云平台中继认证(RADIUS方式)方案

举报
芙泡小超人 发表于 2020/07/31 10:07:00 2020/07/31
【摘要】 本文档介绍的是通过标准RADIUS方式对访客进行授权,允许访客接入网络的方案。

本文档介绍的是通过标准RADIUS方式对访客进行授权,允许访客接入网络的方案。


## 功能概述


第三方认证主要应用于商业Wi-Fi终端用户在商场酒店、机场地铁、企业来访等情景通过Wi-Fi访问互联网的场景,需要对接入网络的访客进行用户认证,同时提供宣传,推荐及营销等功能,通过认证的访客被允许接入Wi-Fi使用网络。


第三方合作伙伴或开发者为接入访客提供认证Portal页面(如下图),并调用华为iMaster NCE-Campus API授权接口,或通过标准RADIUS协议与iMaster NCE-Campus交互,从而实现认证、计费、用户分析、市场营销等服务。



## 环境拓扑


此方案涉及功能点如下:


1. 华为网络设备(Cloud AP)提供接入网络等功能。

2. 华为云平台(iMaster NCE-Campus)提供设备管理功能。

3. 第三方Portal服务器提供Portal推送功能。

4. 第三方RADIUS服务器提供用户信息校验,授权下发等功能。



## 认证流程


终端用户在需要访问互联网时,连接Wi-Fi的SSID,登录由第三方系统推送的Portal页面进行认证。随后第三方RADIUS系统与华为iMaster NCE-Campus云平台通过标准RADIUS协议对接,实现认证与计费功能。


**图1** iMaster NCE-Campus与第三方系统交互流程



## 访客接入流程


- Step 1


访客接入Wi-Fi网络,访问任意页面(例如`http://1.1.1.1/`),经过AP转发时,被AP重定向到云平台上(189.180.13.187是云平台的地址),重定向时会携带ap-mac, redirect-url, ssid, uaddress, umac等信息给云平台。



- Step 2


云平台收到访问请求,根据配置,将其重定向到第三方Portal界面,携带uaddress,umac,ssid,redirect-url,loginurl,ap-mac等信息给第三方Portal(这些参数的名称与内容可以由Portal确定,在云平台上修改适配),用于记录和分析。


- Step 3


用户访问第三方Portal界面,输入用户名和密码后,单击”登录“。通过浏览器将用户名和密码Post到loginurl(loginurl是云平台的地址,云平台拿到用户信息后完成认证)。




- Step 4


云平台拿到用户信息后,将其封装在标准RADIUS 的Access request报文中,在第三方RADIUS服务器做认证,并根据返回的结果进行后续动作:


1. 返回Access Accept:进行**Step 5**。

2. 返回Access-Reject:云平台让浏览器返回错误信息,例如“用户密码错误”等。


- Step 5


云平台授权AP 放通此终端相关权限,包括ACL,限速等权限。同时开始与第三方RADIUS服务器开始计费报文的交互。


- Step 6


云平台重定向浏览器到successUrl,显示登录成功的页面。


- Step 7


用户想要主动下线时,单击”注销“;浏览器向logout_url(云平台地址)发送请求,云平台收到请求会首先取消用户的授权,然后重定向浏览器至第三方Portal的登录界面。






## 支持的RADIUS消息


iMaster NCE-Campus作为中继角色,可以将RADIUS消息发送给第三方的RADIUS服务器,实现认证、授权和计费功能。支持的RADIUS消息字段如下所示:


**表1** 认证消息列表


| 消息列表           | 说明                                                         |

| ------------------ | ------------------------------------------------------------ |

| User-Name          | 用户名,设置时候可以带域名(如user0001@isp),也可以不带域名(如user0001)。内容可以是用户MAC或配置的用户名。 |

| User-Password      | 用户密码,PAP认证时,用户密码由NAS加密后传递给服务器。系统支持的用户PAP认证密码长度为0~128。内容可以是MAC地址或配置的密码。 |

| Called-Station-ID  | 用来携带NAS设备的号码信息,一般为设备MAC地址(有线用户)或SSID(WLAN无线用户)。 |

| Calling-Station-ID | 用来携带客户端的号码信息,一般为MAC地址。                    |

| Acct-Session-ID    | 计费ID。格式:7位主机名+2位槽号+1位子卡号+2位端口号+ 4位外层VLAN+5位内层VLAN+6位CPU Tick+6位用户连接ID。 |

| Framed-IP-Address  | 用户的IP地址。                                               |

| NAS-Port-ID        | 用户接入的槽位号、子槽位号、端口号及vlanid。格式有两种:<br />1. 老格式:2位槽号+2位子卡号+3位端口号+9位VLAN。<br />2. 新格式:slot=槽号;subslot=子卡号;port=端口;vlanid=VLAN或者slot=槽号;subslot=子卡号;port=端口;vlanid=外层VLAN ;vlanid2=内层VLAN。 |

| NAS-Port-Type      | 设置NAS的端口类型,用户在交换机接口下可以配置。默认类型是Ethernet(15),无线用户为IEEE_802.11(19)。 |

| Service-Type       | 提供的服务类型。<br />2(Framed):PPP、802.1x用户等其他用户。<br />5(Outbound):IPSession接入用户。<br />6(Administrative):管理用户。<br />10(Call Check):MAX认证用户。 |


