文档项目三任务三校园网认证计费系统设计Word下载.docx
- 文档编号:17623297
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:14
- 大小:631.37KB
文档项目三任务三校园网认证计费系统设计Word下载.docx
《文档项目三任务三校园网认证计费系统设计Word下载.docx》由会员分享,可在线阅读,更多相关《文档项目三任务三校园网认证计费系统设计Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
2.3.8DAA根据目的地址计费9
2.3.9教师在不同地点上线采用不同的计费策略9
2.3.10通过srun3000满足计费功能9
2.3.11实验室和学院的专线接入10
2.3.12办公打印机等网络设备的接入10
2.3.13Srun3000系统功能应用10
2.3.14高可靠设计10
2.3.15多认证模式统一部署11
2.3.16用户上网访问日志查看11
2.3.17用户在线监控管理11
2.3.18账号管理及控制策略12
2.3.19计费策略13
1.校园网认证计费系统设计
1.1校园网建设趋势
随着高校信息化建设的不断深入,应用于网络解耦合已经成为大势所趋,理想情况下,整个校园网虚拟成一台高性能交换机或者路由器,网络功能向组件化发展,比如,现网中应用越来越多防火墙模块、入侵防御模块、无线控制器模块等等。
整个发展方向最根本的驱动力是增加用户的体验,并且网络维护工作者的工作量越来越简单。
校园网的认证计费是校园网的核心业务,关系到全校师生的网络体验,其建设方案的选择也直接影响着网络维护老师的工作量。
802.1x认证凭借其严格的端口控制,5元组甚至7元组策略的灵活组合,可是实现丰富的接入认证控制,有效的控制了网络的接入安全。
早在03年左右部分校园网就采用了这种认证策略,到08年左右,迎来了802.1x认证建设的高峰期。
随着应用的不断深入,802.1x被证明虽然其在安全接入控制方面具有独到之处,但是无论在用户的体验还是维护管理的工作量上面,都与网络建设的初衷相去甚远。
主要表现在:
(1)802.1x客户端与用户主机或者安装的应用程序之间的兼容问题。
(2)802.1x认证每个厂家采用的协议部分是不一样,产品品牌选择单一性问题。
(3)802.1x多终端上网问题。
(4)802.1x对新兴媒体设备,无法认证问题。
(5)802.1x对访问目的资源,无法区分认证计费问题。
(6)802.1x对没用户的QOS控制粒度,无法细化问题。
……
虽然,部分厂家对802.1x进行更加人性化的设计或者通过跟portal认证相互配合的认证策略,能解决部分问题,但是无论是在复杂成都还是应用效果上看,对客户的应用体验以及管理维护工作量的降低上,均没有较大的改善。
然而,在运营商市场应用成熟的pppoe/ipoe的认证方式,凭借其成熟的技术,良好的用户体验及延续用户的使用习惯,方便易于管理的特性,成为广大高校认证计费改造的首选方案。
pppoe/ipoe的session级用户管理,可以方便的根据模板下发策略,保证用户的使用习惯。
其精确的流量统计计费,可以促使用户保持良好的网络使用习惯,特别适合在高校应用场景下,规范学生的用网行为。
同事,pppoe/ipoe对新兴媒体设备认证计费需求及同一帐号多终端上网,多地理位置的上网都有非常灵活的支持。
即面向三网融合的大趋势,又灵活满足用户的使用习惯。
另一方面,随着移动互联时代的到来,各种移动终端的规模应用,给用户带来网络使用的便利及工作和学习的高效。
高校建设无线校园已经成为一种趋势。
高校用户属于慢速移动无线应用,因此,采用802.11a/b/g/n技术建设高速的无线局域网是无线建设的主流趋势。
建设无线校园需要重点考虑与现网有线网络的融合,即有线、无线统一认证;
有线、无线统一管理等问题。
只有这样,才能提高用户的体验和优化网络维护的工作量。
1.2认证计费改造需求
目前,湘南财院使用的是基于802.1x协议的认证计费系统。
随着网络规模的扩大,网络应用的增多,采用该协议的认证计费逐渐遇到瓶颈,主要表现在:
该协议设计之初,是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,接入交换机生产厂家对其进行了改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题;
第二,要在以太网上有效的使用该协议,就必须安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如Windows、MACOS、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题;
