161中国联通无线局域网接入控制器设备技术规范v10.docx

1、161中国联通无线局域网接入控制器设备技术规范v10中国联通公司 发布2009-11-11实施2009-11-11 发布中国联通无线局域网接入控制器设备技术规范Technical Specification for China Unicom Wireless LAN Access Controller Equipment（V1.0）QB/CU 161-2009中国联通企业标准 目 次前 言 III1 范围 12 规范性引用文件 13 缩略语 24 定义和分类 25 接口要求 35.1 下联接口 35.2 AC网络侧接口 35.3 配置管理接口 36 无线控制功能技术要求 46.1 基本功能要求

2、 46.2 冗余备份 46.3 性能要求 46.3.1 AC管理的AP数量 46.3.2 转发能力 46.4 管理和维护要求 47 接入控制器设备技术要求 47.1 接入控制功能要求 47.1.1 接入控制方式 47.1.2 Web重定向功能 47.1.3 用户监控 57.1.4 用户带宽限制 57.1.5 用户在线检测 57.1.6 用户闲时断线 57.1.7 旁通 57.1.8 门户网站旁通 57.1.9 用户连接数限制 57.2 认证和计费相关功能 57.2.1 RADIUS Client标准功能 57.2.2 RADIUS 属性列表-认证和授权 57.2.3 RADIUS 属性列表-计

3、费 87.3 网络功能要求 97.3.1 NAT或PAT 97.3.2 DHCP 97.3.3 VLAN 97.3.4 PPP 107.3.5 路由功能 107.3.6 本地Portal 107.3.7 安全功能 107.4 管理和维护要求 107.4.1 管理方式 107.4.2 MIB支持要求 107.4.3 日志 117.4.4 管理功能 117.5 性能要求 117.5.1 包转发 117.5.2 时延 118 运行环境要求 128.1 供电 128.2 环境 128.3 过压过流 128.4 电磁兼容要求 121前 言本标准是中国联通无线局域网技术系列标准之一，该系列标准的名称及结构

4、如下：1. 中国联通无线局域网接入点设备技术规范2. 中国联通无线局域网接入控制器设备技术规范3. 中国联通无线局域网接入点设备测试规范（独立控制型）4. 中国联通无线局域网接入点设备测试规范（集中管理型）本标准是中国联通无线局域网接入控制器设备技术规范。本标准由中国联通技术部提出。本标准由中国联通技术部归口。本标准主要起草单位：中国联通技术部、工业和信息化部电信传输研究所。本标准主要起草人：张智江、刘晓甲、党梅梅、厉盛义、陆洋、张文钺、李云洁、周晓霞本标准的修改和解释权属中国联通公司。11范围本标准规定了WLAN接入控制器设备的接口、无线控制和接入控制的功能要求、性能要求和管理维护要求以及运

5、行环境要求进行了规定。本标准作为中国联通的企业标准，适用于中国联通WLAN网络规划建设和设备选型。12规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1 CU XXX-XXXX，中国联通无线局域网接入点设备技术规范2 YD/T1082-2000，接入网设备过电压过电流防护及基本环境适应性技术条件3 YD/T 1312.2-2004，无线通信设备电磁兼容性要求和测量方法第二部分：

6、宽带无线电设备4 IEEE Std 802.1Q-2005, “Virtual Bridged Local Area Networks”5 IEEE Std 802.1X-2004, “Port-Based Network Access Control”6 IEEE Std 802.3-2008, “IEEE Standard for Information technology-Specific requirements - Part 3: Carrier Sense Multiple Access with Collision Detection (CMSA/CD) Access Meth

7、od and Physical Layer Specifications”7 IETF RFC 1157, “Simple Network Management Protocol (SNMP)”8 IETF RFC 1213, “Management Information Base for Network Management of TCP/IP-based internets: MIB-II”9 IETF RFC 1332, “The PPP Internet Protocol Control Protocol (IPCP)”10 IETF RFC 1334, “PPP Authentic

8、ation Protocols”11 IETF RFC 1570, “PPP LCP extensions”12 IETF RFC 1643, “Definitions of Managed Objects for the Ethernet-Like Interface Types”13 IETF RFC 1661, “The Point-to-Point Protocol (PPP)”14 IETF RFC 2865, “Remote Authentication Dial In User Service (RADIUS)”15 IETF RFC 2866, “RADIUS Accounti

