中太Bgate系列AC产品技术白皮书.doc

Bgate1030AW产品技术白皮书Bgate1030AW产品技术白皮书中太数据通信（深圳）有限公司2009年5月目 录1概 述52系统结构62.1硬件总体结构62.1.1高速转发的业务体系结构：62.2硬件体系架构72.2.1Bgate1030 AW6000系列产品硬件系统:72.2.2Bgate1030 AW9000 & Bgate1030 AW10000产品硬件系统:82.2.3Bgate1030 AW7000产品硬件系统:112.3软件体系结构122.3.1硬件支持系统122.3.2协议处理系统132.3.3接入业务管理系统132.3.4会聚控制管理系统132.3.5转发系统142.3.6网管系统143集中式WLAN实现方案153.1集中式WLAN架构概述153.2集中式WLAN架构下实现的各项功能概述153.2.1AP发现AC153.2.2集中配置管理163.2.3集中固件下发和管理173.2.4射频管理173.2.5切换194产品功能支持204.1协议支持204.2WLAN功能214.2.1多SSID支持214.2.2SSID隐藏214.2.3SSID中文字符支持214.2.4自动速率调整214.2.5数据速率支持214.3用户接入功能224.3.1PPPoE224.3.2Web Portal224.3.3802.1X认证314.3.4WAPI认证334.3.5固定IP地址用户404.3.6混合接入认证414.4网络功能414.4.1VLAN支持414.4.2Stack Vlan（802.1ad）支持414.4.3NAT/PAT支持414.4.4路由支持424.4.5DHCP支持524.4.6NTP支持534.4.7组播支持544.4.8STP支持544.5AAA功能544.5.1Radius支持544.5.2支持主备Radius切换544.5.3支持本地计费554.5.4设备能够支持多种认证和业务选择方式554.5.5实时断线功能554.5.6支持多个地址池564.5.7对帐服务器，支持Radius信息复制564.5.8支持带宽动态管理564.5.9支持用户输入值的某些特殊符号564.5.10支持FILTER功能564.5.11本地授权功能574.5.12支持流量储值卡574.5.13支持实时计费574.6安全与用户控制574.6.1WLAN加密支持574.6.2用户二层隔离674.6.3DoS攻击防御674.6.4ACL674.6.5用户接入控制684.6.6用户带宽控制694.6.7设备自身安全保护694.7其它功能724.7.1QoS支持724.7.2802.11e/WMM支持734.7.3二三层QoS映射744.7.4无线到有线QoS映射754.7.5语音准入控制754.8备份和高可用性764.8.1设备备份764.8.2用户业务备份764.9网管功能774.9.1配置管理774.9.2故障管理774.9.3安全管理784.9.4性能管理784.9.5远程维护794.9.6软件升级795典型组网方式介绍805.1组网方案一805.2组网方案二815.3组网方案三815.4组网方案四821 概 述Bgate系列AC是中太数据通信（深圳）有限公司开发的宽带无线接入业务管理平台化解决方案，主要面向宽带无线接入业务运营商及有无线接入网络的企业，可以全面支撑宽带无线业务的运营与管理。为了构造可运营的基于WAPI/WI-FI的无线数据接入解决方案，产品包括以下几个方面功能：接入认证：只允许合法的用户接入，确保网络资源不被非法用户占用，这一方面保护了自己的投资，另一方面也提高了合法客户的满意度。由完善的认证无线接入认证系统。用户管理：有完整的用户管理，保证用户的分别授权服务：包括用户流量控制、策略路由、各种包月、点卡等等各种运用方式用户的支持。兼容性：运营商在构建网络时需采用大量设备，必须考虑设备间的互联互通，因此采购设备时应遵循国家标准来进行统一考察。可用性：WLAN的主体用户是使用笔记本电脑的商务人士，其使用的操作系统主要是Windows、Linux等，因此认证客户端软件不仅要安装、使用方便，而且要适用于各主流操作系统。Bgate系列AC采用先进的网络处理技术和交换式总线技术，具有强大的硬件转发能力和灵活的协议处理能力，并加强了用户管理、网络安全、计费、网管等方面的处理，使之既有以太网接入经济、成熟的特色，又有电信级的用户管理和运营能力。Bgate系列AC可以提供丰富的接入上网方式，支持用户的多种接入，提供丰富的网络协议、灵活的计费方式。提供灵活的接口配置。提供慎密的网络安全机制，尤其是防止针对本设备的大流量数据攻击，同时具有安全手段的带外网管，以及丰富的网管方式，使得网络易于管理。2 系统结构2.1 硬件总体结构2.1.1 高速转发的业务体系结构： Bgate系列AC 各种型号的各种业务处理板中，主要的核心体系是提供两个硬件平台给软件系统：复杂协议处理硬件平台/主控平台与高速转发处理的硬件平台（NPU）。