運營級網(wǎng)絡(luò)地址轉(zhuǎn)換下的無線局域網(wǎng)業(yè)務(wù)部署

中國電信江蘇公司操作維護中心 鄭東棟 柏 林 徐良紅

運營級網(wǎng)絡(luò)地址轉(zhuǎn)換下的無線局域網(wǎng)業(yè)務(wù)部署

中國電信江蘇公司操作維護中心 鄭東棟 柏 林 徐良紅

原有城域網(wǎng)WLAN（無線局域網(wǎng)）業(yè)務(wù)分配的是公網(wǎng)IPv4（因特網(wǎng)協(xié)議版本4）地址，為解決IPv4地址緊張問題，提出了一種NAT444（運營級網(wǎng)絡(luò)地址轉(zhuǎn)換）場景下的WLAN業(yè)務(wù)部署實現(xiàn)方案，并有效解決了NAT444場景下的WLAN業(yè)務(wù)認證問題。

網(wǎng)絡(luò)地址轉(zhuǎn)換；無線局域網(wǎng)；業(yè)務(wù)；場景

城域網(wǎng)WLAN（無線局域網(wǎng)）業(yè)務(wù)采用一次地址分配方式，用戶認證前即已獲取公網(wǎng)IPv4地址。隨著WLAN業(yè)務(wù)快速發(fā)展，公網(wǎng)IPv4地址占用率快速增長，引入NAT444（運營級網(wǎng)絡(luò)地址轉(zhuǎn)換）私網(wǎng)部署方案能在不改變地址分配方式的基礎(chǔ)上解決未認證用戶大量占用公網(wǎng)IPv4地址的問題。

1 NAT444技術(shù)簡介

NAT444作為緩解IPV4地址枯竭的一種有效方案，其主要思想是用戶撥號上網(wǎng)獲取私網(wǎng)IP地址，由運營商部署運營級地址轉(zhuǎn)換設(shè)備CGN（運營級網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備），同時與用戶側(cè)的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）組成兩級地址轉(zhuǎn)換，形成三塊地址空間，即用戶側(cè)私有地址、用戶撥號獲取的運營商分配的私有地址、公網(wǎng)地址。NAT444方案可以提高IPv4地址的復(fù)用率，緩解地址枯竭問題，而且便于部署，只需在匯聚層或者核心層增加CGN設(shè)備即可，無需進行較大規(guī)模的設(shè)備替換。從用戶感知度、技術(shù)成熟度和部署難易度等方面考慮，NAT444是目前比較好的方案。

2 NAT444下WLAN業(yè)務(wù)存在的問題

目前的WLAN業(yè)務(wù)的認證流程圖如圖1所示，其主要步驟如下。

1）BAS（寬帶接入服務(wù)器）重定向用戶的http請求到portal；

2）portal通過與BAS的接口發(fā)送用戶名、密碼到BAS；

3）BAS發(fā)送認證包到RADIUS（遠程認證撥號用戶服務(wù)）；

4）RADIUS返回認證結(jié)果給BAS；

5）BAS返回結(jié)果給portal，portal展示認證結(jié)果給用戶；

6）BAS允許或禁止用戶訪問互聯(lián)網(wǎng)。

在NAT444環(huán)境下，上述流程無法正常運行，主要問題在步驟3上。在目前的WLAN portal環(huán)境下，用戶獲取的是公網(wǎng)地址，WLAN portal上保存BRAS（寬帶接入服務(wù)器）設(shè)備和公網(wǎng)地址池的映射關(guān)系（BRAS地址，地址池起始IP，地址池結(jié)束IP），因此WLAN portal根據(jù)來訪的用戶公網(wǎng)IP就能直接定位用戶是從哪臺BRAS設(shè)備接入的，將用戶在portal網(wǎng)頁上輸入的用戶名和密碼通過和BRAS的接口發(fā)送給BRAS設(shè)備。

在NAT444環(huán)境下，用戶獲取的是私網(wǎng)IP，用戶訪問portal頁面的時候，WLAN portal獲取到的是該私網(wǎng)IP經(jīng)過NAT以后的公網(wǎng)地址。此時WLAN portal將無法知曉用戶究竟是從哪臺BRAS接入的，后續(xù)portal和BRAS交互的流程也就無法運行。

3 NAT444場景下WLAN業(yè)務(wù)部署方案

為了解決該問題，我們提出在認證全流程定義一個屬性攜帶用戶私網(wǎng)IP的解決方案，該屬性定義為wlanuserip，改進后全流程如圖2所示。

此時詳細認證流程如下：

①用戶在AP（接入點）下獲取私網(wǎng)IP后，發(fā)起任意http請求；

②設(shè)備重定向，同時攜帶wlanuserip參數(shù)（即用戶無線網(wǎng)卡獲取的私網(wǎng)IP），BRAS設(shè)備截獲未認證用戶的http請求，返回重定向地址；

③用戶訪問portal，攜帶wlanuserip參數(shù)值。用戶使用重定向地址訪問portal時，必須攜帶wlanuserip，否則或?qū)е抡J證不成功；

④portal獲取wlanuserip，并推送統(tǒng)一認證頁面給用戶；

⑤用戶輸入的用戶名、密碼以及其他參數(shù)發(fā)送到portal，發(fā)起認證；

⑥portal獲取到用戶的認證信息后，使用wlanuserip作為用戶認證的IP，組織好認證報文向設(shè)備發(fā)起認證請求；

⑦設(shè)備向AAA（認證、授權(quán)和計費）發(fā)起認證請求；

⑧AAA回應(yīng)認證結(jié)果給設(shè)備；

⑨設(shè)備回應(yīng)認證結(jié)果給portal；

⑩portal展示認證結(jié)果頁面給用戶，認證成功提供下線按鈕或連接，攜帶wlanuserip參數(shù)值。

4 結(jié)束語

原有城域網(wǎng)WLAN業(yè)務(wù)分配的是公網(wǎng)IPv4地址，隨著WlAN業(yè)務(wù)快速發(fā)展，公網(wǎng)IPv4地址占用率快速增長。隨著公有 IPv4地址即將枯竭，IPV6技術(shù)還未能成熟商用，NAT444技術(shù)是公認的過渡技術(shù)之一。

本文提出了一種NAT444場景下WLAN業(yè)務(wù)部署方法，該方案通過對現(xiàn)網(wǎng)WLAN portal系統(tǒng)進行改造，并在BRAS重定向報文中利用wlanuserip屬性攜帶用戶獲取的私有IP地址的方法有效解決了NAT444場景下的WLAN業(yè)務(wù)認證問題。