第三,目前的802.1x系统,无法按照校内/校外以及免费/收费流量进行统计,所以无法实现按照不同流量的分离计费。
此外,采用802.1X的认证计费方式无法实现统一端口下,多台终端上网(即家属区用户,无法通过家用soho路由设备,多台终端上网)。
然而,这种应用需求越来越强烈。
最后,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。
因此,需要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的控制及按流量的认证计费。
准出控制系统。
采用网关型的准出控制系统,对校园用户进行准出控制。
可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效控制用户是否具有外网访问权限,进而控制用户访问外网的带宽。
准入控制实现基于pppoe和ipoe及portal的准入控制。
网络中不同区域灵活选择认证策略。
统一认证计费平台的建设需要满足一下场景的需求:
(1)有线无线一体化接入,学生采用流量计费的方式接入,教师采用工号与密码的方式。
Portal与PPOE方式均需支持;
(2)对于学生访问学校内网不认证、不计费,只有在访问外网时通过Portal方式认证;
(3)教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。
另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。
(4)对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;
(5)计费系统应有针对用户进行时间补偿的功能,应用场景:
如果某一地块网络故障,则需要对该地块的上线用户赠送5天免费上网的补偿;
(6)对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且上线时做单独的账户和密码认证。
(7)主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。
比如:
学校一名教师申请了一个科研课题,拿出一定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则所有子账号也均不能再上网;
(8)支持对于各个学院的专线接入开会功能,如实验室采用专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制;
(9)对于打印机的接入做MAC地址认证和IP绑定;
2.网络解决方案
针对以上湘南财院提出的明确需求,华为设计的解决方案如下:
2.1网络设计拓扑
图1网络设计拓扑图
网络出口采用华为400G平台,分布式无阻塞交换核心路由器做网络出口,连接电信、联通、教育科研网和其他7所高校,其高达3M的FIB标容量、高性能的NAT转发性能及对IPV6的完美支持,能够满足学校网络出口路由及高并发的NAT转换需求,以及对接IPV6网络。
认证计费网关采用2台电信级多业务网关华为ME60设备,配合深蓝计费软件,完成整网的准入认证,准出流量计费需求。
接入认证服务器(BRAS)建议采用两台热备,因为采用pppoe认证所有的ppp连接终结在BRAS设备上,一台设备故障将影响整网的上网业务。
华为BRAS双击热备部署,能够实现单台设备宕机,用户无感知,无需重新拨号的要求,保证用户良好体验。
ME60与核心交换之间采用万兆链路互联,保证数据的高速畅通。
汇聚交换机采用华为S7700系列T比特核心路由交换机通过万兆链路汇聚到核心设备上,S7700系列交换在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现高清视频流承载、大容量无线网络、弹性云计算、硬件IPV6、一体化安全等业务应用,同事具备强大的扩展性和可靠性。
楼宇小型汇聚,建议采用S5700系列交换机,其便利的U盘开局特性及双内置冗余电源的行业市场独特需求考虑,具有非常高的稳定性,很适合楼层的接入汇聚。
2.2认证计费方案设计
2.2.1认证计费系统需求概述
湘南财院校园园区网涵盖有线网络和无线网络两部分,在有线网络中需要覆盖的接入场景包括:
学生宿舍、教师办公区、实验室、教工家属楼等,无线网络主要覆盖教师办公楼宇会议室、图书馆等公共场所,在认证方式上以802.1x和Portal认证为主,随着校园带宽的扩容和认证需求与场景的多样化,当前学校的认证计费系统与设备不能满足网络演进的需要,计划在现网引入专业的BRAS设备和认证计费系统增强对网络运营保障,经过调研与研究分析,对本次校园认证计费系统改造的需求梳理如下:
2.2.2系统对现网的业务的兼容
(1)现有802.1x接入认证方式不能满足多类型终端接入网络的需要,本次新建设的认证计费系统与BRAS设备需要对现网的业务兼容,同时应能满足网络PPPOE、IPOE和Portal等多种接入认证的功能需求;
(2)针对校园有线和无线网络部分,计费系统与BRAS设备需要满足现网有线无线统一认证与计费的要求;
2.2.3方案与设备选型应具有一定的前瞻性、高可靠性
(1)随着校园教学应用系统与视频业务的增加,校园内对网络带宽的要求越来越来高,迫切需要增加校园网络出口BRAS设备的转发性能,满足校园内网的交换也应满足将来武汉七所高校网络互联、网络IPv6演进、互联网带宽与网络流量再度多次翻倍扩容的需要;
(2)BRAS设备为校园出口网络的关键设备,是设备、网络协议,组网方式上不仅需考虑高可靠性与冗余性的设计,又要考虑网络接入业务在设备承载上的负载分担,高效的利用所有网络设备,并确保网络业务的长期正常运行;
2.2.4满足校园网络接入场景与认证复杂需求
Portal与PPPOE方式均需支持;
(2)教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。
(3)对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;
(4)计费系统应有针对用户进行时间补偿的功能,应用场景:
(5)对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且上线时做单独的账户和密码认证。
(6)主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。
(7)支持对于各个学院的专线接入开会功能,如实验室采用专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制;
(8)对于打印机的接入做MAC地址认证和IP绑定;
2.3华为认证计费方案
考虑到目前校园网络发展的几个趋势,诸如:
“千兆到桌面”、“数字化校园”、“多业务并行”等,同时结合湘南财院于多业务场景接入、;
灵活管理运营的相关要求,经过前期的交流调研,华为公司针对此次认证计费系统改造的解决方案如下:
在校园网的核心出口推荐部署两台华为公司MSCG专业设备ME60作为既作为用户接入认证和计费网关又作为校园网核心出口路由器,两台ME60间采用万兆口互联,两台设备间启用VRRP+,BFDforFRR等冗余保障及链路故障倒换协议,使得两台ME60互为热备,在用户接人会话数和流量上进行1:
1负载分担。
认证计费系统采用深澜公司Srun3000多接入认证计费平台,作为Radiusserver、PortalServer和Policyserver、深澜用户自助管理平台。
2.3.1网络拓扑
在网络拓扑方案中出口两台ME60与联通、电信、CERNET等网络全连接,出口实现多设备、多链路冗余备份。
深澜统一认证计费平台通过内部网络与两台ME60连接,两台ME60之间做双机热备,实现校园出口和核心路由器的冗余热备。
ME60下行与核心交换机集群连接,各个接入网络的楼栋、宿舍和办公区域都直接汇聚接入核心交换机集群。
无线部分即可直接接人核心交换集群,也可在无线网络的最近汇聚交换机上接入。
图2改造后的网络拓扑图
2.3.2用户接入
2.3.3有线用户接入
(1)接入交换机配置用户VLAN。
汇聚交换机添加外层VLAN。
S7700透传到ME60,由ME60终结QINQ报文。
(2)ME60作为用户网关,IPOE用户上线到ME60转DHCP服务器给用户分配IP地址,在通过认证之前用户只能访问认证前域的服务器,用户的第一个HTTP报文进行重定向到Portal服务器,实现WEB认证,认证通过后允许用户访问认证后域。
(3)ME60作为用户网关,PPPOE用户直接到深澜AAA服务器进行用户名和密码认证。
(4)有线用户基于楼栋交换机每VLAN,楼栋互访通过楼栋交换机同VLAN互访,跨楼栋和区域互访经过ME60转发。
2.3.4无线用户接入
(1)AP与AC二层可达,AC作为AP网关并且为AP分配IP地址,AP和AC建立Capwap隧道,实现AC对AP的管理。
(2)AP选择本地转发模式,对于无线终端上行的报文进行SSID到VLAN的变换,汇聚交换机添加外层VLAN,S7700透传到ME60,由ME60终结QINQ报文。
(3)ME60作为用户网关,无线认证通过后给用户分配IP地址,Portal认证通过后才能访问外网业务。
(4)无线用户通过在AP实现二层隔离,互访流量经过ME60。
