Web认证接入方案说明目录目录 (2)1.爱立信DHCP+WEB认证原理 (3)1.1.WEB 认证方案概述 (3)1.1.1.系统部署图 (3)1.1.2.W EB认证/登出流程 (4)1.2.NPM 与WEB PORTAL 服务器的沟通机制 (6)2.苏州移动WEB认证建议方案 (9)2.1.方案一：使用SE800作为DHCP服务器 (9)2.1.1.用户上网认证的步骤如下： (9)2.1.2.用户登出过程： (10)2.1.3.SE800的配置 (10)2.1.4.对其他系统的要求 (12)2.2.方案二：SE800作为DHCP PROXY，使用广电DHCP SERVER (12)2.2.1.用户上网认证的步骤如下： (13)2.2.2.用户登出过程： (13)2.2.3.SE800的配置 (14)2.2.4.对其他系统的要求 (15)3.总结 (15)1. 爱立信DHCP+Web 认证原理 1.1. Web 认证方案概述1.1.1. 系统部署图Ericsson 的Web 认证方案基于SE800 BRAS 和策略管理服务器NPM 系统实现。

下图是Web 认证涉及的各单元的关系图。

PRODUCT AREA PACKET NETWORKSUNIFYINGFIXED AND MOBILE NETWORKSPortal说明：用户的DHCP 请求必须通过SE800，用来确定用户的上下线，并且可以防止地址盗用的问题。

如果DHCP 请求不经过SE800，则无法确定用户上下线，也很难防止用户地址盗用的问题DHCP 服务器可以外置，也可以使用SE800内置服务器在三层连接时，配置DHCP Relay ，使得DHCP 请求需要经过SE800整个组网方案元件包括◆ 用户：使用DHCP 获得IP 地址的用户 ◆ 接入网：二层网络或者支持DHCP Relay 的三层网络 ◆ 宽带接入服务器SmartEdge 800。

负责DHCP 的用户接入管理。

◆NPM策略管理器Netop 策略管理器－NPM，作为用户和Web Portal/Radius server 的桥梁。

Web Portal Server 通过API XML SOAP Call 把用户的Web 帐号发送到NPM，用户在网页登陆的帐号会通过NPM 发送到Radius Server 进行认证◆后台服务器Web Portal 服务器用户通过Web Portal 服务器进行网上登录。

利用Ericsson 策略管理器可以把用户帐号从NPM 发送到Radius 服务器进行认证。

Radius 服务器主要用作用户帐号的认证和计费之用。

DHCP服务器负责用户的DHCP地址分配管理。

在Ericsson解决方案中，可以采用SE800内置的DHCP 服务器。

1.1.2. Web认证/登出流程用户只需要通过DHCP 接入方式，就可以在开启浏览器后连到Web Portal 服务器进行登陆，而用户在网上所登陆的帐号会通过NPM 服务器再Proxy 到Radius 服务器进行认证。

当认证通过后，用户就会自动获得所需要的网络服务。

而用户在网上所使用的流量和时间都会记录在Radius 服务器作为计费之用。

下面为Web认证的具体过程1. 用户登录过程SMS or SmartEdgeInternetBroadband SubscriberWeb Portal5如上图所示， 步骤1:用户在通过DHCP 获得IP 地址时，SE800检查DHCP 报文，记录用户的MAC 地址，并以MAC 地址到NPM 用户认证。

步骤2：NPM 认证通过，返回缺省策略，也就是允许用户通过DHCP 获得IP 地址，并且可以访问Portal 服务器，这时不允许访问Internet 步骤3：用户访问Internet 时被重定向到Portal 服务器，输入认证用户/口令，Portal 和NPM 通信，以用户的IP 地址/用户名/口令要求NPM 认证，NPM 将认证请求转发给后台服务器，认证通过后，则到步骤4 步骤4：NPM 通知SE800用户认证通过，改变用户的策略，允许访问Internet 步骤5：SE800发送Acct-Start 信息，开始记账2.用户显式登出过程如上图，步骤1：用户访问Portal服务器，点击登出，Portal获得用户的IP地址，步骤2：Portal以IP地址为参数调用NPM的logout API和NPM通信，NPM通知SE800将此IP地址用户下线步骤3：SE800发送Acct-stop信息，停止计费3. 用户非显式登出过程用户非显示登出是指用户不登录到Portal点击登出，而是用户关机、超时等情况下SE800检查到用户下线，告知后台系统用户已下线，停止计费在上图中，SE800检查用户已经下线的机制包括：1、用户DHCP 的Lease time过期2、用户在一定时间内没有流量1.2.NPM 与Web Portal 服务器的沟通机制NPM 本身具备了API（Application Programming Interface ）服务器的功能。

这个功能主要是给予外部的服务器连接到NPM 的一个公开接口。

外部服务器主要包括Web Portal 服务器，Netop Client 和一些OSS 系统。

通过这个接口，外部服务器可以在NPM 进行认证和服务选择的功能。

NPM 的API 是基于Simple Object Access Protocol（SOAP）来进行。

这个协议的优点是简单和利用XML（Extensible Markup Language）文件为协议传输的格式。

在这个方案里，用户打开浏览器后会先在Web Portal 上登陆，然后通过NPM 再向Radius 进行认证，Web Portal 跟NPM 之间的沟通就是通过SOAP 的脚本来实现。

