无感知技术白皮书
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
在普通IPoE Web认证场景中,用户每次上网时都需要手工输入用户名/密码信息进行身份认证,操作较为不便。特别是目前使用WiFi网络的智能终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在认证页面中输入用户名/密码时不方便,使得用户上网体验大打折扣。针对此问题,提出IPoE Web无感知认证解决方案,大大简化了用户接入网络流程,提升用户的使用体验。
IPoE Web无感知认证,是一种基于MAC地址的快速认证,使用户无需每次接入网络都手工输入认证信息便可以自动完成认证过程。用户仅需在首次上网时输入用户名和密码,后续上网时无需输入用户信息,自动完成IPoE Web认证过程。
IPoE Web无感知认证具有以下优点:
· 降低用户上网操作的复杂度,提高了用户访问网络资源的效率,实现了极简用户体验。
· 兼容多种终端类型,极大地满足了终端接入需求。
· 支持有线和无线同时接入,用户可根据实际需求灵活选择接入方式。
· 接入设备:提供接入服务的设备。
· AAA服务器:与接入设备进行交互,完成对用户的认证、授权和计费。在MAC无感知认证场景中由AAA服务器同时作为MAC绑定服务器。
· Portal服务器:负责向客户端提供认证界面,与接入设备交互客户端认证信息,完成客户端的身份认证。
· MAC绑定服务器:用于记录客户端认证信息和客户端MAC地址绑定关系的服务器。
· MAC绑定表项:服务器上存储客户端MAC地址和客户端认证信息的表项。
· 二次地址分配:用户上线过程进行两次IP地址分配。
IPoE Web无感知认证是由普通IPoE Web认证与MAC绑定服务器配合完成的,基本原理如下:
(1) 用户首次上网时,需要在设备向用户推送的认证页面中手工输入用户名/密码,以完成IPoE Web认证。
(2) 用户认证通过后,MAC绑定服务器会自动建立该用户的MAC地址和认证信息的绑定关系。
(3) 用户后续接入时,认证服务器根据该用户第一次认证时在MAC绑定服务器中记录的绑定关系,在后台直接完成认证,不会向用户推送认证页面,用户完全感知不到认证过程的存在,无需任何操作即可直接快速上网。
根据MAC绑定服务器是否支持MAC Trigger协议,IPoE Web无感知认证分为MAC Trigger无感知和MAC无感知两种认证方式。这两种IPoE Web无感知认证技术主要有以下区别:
· MAC Trigger无感知认证需要额外部署MAC Trigger服务器,MAC无感知认证不需要额外部署MAC Trigger服务器。
· MAC Trigger无感知认证需要交互Portal协议报文和RADIUS协议报文,MAC无感知认证需要交互RADIUS协议报文。
在MAC Trigger无感知认证方案中,用户首次接入网络认证流程如图1所示。具体认证流程如下:
(1) 认证客户端连接网络,并通过DHCP服务器获取IP地址信息。
(2) 用户发送上网请求。
(3) 接入设备将向MAC绑定服务器发送绑定查询请求,等待返回查询结果。
(4) MAC绑定服务器未查询到MAC地址绑定和认证信息绑定。
(5) MAC绑定服务器向接入设备返回查询结果:未绑定。
(6) 接入设备将按照正常IPoE Web流程将后续HTTP/HTTPS请求重定向到Portal认证页面,用户输入用户名/密码信息,完成认证流程。
(7) 接入设备向MAC绑定服务器发送用户MAC地址和认证信息。
(8) MAC绑定服务器完成用户MAC地址信息和认证信息的绑定。
在MAC Trigger无感知认证方案中,用户第2~N次接入网络认证流程如图2所示。具体认证流程如下:
(1) 认证客户端连接网络,并通过DHCP服务器获取IP地址信息。
(2) 用户发送上网请求。
(3) 接入设备将向MAC绑定服务器发送绑定查询请求,等待返回查询结果。
(4) MAC绑定服务器查询到MAC地址绑定的Web认证信息。
(5) MAC绑定服务器向接入设备返回查询结果:已绑定。
(6) MAC绑定服务器把用户的Web认证信息转发给Portal服务器,Portal服务器向接入设备发送认证请求报文,完成后续认证流程。
图2 用户第2~N次接入认证流程图
用户可以通过闲置切断机制完成下线流程,即一段时间内(闲置切断时间,可配置)接入设备检测到的用户流量低于指定的阈值后,设备将强制该用户下线。具体流程如下:
(1) 接入设备监测认证客户端的数据流量。
(2) 在用户的闲置切断时间内,如果用户流量低于设置的检测阈值,接入设备向AAA服务器发送计费结束报文。