各个接口的不同，主要区别是物理接口不同。几乎所有的高速业务处理板都是采用这样的方式组合而成，仅仅是组成的多少而导致性能不同。 硬件平台的结构及其与软件系统的关系框图复杂的控制及各种网络协议的处理在主控平台上完成，然后将转发所需要的信息传递到高速转发平台，由高速转发平台完成数据包的高速转发。高速转发处理硬件平台：高速转发处理硬件平台使用ASIC芯片，主要完成如介质访问子层（MAC）等链路层协议硬件处理，为高速转发处理软件系统提供硬件支持，共同完成诸如快速路由查找、流量控制、用户数据包策略处理，高速封装、转发等功能，所有端口达到线速处理能力。由于包转发处理中只针对包头进行处理，所以包越大，处理的总流量将会越大。复杂协议处理硬件平台：复杂协议处理硬件平台为网络管理及复杂协议处理软件系统提供硬件支持，共同完成诸如AP会聚控制管理、无线管理、路由计算、网络管理、各种网络协议的复杂处理部分，完成高速转发平台所需要的各种信息，以及对高速转发平台的管理。硬件平台的结构及其与软件系统的关系框图如下： 处理结构框架图对于用户上网，路由转发时，由协议处理平台决定用户的处理策略、路由，这些信息发送到下层平台后，以后的数据全部用ASCI硬件转发。会聚管理型AC的所有WLAN的管理协议和处理流程，鉴别、认证都在此平台完成。2.2 硬件体系架构2.2.1 Bgate1030 AW6000系列产品硬件系统:冗余设计符合电信级产品的要求。是标准的19英寸机箱，通过前面挂耳的安装孔安装到19英寸的机架上去。整个系统由AP管理业务系统以及高速数据转发系统组成。AP管理系统目前提供的是CPU处理平台，高速数据转发系统由包处理器完成。大功率的散热系统可以充分保证系统工作的环境温度。系统散热采用风扇吹风方式，冷空气从机框侧面进入，经过机框内各工作单板后，由机箱另一个侧面排出。目前提供2GE8FE的业务接口，设备管理接口是另外的单独FE和串口。告警提示：在每块主板的前面板有红灯来提示。当红灯不亮是说明该单板无任何问题，可以正常使用，当红灯亮时，说明该单板有问题，提醒管理人员更换此单板。可靠性设计：1. 主控单元采用1+1热备份设计，可靠的自动保护机制做到主备自动无缝切换。交换网络采用1：1备份，交换网络平面的倒换是根据输出端口的数据包错误统计与选择技术，由主控模块根据交换通道的故障统计结果进行实施。2. 整机电源采用1+1热备份设计。3. 业务单板支持带电插拔，不会因为一块单板出问题而影响到整个系统。4. 全系统采用高质量的元器件设计生产。5. MTBF和MTTR以上指标需通过可靠性FMEA分析。2.2.2 Bgate1030 AW9000 & Bgate1030 AW10000产品硬件系统:此两个产品型号的区别在于总容量处理能力的不同，许多业务板可以通用。此两款产品是Bgate1030系列的高端电信级产品。Bgate1030 AW9000，高端电信级设备，最大支持6个插槽：4个业务插槽+2个主控交换槽，机箱符合ATCA标准； Bgate1030 AW10000，高端电信级设备，最大支持14个插槽，12个业务插槽+2主控交换槽；机箱符合ATCA标准；每一款机箱每一个插槽同时提供后端的扩展卡插槽。硬件系统：此两款产品的硬件结构设计遵循模块化设计原则，以行业标准为基础，通过模块间接口的合理划分将模块功能标准化、独立化，是整机系统结构清晰明了，便于系统升级和业务扩展。硬件总体分两个平面的硬件平台，即交换网格平台和业务接口处理平台。Bgate1030 AW9000交换管理板位于设备上面两个槽位。交换网络采用1：1备份，主控软件是1+1热备份,交换网络与主控模块设计在一块单板。交换网管理板上的业务交换网到每块业务单板是4G数据带宽，背板预留支持10G的带宽设计，以便将来系统升级带宽用。交换网满足满配置时全线速转发。机箱可以通过前面挂耳上的安装孔用螺钉安装到标准的19英寸机架上去。Bgate1030 AW0000整个机箱总共14个槽位，在整机系统中只有交换网管理板和业务板两大类单板，简单明了。交换网管理板位于7、8两个槽位。不同业务单板可以任意插在上述业务板槽位，没有位置选择要求。交换网络采用1：1备份，主控软件是1+1热备份,交换网络与主控模块设计在一块单板。交换网管理板上的业务交换网到每块业务单板是4G数据带宽，背板预留支持10G的带宽设计，以便将来系统升级带宽用。交换网满足满配置时全线速转发。 10000系列整机结构前面板示意图机箱高14U，最下面的2U空间是风扇层，风扇是辅助散热的装置，支持插拔方式安装。中间空间是单板空间。冷风从下面进入经过单板所处的空间把热空气带走，达到散热的目的。机箱可以通过前面挂耳上的安装孔用螺钉安装到标准的19英寸机架上去。