运营级网络地址转换下的无线局域网业务部署
2015-03-02中国电信江苏公司操作维护中心郑东栋徐良红
中国电信江苏公司操作维护中心 郑东栋 柏 林 徐良红
运营级网络地址转换下的无线局域网业务部署
中国电信江苏公司操作维护中心 郑东栋 柏 林 徐良红
原有城域网WLAN(无线局域网)业务分配的是公网IPv4(因特网协议版本4)地址,为解决IPv4地址紧张问题,提出了一种NAT444(运营级网络地址转换)场景下的WLAN业务部署实现方案,并有效解决了NAT444场景下的WLAN业务认证问题。
网络地址转换;无线局域网;业务;场景
城域网WLAN(无线局域网)业务采用一次地址分配方式,用户认证前即已获取公网IPv4地址。随着WLAN业务快速发展,公网IPv4地址占用率快速增长,引入NAT444(运营级网络地址转换)私网部署方案能在不改变地址分配方式的基础上解决未认证用户大量占用公网IPv4地址的问题。
1 NAT444技术简介
NAT444作为缓解IPV4地址枯竭的一种有效方案,其主要思想是用户拨号上网获取私网IP地址,由运营商部署运营级地址转换设备CGN(运营级网络地址转换设备),同时与用户侧的NAT(网络地址转换)组成两级地址转换,形成三块地址空间,即用户侧私有地址、用户拨号获取的运营商分配的私有地址、公网地址。NAT444方案可以提高IPv4地址的复用率,缓解地址枯竭问题,而且便于部署,只需在汇聚层或者核心层增加CGN设备即可,无需进行较大规模的设备替换。从用户感知度、技术成熟度和部署难易度等方面考虑,NAT444是目前比较好的方案。
2 NAT444下WLAN业务存在的问题
目前的WLAN业务的认证流程图如图1所示,其主要步骤如下。
1)BAS(宽带接入服务器)重定向用户的http请求到portal;
2)portal通过与BAS的接口发送用户名、密码到BAS;
3)BAS发送认证包到RADIUS(远程认证拨号用户服务);
4)RADIUS返回认证结果给BAS;
5)BAS返回结果给portal,portal展示认证结果给用户;
6)BAS允许或禁止用户访问互联网。
在NAT444环境下,上述流程无法正常运行,主要问题在步骤3上。在目前的WLAN portal环境下,用户获取的是公网地址,WLAN portal上保存BRAS(宽带接入服务器)设备和公网地址池的映射关系(BRAS地址,地址池起始IP,地址池结束IP),因此WLAN portal根据来访的用户公网IP就能直接定位用户是从哪台BRAS设备接入的,将用户在portal网页上输入的用户名和密码通过和BRAS的接口发送给BRAS设备。
在NAT444环境下,用户获取的是私网IP,用户访问portal页面的时候,WLAN portal获取到的是该私网IP经过NAT以后的公网地址。此时WLAN portal将无法知晓用户究竟是从哪台BRAS接入的,后续portal和BRAS交互的流程也就无法运行。
3 NAT444场景下WLAN业务部署方案
为了解决该问题,我们提出在认证全流程定义一个属性携带用户私网IP的解决方案,该属性定义为wlanuserip,改进后全流程如图2所示。
此时详细认证流程如下:
①用户在AP(接入点)下获取私网IP后,发起任意http请求;
②设备重定向,同时携带wlanuserip参数(即用户无线网卡获取的私网IP),BRAS设备截获未认证用户的http请求,返回重定向地址;
③用户访问portal,携带wlanuserip参数值。用户使用重定向地址访问portal时,必须携带wlanuserip,否则或导致认证不成功;
④portal获取wlanuserip,并推送统一认证页面给用户;
⑤用户输入的用户名、密码以及其他参数发送到portal,发起认证;
⑥portal获取到用户的认证信息后,使用wlanuserip作为用户认证的IP,组织好认证报文向设备发起认证请求;
⑦设备向AAA(认证、授权和计费)发起认证请求;
⑧AAA回应认证结果给设备;
⑨设备回应认证结果给portal;
⑩portal展示认证结果页面给用户,认证成功提供下线按钮或连接,携带wlanuserip参数值。
4 结束语
原有城域网WLAN业务分配的是公网IPv4地址,随着WlAN业务快速发展,公网IPv4地址占用率快速增长。随着公有 IPv4地址即将枯竭,IPV6技术还未能成熟商用,NAT444技术是公认的过渡技术之一。
本文提出了一种NAT444场景下WLAN业务部署方法,该方案通过对现网WLAN portal系统进行改造,并在BRAS重定向报文中利用wlanuserip属性携带用户获取的私有IP地址的方法有效解决了NAT444场景下的WLAN业务认证问题。