1、分 项 目:混合接入认证支持能力(Web Portal / PEAP / SIM认证)测试目的:1、检验WLAN接入系统能够同时支持多种接入认证方式(Web Portal、PEAP和SIM认证)测试组网图:PortalSTA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPP AAAServer预置条件:1、配置两个SSID,一个为CMCC(配置Web Portal认证方式,不加密),另一个为CMCC-AUTO(配置PEAP认证和SIM认证共存,均采用WPA2加密)2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软
2、件成功安装5、各系统正常运行测试流程:1、开启3台WLAN接入终端(终端1为PC,终端2和终端3为手机,其中终端2中装有2G的SIM卡),分别采用WEB、EAP-SIM、PEAP-MSCHAPv2接入认证方式2、依次接入这3种不同认证类型的用户终端并进行认证,整个过程需抓包3、3种不同认证类型的用户终端同时访问HTTP业务4、用户下线5、更换终端2为3G手机,装有3G的USIM卡,采用EAP-AKA接入认证方式6、重复步骤2到4预期结果:1、步骤2和6中,3台用户终端均能成功接入并通过认证 2、步骤3和6中,3台WLAN用户终端均能成功使用HTTP业务3、SIM以及PEAP认证流程以及用户下线
3、流程符合中国移动无线局域网(WLAN)用户接入流程技术规范(SIM PEAP)要求测试说明:1、 需重点验证SIM及PEAP认证接入流程过程中,AC按照用户认证、DHCP服务器完成IP地址分配、AC开始对用户计费的顺序进行2、 当用户下线时,AC需与RADIUS服务器交互上报用户此次连接记录:以本次连接中AC开始计费时间为本次连接开始时间,以AC下线时间为本次用户下线时间测试结果:8.4.1.2 SIM认证方式的手机和PEAP认证方式的PC混合接入场景8.4.1.21、开启3台WLAN接入终端(终端1和终端3为PC,终端2为手机,装有2G的SIM卡),分别采用WEB、EAP-SIM、PEAP-
4、MSCHAPv2接入认证方式8.4.1.3 SIM认证终端的快速重鉴权场景8.4.1.31、检验WLAN接入系统能够支持SIM认证方式下的快速重鉴权流程1、配置SSID为CMCC-AUTO(配置SIM认证方式,采用WPA2加密)3、用户认证服务器配置正确并连接正确1、开启2台WLAN接入终端(终端1为装有2G SIM卡的手机,终端2为装有3G SIM卡的3G手机),分别采用EAP-SIM、EAP-AKA接入认证方式2、依次接入这两台终端并进行认证,整个过程需抓包3、两台用户终端同时访问HTTP业务4、用户下线后,再次接入这两台终端并进行认证5、两台用户终端同时访问HTTP业务6、用户下线1、步
5、骤2和4中,2台用户终端均能成功接入并通过认证 2、步骤3和5中,2台WLAN用户终端均能成功使用HTTP业务3、步骤4中,PC可以抓取到AC和3GPP AAA Server之间进行EAP-SIM/AKA快速重鉴权流程的交互消息4、SIM认证的快速重鉴权流程符合中国移动无线局域网(WLAN)用户接入流程技术规范(SIM PEAP)要求1、 需重点验证SIM认证终端的快速重鉴权流程,3GPP AAA Server和HLR之间将不存在任何消息交互。8.4.1.4 3GPP AAA Server发起用户下线场景8.4.1.41、检验PEAP和SIM认证方式下,WLAN接入系统能够支持网络侧发起的用户
6、下线流程。1、配置SSID为CMCC-AUTO(配置PEAP认证和SIM认证共存,均采用WPA2加密)1、 开启3台WLAN接入终端(终端1为装有2G SIM卡的手机,终端2为装有3G SIM卡的3G手机,终端3为PC),分别采用EAP-SIM、EAP-AKA、PEAP-MSCHAPv2接入认证方式,依次接入这3种不同认证类型的用户终端并进行认证,整个过程需抓包2、3种不同认证类型的用户终端同时访问HTTP业务3、3GPP AAA Server触发Disconnect-Request消息给AC4、观察用户是否已经下线1、步骤1中,3台用户终端均能成功接入并通过认证 2、步骤3中,PC可以抓取到
7、在网络侧发起用户下线场景下,AC 和3GPP AAA Server之间的交互消息3、步骤4中,用户都已经下线。4、PEAP和SIM认证方式下,网络侧发起用户下线的流程符合中国移动无线局域网(WLAN)用户接入流程技术规范(SIM PEAP)要求图1 网络发起下线流程8.4.14 不同SSID可配置开启/取消空闲时长下线的功能8.4.14 中国移动WLAN新设备规范不同SSID可配置开启/取消空闲时长下线的功能LAN SwitchSTA1STA2PC1、 检验AC对特殊场景下认证权限控制的支持能力;2、 检验AC在同一个AP下的同一射频口下,不同SSID可以配置不同的空闲下线策略;1、用户已获取
8、了密码,并开通了相应的业务;2、已经正确安装网卡;3、认证服务器配置正常;4、WLAN接入系统认证功能配置正确;5、配置交换机端口镜像,PC可以抓取AC出方向的报文;1、 配置两个无线服务模板(SSID)CMCC1和CMCC2,CMCC1使用EAP-SIM认证方式,CMCC2使用Portal认证方式,两个服务均绑定到同一个AP的同一个射频口;2、 开启CMCC1和CMCC2的空闲下线功能,CMCC1的空闲时间为3分钟,流量阈值为5M,CMCC2的空闲时间为5分钟,流量阈值为3M;3、 STA1关联到CMCC1,STA2关联到CMCC2,使用各自账号登陆上线,可以ping通PC;4、 STA1和
9、STA2不进行任何操作,PC抓取AC出方向报文;5、 修改AC配置,CMCC1的空闲时间为6分钟,CMCC2的空闲时间为4分钟,再进行步骤3,4的测试;6、 关闭CMCC1的空闲下线功能,再进行步骤3,4的测试;7、 关闭CMCC2的空闲下线功能,开启CMCC1的空闲下线功能,再进行步骤3,4的测试8、 修改AC配置,开启CMCC1的空闲下线功能,空闲时间为5分钟,流量阈值为5M;开启CMCC2的空闲下线功能,空闲时间为5分钟,流量阈值为8M;9、 STA1先在5分钟内从FTP服务器下载6M大小文件,然后再在接着的5分钟内下载3M大小文件,PC抓取AC出方向报文;10、 STA2先在5分钟内从
10、FTP服务器下载9M大小文件,然后再在接着的5分钟内下载6M大小文件,PC抓取AC出方向报文;11、 修改AC配置,CMCC1的空闲下线流量阈值为8M,CMCC2的空闲下线流量阈值为5M;12、 STA1先在5分钟内从FTP服务器下载9M大小文件,然后再在接着的5分钟内下载6M大小文件,PC抓取AC出方向报文;13、 STA2先在5分钟内从FTP服务器下载6M大小文件,然后再在接着的5分钟内下载3M大小文件,PC抓取AC出方向报文;1、 步骤4和步骤5中,PC可以抓取到AC向radius服务器发送STA1和STA2的用户计费停止报文,比较AC针对同一用户发送的计费开始报文和计费结束报文之间的时间间隔,应该和AC上配置的空闲时间相一致。2、 步骤6中,PC可以抓取到AC向radius服务器发送STA2的用户计费停止报文,STA1正常在线,可以ping通网关;3、 步骤7中, PC可以抓取
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1