9、ng”16 IETF RFC 2869, “RADIUS Extensions”13缩略语下列缩略语适用于本规范。APBRAS Access PointBroad band Remote Access Server接入点宽带接入服务器DHCPDynamic Host Configuration Protocol动态主机配置协议DNSDomain Name Server域名服务器DSCPDifferentiated Services Codepoint差分业务编码FTPFile Transfer Protocol文件传送协议GUIGraphic User Interface图形化用户接口IPIn

10、ternet Protocol互联网协议MACMedia Access Control媒体访问控制MIBManagement Information Base管理信息库NATNetwork Address Translation网络地址转换PATPort Address Translation端口地址转换PPPPoint to Point Protocol点到点协议PPPoEPPP over Ethernet以太网上传送PPP协议QoSQuality of Service服务质量RADIUSRemote Authentication Dial In User Service拨入用户远程认证服务

11、SNMPSimple Network Management Protocol简单网络管理协议TOSType of Service服务类型VLANVirtual Local Area Network虚拟局域网WANWide Area Network广域网WEPWired Equivalent Privacy有线等效加密WLANWireless LAN无线局域网14WLAN接入控制器的功能分类WLAN接入控制器AC的功能可以分为以下两类：1. 无线控制功能- 需配合集中管理型AP使用；- 控制AP进行信道选择、BSS切换、负载分担等功能；- 对AP实现集中控制、管理，提供统一的网管；- 对流量进行

12、汇接和处理。2. 接入控制功能- 完成用户的接入会话的终结和认证功能，支持RADIUS认证和计费；- 实现流量的汇聚、用户的带宽和Qos的控制；- 支持对数据IP层的处理能力。根据以上功能，AC设备可以只具备无线控制功能，也可以同时具备无线控制和接入控制功能。不同功能的AC设备应用场合也有所不同，因此，无线局域网接入控制器设备从功能上可以分为以下两类：类型1：只具备无线控制功能，能够与集中管理型AP一起组网提供WLAN接入服务。，类型1的设备主要应用于现网中已有BRAS设备的场合，只负责无线接入，而用户认证等功能由BRAS设备完成（BRAS应支持DHCP+WEB认证或通过改造后支持）。在这种场

13、合，即使选用类型2的无线局域网接入控制器设备，也建议只使用其无线控制功能，接入控制功能仍然由BRAS实现，。类型2：具备无线控制功能，能够与集中管理型AP一起组网提供WLAN接入服务。同时具备接入控制功能，能够提供现网BRAS的基本功能，支持PPPoE认证或DHCP+WEB认证以实现对用户的认证。类型2设备主要应用于尚不具备BRAS设备或BRAS设备能力不足的地区，一方面与集中管理型AP一起组网提供WLAN接入，另一方面可以完成BRAS相关功能，保证WLAN业务的正常开展。15接口要求15.1下联接口AC设备应支持10/100/1000Base-T自适应接口，应符合IEEE 802.3相关要求

14、。AC设备可选支持1000BASE-LX接口或1000BASE-SX接口，应符合IEEE 802.3相关要求。15.2AC网络侧接口AC设备应支持10/100/1000Base-T自适应接口，应符合IEEE 802.3相关要求。AC设备可选支持1000Base-LX或1000Base-SX接口，应符合IEEE 802.3相关要求。15.3配置管理接口AC设备应提供本地配置管理Console接口。16无线控制功能技术要求16.1基本功能要求AC设备无线控制功能的基本功能与集中管理型AP配套实现，要求见中国联通无线局域网接入点设备技术规范 5.2.2节 网络功能和5.2.6节 集中管理型设备特有功

15、能。16.2冗余备份AC设备应支持N+1冗余备份，在设备发生故障时，能迅速自动切换到备用设备。16.3性能要求16.3.1AC管理的AP数量AC设备管理的AP数量应不少于64个。16.3.2转发能力在包长为64byte条件下，设备在上行和下行方向的二层以太网数据流量应分别达到上下行最大线路速率的60以上。在包长分别为512byte、1024byte 及1518byte条件下，设备在上行和下行方向的二层以太网数据流量应分别达到上下行最大线路速率的80以上。16.4管理和维护要求无线控制功能相关的管理和维护要求见中国联通无线局域网接入点设备技术规范 5.4节。17接入控制功能技术要求17.1接入控

