中国移动无线局域网WLANPEAPSIM认证兼容性测试方案V.doc

1、无感知测试用例（SIM、PEAP）测试用例8.4.1 混合接入认证支持能力(以下测试的手机终端，都需要覆盖到主流手机操作系统类型：Ophone、IPhone、Android、WM、Symbian)8.4.1.1 SIM认证方式的手机和PEAP认证方式的手机混合接入场景测试编号：8.4.1.1参 考：中国移动WLAN网络设备规范项 目：用户接入认证支持能力分 项 目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的：1、检验WLAN接入系统能够同时支持多种接入认证方式（Web Portal、PEAP和SIM认证）测试组网图：PortalSTA1-WEBAPACR

2、adiusSTA2-SIM/AKASTA3-PEAP3GPP AAAServer预置条件：1、配置两个SSID，一个为CMCC（配置Web Portal认证方式，不加密），另一个为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、开启3台WLAN接入终端（终端1为PC，终端2和终端3为手机，其中终端2中装有2G的SIM卡），分别采用WEB、EAP-SIM、PEAP-MSCHAPv2接入认证方式2、依次接入这3种不同认证类型的用户

3、终端并进行认证，整个过程需抓包3、3种不同认证类型的用户终端同时访问HTTP业务4、用户下线5、更换终端2为3G手机，装有3G的USIM卡，采用EAP-AKA接入认证方式6、重复步骤2到4预期结果：1、步骤2和6中，3台用户终端均能成功接入并通过认证 2、步骤3和6中，3台WLAN用户终端均能成功使用HTTP业务3、SIM以及PEAP认证流程以及用户下线流程符合中国移动无线局域网（WLAN）用户接入流程技术规范（SIM PEAP）要求测试说明：1、 需重点验证SIM及PEAP认证接入流程过程中，AC按照用户认证、DHCP服务器完成IP地址分配、AC开始对用户计费的顺序进行2、 当用户下线时，A

4、C需与RADIUS服务器交互上报用户此次连接记录：以本次连接中AC开始计费时间为本次连接开始时间，以AC下线时间为本次用户下线时间测试结果：8.4.1.2 SIM认证方式的手机和PEAP认证方式的PC混合接入场景测试编号：8.4.1.2参 考：中国移动WLAN网络设备规范项 目：用户接入认证支持能力分 项 目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的：1、检验WLAN接入系统能够同时支持多种接入认证方式（Web Portal、PEAP和SIM认证）测试组网图：PortalSTA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3G

5、PP AAAServer预置条件：1、配置两个SSID，一个为CMCC（配置Web Portal认证方式，不加密），另一个为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、开启3台WLAN接入终端（终端1和终端3为PC，终端2为手机，装有2G的SIM卡），分别采用WEB、EAP-SIM、PEAP-MSCHAPv2接入认证方式2、依次接入这3种不同认证类型的用户终端并进行认证，整个过程需抓包3、3种不同认证类型的用户终端同时访问

6、HTTP业务4、用户下线5、更换终端2为3G手机，装有3G的USIM卡，采用EAP-AKA接入认证方式6、重复步骤2到4预期结果：1、步骤2和6中，3台用户终端均能成功接入并通过认证 2、步骤3和6中，3台WLAN用户终端均能成功使用HTTP业务3、SIM以及PEAP认证流程以及用户下线流程符合中国移动无线局域网（WLAN）用户接入流程技术规范（SIM PEAP）要求测试说明：1、 需重点验证SIM及PEAP认证接入流程过程中，AC按照用户认证、DHCP服务器完成IP地址分配、AC开始对用户计费的顺序进行2、 当用户下线时，AC需与RADIUS服务器交互上报用户此次连接记录：以本次连接中AC开

7、始计费时间为本次连接开始时间，以AC下线时间为本次用户下线时间测试结果：8.4.1.3 SIM认证终端的快速重鉴权场景测试编号：8.4.1.3参 考：中国移动WLAN网络设备规范项 目：用户接入认证支持能力分 项 目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的：1、检验WLAN接入系统能够支持SIM认证方式下的快速重鉴权流程测试组网图：STA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPP AAAServerPortal预置条件：1、配置SSID为CMCC-AUTO（配置SIM认证方式，采用WPA2加密）2、WLAN接入系