单板介绍：交换网管理板SMP(主控交换板)：该板上包括业务交换网平面、单板控制信息交换网和主控模块三部分，其中两交换网是1：1备份，主控模块软件是1+1热备份。交换网板和主控板设计在一块板，因为业务交换网芯片只需要配置和其他异常情况下的处理，在正常工作时占用CPU的时间很少，这样也便于网络管理，占用系统自身资源少等。交换网络管理板有业务交换网24G和48G的两种单板，当要更换其中的一块网板时，不会影响另一块单板的正常运行。背板GPL：背板完成单板之间的业务数据、控制信息交换需要的互连物理通道电路和单板供电电路，因为背板不能更换，所以背板的设计要具有前詹性，能适应今后较长时间业务发展的需求，所以背板设计成目前能预测到的今后的技术：10G互连技术，就是说网板与其他单板之间用10G带宽互连，所以背板的最大容量是双备份240Gbps。背板提供双路-48V电源进入到单板。背板提供数据业务连接和控制数据连接链路，将各业务槽位与主控交换槽位冗余连接。 业务单板：业务板有多种，有接入业务板、AP管理业务板。每一种单板根据性能和接口的不同，有多种的型号。同时接入业务板可以在机器的后端接入扩展的多GE插卡。接入业务板直接利用高速转发的体系结构，在本板直接对用户的业务进行处理，这样大大节省交换网的带宽，大部分业务处理完成以后通过内部交换转发到相应的接口转发出去，也可以通过内部交换到路由板发出。所有光口都是LC接口，接口均采用SFP光模块设计。AP业务管理单板负责AP的管理和控制，与接入业务板配合进行工作，完成用户的接入业务控制和转发。 电源设计：电源输入到系统中支持双路-48V电源输入，这样当一路输入没电时另一路输入还可以保证供电。系统中电源采用分散供电的方法，假如其中的一块板坏而不会影响到其他的单板的正常工作。且单板上电源采用1+1热备份输入设计技术，提高可靠性。每块单板上都采用高质量的标准的-48V电源模块，转换到3.3V工作电压。单板上设计有过流、过压保护装置。输入电压范围：-38V DC -75V DC 。当客户只有220V交流输入时，需要另置一次电源，转到-48V电源。告警提示：在每块单板的前面板有红灯来提示。当红灯不亮时说明该单板无任何问题，可以正常使用，当红灯亮时，说明该单板有问题，需要更换此单板。单板上的告警信息还通过单板CPU报告给主控模块CPU，主控CPU再报告给后台管理模块。可靠性设计：主控单元采用1+1热备份设计，可靠的自动保护机制做到主备自动无缝切换。交换网络采用1：1备份，交换网络平面的倒换是根据输出端口的数据包错误统计与选择技术，由主控模块根据交换通道的故障统计结果进行实施。业务交换网与单板连接是1+1的GE捆绑工作模式，提高业务通讯的可靠连接。提供可更换的风扇系统，方便更换。业务单板采用全分散供电方式，支持带电插拔，单板-48V输入采用1+1备份方式。全系统采用知名厂商的高质量的元器件设计生产，保证可靠性设计执行。MTBF和MTTR以上都需通过可靠性FMEA分析得到。2.2.3 Bgate1030 AW7000产品硬件系统:Bgate1030 AW7000，中端电信级设备，最大支持两个业务插槽，机箱符合ATCA标准； 由于只有两个槽位，所以没有交换网，而是直接进行背板连接。 采用与9000/10000系列一样的单板。2.3 软件体系结构软件体系结构实现了以太网、PPP、PPPOE等链路层协议，既可以支持各种接口模块，又可以支持静态路由及RIP、OSPF等动态路由协议，使用户可以根据需要灵活进行配置。主要功能部件包括硬件支持系统、协议处理系统、业务管理系统、转发系统和网管系统。整个软件使用嵌入式的专用网络处理系统BNOS，高效，稳定的处理网络数据包。2.3.1 硬件支持系统硬件支持系统在Bgate系列AC整个软件体系中处在硬件和软件应用系统之间，通过封装硬件和操作系统细节，对其它软件模块起到支撑作用。其作用主要表现在：1. 完成对操作系统的封装和扩展，系统资源和运行信息的管理，板极支持包（BSP）。2. 程序版本在线维护、升级：作为大型的网络设备，Bgate系列AC具备极高的可靠性、不间断运行和远程维护升级的能力。在本系统运行过程中，提供通过串口和网口两种途径在线维护、升级软件，即可以通过网络远程下载更新软件并自动执行，也可以通过本地串口维护更新。3. 设备驱动：提供的设备驱动主要是网口和串口的驱动。4. 支持应用程序提供数据访问，支持系统程序调试方式以及工具。5. 系统数据保存和启动，采用BootROM、FLASH和NVRAM三种非易失的内存，启动时，先由BootROM中的代码完成基本的初始化。然后检查放在FLASH中的程序版本的正确性，并检查是否有输入，最后确定是进入Monitor模式还是进入正常流程。进入正常应用程序流程之后，将按照一定的顺序启动各个软件模块。6. 版本的更换：在flash中，保存了两个版本，可以通过配置决定下一次启动使用哪一个版本进行启动，这个对于版本的更换非常有用。