36 Bad Policy Cmds received 0 Error Policy Cmds received 0 Policy Reports sent 618 Connection attempts 11546 Connection Open requests 11545 Connection Open completed 8 Connection Closed sent 11536 Connection Closed remotely 8 Create Interfaces sent 340 Delete Interfaces sent 132 Active IP Interfaces 7 IP Interface Transitions 248 Synchronizes received 8 Synchronizes rcvd & droped 0 Synchronize Complete sent 8 Internal Errors 0 Communication Errors 0 Discovers Seen 68 Active Discovers 0 Discover Transitions 68 Discover Creates Sent 68 Discover Deletes Sent 0 Active Addresses 1 Address Transitions 133 Create Addresses Sent 68 Delete Addresses Sent 132 sh utilization ：查看CPU等信息正常时通常显示： System Resource Utilization - heap cpu bw slot type (%) (%) exceed- - - - -0 - - - - 1 SRP-10Ge 17 3 - 2 - - - - 3 FE-8 23 4 - 4 - - - - 5 OC3-4A 67 7 - 6 - - - - sh ip dhcp-local pool ：查看DHCP信息正常时通常显示：*Pool Name - defaultPool Id - 1Domain Name - Network - Mask - NETBIOS Node Type - 0Lease - Days:0 Hours:0 Minutes:2 Seconds:0DNS ServersNETBIOS Name ServersDefault RoutersServer Address - Linked Pool - High utilization threshold - 85%Abated utilization threshold - 75%Current utilization - 0%Utilization trap disabled.*Pool Name - WLANPool Id - 2Domain Name - Network - Mask - NETBIOS Node Type - 0Lease - Days:0 Hours:0 Minutes:2 Seconds:0DNS Servers 9NETBIOS Name ServersDefault Routers Server Address -Linked Pool - High utilization threshold - 85%Abated utilization threshold - 75%Current utilization - 0%Utilization trap disabled.五、华为BAS配置方法（注：以下介绍的配置方法是在网络中的基本配置案例，并且是针对成电的版本，各分公司可根据实际情况进行调整或咨询华为公司支持人员吴玮1 配置Web认证包括以下内容：l 配置Web认证服务器l 配置认证前域l 配置认证域l 配置BAS接口l 配置ACLl 配置强制Web认证（可选）2 配置A、23xx版本配置Web认证服务器在MA5200G中是统一管理的，您可以配置多个Web认证服务器，并在不同的域下引用不同的Web认证服务器。 A.1 配置Web认证服务器及相关属性创建Web认证服务器时必须指定服务器的IP地址，另外可以选择配置Web认证服务器的端口号、共享密钥以及MA5200G是否向Web认证服务器上报自己的IP地址。请在系统视图下进行下列配置。操作命令配置Web认证服务器及相关属性web-auth-server ip-address port port-num * | key key * | nas-ip-address | vpn-instance instance-name * 删除Web认证服务器或恢复相关属性的缺省值undo web-auth-server ip-address port port-num * | key key * | nas-ip-address | vpn-instance instance-name * 缺省情况下，MA5200G中未配置Web认证服务器；配置Web认证服务器后，其端口号为50100，共享密钥为空，MA5200G不向Web认证服务器上报IP地址。A.2 设置MA5200G侦听Web认证服务器的端口号MA5200G侦听Web认证服务器时使用的端口号是全局唯一的，即MA5200G使用相同的端口号侦听所有的Web认证服务器。请在系统视图下进行下列配置。操作命令配置MA5200G侦听Web认证服务器的端口号web-auth-server listening-port port恢复缺省值undo web-auth-server listening-port缺省情况下，MA5200G侦听Web认证服务器的端口号为2000。