16、制功能要求17.1.1接入控制方式AC设备应支持WEB+DHCP认证、PPPoE认证以及802.1x认证。17.1.2Web重定向功能AC设备能够支持WEB重定向功能，用户输入任何网址，系统强制定向到指定URL，为用户弹出指定登录界面。若认证通过后，可配置为强制定向到指定URL，为用户弹出运营商的Portal。可以根据IP地址或VLAN配置不同Portal的URL。用户登录成功后弹出状态窗口，显示用户使用网络的基本信息和用户下线提示信息。17.1.3用户监控管理人员通过接入控制器可实时观测在线用户数、统计流量，可观测单个用户的流量和使用网络情况。可将在线用户强制断开网络。17.1.4用户带宽限

17、制AC设备应支持基于用户或用户组的带宽限制，可设置基于端口的带宽限制。17.1.5用户在线检测AC设备能够支持实时或定时检测用户在线情况。对于非正常下线用户（如非正常关机）可以自动将用户断开网络。17.1.6用户闲时断线AC设备支持在指定时间内检测不到用户流量可将用户断开网络功能。该时间可以设置。17.1.7旁通AC设备应可以设置指定IP地址/MAC地址的用户无需认证即可访问网络。17.1.8门户网站旁通AC设备可以支持设置用户无需认证即可访问的网络资源指定特定的网址或IP地址。17.1.9用户连接数限制AC设备支持设置单个用户的最大连接数。17.2认证和计费相关功能17.2.1RADIUS

18、Client标准功能AC设备应支持RADIUS Client功能，符合RFC2865、RFC 2866、RFC 2869的要求。AC设备应支持基于标准RADIUS协议的认证，授权和计费，可向计费服务器发送用户使用网络时长、流量等信息。AC设备应支持按优先级顺序设置多个RADIUS服务器地址。AC设备应支持7.2.2和7.2.3中规定的RADIUS属性标准定义。17.2.2RADIUS 属性列表-认证和授权AC设备应支持下表定义的RADIUS属性值列表对应的功能。表格中“X”为必选项。表 1 RADIUS属性列表-认证和授权属性名称Radius ID类型Auth RequestAuth Resp

19、onseAcct Request注释User-Name1StringXX用户名需支持256 ASCII字符,由前缀/ username用户名域名后缀构成，前缀和域名后缀用于区分运营商。 Password2StringX应支持256以上ASCII字符，漫游方不能修改该属性NAS-IP4IpaddrXX接入控制器的IP地址，在所有Request包中均应包含该属性。NAS-Port5IntegerXX用以指明接入控制器认证用户的物理端口Service-Type6IntegerX2 Framed-IP-Address8IP addressXX用户端IP地址Reply-Message18StringX

20、State24StringXXClass25StringXX如果Accept包返回该属性，则针对此特定session的继发Accounting-Request包中必须携带未被更改过的该属性。Session-Timeout27IntegerX若Accept包中包含该属性，则接入控制器必须根据属性值确定用户的session时长 Idle-Timeout28IntegerX若Accept包中含该属性，则接入控制器必须根据该属性值在用户最大空闲时长达到时断开连接。 Called-Station-ID30XXCalling-Station-ID31StringXXNAS-Identifier32Stri

21、ngXXHST.CTY.PRO.OPE.NATHST-热点地区编号（4位数字）CTY-城市（4位数字，长途区号）PRO-省（3位字符缩写）OPE-运营商（3位字符缩写）NAT-国家（3位数字460）或根据BOSS或综合结算系统接口要求填写Proxy State33StringXXXAcct-Status-Type40IntegerX该属性必须包含在所有的Accounting-Request包中用以指明该包为Start=1Interim=3Stop=2Acct-Delay-Time41IntegerX最初Request包和当前Request包的间隔，以秒计。Acct-Input-Octets42

22、IntegerXAcct-Output-Octets43IntegerXAcct-Session-ID44StringXAcct-Session-Time46IntegerX存在于每个Stop包，以秒为单位提供Session时长。Acct-Input-Packets47IntegerXInterim Stop包中必须携带Acct-Output-Packets48IntegerXInterim Stop包中必须携带Acct-Terminate-Cause49IntegerX1 = User Request, 3 = Lost Service, 4 = Idle Timeout, 5 = Sess