2.3.2 协议处理系统1. 完成各种网络协议的处理，实现了完整的TCP/IP协议簇，以及各种其他网络协议，包括实现TCP/UDP/IP协议，实现PPP、PPPOE、DHCP、HTTP等与业务相关的协议控制，实现动态路由协议、VPN各种各样的网络协议处理。2. 完成快速转发前的协议复杂处理，并将各种协议处理信息传递给网络处理器单元（NPU），其中包括用户的上下网，路由协议处理，网管协议的处理等等。3. 针对用户的各种业务提供支持，包括用户的认证、授权、计费等，根据用户的授权结果为用户提供资源分配和服务数据，并根据服务数据对业务提供控制。为网络处理器单元（NPU）提供包括路由表、用户属性在内的所有控制信息。2.3.3 接入业务管理系统完成所有的用户和业务的管理功能，实现用户的认证、授权、计费，并提供对多种扩展业务的支持，以方便运营商灵活的开展各项业务。认证即验证客户身份的合法性，决定是否向客户提供服务；授权即控制客户对不同服务的不同访问权限和服务等级；计费即记录用户使用资源的情况，根据相应的资费策略计算上网费用，为资源的提供者和使用者费用结算提供依据。业务管理部分还包括用户管理、服务管理：用户管理包括客户的注册申请，用户信息的变更，客户统计等内容。用户可以享受不同的服务和不同的资费策略；用户可以有多种类型，每种类型的用户均有一些缺省的服务和资费政策。服务管理包含服务的注册和信息的变更，对各种服务进行管理和配置。服务与资费政策是紧密相关的，业务管理部分对每一种服务可以同时有多种策略以供选择。2.3.4 会聚控制管理系统提供多种模式的无线管理。结合AP完成各种业务和管理功能。1. 提供AP的集中配置和管理，通过AC，可以自动发现AP，集中配置AP，也可以针对单个AP进行配置，自动升级AP的版本、配置文件，自动初始化AP；2. 无线参数会聚控制：针对AP提供无线参数的自动配置和调整，包括AP的无线功率、信道等等，自动发现非法AP、自动发现失效AP，并进行失效AP的无线自动补偿以及AP的备份等等；3. 业务会聚控制：a) 提供基于用户和流量的AP负载均衡；b) 终端接入零干预；c) 用户漫游和移动；4. 可以针对各种工作模式的AP进行管理；2.3.5 转发系统1. 提供业务数据快速转发，包含针对路由表，用户信息，扩展业务属性进行转发。2. 提供对多种扩展业务的支持：VPN、策略路由、业务选择、NAT、ACL、储值卡、TCP限制、业务行为控制等等。3. 流量控制：对每个用户的上下行流量控制支持。 4. 网管支持：提供对配置和查询的处理。2.3.6 网管系统1. 支持带外网络管理；2. 专门的网络管理接口：10M以太网口(RJ-45)、RS-232 RJ-45口 ；3. 支持额外指定其它的端口作为网管口；4. 支持Telnet管理；5. 支持WEB管理；6. 支持SYSLOG；7. 提供了诊断功能提供硬件自检和运行状态监控，能在某些故障情况下自行修复系统；8. 支持SNMP v1、v2、v3；9. 支持动态在线版本升级。3 集中式WLAN实现方案3.1 集中式WLAN架构概述传统WLAN网络是用于一些企业或家庭这种小规模用户而组建的，这类网络的组网方式是采用FAT AP（胖AP）有线交换机的分布式组网模式，由AP来完成用户的接入、权限认证、安全策略的实施并且对无线网络设备的管理也是分布式的。随着WLAN技术的成熟和应用的普及，运营商开始大规模部署WLAN网络，接入的用户数和无线设备的规模都在成倍增长，网络维护人员在建设和维护WLAN网络时发现采用传统的WLAN组网和管理模式已经很难适应现有的WLAN网络规模。目前在无线网络的建设和维护中遇到的主要问题有：WLAN建网时需要对大量的AP设备进行配置（如：IP、SSID等），加大了安装的工作量提高了人力的成本。在管理及更改AP的应用服务及安全策略时，需要逐一的登录到AP设备才能完成设定。对网络拓扑要求高，当大量部署AP时，需要重新规划网络拓扑升级AP固件无法自动完成，维护人员需要手动逐一对设备进行固件升级，费时费力。随着WLAN建网、组网问题的不断出现，一种全新的WLAN网络架构AC瘦AP集中式WLAN管理模式应运而生。AC瘦 AP控制架构对设备的功能进行了重新划分，其中AC负责无线网络的接入控制，转发和统计、AP配置监控、漫游管理、网管代理、安全控制；瘦 AP负责802.11报文的加解密、802.11标准、接受无线控制器的管理、RF空口的统计等简单功能。这种新的网络架构将一些新的功能集成入瘦AP和AC中，以便于使用户统一的管理网络设备及接口。通过这一全新的网络管理接口可以很好的解决目前WLAN网络组网中存在的管理问题：AP的配置保存在无线控制器中，AP启动时会自动从无线控制器下载合适的设备配置信息。AC可以直接对AP的配置及服务策略进行更改，并能够将用户对AP的配置顺利传达到指定的AP设备，同时可以实时察看AP的状态和统计信息。