在本系列的早期文章中,我深入研究了Passpoint的概述,Passpoint架构然后部署Passpoint。在这篇文章中,我将着眼于数据流以及我们如何通过Aruba无线局域网访问运营商网络。
奠定了基础
让我们回过头来看看架构方面的内容,让我们再看看设置,一个Passpoint SSID正在企业无线网络中广播。这个SSID然后通过无线控制器走正常的数据路径,但身份验证不进入企业网络。相反,它会转到漫游交换(Roaming Exchange),后者将连接代理回运营商网络,使用用户SIM卡上提供的凭据或预先编程到设备上进行身份验证。使用其他身份验证和基于角色的访问服务器(如Aruba ClearPass或其他类似系统)可能会更加复杂。这个问题以后再讨论吧。
有了图表,我们就有了基本的数据流并看到了我们所走的道路,但实际发生了什么?
下面的路径
在Aruba网站上有很多关于Passpoint的好资源。我在这里引用了一些,但我找到的最好的资源之一是Chuck Lukaszewski的演讲机动领域第4天2019年8月。它绝对值得一看。
当客户机进入Passpoint网络时,它就像一个普通的无线设备。然而,有一些添加的查询通常不会在典型的无线客户机上看到。在发现过程中,一个Passpoint信标从AP发送到能够使用Passpoint的客户端。然后有一个接入网络查询协议(ANQP)查询,它允许设备获取与Passpoint发布的运营商网络的预关联信息和参数。初始ANQP查询返回3GPP网络信息。
什么是3GPP?很高兴你发问。有一个关于3GPP的非常详细的报道,但我们将在一个高水平。3GPP是ANQP中的一个元素,它持有与公共陆地移动网络(PLNM)相连的载体网络信息。3GPP中包含的信息随后被添加到将提供Passpoint连接的网络的无线配置文件中。然后,该设备将3GPP与SIM卡上存储的内容进行比较,确定是否可以通过Passpoint网络访问运营商。如果发现设备的运营商在3 gpp,设备可以使用已知的EAP方法进行验证,验证对主载波,然后看了看用户和设备策略来决定是否继续使用Passpoint或切换到标准wi - fi连接。
这是一个基本的概述,带我们通过以上图中的802.11握手。查看图表可以看到,在其他标准的802.11无线关联和身份验证中增加了两个步骤:获取3GPP信息并检查PLMN ID。从那里开始一个通常的802.11关联,直到从网络请求EAP身份。由于设备了解运营商,并拥有该运营商的凭据和连接信息,EAP响应返回到网络,但随后通过无线控制器转发到认证集线器/代理,然后转发到适当的运营商。然后,运营商响应EAP请求和挑战,而不是响应内部基础设施。
一旦运营商清除了EAP,通常的802.11握手在AP和客户端之间进行,然后是接收IP和网络地址的客户端。再一次,RADIUS会计信息通过企业网络发送给运营商在其网络上进行会计处理。通过企业Wi-Fi网络提供的运营商服务,Passpoint客户端可以完全连接到互联网、发送消息和Wi-Fi呼叫。从Passpoint客户端到内部资源的连接取决于防火墙、路由和可能的基于角色的访问控制。
包装起来
随着我的博客系列的进展,我提供了一个Passpoint概论,对帕斯点建筑的探索如何部署Passpoint,最后是这篇文章中的数据流。从外部的角度来看,Passpoint与标准的企业无线网络没有太大不同,只是将数据传递给运营商进行身份验证、记账和服务。