8、统配置正确3、用户认证服务器配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、开启2台WLAN接入终端（终端1为装有2G SIM卡的手机，终端2为装有3G SIM卡的3G手机），分别采用EAP-SIM、EAP-AKA接入认证方式2、依次接入这两台终端并进行认证，整个过程需抓包3、两台用户终端同时访问HTTP业务4、用户下线后，再次接入这两台终端并进行认证5、两台用户终端同时访问HTTP业务6、用户下线预期结果：1、步骤2和4中，2台用户终端均能成功接入并通过认证 2、步骤3和5中，2台WLAN用户终端均能成功使用HTTP业务3、步骤4中，PC可以抓取到AC和

9、3GPP AAA Server之间进行EAP-SIM/AKA快速重鉴权流程的交互消息4、SIM认证的快速重鉴权流程符合中国移动无线局域网（WLAN）用户接入流程技术规范（SIM PEAP）要求测试说明：1、 需重点验证SIM认证终端的快速重鉴权流程，3GPP AAA Server和HLR之间将不存在任何消息交互。测试结果：8.4.1.4 3GPP AAA Server发起用户下线场景测试编号：8.4.1.4参 考：中国移动WLAN网络设备规范项 目：用户接入认证支持能力分 项 目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的：1、检验PEAP和SIM认证方

10、式下，WLAN接入系统能够支持网络侧发起的用户下线流程。测试组网图：PortalSTA1-WEBAPACRadiusSTA2-SIM/AKASTA3-PEAP3GPP AAAServer预置条件：1、配置SSID为CMCC-AUTO（配置PEAP认证和SIM认证共存，均采用WPA2加密）2、WLAN接入系统配置正确3、不同类型用户认证服务器分别配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、 开启3台WLAN接入终端（终端1为装有2G SIM卡的手机，终端2为装有3G SIM卡的3G手机，终端3为PC），分别采用EAP-SIM、EAP-AKA、PEAP-M

11、SCHAPv2接入认证方式，依次接入这3种不同认证类型的用户终端并进行认证，整个过程需抓包2、3种不同认证类型的用户终端同时访问HTTP业务3、3GPP AAA Server触发Disconnect-Request消息给AC4、观察用户是否已经下线预期结果：1、步骤1中，3台用户终端均能成功接入并通过认证 2、步骤3中，PC可以抓取到在网络侧发起用户下线场景下，AC 和3GPP AAA Server之间的交互消息3、步骤4中，用户都已经下线。4、PEAP和SIM认证方式下，网络侧发起用户下线的流程符合中国移动无线局域网（WLAN）用户接入流程技术规范（SIM PEAP）要求测试说明：图1 网络

12、发起下线流程测试结果：8.4.14 不同SSID可配置开启/取消空闲时长下线的功能测试编号：8.4.14参 考： 中国移动WLAN新设备规范项 目：用户接入认证支持能力分 项 目：不同SSID可配置开启/取消空闲时长下线的功能测试组网图：APLAN SwitchACSTA1STA2RadiusPC测试目的：1、 检验AC对特殊场景下认证权限控制的支持能力；2、 检验AC在同一个AP下的同一射频口下，不同SSID可以配置不同的空闲下线策略；预置条件：1、用户已获取了密码，并开通了相应的业务；2、已经正确安装网卡；3、认证服务器配置正常；4、WLAN接入系统认证功能配置正确；5、配置交换机端口镜像

13、，PC可以抓取AC出方向的报文；测试流程：1、 配置两个无线服务模板（SSID）CMCC1和CMCC2，CMCC1使用EAP-SIM认证方式，CMCC2使用Portal认证方式，两个服务均绑定到同一个AP的同一个射频口；2、 开启CMCC1和CMCC2的空闲下线功能，CMCC1的空闲时间为3分钟，流量阈值为5M，CMCC2的空闲时间为5分钟，流量阈值为3M；3、 STA1关联到CMCC1，STA2关联到CMCC2，使用各自账号登陆上线，可以ping通PC；4、 STA1和STA2不进行任何操作，PC抓取AC出方向报文；5、 修改AC配置，CMCC1的空闲时间为6分钟，CMCC2的空闲时间为4分