无线控制器可以保存 AP的最新固件，并负责AP固件的自动更新。3.2 集中式WLAN架构下实现的各项功能概述3.2.1 AP发现ACBgate系列AC支持三种AP自动发现AC的机制，通过这些机制可实现AP零配置。 二层广播发现1) AP接入网络后，会发起AC Discover请求。2) AC会相应请求并返回AC地址。3) AP取得AC地址后，主动发起与AC的认证连接。4) AC对AP进行验证后，与AP建立CAPWAP连接。5) AP从AC上获得配置信息，完成配置过程。 DHCP发现1) AP接入网络后，会发起DHCP Discover请求。2) DHCP Server会相应请求并返回DHCP Offer信息，此信息中包含AP的IP地址、子网掩码、网关等信息，重要的是在此信息中包含的option43的内容为AC的IP地址。3) AP取得AC地址后，主动发起与AC的认证连接。4) AC对AP进行验证后，与AP建立CAPWAP连接。5) AP从AC上获得配置信息，完成配置过程。注：DHCP方式可以部署在二层和三层组网中，但是当采用三层组网时，需要所有开启DHCP Relay的设备都支持Option43，并保证AP可以正确获得Option43的值。 DNS发现1) AP中预设AC的域名。2) AP接入网络中，通过DHCP，或者手工设定IP信息。3) AP通过DNS服务器对预设AC域名的解析获得AC的IP地址。4) AP取得AC地址后，主动发起与AC的认证连接。5) AC对AP进行验证后，与AP建立CAPWAP连接。6) AP从AC上获得配置信息，完成配置过程。3.2.2 集中配置管理Bgate系列AC支持集中配置管理，当AP和AC建立连接后，会自动从AC上获得配置信息。在对配置进行修改时，管理员可以使用群组功能对全部或者部分AP进行批量配置修改，也可以针对某个AP进行单一配置修改。3.2.3 集中固件下发和管理Bgate系列AC支持集中固件下发和管理功能，当AP和AC建立连接时，AP会和AC进行固件版本协商，当AP固件版本和AC的版本不符合时，AC会将可用的固件版本发送给AP，AP会自动安装相应固件。管理员也可以使用固件下发功能对单个或者部分AP进行固件升级操作。3.2.4 射频管理 自动信道调整Bgate系列Ac支持：1) AP工作在802.11b/g模式时，设备上电时自动频点设置；2) AP工作在802.11b/g模式时，设备运行中自动频点设置；3) AP工作在802.11a/b/g接入模式时，设备上电时自动在2.4G和5.8G频段双频段的自动频点设置；4) AP工作在802.11a/b/g接入模式时，设备运行时自动在2.4G和5.8G频段双频段的自动频点设置；Bgate系列AC可以根据AP周围的射频情况自动为每个AP分配无线频点（信道），并且能够根据网络中的干扰变化、邻居AP的频点（信道）使用情况等动态地调整无线频点（信道）的分配。在AP启动时,AP会自动扫描周围射频环境，然后选择最佳信道进行工作。当AP正常使用后，也可以进行实时的信道检测，使AP实时避开雷达、微波炉和同类设备的干扰。当AP发现和邻居AP发生信道冲突时，AP会上报AC，AC可以对整个网络的信道情况做出计算，如果AC认为需要更改AP信道，AC就会命令AP更改为其它信道。该功能在AC上可以开启及关闭。 自动功率调整Bgate系列AC可以根据AP周围的射频情况为每个AP调整发射功率，以保证无线网络的覆盖和容量。当某个AP失效时，AC会增加周边AP的功率以增强覆盖能力。当某个AP周围出现非法AP时，AC也可以通过增强合法AP的功率以增强合法AP的服务能力。 负载均衡Bgate系列AC可以根据AP当前实际负载情况、无线信道资源情况、承载用户的优先级和对应获得的权限（优先级、带宽等等），调整AP接入用户的种类和数量以及覆盖范围；优化用户端的业务性能和QOS保证，包括无线带宽预留、基于用户的负载分担和基于流量的负载分担。当达到预设阈值（用户数、数据流量等）时，AC会拒绝新发生的关联请求(Association request)以迫使客户端选择另外的目标进行关联（Association）。目前AC支持基于用户数量的负载均衡，基于数据流量的负载均衡，同一AP下a接入模式和b/g接入模式间的负载均衡。并支持用户的动态分配。.1 基于用户数的负载均衡当采用基于用户数的负载均衡时，AC可以控制下属AP接入用户的关联请求，当某AP上用户数量超过阈值时，AC会控制AP拒绝新接入的关联请求。在AP的用户数量减少到小于阈值前，AP会拒绝任何其他用户连接。.2 基于数据流量的负载均衡当采用基于流量的负载均衡时，AC可以控制下属AP接入用户的关联请求。当某AP上负载达到或者超过阈值时，AP开始进行负载均衡，在AP的负载减少到小于阈值前，AP会拒绝任何其他用户连接。.3 同一AP下b/g接入模式和a接入模式之间的负载均衡当在同一AP下b/g接入模式和a接入模式之间进行负载均衡时，AC可以控制下属AP接入用户的关联请求，当AP上某接入模式用户数量超过阈值时，AC会控制AP拒绝在此模式下新接入的关联请求。