- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
无线逃生技术白皮书
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
无线网络环境中,用户采用802.1X认证、MAC地址认证、Portal认证、云简PPSK认证时,往往需要通过远程认证服务器进行身份认证并接入无线网络,如果网络质量差或远程认证服务器出现故障,设备侧和远程认证服务器断开,这时用户在接入时会无法认证,从而致使用户无法接入使用网络。
本地转发组网下,AP和AC之间会跨很多个设备,还可能跨外网,当网络质量差时,致使用户无法接入使用网络。
当5G Radio上监测到雷达信号时,会静默当前Radio上的服务,致使用户无法接入使用网络。
综上所述,当AC和AP之间网络质量差,或者认证服务器出现故障时,用户无法成功接入,影响用户上网。因此无线逃生功能应运而生,可以实现老用户继续保持在线,新用户逃生上线。
· 用户采用802.1X认证、MAC地址认证接入网络,当AC与远程认证服务器断开连接或本地转发组网下AC与AP断开连接时,AP会继续为用户提供数据转发和接入服务,从而使用户可以继续访问网络。
· 用户采用Portal认证接入网络,当AC与远程Portal Web服务器/H3C云简平台断开连接,或者Portal Web服务器/H3C云简平台出现故障时,用户接入服务后,不需要认证,可以直接访问网络。
· 用户采用PPSK认证接入网络,当AC与H3C云简平台断开连接时,用户接入服务后,可以继续访问网络。
· 当5G信道自动检测雷达信号静默时,用户接入逃生服务,从而使用户可以继续访问网络。
AC设备通过RADIUS服务器探测功能来探测认证服务器是否可用。
AC设备探测到认证服务器不可达时,则AC设备进入逃生状态,如果服务器可达,则AC设备从逃生状态恢复。
对于802.1X认证方式,需要配置用户逃生接入服务模板,当AC设备进入逃生状态时,释放出用户逃生接入服务模板下配置的服务,老的接入服务进行隐藏。老用户可以继续保持在线,访问网络,新用户免认证接入,访问网络资源。
对于MAC认证方式,不需要配置逃生服务模板,当AC设备进入逃生状态时,老用户可以继续保持在线,访问网络,新用户免认证接入,访问网络资源。
当AC设备探测到认证服务器可达时,AC设备从逃生状态恢复,逃生状态时上线的用户踢下线,需重新接入服务进行认证上线。
图2-1 AC和认证服务器不通的流程图
此种逃生情况,目前仅支持802.1X和MAC认证两种认证方式。
AP和AC之间通过保活机制来检查控制隧道是否正常工作。AP周期性地向AC发送Echo request报文,若一定时间内没有收到AC回复的Echo response报文,则AP断开控制隧道。
当AP上断开控制隧道时,启动一个5分钟定时器,防止震荡导致设备反复进入逃生和恢复逃生状态。定时器超时后,AP和AC还是断开,则AP进入逃生状态。
对于802.1X认证方式,需要配置逃生服务模板,当AP进入逃生状态时,释放出逃生服务模板下配置的服务,老的服务进行隐藏。老用户可以继续保持在线,访问网络;新用户免认证接入,访问网络资源。
对于MAC和Portal认证方式,不需要配置逃生服务模板,当AP进入逃生状态时,老用户可以继续保持在线,访问网络,新用户免认证接入,访问网络资源。
当AP和AC之间建立好控制隧道时,AP从逃生状态恢复,逃生状态期间上线的用户会被踢下线,需重新接入服务进行认证上线。
图2-2 AC和AP断开的流程图
· 此种逃生情况,只支持本地转发组网。
· 目前仅支持802.1X、MAC和Portal认证三种认证方式。
AC设备通过对Portal Web服务器进行探测来检测Portal Web服务器的可达性。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此AC主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
当AC设备探测到Portal Web服务器不可达时,将打开接口或无线服务模板上的网络限制,允许Portal用户不需经过认证即可访问网络资源。