以下是用户在Web Portal 登陆的认证流程，当中会牵涉到NPM 和Web Portal 服务器之间的沟通。

用户登录流程1用户接入到BRAS 并获得IP 地址。

在取得网络服务之前，首先在Web Portal 服务器登陆用户登录流程2当Web Portal 服务器接收到用户帐号和密码后，Web Portal 服务器会通过API 接口发送用户认证信息（包括IP地址、用户名、口令）到NPM 。

用户登录流程3当NPM 通过API 接收到从Web Portal 发送的用户帐号信息后， NPM 会利用标准Radius 协议发送用户认证请求包到Radius 服务器。

用户登录流程4Radius 服务器返回NPM 认证结果。

• 认证通过发送Access-Accept 包并带有用户属性，例如Session-Timeout.• 认证失败发送Access-Reject 包用户登录流程5NPM 从Radius 服务器接收到认证结果并通过API 接口把认证确认包返回Web Portal 服务器• 认证通过NPM将通过API给Portal服务器返回‘Sucessful’信息• 认证失败NPM将通过API给Portal服务器返回‘Error’信息用户登录流程6Web Portal 服务器通过网页显示显示给用户，例如• 认证通过显示登陆成功信息！用户可以开始网络服务• 认证失败显示登陆错误信息，并提示请重新输入用户登录流程7NPM 更新BRAS 的用户参数，例如Session-Timout，把http redirect 策略删除等，用户可以正常访问Internet。

2. 苏州移动Web 认证建议方案根据上面Web 认证的原理，我们可以看到，要采用SE800实现Web 认证，用户的DHCP 过程（包括获取地址，地址续租，释放地址等）必须经过SE800。

根据实际情况，要达到这一要求，可以有两种方案：♦ 由SE800作为DHCP 服务器♦ SE800作为DHCP Proxy ，继续使用广电DHCP 服务器2.1. 方案一：使用SE800作为DHCP 服务器CMTS as DHCP RelayL3 NetworkSE800/DHCP ServerCM NetWeb ServerRadius ServerExit Router广电移动NPMCMTS as DHCP Relay2.1.1. 用户上网认证的步骤：▪ 广电CMTS 配置DHCP Relay 到SE800，用户通过DHCP 要求获得地址时，请求被Relay到SE800▪在用户DHCP请求到SE800时，SE800为用户建立会话，由SE800根据用户的Relay 地址分配相应网段的地址给用户，并且给用户设置重定向到Portal服务器的策略，但不可以访问Internet▪在Portal上输入用户名/口令，Portal和NPM通信，进行认证▪认证通过后，用户获得访问Internet的权限，并发送计费包2.1.2. 用户登出过程：1.用户显式登出▪用户在Portal页面选择Logout▪Portal与NPM通信，通知IP地址为用户地址(通过用户访问Portal的IP地址获得)的用户下线▪NPM通知SE800用户下线▪SE800发送Acct_stop计费包2.用户异常下线当用户异常下线（关机、拔网线等）时，由SE800判断用户下线。

在SE800作为DHCP 服务器的方案中，建议采用DHCP租约来判断用户下线：▪SE800在用户租约到期没有收到该用户的续租，则判断该用户已下线▪SE800清除用户在线记录，发送Acct_stop计费包2.1.3. SE800的配置以下为SE800上与Web认证相关的主要配置：! global config! 以下配置用于WebPortal重定向forward policy captiveportalaccess-group captiveportalacl WebAuthclass CAPTIVE_PORTALredirect destination localclass IPdrop! 以下用于NPM与SE800的SNMP通讯snmp serversnmp view netopview internet includedsnmp community redback-npm all-contexts view netopview read-write!! 以下配置context WebAuth，用于终结web认证用户context WebAuth!interface loopback1 loopbackip address 1.1.1.1/32!interface tocatvip address 10.1.1.1/30! 和广电互联的接口地址interface dhcp1 multibindip address 2.1.1.1/24ip address 3.1.1.1/24 secondaryip address 4.1.1.1/24 secondarydhcp server interface!以上ip 地址和用户地址段匹配，每个地址段都应该有相应的ip地址，并且和CMTS上的用户接口地址一致dhcp server policydefault-lease-time 900 //配置租约时间为15分钟subnet 1.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 2.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 3.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 4.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1!为每个用户地址段配置subscriber defaultip address pooldhcp max-addrs 1dns primary x.x.x.xdns secondary y.y.y.y!!policy access-list captiveportalaclseq 10 permit udp any any eq bootps class BOOTPSseq 20 permit udp any any eq domain class DNSseq 30 permit udp any any eq netbios-ns class DNSseq 35 permit tcp any host x.x.x.x eq www class WEB!上面的地址为Portal Server的地址seq 36 permit tcp any host [其他不需认证可访问的服务器]] eq www class WEBseq 50 permit tcp any any eq www class CAPTIVE_PORTALseq 60 permit ip any class IP!2.1.4. 对其他系统的要求对广电网络的要求：要求CMTS能区分用户DHCP和Cable Modem的DHCP请求，并且只将用户DHCP请求Relay 到SE800。