在AP下该接入模式的用户数量减少到小于阈值前，AP会拒绝任何其他用户接入该模式。.4 用户在AP下的动态分配当AP间的用户数量或者流量差值超过设定的阀值时，AC能够动态调整用户在不同AP间的分布。当在某一覆盖组有多个AP时，AC可以计算不同AP之间接入用户数量或者流量的差值时，当差值超过设定的阀值时， AC将控制下属高用户数或高流量的AP拒绝新用户的关联请求，从而将用户引导到其它的低用户数或低流量的AP上进行关联。3.2.5 切换 二层切换对于二层切换，可以在本地转发模式以及集中转发模式下进行切换。.1 本地转发模式在本地转发模式下，AP为一个桥设备，AC控制AP的接入，当用户由AP1切换到AP2时，对于AC来说，用户只是换了一个接入的端口，但并没有更换MAC地址，对用户来说，缺省网关的MAC地址也仍是原来的地址。因此，实际上AC侧和用户侧均无实质改变，从而没有更换地址的问题，所以这样的切换不会影响用户的业务。.2 集中转发模式在集中转发模式下，AP为一个隧道转接设备，用户的所有流量通过隧道送入AC，AC为用户做相关的业务控制。当用户从AP1切换到AP2时，实际上的流量只是从经过AP1的隧道改为经过AP2的隧道，而对AC来说，仍然识别为是这个用户的流量，处理方式完全没有变化，同样，对用户来说，也不会察觉到任何变化，因而业务不会受到任何影响。 三层切换对于三层切换，只能在集中转发模式下进行切换。这时，AP为一个隧道转接设备，用户的所有流量通过隧道送入AC，AC为用户做相关的业务控制。当用户从AP1切换到AP2时，虽然AP1与AP2在不同的子网，但只是隧道的路径不同，对用户流量来说，只是从AP1的隧道改为走AP2的隧道，对AC来说，仍然识别为是这个用户的流量，处理方式完全没有变化，对用户终端来说，上连的任何参数包括VLAN、网关等也不会有任何变化，因而业务不会受到任何影响。 非法AP检测Bgate系列AC支持非法AP检测。当AP配置成为Sensor模式后，会自动扫描周围存在的AP，并将扫描的信息上报给AC，AC通过内部的合法AP认证列表来检测是否存在非法AP。合法AP认证列表中可以包含MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道等信息，以区分合法和非法AP。当某AP不能匹配合法AP认证列表中的项时，AC会认为发现了非法AP，并会对网管系统提出报警，警告出现非法AP。4 产品功能支持4.1 协议支持1) 以太网系列协议：IEEE 802.3u、802.3z、802.3、802.1q 802.1p、802.3x ，802.1x、802.1d、802.ad、802.11、802.11a/b/g等；2) 支持PPP、PPPoE、PPPoA、PPP OVER SDH 协议；3) 支持PAP、CHAP认证协议；4) 支持IP基本协议栈：ARP、PROXY ARP、IP、CIDR、TCP、UDP、ICMP协议；5) 支持静态路由配置、RIP1/2、OSPF 2、BGP4、IS-IS 等动态路由协议；6) 支持组播协议IGMP V1/V2/V3 ，支持ICMP PROXY，PIM-SM，DVDRM；7) TELNET、HTTP、FTP、RADIUS协议，Radius Proxy协议；8) SNMP系列协议，支持RFC1213、RFC1471（LCP MIB）、RFC1472（PPP安全MIB）、RFC1473（IPCP MIB）、RFC1573（接口组MIB，RFC2233）、RFC1643（以太网接口类型MIB）、RFC1724（RIPv2 MIB）、RFC1850（OSPFv2 MIB）、RFC 2233（接口组MIB，RFC2863）、RFC2515（ATM管理对象定义）、RFC 2618（RADIUS认证客户端MIB）、RFC2620（RADIUS计费客户端MIB）、RFC2665（以太网接口类型管理对象的定义）、RFC2667（IP Tunnel MIB）、RFC2819（RMON）、RFC2863（接口组MIB）、RFC2933（IGMP MIB）、RFC3371（L2TP MIB）等MIB；9) 支持DHCP；10) 支持L2TP（LAC & LNS）；11) 支持GRE；12) 支持IP Sec系列协议；13) 支持MPLS & MPLS VPN系列协议；14) 支持syslog协议。15) 支持ATM多协议封装；16) 支持CAPWAP协议4.2 WLAN功能4.2.1 多SSID支持Bgate系列产品支持多SSID，目前单AP上可以支持15个SSID。4.2.2 SSID隐藏Bgate系列产品支持SSID隐藏。