二次地址分配是指在802.1X或Web Portal接入方式中,初始DHCP时为用户预分配IP地址(通常为私网地址),在用户通过认证后,重新为用户分配地址(通常为公网地址)的技术。这是 因为如果在用户开机后未经过认证,DHCP时全部为用户分配公网IP地址,显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地 址不足的问题,提高公网地址的利用率。
二次地址分配的配置是在BRAS上配置认证域时配置的,需要启用二次地址分配功能并配置地址池。
中国移动WLAN业务PORTAL协议规范介绍
上线流程完成用户账号的认证,并把认证结果通知Portal Server,Portal server将会通知WLAN用户并且显示相应的认证结果。
用户上线认证方式有两种:CHAP和PAP,其中CHAP方式为必选功能,PAP方式为可选功能。
1.1、用户上线Chap认证流程
1.2、用户上线Pap认证流程
二、用户下线流程
用户下线流程包括用户主动发起下线流程,和用户异常下线流程:AC侦测到用户下线,主动通知Portal server。
2.1、用户下线流程
2.2、用户异常下线流程
用户异常下线流程:AC侦测用户下线流程,主动通知Portal server。
三、数据报文
3.1、报文格式
协议包采用固定长度头加可变长度的属性字段组成,属性字段采用TLV格式,具体如下图所示。
3.2、报文字段说明
Ver字段是协议的版本号,长度为 1 字节,目前定义的值为 0x01;
Type字段定义报文的类型,长度为 1 字节,目前其值的如下图所示
Pap/Chap字段定义此用户的认证方式,长度为 1 字节,只对Type值为 0x03 的认证请求报文有意义:
Rsv目前为保留字段,长度为 1 字节,在所有报文中值为 0
(1)、SerialNo字段为报文的序列号,长度为 2 字节,由Portal Server随机生成,Portal Server必须尽量保证不同认证流程的SerialNo在一定时间内不得重复,在同一个认证流程中所有报文的SerialNo相同;
(2)、Portal Server发给AC设备的报文
a、由Portal Server发出的Type值为1、3的请求报文其SerialNo都是随机生成数;
b、由Portal Server向AC设备发出的Type值为5的(REQ_LOGOUT)报文其SerialNo值分两中情况:当ErrCode为0 时(请求用户下线报文),SerialNo值为一个随机生成数;当ErrCode为1时,SerialNo值可能和Type值为1或3的报文 (请求Challenge超时, 或请求认证超时) 相同,具体要看是请求Challenge超时还是请求认证超时;
c、由Portal Server向AC设备发出的认证成功确认报文(Type值为7的报文)SerialNo和其发出的相应请求报文的SerrialNo相同;比如对于Type值为7的报文其SerialNo值和Type值为3的请求认证报文相同;
(3)、每一个由AC设备发给Portal Server的响应报文的SerialNo必须和Portal Server发送的相应请求报文的SerialNo一样,否则Portal Server会丢掉从AC设备发来的响应报文; 比如Type值为2的报文其SerialNo值必须和Type值为1的报文相同,Type值为4的报文其SerialNo值必须和Type值为3的报文相同,Type值为6的报文其SerialNo值必须和Type值为5的报文相同。
(1)、ReqID字段长度为 2 个字节,由AC设备随机生成,尽量使得在一定时间内ReqID不重复。
(2)、在Chap认证方式中:
a、AC设备在Type为2 (ACK-CHALLENGE) 的请求Challenge响应报文中把该ReqID的值告诉Portal Server;
b、在Type值为3、4、7 ( REQ-AUTH, ACK-AUTH, AFF-ACK-AUTH ) 的报文中ReqID字段的值都和Type值为2的报文中此字段的值相同;
c、在Type值为 5 (REQ-LOGOUT) 的报文中,若报文表示请求Challenge 超时则此字段值为0 ;若报文表示请求认证超时则此字段值和Type值为2 (ACK-CHALLENGE)的报文中此字段的值相同;
(3)、在Pap认证方式中,此字段无意义,其值为0;
(4)、在Type值为 5 (REQ-LOGOUT) 的报文中,若报文表示请求下线时则此字段值为0 ;
(5)、在Type值为1、6 (REQ-CHALLENGE , ACK-LOGOUT) 的报文中,该字段均无意义,值都为 0;
UserIP字段为Portal用户的IP地址,长度为 4 字节,其值由Portal Server根据其获得的IP地址填写
在所有的报文中此字段都要有具体的值
UserPort字段目前没有用到,长度为 2 字节,在所有报文中其值为0
ErrCode字段和Type字段一起表示一定的意义,长度为 1字节,具体如下:
(1)、对于Type值为1、3、7的报文,ErrCode字段无意义,其值为0;
(2)、当Type值为 2 时:
ErrCode=0,表示AC设备告诉Portal Server请求Challenge成功;
ErrCode=1,表示AC设备告诉Portal Server请求Challenge被拒绝;
ErrCode=2,表示AC设备告诉Portal Server此链接已建立;
