中國(guó)電信江蘇公司操作維護(hù)中心 鄭東棟 柏 林 徐良紅

運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換下的無(wú)線(xiàn)局域網(wǎng)業(yè)務(wù)部署

中國(guó)電信江蘇公司操作維護(hù)中心 鄭東棟 柏 林 徐良紅

原有城域網(wǎng)WLAN（無(wú)線(xiàn)局域網(wǎng)）業(yè)務(wù)分配的是公網(wǎng)IPv4（因特網(wǎng)協(xié)議版本4）地址，為解決IPv4地址緊張問(wèn)題，提出了一種NAT444（運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換）場(chǎng)景下的WLAN業(yè)務(wù)部署實(shí)現(xiàn)方案，并有效解決了NAT444場(chǎng)景下的WLAN業(yè)務(wù)認(rèn)證問(wèn)題。

網(wǎng)絡(luò)地址轉(zhuǎn)換；無(wú)線(xiàn)局域網(wǎng)；業(yè)務(wù)；場(chǎng)景

城域網(wǎng)WLAN（無(wú)線(xiàn)局域網(wǎng)）業(yè)務(wù)采用一次地址分配方式，用戶(hù)認(rèn)證前即已獲取公網(wǎng)IPv4地址。隨著WLAN業(yè)務(wù)快速發(fā)展，公網(wǎng)IPv4地址占用率快速增長(zhǎng)，引入NAT444（運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換）私網(wǎng)部署方案能在不改變地址分配方式的基礎(chǔ)上解決未認(rèn)證用戶(hù)大量占用公網(wǎng)IPv4地址的問(wèn)題。

1 NAT444技術(shù)簡(jiǎn)介

NAT444作為緩解IPV4地址枯竭的一種有效方案，其主要思想是用戶(hù)撥號(hào)上網(wǎng)獲取私網(wǎng)IP地址，由運(yùn)營(yíng)商部署運(yùn)營(yíng)級(jí)地址轉(zhuǎn)換設(shè)備CGN（運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備），同時(shí)與用戶(hù)側(cè)的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）組成兩級(jí)地址轉(zhuǎn)換，形成三塊地址空間，即用戶(hù)側(cè)私有地址、用戶(hù)撥號(hào)獲取的運(yùn)營(yíng)商分配的私有地址、公網(wǎng)地址。NAT444方案可以提高IPv4地址的復(fù)用率，緩解地址枯竭問(wèn)題，而且便于部署，只需在匯聚層或者核心層增加CGN設(shè)備即可，無(wú)需進(jìn)行較大規(guī)模的設(shè)備替換。從用戶(hù)感知度、技術(shù)成熟度和部署難易度等方面考慮，NAT444是目前比較好的方案。

2 NAT444下WLAN業(yè)務(wù)存在的問(wèn)題

目前的WLAN業(yè)務(wù)的認(rèn)證流程圖如圖1所示，其主要步驟如下。

1）BAS（寬帶接入服務(wù)器）重定向用戶(hù)的http請(qǐng)求到portal；

2）portal通過(guò)與BAS的接口發(fā)送用戶(hù)名、密碼到BAS；

3）BAS發(fā)送認(rèn)證包到RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)）；

4）RADIUS返回認(rèn)證結(jié)果給BAS；

5）BAS返回結(jié)果給portal，portal展示認(rèn)證結(jié)果給用戶(hù)；

6）BAS允許或禁止用戶(hù)訪問(wèn)互聯(lián)網(wǎng)。

在NAT444環(huán)境下，上述流程無(wú)法正常運(yùn)行，主要問(wèn)題在步驟3上。在目前的WLAN portal環(huán)境下，用戶(hù)獲取的是公網(wǎng)地址，WLAN portal上保存BRAS（寬帶接入服務(wù)器）設(shè)備和公網(wǎng)地址池的映射關(guān)系（BRAS地址，地址池起始IP，地址池結(jié)束IP），因此WLAN portal根據(jù)來(lái)訪的用戶(hù)公網(wǎng)IP就能直接定位用戶(hù)是從哪臺(tái)BRAS設(shè)備接入的，將用戶(hù)在portal網(wǎng)頁(yè)上輸入的用戶(hù)名和密碼通過(guò)和BRAS的接口發(fā)送給BRAS設(shè)備。