在正常情况下AP会发送Beacon frame（信标帧）广播，BI（信标帧的发送间隔）为100毫秒，也就是说每秒钟发送10个信标，Beacon frame信标帧中包括信号强度、所在的Channel（信道），还有SSID parameter set等等。当设置为不广播SSID或者SSID隐藏后， Beacon帧中的SSID parameter set会被设置为”00000000”， Beacon帧里不再包含SSID信息，以达到隐藏SSID的目的。4.2.3 SSID中文字符支持Bgate系列产品支持在SSID中使用中英文字符，SSID最大长度不超过32个字符。4.2.4 自动速率调整Bgate系列产品支持自动速率调整。802.11b支持1、2、5.5、11Mbps。802.11a支持6、9、12、18、24、36、48、54Mbps。802.11g支持1、2、5.5、6、9、11、12、18、22、24、36、48、54Mbps。4.2.5 数据速率支持 IEEE802.11b1Mbps时，采用DBPSK调制；2Mbps时，采用DPQSK调制；5.5Mbps时，采用CCK调制；11Mbps时，采用CCK调制。 IEEE802.11a/gERP-DSSS和ERP-CCK调制方式支持1 Mbps、2 Mbps、5.5 Mbps和11 Mbps四种速率； ERP-OFDM调制方式支持6Mbps、9 Mbps、12 Mbps 、18 Mbps、24 Mbps 、36 Mbps、48 Mbps和54 Mbps； ERP-PBCC调制方式支持5.5Mbps、11Mbps、22Mbps和33 Mbps。4.3 用户接入功能4.3.1 PPPoEBgate系列AC支持PPPoE接入认证方式， PPPoE接入认证方式过程如下：1) 用户发起PPPoE协议进行连接；2) 当AC收到PPPoE的连接请求包，就进行PPPoE的会话连接处理， NPU将这类的数据包传送到主控系统，由协议处理系统来进行PPPoE协议处理；3) PPPoE会话建立；4) 用户开始进行PPP连接；5) 协议处理部分将验证信息传到用户业务管理系统；6) 用户业务管理系统进行处理，验证用户，并对用户授权；7) 验证通过，协议处理系统通过授权结果，决定如何为用户服务，生成服务策略信息；分配资源（IP地址、带宽、策略路由等等）给用户；8) 主控平台将相关服务策略信息传到相应的转发模块；9) 从此以后转发模块以后根据信息直接处理PPPoE上的PPP包，对于符合权限的数据包，直接转发PPP上的IP包；10) 用户下网，主控平台收回资源；11) 主控平台中的用户业务管理系统处理计费信息，计费包括流量和时长，并提供储值卡支持。4.3.2 Web PortalBgate系列AC支持内/外置Portal, 支持强制PORTAL向WLAN用户终端推送WEB用户认证请求页面和指定网站。强制Portal功能的实现，遵循WISPr协议以实现对国际漫游客户端的支持。支持253字节长帐号、二级Portal跳转功能以满足国际漫游用户的需要；支持灵活的白名单配置；支持集团客户业务需求，AC支持在Portal重定向的URL中携带SSID信息，支持后台Portal通过识别不同的标识信息推送不同的个性化Portal页面。 Portal流程用户认证流程包括认证上线流程、下线流程、动态密码申请流程、管理员配置个性化页面流程；包括静态密码修改、套餐信息查询、帐户转帐、历史使用记录查询在内的用户自服务流程。 用户上线认证流程上线流程完成用户帐户的认证，并把认证结果通知Portal Server，Portal server将会通知WLAN用户并且显示相应的认证结果。用户可使用静态密码或动态密码登录，但Portal不对认证类型进行判断，由中央Radius负责区分。用户上线认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。用户上线Chap认证流程，如图所示：1) 用户访问网站，经过AC重定向到Portal Server；2) Portal server推送统一的认证页面；3) 用户填入用户名、密码，提交页面，向Portal Server发起连接请求；4) Portal向Radius发出用户信息查询请求，由Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息；5) 如果查询失败，Portal结束认证流程，并直接返回提示信息给用户，指导用户开户及正确使用；6) 如果查询成功，Portal Server向AC请求Challenge；7) AC分配Challenge给Portal Server；8) Portal Server向AC发起认证请求；9) 而后AC进行RADIUS认证，获得RADIUS认证结果；10) AC向Portal Server送认证结果；11) Portal Server根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒；12) Portal Server回应确认收到认证结果的报文。