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试;
ErrCode=4,则表示AC设备告诉Portal Server此用户请求Challenge失败(发生错误);
(3)、当Type值为 4 时:
ErrCode=0,表示AC设备告诉Portal Server此用户认证成功;
ErrCode=1,表示AC设备告诉Portal Server此用户认证请求被拒绝;
ErrCode=2,表示AC设备告诉Portal Server此链接已建立;
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试;
ErrCode=4 ,表示AC设备告诉Portal Server此用户认证失败(发生错误);
(4)、当Type值为 5 时:
ErrCode=0,表示此报文是Portal Server发给AC设备的请求下线报文;
ErrCode=1,表示此报文是在Portal Server没有收到AC设备发来的对各种请求的响应报文,而定时器时间到(即超时)时由Portal Server发给AC设备的报文;
(5)、当Type值为 6 时:
ErrCode=0,表示AC设备告诉Portal Server此用户下线成功;
ErrCode=1,表示AC设备告诉Portal Server此用户下线被拒绝;
ErrCode=2, 表示AC设备告诉Portal Server此用户下线失败(发生错误);
(6)、对Type为REQ_INFO时,ErrCode无意义,其值为0;
(7)、对Type为NTF_LOGOUT时,ErrCode含义如下:
(8)、对Type为ACK_INFO时,ErrCode含义如下:
AttrNum字段表示其后边可变长度的属性字段属性的个数,长度为 1 字节(表示属性字段最多可有255个属性),其值在所有的报文中都要根据具体情况赋值。
Attr字段(属性字段)是一个可变长字段,由多个属性依次链接而成,每个属性的格式为TLV格式。
整体的Attr可能由多个属性TLV组成
报文属性字段说明如下:
(1)、属性类型(AttrType)
(2)、属性长度(AttrLen)
AttrLen字段表示属性的长度,长度为1字节,其值是整个属性三个字段AttrType、AttrLen、AttrValue的长度之和。
(3)、属性值(AttrValue)
AttrValue的值为具体的属性值,比如用户名、口令等,长度有些可变,有些固定(具体见表6.2),但最长不能超过253(255-2)字节。
1、此协议规定承载报文的是UDP协议,也即报文为UDP报文,AC设备在固定端口2000(参照《BNAS宽带接入服务器技术规范-YD1148》修订)上等待接收Portal Server发来的各种请求报文和确认报文。
2、 PORTAL强制相关参数
当AC实现强制PORTAL功能时,要求在强制PORTAL URL中包含以下参数:
具体参数格式示例如下:
http://www.portal.com?wlanuserip=10.1.2.34&wlanacname= ACN.CTY.PRO.OPE
http://www.portal.com?wlanusername=IMSI@SIM
允许在”?”后面有其他的参数,但是名称不能以wlan作为起始。
3、 Chap认证的相关说明:
(1)、challenge的生成(AC生成) :
challenge由AC设备在收到请求Challenge报文的时候随机生成,长度为16个字节,跟随Challenge应答报文下发到Portal Server。
(2)、Chap_Password(Chap密码)的生成:
Chap_Password的生成遵循标准的Radious协议中的Chap_Password 生成方法(参见RFC2865)。
密码加密使用MD5算法,MD5函数的输入为ChapID + Password +Challenge (ReqID有AC生成, ChapID是ReqID的低8位)
其中,ChapID取ReqID的低 8 位,Password的长度不够协议规定的最大长度,其后不需要补零。
Chap_Password = MD5 (ChapID+ Password + Challenge )
4、无论采用Chap认证还是Pap认证,都允许用户口令为空;
5、当用户向Portal Server提交的连接请求里用户名为空时,Portal Server在向AC设备发送认证请求时应用一个缺省的用户名代替(比如***);
6、认证流程中各种报文所带属性的个数(建议):
(1)、请求Challenge 报文:0个属性;
(2)、对请求Challenge响应的报文:若请求Challenge成功则为1个属性—Challenge属性,若请求Challenge失败则属性个数为0个;
(3)、请求认证报文:2个属性,分别为用户名、PassWord 或ChapPassWord ;
(4)、对请求认证的响应报文:0个属性;
(5)、请求下线报文或表示超时的报文:0个属性;
(6)、对请求下线的响应报文:0个属性;
(7)、Portal Server对收到从AC设备发来的认证成功报文的确认:0个属性;
(8)、强制下线请求:0个属性;
(9)、查询请求和回应:待定;
7、报文的长度限制是最小16字节,最大1024(1K)字节;
8、从支持多国语言的角度出发,认证结果信息进行统一编码,由Portal Server根据用户语言上下文推送对应信息的页面。