在NAT444環(huán)境下，用戶(hù)獲取的是私網(wǎng)IP，用戶(hù)訪問(wèn)portal頁(yè)面的時(shí)候，WLAN portal獲取到的是該私網(wǎng)IP經(jīng)過(guò)NAT以后的公網(wǎng)地址。此時(shí)WLAN portal將無(wú)法知曉用戶(hù)究竟是從哪臺(tái)BRAS接入的，后續(xù)portal和BRAS交互的流程也就無(wú)法運(yùn)行。

3 NAT444場(chǎng)景下WLAN業(yè)務(wù)部署方案

為了解決該問(wèn)題，我們提出在認(rèn)證全流程定義一個(gè)屬性攜帶用戶(hù)私網(wǎng)IP的解決方案，該屬性定義為wlanuserip，改進(jìn)后全流程如圖2所示。

此時(shí)詳細(xì)認(rèn)證流程如下：

①用戶(hù)在AP（接入點(diǎn)）下獲取私網(wǎng)IP后，發(fā)起任意http請(qǐng)求；

②設(shè)備重定向，同時(shí)攜帶wlanuserip參數(shù)（即用戶(hù)無(wú)線(xiàn)網(wǎng)卡獲取的私網(wǎng)IP），BRAS設(shè)備截獲未認(rèn)證用戶(hù)的http請(qǐng)求，返回重定向地址；

③用戶(hù)訪問(wèn)portal，攜帶wlanuserip參數(shù)值。用戶(hù)使用重定向地址訪問(wèn)portal時(shí)，必須攜帶wlanuserip，否則或?qū)е抡J(rèn)證不成功；

④portal獲取wlanuserip，并推送統(tǒng)一認(rèn)證頁(yè)面給用戶(hù)；

⑤用戶(hù)輸入的用戶(hù)名、密碼以及其他參數(shù)發(fā)送到portal，發(fā)起認(rèn)證；

⑥portal獲取到用戶(hù)的認(rèn)證信息后，使用wlanuserip作為用戶(hù)認(rèn)證的IP，組織好認(rèn)證報(bào)文向設(shè)備發(fā)起認(rèn)證請(qǐng)求；

⑦設(shè)備向AAA（認(rèn)證、授權(quán)和計(jì)費(fèi)）發(fā)起認(rèn)證請(qǐng)求；

⑧AAA回應(yīng)認(rèn)證結(jié)果給設(shè)備；

⑨設(shè)備回應(yīng)認(rèn)證結(jié)果給portal；

⑩portal展示認(rèn)證結(jié)果頁(yè)面給用戶(hù)，認(rèn)證成功提供下線(xiàn)按鈕或連接，攜帶wlanuserip參數(shù)值。

4 結(jié)束語(yǔ)

原有城域網(wǎng)WLAN業(yè)務(wù)分配的是公網(wǎng)IPv4地址，隨著WlAN業(yè)務(wù)快速發(fā)展，公網(wǎng)IPv4地址占用率快速增長(zhǎng)。隨著公有 IPv4地址即將枯竭，IPV6技術(shù)還未能成熟商用，NAT444技術(shù)是公認(rèn)的過(guò)渡技術(shù)之一。

本文提出了一種NAT444場(chǎng)景下WLAN業(yè)務(wù)部署方法，該方案通過(guò)對(duì)現(xiàn)網(wǎng)WLAN portal系統(tǒng)進(jìn)行改造，并在BRAS重定向報(bào)文中利用wlanuserip屬性攜帶用戶(hù)獲取的私有IP地址的方法有效解決了NAT444場(chǎng)景下的WLAN業(yè)務(wù)認(rèn)證問(wèn)題。