14、钟，再进行步骤3，4的测试；6、 关闭CMCC1的空闲下线功能，再进行步骤3，4的测试；7、 关闭CMCC2的空闲下线功能，开启CMCC1的空闲下线功能，再进行步骤3，4的测试8、 修改AC配置，开启CMCC1的空闲下线功能，空闲时间为5分钟，流量阈值为5M；开启CMCC2的空闲下线功能，空闲时间为5分钟，流量阈值为8M；9、 STA1先在5分钟内从FTP服务器下载6M大小文件，然后再在接着的5分钟内下载3M大小文件，PC抓取AC出方向报文；10、 STA2先在5分钟内从FTP服务器下载9M大小文件，然后再在接着的5分钟内下载6M大小文件，PC抓取AC出方向报文；11、 修改AC配置，CMCC

15、1的空闲下线流量阈值为8M，CMCC2的空闲下线流量阈值为5M；12、 STA1先在5分钟内从FTP服务器下载9M大小文件，然后再在接着的5分钟内下载6M大小文件，PC抓取AC出方向报文；13、 STA2先在5分钟内从FTP服务器下载6M大小文件，然后再在接着的5分钟内下载3M大小文件，PC抓取AC出方向报文；预期结果：1、 步骤4和步骤5中，PC可以抓取到AC向radius服务器发送STA1和STA2的用户计费停止报文，比较AC针对同一用户发送的计费开始报文和计费结束报文之间的时间间隔，应该和AC上配置的空闲时间相一致。2、 步骤6中，PC可以抓取到AC向radius服务器发送STA2的用户

16、计费停止报文，STA1正常在线，可以ping通网关；3、 步骤7中， PC可以抓取到AC向radius服务器发送STA1的用户计费停止报文，STA2正常在线，可以ping通网关；4、 步骤9、10、12、13中，PC可以抓取到AC向radius服务器发送STA1和STA2的用户计费停止报文，观察AC针对同一用户发送的计费开始报文和计费结束报文之间的时间间隔，应该在5分钟到10分钟之间。测试说明： 测试中需确保两个ssid配置在同一个射频口上测试结果： 8.6.2 WPA-Radius支持能力测试编号：8.6.2参 考： 中国移动WLAN网络设备规范项 目：安全支持能力分 项 目： WPA-Ra

17、dius支持能力测试目的：1、检验WLAN接入系统支持WPA-Radius认证加密能力测试组网图：STA-WPAAPLAN SwitchACPortalRadius预置条件：1、已经正确安装支持WPA的网卡2、AC上PEAP-MSCHAPv2认证功能配置正确，采用外置Radius认证和计费测试流程：1、配置终端用户采用WPA-Radius方式进行认证和加密2、终端用户连接AP3、终端用户获取IP地址，实现上网4、配置终端用户为WPA加密，变更用户名和口令5、终端用户连接AP预期结果：1、在步骤3中，终端用户能够成功进行联网实现上网2、在步骤5中，终端用户可以成获取IP地址3、在步骤5中，终端用

18、户连接AP失败测试说明：网卡应选取通过wi-fi WPA测试的第三方网卡测试结果：8.6.3 WPA2支持能力测试编号：8.6.3 参 考：中国移动WLAN网络设备规范项 目：安全支持能力分 项 目：WPA2支持能力测试目的：1、测试WLAN接入系统是否支持WPA2加密方式测试组网图：STA-WPA2APLAN SwitchACPortalRadius预置条件：1、已经正确安装支持WPA的网卡2、AC上PEAP-MSCHAPv2认证功能配置正确，采用外置Radius认证和计费测试流程：1、配置终端用户采用WPA2进行认证和加密2、终端用户连接AP3、终端用户获取IP地址，进行上网操作4、配置终

