一、关于无感知接入
WLAN无感知接入功能是运营商面向WLAN业务个人用户提供的自动登录服务。“无感知”是针对非首次连接而言的,用户只有在首次连接WLAN网络时需要输入用户名、密码,首次连接成功后,终端会自动保存认证信息;在进行非首次连接时,用户不需要再输入认证信息,终端直接使用其保存的用户名、密码来发起Portal或802.1X认证,在非首次连接的过程中用户是感知不到认证过程的,就好象是连接了一个明文的SSID一样
WLAN无感知接入主要采用EAP-SIM、EAP-PEAP认证方式,用户使用非PC的WIFI终端(如:智能手机、PAD)接入WLAN网络时,如果终端支持SIM认证,则优先为用户选择SIM认证;如终端不支持SIM认证,则用户可选择PEAP认证。首次配置后,在该SSID的WLAN网络覆盖区下,即可自动登陆WLAN上网。
1. 无感知接入的认证方式
EAP-SIM/AKA
EAP-SIM/AKA是EAP认证方法的一种实现方式,其通过用户(U)SIM卡信息进行认证,当用户使用SIM卡时,执行EAP-SIM认证流程,当用户使用USIM卡时,执行EAP-AKA认证流程。整个认证过程不需要用户介入任何手工操作,完全由终端自动完成。
EAP-SIM和EAP-AKA的认证流程类似,但二者的应用场景不同,EAP-SIM应用于GSM的2G网络,EAP-AKA应用于3G网络。
EAP-PEAP
EAP-PEAP认证方式,是网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证则无需用户任何手工操作,由终端自动完成。
目前被WPA和WPA2批准的有两个PEAP子类型:PEAPV0-MSCHAPV2和PEAPV1-GTC,其中使用较广泛的是PEAPV0-MSCHAPV2。无感知接入试点使用的就是PEAPV0-MSCHAPV2。
在无感知接入方案中,PEAP认证与SIM认证使用相同的SSID。
Portal MAC Trigger
为了满足合法用户的免用户名、密码输入的需求,Portal增加了一种支持基于MAC地址的快速认证的新机制,被称为MAC Trigger认证方式。
MAC认证具有如下特点:
改善用户体验:首次用户需手动Portal认证,后续使用无感知接入;
终端适配较好:适配大部分WLAN终端,无需做客户端的适配测试;
认证兼容性较好:兼容现有Portal认证方式。
MAC认证具备“一次认证,永久使用”的用户体验。用户首次登陆Portal页面成功认证后,如选择开通MAC认证,则后续只要关联WLAN就可以用任意应用上网,用户是感知不到认证过程的。
2. 无感知接入的网络结构
AC、BRAS分离
H3C在无感知接入中的常见组网方式有两种:AC、BRAS分离和AC、BRAS合一。AC与BRAS分离架构是之前在运营商市场应用较多的组网方式。其中AC用于无线接入,IAG充当BRAS角色。在增加Dot1x认证之后, 802.1x的认证点可以在AC上也可以在IAG上,Portal业务终结在IAG。
802.1x认证点在AC
如图1所示,因为AC本身就支持802.1x认证,所以在AC上做802.1x认证的方案实现起来相对比较简单,在AC、BRAS分离架构中是主推的方案。
图1 802.1x认证点在AC的组网图
802.1x认证点在IAG
IAG做802.1x认证点的组网方式与AC做802.1x认证点的组网方式类似,只需要通过配置来改变802.1x的认证位置。
该方案的实现需要在IAG上增加无线用户的802.1x认证功能,技术还不是很成熟,所以此方案作为备选方案。
AC、BRAS合一
AC和BRAS一体化也就是BAC架构,简单的说就是将原来组网中充当BRAS角色的IAG,整合到AC卡上,实现一体化。组网中不再有单独的IAG板卡,BAC需要承担之前AC+BRAS的所有功能。
由于Portal认证原来在单独的BRAS设备上完成,现在改到BAC上完成,会挤占BAC系统资源,系统压力变大,这就要求BAC的性能更强劲,组网也需要更加可靠,可以通过VRRP多实例来实现N+1备份以提高整网的稳定性。