用户上线Pap认证流程，如图所示：1) 用户访问网站，经过AC重定向到Portal Server；2) Portal server推送统一的认证页面；3) 用户填入用户名、密码，提交页面，向Portal Server发起连接请求；4) Portal向Radius发出用户信息查询请求，由Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息；5) 如果查询失败，Portal直接返回提示信息给用户，指导用户开户及正确使用；6) 如果查询成功，Portal Server向AC发起认证请求；7) 而后AC进行RADIUS认证，获得RADIUS认证结果；8) AC向Portal Server送认证结果；9) Portal Server根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒；10) Portal Server回应确认收到认证结果的报文。 用户下线流程用户下线流程包括用户主动发起下线流程，用户的强制下线流程和用户异常下线流程，即AC侦测到用户下线，主动通知Portal server。用户主动下线流程，如图所示：1) 用户发起下线请求到Portal Server；2) Portal Server向AC请求下线；3) AC回应Portal Server下线请求；4) Portal Server推送下线结果页面给用户。用户强制下线流程，如图所示：1) AC侦测到用户的本次连接最大允许接入时间结束，向Portal Server请求下线；2) Portal Server回应下线成功，并向用户推送下线结果页面。用户异常下线流程:AC侦测用户下线流程，主动通知Portal server。如图所示：AC侦测用户下线流程 （1）AC侦测到用户下线，向Portal Server请求下线；（2）Portal Server回应下线成功。 动态密码申请流程“随e行”手机用户可以通过Portal申请动态密码。如图所示：1) 用户输入用户名并点击“申请动态密码”，Portal通过直连接口向Radius发起动态密码申请请求（包含帐户）；2) Radius创建动态密码，向Portal返回申请响应。同时向短信网关或者BOSS系统转发动态密码下发请求，通过短信向用户下发动态密码。 管理员配置个性化页面流程管理员配置资费、欢迎信息1) 管理员成功登录后台管理系统；2) 录入，修改用户资费信息和欢迎信息等；3) Portal server 更新用户显示页面；4) 当省内用户下次认证时，推送新的个性化页面。用户自服务功能流程为满足WLAN分省运营、灵活资费的需要，提供更好的业务体验，本协议通过在Portal页面提供链接的方式为用户提供自服务功能。目前要求支持的基本自服务功能包括静态密码修改、套餐信息查询、帐户转帐（预付费卡用户）、历史使用记录查询等。将来可以根据业务开展的需要，开放更多的自服务功能。由于Portal服务器目前采用集中放置的策略，用户的自服务请求将被链接到中央Radius服务器提供的自服务页面上。为保证用户信息的安全性，在使用自服务功能前，需要对用户重新进行认证。 静态密码修改流程对于中国移动“随e行”手机用户，除可以使用短信方式修改、重置WLAN登录静态密码外，还可以通过自服务页面的方式修改静态密码。对于其他用户，目前只能通过自服务页面修改用户静态密码，修改请求由中央Radius服务器统一处理。“随e行”手机用户静态密码修改流程“随e行”用户通过自服务页面修改静态密码的流程如下：1) 用户点击登录页面上的“用户自服务”选项；2) Portal服务器将请求链接到中央Radius服务器提供的自服务URL；3) 提示用户输入用户名、密码、随机码以验证用户身份；4) 用户输入信息，中央Radius判断用户是否为“随e行”手机用户；5) 对用户展示WLAN用户自服务页面，提供静态密码修改等菜单项；6) 用户输入用户名、旧密码、新密码、随机码；7) 中央Radius将“随e行”手机用户的静态密码修改请求转给一级BOSS系统处理；8) 一级BOSS将请求转给省BOSS。省BOSS验证用户旧密码并执行密码修改操作后，将新静态密码及修改结果同步回中央RADIUS；9) 返回静态密码修改成功提示。 预付费卡用户预付费卡用户的密码修改操作主要由中央Radius完成。如图所示。预付费卡用户静态密码修改流程流程描述如下：1) 用户点击登录页面上的“用户自服务”选项；2) Portal服务器将请求链接到中央Radius服务器提供的自服务URL；3) 提示用户输入用户名、密码、随机码以验证用户身份；4) 用户输入信息，中央Radiu