19、端用户为WPA2进行认证和加密，密钥错误5、终端用户连接AP预期结果：1、在步骤2中，终端用户成功连接AP2、在步骤3中，终端用户可以成获取IP地址3、在步骤5中，终端用户连接AP失败测试说明：测试结果：8.6.4 不同安全支持能力终端的混合接入支持（同一SSID）测试编号：8.6.4参 考： 中国移动WLAN网络设备规范项 目：安全分 项 目：不同安全支持能力终端的混合接入支持(同一SSID)测试目的：1、检验WLAN接入系统支持不同加密能力类型（包括不加密、静态WEP加密、WPA加密、WPA2加密）WLAN用户终端的混合接入测试组网图：STA1-WEBAPLAN SwitchACPorta

20、lRadiusSTA2-WEPSTA3-WPA13GPP-AAASTA4-WPA2预置条件：1、WLAN用户终端配置正确2、WLAN接入系统配置正确3、不同类型用户认证服务器配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、4台终端配置相同的SSID为“CMCC” 2、配置4台WLAN接入终端，分别采用WEB（不加密）、静态WEP加密、PEAP-MSCHAPv2（WPA加密）、PEAP-MSCHAPv2（WPA2加密）的接入认证方式3、依次接入这4种不同认证类型的用户终端4、4种不同认证类型的用户终端使用HTTP业务预期结果：1、步骤3中，4台WLAN用户终

21、端均能成功接入到WLAN接入网络中2、步骤4中，4台WLAN用户终端均能成功使用HTTP业务3、步骤4中，通过抓包确认4台终端分别采用不同的加密方式测试说明：1、 网卡应选取通过wi-fi WPA测试的第三方网卡2、 观察不同客户端软件的现象3、 WEB接入方式需考察WEB Portal认证，其他三种方式无需考察Portal认证测试结果：8.6.5 不同安全支持能力终端的混合接入支持（不同SSID）测试编号：8.6.5参 考： 中国移动WLAN网络设备规范项 目：安全分 项 目：不同安全支持能力终端的混合接入支持(不同SSID)测试目的：1、检验WLAN接入系统支持不同加密能力类型（包括不加密

22、、静态WEP加密、WPA加密、WPA2加密）WLAN用户终端的混合接入测试组网图：STA1-WEBAPLAN SwitchACPortalRadiusSTA2-WEPSTA3-WPA13GPP-AAASTA4-WPA2预置条件：1、WLAN用户终端配置正确2、WLAN接入系统配置正确3、不同类型用户认证服务器配置正确并连接正确4、相应的接入认证客户端软件成功安装5、各系统正常运行测试流程：1、4台终端配置不同的SSID（如“WEB”，“WEP”，“WPA”，“WPA2”）2、配置4台WLAN接入终端，分别采用WEB（不加密）、静态WEP加密、PEAP-MSCHAPv2（WPA TKIP加密）、

23、PEAP-MSCHAPv2（WPA2 AES加密）的接入认证方式3、依次接入这4种不同认证类型的用户终端4、4种不同认证类型的用户终端使用HTTP业务预期结果：1、步骤3中，4台WLAN用户终端均能成功接入到WLAN接入网络中2、步骤4中，4台WLAN用户终端均能成功使用HTTP业务3、步骤4中，通过抓包确认4台终端分别采用不同的加密方式测试说明：1、 网卡应选取通过wi-fi WPA测试的第三方网卡2、 （观察不同客户端软件的现象）3、 WEB接入方式需考察WEB Portal认证，其他三种方式无需考察Portal认证测试结果：8.18 切换支持能力（测试peap和sim认证后可以在AP之间

24、漫游） 8.18.1 Layer2切换测试编号：8.18.1参 考：中国移动WLAN网络设备规范测试项目：切换测试测试子项目：2层切换测试 测试目的：1、测试AP的2层切换性能2层测试组网图：测试仪器1测试仪器2AP1AP2AC or WLAN Swtich预置条件：1、 4台AP，2台11n AP，2台非11n AP，系统上电正常工作2、 AP1、AP2处于同一子网中，两个AP间的距离视具体测试环境而定3、 1个无线网卡，需要支持a/g/n测试过程：1、 设置AC、AP的IP，保证AP可以成功关联到AC2、 设置AC为STA分配IP地址，使STA靠近AP1通过AP1接入无线网络3、 从STA