A.3 设置Portal版本号MA5200G和Web认证服务器之间通过Portal协议进行通讯，Portal协议有v1和v2两个版本。MA5200G可以选择只支持v2版本或者同时支持V1、V2版本。MA5200G上Portal协议版本号也是全局统一的，针对所有的Web认证服务器使用同一设置，请注意在Web认证服务器上设置Portal版本号，保持和MA5200G的设置一致。请在系统视图下进行下列配置。操作命令设置Portal版本号web-auth-server version v2 v1 恢复缺省值undo web-auth-server version缺省情况下，MA5200G同时支持Portal的v1和v2版本。A.4 配置是否透传RADIUS消息透传RADIUS消息是在RADIUS服务器完成对用户的认证后，MA5200G不对RADIUS的认证结果消息做任何处理，直接转发给Web认证服务器。本配置对于所有Web认证服务器是全局统一的。请在系统视图下进行下列配置。操作命令配置透传RADIUS消息web-auth-server reply-message配置不透传RADIUS消息undo web-auth-server reply-message缺省情况下，MA5200G透传RADIUS消息给Web认证服务器。A.5 配置MA5200G源接口MA5200G和Web认证服务器进行通信时，需要设置相应的IP地址作为源地址。您可以指定某个接口作为源接口，该接口上配置的IP地址即为MA5200G和Web认证服务器通信用的源地址。本配置对于所有Web认证服务器是全局统一的。请在系统视图下进行下列配置。操作命令配置MA5200G源接口web-auth-server source interface type interface-number取消MA5200G源接口undo web-auth-server source缺省情况下，MA5200G未配置源接口。A.6 配置认证前域由于Web认证用户在未认证前属于非法用户，无法获取IP地址，也没有权限访问Web认证服务器，因而也无法进行认证。为了解决这个矛盾，在MA5200G中，所有未认证的Web认证用户都被认为归属于某个缺省域（缺省域基于接口配置），也被称为认证前域。未认证用户可以从认证前域中获取IP地址，并通过认证前域赋予的权限访问Web服务器，从而完成认证。未认证用户从认证前域中获取的IP地址可以是正式使用的IP地址，也可以是只用于访问Web认证服务器的临时IP地址，认证通过以后，用户获取正常上网的权限。配置认证前域的过程和普通的域没有什么区别，有以下几项是必须配置的。l 配置认证前域的地址池。l 配置认证前域的user-group。A.7 配置认证域认证域是指Web认证用户认证后所归属的域，认证域的配置和普通域没有区别。A.8 配置BAS接口配置Web认证的BAS接口和普通的BAS接口没有区别，需要注意以下几点。l 接入用户类型必须配置为二层用户。l BAS接口的认证方法中必须包含Web认证或者快速认证。A.9 配置ACL为了控制未认证用户只能访问Web认证服务器，需要根据未认证用户的认证前域的user-group，制定相应的ACL，使其只有访问Web认证服务器的权限，而没有其他任何权限。(1) 配置以下规则：l rule1：未认证用户的user-group对所有目的地址的规则。l rule2：未认证用户的user-group对Web认证服务器的规则。l rulex：电信认可的未认证用户的user-group可以访问的地址。说明：这里ACL的作用是定义未认证用户的权限，一般为可以访问web服务器，可以访问DNS，可以访问5200G本机（认证前的交互报文需要访问本机），但是禁止访问其他地址。 (2) 配置流分类器和流动作：l classifier1：针对未认证用户的user-group对所有目的地址的规则。l classifier2：针对未认证用户的user-group对Web认证服务器的规则。l classifierx：针对电信认可的未认证用户的user-group可以访问的地址的规则。l behavior1：动作为禁止。l behavior2：动作为允许。traffic-classifier和traffic-behavior的详细配置请参见Quidway MA5200G 宽带接入服务器 操作手册-高级配置中QoS部分的描述。(3) 分类器和动作关联：classifier1和behavior1组成关联1，classifier2和behavior2组成关联2。(4) 配置流策略：配置一条traffic policy，policy中先配置关联2再配置关联1。这里按系统默认“config”匹配方式，将按照配置的先后顺序进行规则匹配，规则的关联顺序不能颠倒。若按“auto”匹配方式，则不必注意配置顺序。traffic-policy的详细配置请参见Quidway MA5200G 宽带接入服务器 操作手册-高级配置中QoS部分的描述。(5) 将策略应用到全局或者用户接入的BAS接口上。A.9 配置强制Web认证强制Web认证是指当需要Web认证或快速认证的用户，在未认证前试图访问其无权访问的地址时，MA5200G将其访问请求强制重定向到强制Web认证服务器，让用户进行认证。如果需要配置强制Web认证，则需要在认证前域中配置强制Web认证服务器。如果未配置强制Web认证服务器，则用户必须自己输入IP地址或者网址来进行访问Web认证服务器。