WLAN-AAA平台与组网PPT演示课件

WLAN-AAA平台与组网,Page1,第1章AAA的逻辑组网和业务流程第2章WLAN-AAA组网第3章WLAN-AAA平台软件模块,Page2,Page2,WLAN平台组网全景图,BRAS/AC,HUAWEIAAA,OSS/BSS,AP,笔记本,PDA,数据卡,IPNetworks,认证Portal,RADIUS,PORTAL,业务工单,自服务,WLAN话单,Page3,逻辑组网方案,WLAN平台,AP,WLANAN,BRAS/AC,终端,Radius认证,短信模块,Portal认证,Radius,集团WLAN平台,漫游接入,Page4,Internet(ICP),iTELLIN,ISN,接入设备,iSCP,1,2,3,DHCP,Portal,4,宽带接入WEB认证流程,用户开机，通过DHCP分配一个IP地址用户输入任意URL，被强制重定向到PORTAL服务器用户在PORTAL服务器提供的WWW界面，输入用户名和密码，提交给PORTRAL服务器进行WEB认证Portal服务器收到用户名和密码后，将它通过portal和BAS(ISN)的协议，发给BAS(ISN)设备BAS收到portal发来的用户名和密码后，向itellin的iSCP发起radius认证和计费过程，iSCP鉴权成功后，通知BAS认证成功BAS受到认证计费成功的报文后，通知PORTAL用户上线，这是用户进入Myportal页面，解除强制，用户可以上网用户正常上网，访问ICP/Internet，8850/5200/ICP定时上报计费数据用户下网时（主动），接入设备向PORTAL服务器提交下网请求PORTAL服务器向iSCP提交下网请求，iSCP返回下网成功PORTAL服务器提示下网成功，iSCP结算上网费用，用户上网过程终止用户被动下网时，接入设备直接向iSCP（或反之）发用户下线消息，计算费用，终止上网过程,Page5,山东本地用户认证流程Portal认证,本地用户,AC/BRAS,Radius,WLANDB,重定向到Portal,Portal根据热点、终端登录页面展现登录页面,访问任意外网网页,输入用户名,密码并提交,认证失败,提示失败原因认证成功,成功页面展现,REQAUTH,Access-Request,Access-Response,ACKAUTH,PortalServer,UserInfoRequest,用户合法性验证,UserInfoResponse(失败),登录失败,UserInfoResponse(成功),REQCHALLENGE,ACKCHALLENGE,Accounting-Request,Accounting-Response,用户检查失败,认证过程,认证成功,计费认证失败,结束,AFFACKAUTH,Page6,山东本地用户认证流程MAC认证,本地用户,AC/BRAS,Radius,WLANDB,重定向到Portal,Portal根据热点、终端登录页面展现登录页面,访问任意外网网页,认证失败,提示失败原因认证成功,成功页面展现,REQAUTH,Access-Request,Access-Response,ACKAUTH,PortalServer,用户合法性验证，MAC认证失败，推送页面，走portal认证流程。,REQCHALLENGE,ACKCHALLENGE,Accounting-Request,Accounting-Response,认证过程,认证成功,计费认证失败,结束,AFFACKAUTH,Portal核对MAC，并通过MAC查询用户认证信息,Page7,AP,BRAS/ACC,RADIUSServer,终端,MAC认证流程,1、将MAC地址附加到重定向URL中，如,2、Portal检查MAC已被绑定，将绑定的用户名及密码提交给AC认证,3、用户名密码RADIUS认证,4、RADIUS认证成功,5、通知Portal用户认证成功,首次MAC认证后，Portal绑定终端MAC地址与手机号码对应关系,PEAP认证,本地用户,AC/BRAS,Access-Challenge/EAP-Response/PEPA,EAP-Response/PEAP/NoData,Access-Request/EAP-Response/PEAPV0/TLS:certificate,ClientKeyExchange,certificate_verifyChangeCipherSpecFinished,Radius,Accounting-Request,用户信息验证,认证成功,计费认证失败,结束,Access-Challenge/EAP-Request/identify,EAP-Request