25、 ping AC 100个32字节的报文， 同时向AP2以步行的速度移动STA，使STA通过AP2接入无线网络4、 记录下发生切换时的丢包率5、 更换2台AP为11n AP，只开启2.4G射频卡，带宽模式为20M，重复步骤1-46、 关闭2.4G射频卡，只开启5.8G射频卡，带宽模式为40M，重复步骤1-4预期结果：测试说明：1、 丢包率不应大于3%；2、 实测时分别采用开放认证及PEAP认证两种方式观察现象： 切换时用户的网络连接及业务应用不应中断，观察并记录实际的切换时延 切换时用户的IP地址应保持不变测试结果：8.18.2 Layer3切换测试编号：8.18.2参 考：中国移动WLAN网

26、络设备规范测试项目：切换测试测试子项目：3层切换测试 测试目的：1、测试AP的3层切换性能3层测试组网图：测试仪器1测试仪器2AP1AP2ROUTER 1ROUTER 2ROUTER 3AC or WLAN Swtich注：Router1、2、3也可以由一个三层的交换机代替，这里只是表明逻辑上的连接预置条件：1、 4台AP，2台11n AP，2台非11n AP，系统上电正常工作2、 AP1、AP2处于不同子网中，两个AP间的距离视具体测试环境而定3、 1个无线网卡，需要支持a/g/n测试过程：1、 设置AC、AP的IP，保证AP可以成功关联到AC2、 设置AC为STA分配IP地址，使STA靠近

27、AP1通过AP1接入无线网络3、 从STA ping AC 100个报文， 同时向AP2以步行的速度移动STA，使STA通过AP2接入无线网络4、 记录下发生切换时的丢包率5、 更换2台AP为11n AP，只开启2.4G射频卡，带宽模式为20M，重复步骤1-46、 关闭2.4G射频卡，只开启5.8G射频卡，带宽模式为40M，重复步骤1-4预期结果：测试说明：1、 丢包率不应大于3%；2、 实测时分别采用开放认证及PEAP认证两种方式观察现象： 切换时用户的网络连接及业务应用不应中断，观察并记录实际的切换时延 切换时用户的IP地址应保持不变3、 本测试例仅对瘦AP架构进行要求。测试结果：8.22

28、.3流量计费测试测试编号：8.22.3参 考： 中国移动WLAN网络设备规范项 目： 计费测试分 项 目：流量计费测试测试目的：测试AC对用户的上下行流量统计功能测试组网图：Port2Port3ABAC测试仪Port1Port4Switch AAP1STA1AP2STA2STA3STA4Radius ServerPortal ServerSTA5PC预置条件：1.在被测AC上配置AP相关信息，使得AP能成功注册到AC上；2.在AP1和AP2上配置WLAN服务，AP1 SSID为“CMCC1”, AP2 SSID为“CMCC2”,都为集中转发；3.AC上开启WEB认证；4.用测试仪端口A（GE或

29、者10GE，由被测厂商指定）连接AC；5.用测试仪端口B（GE或者10GE，由被测厂商指定）连接交换机的Port1端口；6.在交换机上进行端口镜像，Port2为镜像端口，Port1为监控端口；7.AP与AC之间的隧道设置成明文（非加密）方式；8.交换机端口Port2Port4属于VLAN 1000，Port1属于VLAN 1001； 9. AC上完成隧道的三层转发；10.在AC上设置AP永不下线。测试流程：1.STA1、STA2连接到CMCC1，STA3、STA4连接到CMCC2；2.STA1STA4通过web认证；3.从STA4 上 ping STA1、STA2、STA3；4.测试仪的Port A分别向STA1、STA2、STA3、STA4连续发送10个UDP报文；5.测试仪的Port B上查看捕获到的报文；6.配置交换机，取消端口镜像，采用ACL重定向方式把Port2数据隧道重定向到Port1，即将源端口为5247的数据报文由Port2端口重定向到Port1；7.在此基础上，构造512字节的原始报文，每个STA打10条流，源端口号从20001变化至20010，调节发包速率到端口线速的70