23、ion Timeout, 6 = Admin Reset, 7 = Admin Reboot, 9 = NAS Error, 10 = NAS Request, 11 = NAS Reboot, 18 = Host RequestAcct-Input-Gigawords52IntegerX可选择支持Acct-Output-Gigawords53IntegerX可选择支持Event Time Stamp55IntegerXX最初的Request包距离1970/1/1(UTC时间)的秒数NAS-Port-Type61IntegerXX该属性应该应用于所有Request包中指明用户接入介质定义必需为

24、5（Virtual）Acct-Interim-Interval85IntegerX该属性携带中间包时间间隔（单位秒）17.2.3RADIUS 属性列表-计费AC设备应支持下表定义的RADIUS属性值列表对应的功能。表格中“X”为必选项。表 2 RADIUS属性列表-计费属性Radius IDAcct StartAcct StopInterim Update注释User-Name1XXXNAS-IP-Address4XXXNAS-Port5XXXFramed-IP-Address8XCalled-Station-id30XXXCalling-Station-id31XXXNAS-Identifi

25、er32XXX定义请参见表 1Proxy States33XXX定义请参见表 1Acct-Status-Type40XXX1=Start, 3=Interim Update, 2=StopAcct-Input-Octets42XXAcct-Output-Octets43XXAcct-Session-ID44XXXAcct-Session-Time46XXAcct-Input-Packets47XXAcct-Output-Packets48XXAcct-Terminate-Cause49XAcct-Input-Gigawords52XXAcct-Output-Gigawords53XXNAS-P

26、ort-Type61XXX17.3网络功能要求17.3.1NAT或PATAC设备可选支持NAT或PAT功能。17.3.2DHCPAC设备应支持DHCP Server功能。AC设备应支持DHCP Relay功能。AC设备需支持DHCP Option82。AC设备可以根据用户组和策略要求设置多个地址池，能根据用户所属的VLAN或端口、组等信息分配不同的IP地址。17.3.3VLANAC设备支持的VLAN数量不应少于1024个。AC设备应支持802.1Q的VLAN Trunk。AC设备应支持VLAN终结。AC设备应支持VLAN透传。AC设备应支持对处于不同VLAN的用户采用不同的策略，包括分配不同网

27、段的IP地址、是否采用NAT/PAT、带宽限制、执行不同的计费策略等。17.3.4PPPAC设备应支持RFC1661点对点协议；AC设备应支持RFC1570 PPP-LCP扩展；AC设备应支持RFC1332 PPP-IPCP协议；AC设备应支持RFC1334定义的PAP和CHAP协议；AC设备应支持终结PPPoE的终端用户会话。17.3.5路由功能AC设备应支持静态路由和备份静态路由，可选支持动态路由。17.3.6本地PortalAC设备应集成WEB服务功能，提供用户的认证、状态页面。用户的认证、状态页面以文件形式存于设备内部系统，并可以进行修改。认证页面支持SSL安全机制。17.3.7安全功

28、能AC设备应支持基于源、目的IP地址，源、目的端口号，协议类型对数据包的限制功能。AC设备应支持基于用户MAC地址的限制功能。AC设备应支持“黑名单”和“白名单”访问控制列表功能。AC设备应具备抵御DOS、DDOS的攻击的基本功能。17.4管理和维护要求17.4.1管理方式AC设备应能够支持本地管理和远程管理两种方式，完成对于设备的参数配置，运营维护管理工作。本地管理方式应支持WEB GUI管理方式，可以选择使用SSH、TELNET等方式。远程管理方式即通过各省公司本地网管系统和网管网络实现对于接入控制器的管理，设备应支持SNMP v2c或v3，并可通过软件升级方式适应网管系统要求。17.4.2MIB支持要求需支持以下基本MIB：SNMP: basic (RFC 1157)MIB-II（RFC1213）协议。17.4.3日志日志内容应包括：用户接入网络的信息，网络安全事件，对设备本身的管理、配置更改事件，设备告警信息等。日志均应提供本地保存和远端保存的能力，远端保存可根据网管系统的要求采用触发方式或定时上传服务器方式。本地保存的日志应保证设备掉电不丢失。17.4.4管理功能17.4.4.1基本配置AC设备能够通过本