/identify,EAP-Response/Identify(UserID),Access-Challenge/EAP-Response/Identify(UserID),用户EAP认证方式的协商(目前仅支持EAP-MS-CHAP-V2),EAP隧道内的MSCHAPV2认证,EAP-Success,Access-accept/EAP-Success,Page9,漫游用户认证流程(静态密码),Page9,漫游用户,AC/BRAS,集团Radius,山东Portal,重定向到山东Portal,山东Portal根据热点、终端登录页面展现登录页面,访问任意外网网页,输入用户名,密码并提交,Access-Request,Access-Response,REQAUTH,ACKAUTH,REQCHALLENGE,ACKCHALLENGE,AFFACKAUTH,认证失败,提示失败原因认证成功,成功页面展现,Accounting-Request,Accounting-Response,认证成功,计费认证失败,结束,Page10,漫游用户认证流程(动态密码),Page10,漫游用户,AC/BRAS,山东Portal,重定向到山东Portal,山东Portal根据热点、终端登录页面展现登录页面,访问任意外网网页,输入用户名,动态密码并提交,认证请求,返回认证响应,集团Portal,申请动态密码,山东Portal完成动态密码申请,转发到山东Portal,申请成功,收到短信通知,集团Portal完成认证,集团Radius,认证失败,提示失败原因认证成功,成功页面展现,Accounting-Request,Accounting-Response,认证成功,计费认证失败,结束,认证过程,Page11,第1章AAA的逻辑组网和业务流程第2章WLAN-AAA组网第3章WLAN-AAA平台软件模块,Page12,山东WLAN-AAA组网图,Page13,生产点与容灾点组网,Page13,Page14,第1章AAA的系统网络地位第2章WLAN-AAA组网第3章WLAN-AAA平台软件模块,Page15,WLAN平台系统结构,Portal：WEB/MAC认证Radius：Radius认证、计费BILL：话单处理UOA：告警、性能数据统计MML:BOSS工单处理WMAS：系统维护系统ESN：系统自维护,Page15,Page16,iSCC1的功能,ACC主要负责上网用户每月月租费和基本费的扣费功能；同时负责更新帐户的日月限额，后付费用户的信用额度，更新用户的计费策率（由于这些工作都是定期进行的，可以理解ACC为完成和计费有关的各个定时任务的进程）。etools动态调试iSCC1的日志级别，跟踪，打屏，查看系统状态等等；,Page17,iSCC2体系结构,Page18,iSCC2的功能,manager消息转发，接收来自iSCC1、iSMP、Portal和ISN的消息，向SCF和SDF传递iSCC1、iSMP、Portal和ISN的消息，或反向传递它们之间的消息；多进程控制管理。Manager完成SDF和多个SCF进程的创建，并在系统运行过程中监视它们的状态，在它们发生异常时采取必要措施，或重新创建SCF、SDF进程；负荷控制，当达到SCF最大负荷能力时，Manager将过滤掉新的连接请求，保证系统正常运行；通信链路的维护。主要是维护iSCC2与iSCC1、ISN、Portal、iSMP的网络通信，Manager还监视SCF和SDF的进程状态，当Manager进程检测到SCF或SDF进程不存在时，就自动重启这两个进程。,Page19,iSCC2的功能,SCF（业务控制）：SCF是业务控制功能，在iTELLIN中完成RADIUS+协议服务器功能。SCF可以和其它功能实体通信，以获得附加的逻辑和信息：业务或用户数据。其主要功能是：与iSCC1、ISN、SDF、Portal相互通信；对用户帐户进行签权和计费处理（根据业务逻辑），处理设备的radius消息，激活、去激活业务，动态改变业务策略；接受iSMS的管理和业务修改等；SDF（业务数据）：SDF是业务数据功能，包含用户数据和网络数据的处理功能。SDF的主要功能是：按要求与SCF接口通信；处理iSMS管理消息；接受iSMS的管理和业务修改等；,Page20,iSCC2的功能,SCFServer：SCFServer进程的存在主要是为了协调多SCF进程的运行，其主要功能如下：管理排队、分配及逻辑锁等共享资源；业务管理；计费数据维护；RCOMM功能（与前置机通信功能）；数据库：数据库是iTELLIN宽带智能业务系统用于存储业务数据和用户数据的地方。在iTELLIN系统中，我们应用了高