二、测试设计
因为在无感知接入方案中,以802.1X认证点在BRAS的组网和配置最为复杂,需测试的特性也最丰富。所以下面就以该方案为基础进行测试例分析。
1. EAP-PEAP接入
测试EAP-PEAP接入时需要注意,分为首次接入和非首次接入两种情况。首次接入时用户需要配置用户名/密码、认证方式、身份验证方式、证书等。
不同的终端需要配置的选项是不同的,比如iPhone iOS5可以自动识别,认证时只需要连接SSID后输入用户名/密码,在提示证书验证失败时,用户选择接受,PEAP认证可成功;Android2.0的终端则需要配置用户名/密码、认证方式、身份验证方式,证书可选;Symbian S60的终端配置是最复杂的,而且必须要安装CA证书;Blackberry OS6.0终端PEAP认证配置有“禁止服务器证书验证”选项,如勾选,则终端不再进行证书验证;Windows Mobile手机如果证书验证失败,PEAP认证无法通过。
首次接入后,用户名和密码保存在手机上,再次接入时不需要重新输入用户名/密码,直接连接即可。
2. Portal接入
在测试Portal接入时也分为首次接入和非首次接入两种情况,首次接入时与传统Portal认证方式相同。这里主要关注非首次接入的情况,用到的技术就是前面提到的Portal MAC Trigger。
Portal MAC Trigger的认证流程如下:
BRAS默认对所有用户流量放行,但当某用户单位时间内累计流量达到一定阀值(比如10K)后,BRAS开始触发MAC认证;
接入设备向MAC认证服务器发送用户的MAC地址;
MAC认证服务器查询该MAC地址是否做过绑定用户帐号,如果绑定了,则MAC认证服务器获取帐号、密码并通知Portal服务器,直接发起Portal认证,不需要用户输入用户名、密码,如果没有绑定,则通知接入设备继续走传统的认证流程。
对于Portal认证不涉及终端适配的测试,因为绝大多数的终端都支持Portal认证。做Portal认证时主要关注浏览器的支持情况,比如现在应用最广泛的UC浏览器,低版本的UC浏览器不能进行Portal认证,原因是低版本的UC浏览器是向UC的服务器发送HTTP报文,由UC服务器来处理,而不是发往Portal服务器,这个问题在UC8.0以上的版本才得到修复。
3. Portal与EAP-PEAP之间的切换
用户在向无感知接入服务切换的时候肯定会出现在Portal与EAP-PEAP之间切换的情况。测试需要考虑到四种情况,如表1所示:
表1 Portal与EAP-PEAP切换测试的预期结果
|
切换前SSID |
切换后SSID |
预期结果 |
|
SSID1(Portal) |
SSID2(首次PEAP) |
用户进行PEAP配置后,接入成功 |
|
SSID1(Portal) |
SSID2 (非首次PEAP) |
不需要再配置PEAP,接入成功 |
|
SSID2(PEAP) |
SSID1(首次Portal) |
进行完整的Portal认证,用户需要输入用户名/密码 |
|
SSID2(PEAP) |
SSID1 (非首次Portal) |
用户感知不到认证过程,可直接访问外网 |
Portal和EAP-PEAP的无线服务所在VLAN不同,但是终结在同一个10GE子接口下,共享地址池,所以必须关注切换后客户端的通信问题:
切换后客户端的VLAN会发生改变;
切换后客户端应仍能获取原网段IP地址,绝大多数情况下应该依然使用切换前的IP;
切换后客户端应能正常上网,可以在终端设备上访问IAG上游设备的WEB网页来检查。
因为各种终端的表现不尽相同,所以在测试的时候要尽量覆盖市面上的主流终端。
另外,切换的过程不外乎两种:终端在处于连接的状态下直接去连另外一个SSID或者先断开,然后再连接另一个。这两种切换方式是有区别的,比较而言,前者更容易出现问题,涉及到的测试方向可以考虑切换后VLAN的变更、IP地址变更、与授权ARP的组合测试等。
4. 漫游测试