**表2** 授权消息列表


| 消息列表                             | 说明                                                         |

| ------------------------------------ | ------------------------------------------------------------ |

| Session-Timeout                      | 在Access-Accept报文中,表示用户剩余的时间,以秒为单位。在CHALLENGE报文中作为EAP用户的重认证时长。下发数值必须大于0。可利用该属性下发用户在线时长。 |

| Idle-Timeout                         | 用户的闲置切断时间,以秒为单位。                             |

| HW-Input-Committed-Information-Rate  | 上行承诺速率,单位bps(上行CIR)。                           |

| HW-Output-Committed-Information-Rate | 下行承诺速率,单位bps(下行CIR)。                           |

| Reply-Message                        | 此属性可用于认证接受报文中,表示成功消息,也可用于认证拒绝报文中,表示拒绝消息。目前只对WEB认证用户,会把此信息传给用户。对于WEB认证,必须WEB服务器的版本支持。 |

| Filter-ID                            | 通常该属性携带用户ACL号或用户组名或ucl-group名。RADIUS报文中只能携带ACL号或用户组名,不能同时携带两者。 |


**表3** 计费消息列表


| 消息列表             | 说明                                                         |

| -------------------- | ------------------------------------------------------------ |

| Acct-Delay-Time      | 用于上报发送该计费包花费的时间, 以秒为单位(不包括网络传输时间)。计费服务器收到该计费请求包后,可以从该计费请求包到达计费服务器的时间减去Acct-Delay-Time表示的时间得到NAS生成该计费请求包的时间(报文创建的时间)。在交换机中,Acct-Delay-Time表示的时间由两部分构成,一部分是RADIUS模块到AAA来取数据的时间和最近一次刷新的时间差,另外一部分是RADIUS模块发送该计费请求包耽误的时间(比如重传花费的时间)。 |

| Acct-Session-ID      | 计费ID。格式:7位主机名+2位槽号+1位子卡号+2位端口号+ 4位外层VLAN+5位内层VLAN+6位CPU Tick+6位用户连接ID。 |

| Acct-Status-Type     | 计费请求报文的类型。Accounting-Request中支持的计费请求报文类型如下:Start (Value=1)Stop (Value=2)Interium-Update (Value=3) |

| Calling-Station-ID   | 用来携带客户端的号码信息,一般为MAC地址。                    |

| Event-Timestamp      | 生成计费请求报文的时间 (以秒为单位, 表示从1970年1月1日零点零分零秒以来的绝对秒数)。 |

| Framed-IP-Address    | 用户的IP地址。                                               |

| NAS-Identifier       | NAS设备名称,即sysname,主机名。                             |

| NAS-IP-Address       | 标识设备地址:<br />可以配置绑定具体的接口,取接口地址作为NAS-IP。<br />如果没有配置,取报文发送的出接口地址为NAS-IP。 |

| NAS-Port             | 用户接入的物理端口信息,格式有两种:<br />1. 12位槽号+8位端口号+12位VLAN,位数不足用0补齐。<br />2. 8位槽号+4位子卡号+8位端口号+12位VLAN,位数不足用0补齐。<br />3. 可通过命令行RADIUS-server format-attribute nas-port format-sting配置自定义属性携带的内容,参数format-string定义内容可以为槽号、子槽号、端口、外层VLAN、内层VLAN内容的任意组合,内容之间可以用1或0填充。<br />format-sting参数详细说明如下:<br />1. 使用关键字s、t、p、o、i分别表示slot,subslot,port,out-vlan(qinqvlan)/vpi,vlan(user-vlan)/vci。增加两个关键字n、z以便填充用。n表示填1,z表示填0。<br />2. s、t、p、o、i、z、n关键字后面必须是数值,并且数值范围为1~32。且s、t、p、o、i中的每个关键字只能出现一次。<br />3. s、t、p、o、i、z、n后面若是紧跟数字则第一个数字只能是1~9不能是0。<br />4. n、z可以出现在任何位置并且可出现多次,n、z后面跟数字,n12表示该位置填12位1,z12表示该位置填充12位0。<br />5. 字符串配置的位数加起来必须为32位。<br />6. 必须以s、t、p、o、i、z、n开头,以数字结尾。<br />7. VLAN不存在时填0还是填1可以在o或i关键字前添加n、z说明,也就是说n、z后面可以跟数字或o/i。 |

| Acct-Session-Time    | 用户的在线时长,以秒为单位。                                 |

| Acct-Input-Packets   | 上行流量,单位报文个数。                                     |

| Acct-Output-Packets  | 下行流量,单位报文个数。                                     |

| Acct-Input-Octets    | 上行流量,单位字节数。                                       |

| Acct-Output-Octets   | 下行流量,单位字节数。                                       |

| Acct-Input-Gigawords | 上行流量,单位1G字节数。                                     |


## 附件


HTTPS+RADIUS方式访客接入流程的HTTP请求信息:


[点击查看](https://devzone.huawei.com/cn/enterprise/campus/download/Https+Radius方式.har)


## 参考


您可以前往[智简园区网络开发者社区](https://developer.huaweicloud.com/techfield/network.html#CloudCampus),了解更多相关的信息。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。