A.10 成电23xx版本测试脚本说明acl number 10000 rule id 5 ip source user-group test destination ip-address anyacl number 10001 rule id 5 ip source user-group test destination ip-address 16 WEB服务器地址 rule id 10 ip source user-group test destination ip-address 9 rule id 15 ip source user-group test destination ip-address 5200G设备本身#traffic classifier c2 if-match acl 10001traffic classifier c1 if-match acl 10000#traffic behavior perm1 permittraffic behavior deny1 deny#traffic policy action1 classifier c2 behavior inbound perm1 precedence 0 classifier c1 behavior inbound deny1 precedence 1说明：配置ACL并且应用在5200G的用户接口，使用户可以访问DNS,WEB SERVER,5200G，其他地址全部拒绝。radius-server group wlan radius-server authentication 18 1812 weight 0 radius-server accounting 18 1813 weight 0 radius-server shared-key cisco # ip pool xh14f-pppoe-pool-1 local gateway section 0 55 section 1 54 dns-server 9 dns-server 8 secondary 说明：配置RADIUS服务器和地址池。aaa authentication-scheme radius authentication-scheme none authentication-mode none accounting-scheme radius accounting-scheme none accounting-mode none 说明：配置认证前域的认证计费策略为不认证不计费，配置认证域认证计费策略为radius。domain auth-before authentication-scheme none accounting-scheme none web-server 16 web-server url 16 user-group test acl调用的user-group。意义为，这个域的用户全部属于test这个用户组 ip-pool beforedomain tyt2 authentication-scheme pppoe accounting-scheme pppoe radius-server group wlan 说明：配置认证前域，策略为不认证不计费，同时在域下配置强制web服务器地址和强制web页面。使用user-group命令把认证前域用户归到用户组里面，以便使ACL定义的源地址调用。 配置认证域，策略为radius认证计费。 interface GigabitEthernet1/0/1.100 qinq-vlan 200 user-vlan 100 undo shutdown traffic-policy action1 bas access-type layer2-subscriber default-domain pre-authentication auth-before authentication tyt2 authentication-method web说明：配置用户接口，指明VLAN，认证前域，认证域，认证方式。同时应用ACL，使强制web生效。web-auth-server source interface LoopBack0web-auth-server 16 port 8080说明：全局模式下配置web服务器地址，端口号，指明5200G用LOOPBACK接口发起web连接。B 22xx版本配置说明 22版本和23版本的web认证流程完全一致，只是在认证前域使用的ACL命令变化较大。这里只描述ACL的变化。 22版本对应的ACL是EACL。如下的EACL表示允许用户访问DNS，WEB服务器，5200G本身，但是禁止访问其他地址，全局下配置：Rule-map rule1 ip user-group test 9 0 user-group test 在域下定义，同23版本的配置。Rule-map rule2 ip user-group test 0Rule-map rule3 ip user-group test 16 0Rule-map rule4 ip user-group test any Eacl web rule1 permit Eacl web rule2 permit Eacl web rule3 permit Eacl web rule4 deny在web认证的用户接口下应用：interface GigabitEthernet1/0/1.100 qinq-vlan 200 user-vlan 10