快速漫游是针对802.1x用户而言的,是指802.1x用户在漫游到新的AP时不再需要进行802.1x认证,直接进行密钥的协商过程。当802.1x用户从一个AP漫游到另一个AP时,如果不进行快速漫游,就需要重新进行802.1x认证,需要较长的时间,在此期间会导致某些业务中断。快速漫游可以大大缩短漫游延时,不会出现终端的掉线情况。
漫游分为AC内漫游和AC间漫游,在无感知接入项目中只考虑AC内漫游的情况。AC内漫游即为无线终端从AC 的一个AP 漫游到同一个AC 内的另一个AP ,如图4所示。
图4 AC内漫游
漫游的行为在很大程度上取决于使用的终端,不同厂家产品的漫游表现也很不相同。这里进行的漫游测试以PEAP用户发生的的快速漫游为主,漫游延迟应小于50ms,对不同的手机终端分别进行测试,测试结果见表2:
表2 AC内漫游测试结果
|
终端类型 |
测试项 |
测试结果 |
|
iPhone iOS5 |
AC内快速漫游 |
支持,表现良好 |
|
Android 2.0 |
AC内快速漫游 |
支持,表现良好 |
|
Symbian S60 |
AC内快速漫游 |
支持,表现良好 |
|
小米MIUI |
AC内快速漫游 |
支持,表现良好 |
5. 计费测试
传统的计费流程是在认证和授权之后进行的,RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
在无感知接入项目中运营商推出了更精确的计费方案——用户获取IP地址后才开始计费,客户端获取IP地址后,DHCP-snooping模块将信息通知端口安全模块,端口安全再通知RADIUS服务器开始计费;如果在设置的时间内客户端未获取到地址,可以选择开始计费或者强制客户端下线,可以通过接口下的dot1x accounting-delay来配置。
6. DHCP与授权ARP
所谓授权ARP(Authorized ARP),就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。
使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
而授权ARP和DHCP是密切相关的,所以在测试时要重点关注服务器采用不同的地址分配流程时,生成的授权ARP的表项是否正确;另外授权ARP的更新也需重点关注,比如客户端切换SSID后,客户端的VLAN发生了变化,与此同时授权ARP也应该更新其VLAN信息; 还有一个关注点就是与DHCP热备、VRRP、DHCP-Relay的组合测试,因为DHCP热备是不区分主备的,IP地址可能从主机分配,也可能从备机分配,因此会出现DHCP热备与VRRP主备不一致的情况。如果DHCP-SERVER为VRRP的备机,而DHCP-Relay的表项不会主动在VRRP的主机和备机之间同步,那么在VRRP的备机上ARP没有授权,这就可能出现终端上行不通的现象。所以测试时要多考虑类似的组合。
7. 性能测试
。性能测试的基本模型是:单个IAG加4个高性能AC板卡,每个AC板卡考虑1500认证用户,则IAG需至少支持6K认证用户数。
测试时需要关注同一接口下允许接入的最大用户数和同一VLAN内允许接入的最大用户数(具体参考设备的上限值)。
可以使用H3C自主研发的“多AP模拟测试工具”来模拟EPA-PEAP用户和Portal用户在IAG上做认证。测试时首先要关注能够上线的用户是否能达到宣称的规格数量,同时做长时间的压力测试,以此来考察接入设备的稳定性,并且关注大量用户在线时接入设备的转发性能。
结束语
本文对无感知接入需要重点关注的测试项进行了详细的阐述,并对三种认证方式和三种组网方式进行了简单分析,在实际应用中可以根据情况进行选择。因为不同的终端在配置802.1X认证时的方法不同,所以用户在进行首次认证配置的时候可以参考运营商提供的配置指导。
WLAN无感知接入功能以简化用户的上网流程、提升用户的体验效果为目的,测试应围绕用户体验进行,站在使用者的角度去感受无感知接入。