当Portal Web服务器恢复可达性后,再重新启动Portal认证功能。重新启动接口或无线服务模板的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
支持Portal功能的产品,都支持此种逃生。
图2-3 Portal Web服务器逃生流程图
AC设备通过对H3C云简平台进行探测来检测H3C云简平台的可达性。
当AC探测到H3C云简平台不可达时,将打开接口或无线服务模板上的网络限制,允许Portal用户不需经过认证即可访问网络资源。
当H3C云简平台恢复可达性后,再重新启动Portal认证功能。重新启动接口或无线服务模板的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
图2-4 H3C云简平台Portal逃生流程图
AC和H3C云简平台通过保活机制来检查两者之间的连接是否正常。AC周期性地向H3C云简平台发送保活报文,若一定时间内没有收到H3C云简平台的响应报文,则设备断开连接,重新向H3C云简平台发送注册请求,与其重新建立连接。
当设备和H3C云简平台断开连接时,设备进入逃生状态,PPSK新认证用户四次握手成功后,不上报密码绑定关系给H3C云简平台。
当设备和H3C云简平台建立连接时,设备从逃生状态恢复,AC和H3C云简平台平滑同步PPSK认证用户信息。
图2-5 H3C云简平台PPSK认证逃生流程图
一个5G Radio上绑定用户接入无线服务模板,其他Radio上绑定用户逃生接入服务模板,当5G Radio监测到雷达信号时,当前5G Radio静默期间,用户服务切换到其他Radio上的逃生服务,用户可以继续访问网络。
图2-6 雷达静默逃生流程图
此种逃生,仅支持5GHz频段。
AC和RADIUS服务器通过外网连接,当AC和RADIUS服务器通信出现故障且AC上配置了用户逃生功能时,AC上进行用户逃生,老用户不受影响,继续在线访问网络,新用户直接接入,不需要认证。
此情况支持802.1x和MAC认证两种认证方式。
图3-1 AC和认证服务器不通组网图
本地转发组网,AC和AP之间通过外网连接,当AC和AP通信出现故障时,AP不重启,保持老用户在线,新用户可以免认证接入使用。
此情况支持802.1X、MAC和Portal认证三种认证方式。
图3-2 AC和AP不通组网图
AC和Portal Web服务器通过交换机连接,当AC和Portal Web服务器通信出现故障且AC上配置了Portal Web逃生功能时,AC上进行用户逃生,老用户不受影响,继续在线访问网络,新用户直接接入,不需要认证。
图3-3 Portal Web服务器逃生组网图
AC和H3C云简平台通过外网连接,当AC和H3C云简平台通信出现故障且AC上配置了Portal Web逃生功能时,AC上进行用户逃生,老用户不受影响,继续在线访问网络,新用户直接接入,不需要认证。
图3-4 H3C云简平台Portal逃生组网图
无线接入设备系统(AC + Fit-AP)和H3C云简平台通过加密隧道建立连接,H3C云简平台通过该隧道向无线接入设备侧下发、删除、同步密码,设备侧将密码与用户设备的绑定关系通过该隧道上报至云简平台管理。
· 用户终端连接运营商的4G/5G网络,通过微信小程序扫码方式从H3C云简平台申请用于连接该场所无线网络的密码,如图3-5中步骤1。
· H3C云简平台将用户申请的密码,通过加密隧道下发至设备上,并进行密钥安装,如图3-5中步骤2所示。
· 用户终端使用申请到的密码,与设备完成四次握手密钥协商,接入无线网络,如图3-5中步骤3所示。
当AC和H3C云简平台通信出现故障且AC上配置了PPSK的逃生功能时,AC上进行用户逃生,老用户不受影响,继续在线访问网络,新用户上线不上报密码绑定关系给H3C云简平台,四次握手成功,可以访问网络。
图3-5 PPSK认证逃生组网图
双5G射频下,一个5G射频下绑定用户接入服务模板,另外的射频上绑定用户逃生接入服务模板,当射频监测到雷达信号时,当前射频进入静默,用户服务切换另外一个射频给用户提供服务,用户可以接入访问网络。
图3-6 5G雷达逃生组网图
支持