(3) 接入设备强制用户下线。
图3 用户下线流程
根据IP地址分配方式不同,MAC无感知认证包括如下两种类型:
· 普通MAC无感知认证:用户的整个认证上线过程仅进行一次IP地址分配,并且在Web阶段认证时触发MAC无感知流程,MAC无感知认证完成后,用户上线。
· 二次地址分配MAC无感知认证:用户的整个认证上线过程进行两次IP地址分配,并且在前域阶段认证时触发MAC无感知流程,MAC无感知认证完成后,用户上线。
在MAC无感知认证方案中,用户首次接入网络认证流程如图4所示。具体认证流程如下:
(1) 认证客户端连接网络,并通过DHCP服务器获取IP地址信息。
(2) 用户发送上网请求。
(3) 接入设备将向AAA服务器发送认证请求,等待返回认证结果。
(4) AAA服务器未查询到MAC地址绑定的Web认证信息。
(5) AAA服务器向接入设备返回认证结果:认证失败。
(6) 接入设备将按照正常IPoE Web流程将后续HTTP/HTTPS请求重定向到Portal认证页面,用户输入用户名/密码信息,完成后续认证流程。
(7) 接入设备向AAA服务器发送用户MAC地址和认证信息。
(8) AAA服务器完成用户MAC地址信息和认证信息的绑定。
在MAC无感知认证方案中,用户第2~N次接入网络认证流程如图5所示。具体认证流程如下:
(1) 认证客户端连接网络,并通过DHCP服务器获取IP地址信息。
(2) 用户发送上网请求。
(3) 接入设备将向AAA服务器发送认证请求,等待返回认证结果。
(4) AAA服务器查询到MAC地址绑定的Web认证信息。
(5) AAA服务器查询结果为已绑定,通知接入设备用户认证通过。
图5 用户第2~N次接入认证流程图
目前仅DHCP用户(包括IPv4和IPv6)支持二次地址分配MAC无感知认证。
在二次地址分配MAC无感知认证方案中,用户首次接入网络认证流程如图6所示。具体认证流程如下:
(1) 认证客户端发送DHCP-DISCOVER(IPv4)或Solicit(IPv6)报文时,触发前域认证。
(2) 接入设备基于客户端MAC地址,向AAA服务器发起认证。
(3) AAA服务器未查询到MAC地址绑定和认证信息绑定。
(4) AAA服务器向接入设备返回认证结果:认证失败。
(5) 接入设备收到认证失败信息后,使用配置的认证失败域重新触发前域认证(认证失败域配置为不认证)。
(6) 在前域上线后,获得短租约IP地址。
(7) 接入设备将按照正常IPoE Web流程将后续HTTP/HTTPS请求重定向到Portal认证页面,用户输入用户名/密码信息,完成后续认证流程。
(8) AAA服务器完成用户MAC地址信息和认证信息的绑定。
(9) AAA服务器向接入设备发送计费应答报文。
(10) 设备收到AAA服务器的计费应答报文后,清除DHCP用户的会话信息,强制该用户下线。该用户如需上线,需要重新触发前域认证;此后,如果收到用户的DHCP续约报文,则直接回应NAK,以便用户可以尽快重新走前域MAC无感知流程上线。
(11) 认证客户端再次发送DHCP-DISCOVER(IPv4)或Solicit(IPv6)报文时,触发前域认证。
(12) 接入设备基于用户MAC地址,向AAA服务器发起认证。
(13) AAA服务器查询到MAC地址绑定的Web认证信息。
(14) AAA服务器向接入设备返回认证结果:认证通过。
(15) 用户获取IP地址,上线成功。
在二次地址分配MAC无感知认证方案中,用户第2~N次接入网络认证流程如图7所示。具体认证流程如下:
(1) 认证客户端发送DHCP-DISCOVER(IPv4)或Solicit(IPv6)报文时,触发前域认证。
(2) 接入设备基于用户MAC地址,向AAA服务器发起认证。
(3) AAA服务器查询到MAC地址绑定的Web认证信息。
(4) AAA服务器向接入设备返回认证结果:认证通过。
(5) 用户获取IP地址,上线成功。
图7 用户第2~N次接入认证流程图
用户可以通过闲置切断机制完成下线流程,即一段时间内(闲置切断时间,可配置)接入设备检测到的用户流量低于指定的阈值后,设备将强制该用户下线。具体流程如下:
(1) 接入设备监测认证客户端的数据流量。
(2) 在用户的闲置切断时间内,如果用户流量低于设置的检测阈值,接入设备向AAA服务器发送计费结束报文。
(3) 接入设备强制用户下线。
图8 用户下线流程
如下图9所示,有线用户和无线用户经由二层网络以IPoE方式接入到接入设备,具体要求如下:
· 用户首次上网通过IPoE Web方式,输入用户名密码访问网络资源。
· 用户离开重新上线后,不再需要输入用户名密码,可以直接上网。