2.3.5网络VLAN划分
(1)用户通过统一VLAN接入各楼栋汇聚交换机,支持楼栋内互访。
(2)区块汇聚交换机(教工用户、教学用户等汇聚),在楼栋交换机上打区块外层VLAN。
(3)核心交换机透传QinQ报文,在ME60的BAS子接口终结。
(4)无线网络用户整网统一规划管理VLAN1000,与AC6605互通。
图3网络VLAN划分
2.3.6深澜Srun3000系统
深澜公司Srun3000系统为国内各高校主流采用的认证计费系统,本次方案也建议采用该系统与ME60对接配合用于校园网络的运营。
Srun3000安全认证网络管理计费系统由Srun3000Portal,Srun3000用户自服务平台和Srun3000Radius认证计费平台组成,Srun3000认证计费系统包含的业务模块和运行环境包括:
图4Srun3000认证计费系统
(1)Srun3000Portal:
配合ME60弹出用户定制的认证页面,根据用户的认证条件,比如认证的身份,位置,方式,返回相应的控制属性给ME60,实现对用户的Portal认证控制,同时在Portal上提供方便的用户自助服务平台,实现用户自助。
(2)Srun3000UserManager用户管理系统:
用于管理所有的用户,包括任何级别的管理员、收费员及角色管理系统;
支持虚拟化技术,具体的功能见附件列表。
(3)Srun3000Radius认证计费平台:
为多种接入认证方式提供认证,授权,计费,支持多种NAS设备,为多种接入BRAS提供了专门的属性扩展,并提供COA技术,实现由RadiusServer端发起用户的下线,授权变更,对用户的上网做完整的控制,Srun3000Radius采用内存认证技术,内部可以最多存放10万条明细,支持在链路中断的情况下独立运行,同时配合NAS支持主备Raidus平滑切换。
(4)Srun3000Log日志记录系统:
采用数据镜像采集,数据外部输入等多种数据采集技术,配合负载均衡设备,可以忠实的记录用户上网的URL,提供全部用户的上网日志,智能的存储技术,可以在上千万条URL记录的情况下快速定位问题URL。
(5)Srun3000智能客户端:
Srun3000提供多种认证客户端,PPPoE,802.1x,L2TP,在客户端提供了消息推送,用户自服务,用户认证信息保存的多种方便的功能。
2.3.7认证计费场景设计
经过前期交流和需求调研了解到校园内有如下几种用户和计费场景:
学生用户:
学生用户分为具备外网出口权限和不具外网出口权限两种用户;
教师用户:
教师用户在办公区和家属区上线;
教工用户:
教工用户为在教师家属区上线用户;
专线用户:
特定的学院或是实验室通过专线形式接入,不对专线用户下的二次用户接入进行再次认证;
主账号与附属账户用户:
学校导师或是科研团队,通过一个主账户认证计费,主账号的附属账号同时具备上线权限,计费控制在主账号上统一管理
打印机等无拨号功能设备的接入;
针对以上接入用户需求,设计认证与计费方案如下:
2.3.8DAA根据目的地址计费
DAA是destinationaddressaccounting的简称,在ME60上部署DAA功能实现了对用户接入业务访问目的地址的差别进行管理,根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。
在校园网内,用户上线后一般访问教育网内不收费或者收很低的费用,而且是不限速的,而如果访问教育网外的Internet,需要收取较高的费用,同时限制一定的带宽,通过此功能可以实现访问校内资源不计费,访问外网或是教育网采用不同的计费策略。
2.3.9教师在不同地点上线采用不同的计费策略
教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。
教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费。
ME60根据用户上线携带的不同VLAN或是Option信息通过Radius报文上报到srun3000,在srun3000上可以根据这些信息做漫游计费,在特定的源地址和VLANID可以不做明细计费,同时允许多个用户同时拨号,统一计费。
2.3.10通过srun3000满足计费功能
(1)对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移,srun3000系统中按开通日期结算功能,可以实现用户暂停服务后开通,就按开通日期延后一个月的日期结算。
(2)计费系统应有针对用户进行时间补偿的功能,如果某一地块网络故障,则需要对该地块的上线用户赠送5天免费上网的补偿,srun3000系统的计费模块有赠送流量或是时间个优惠模式,通过这个功能可以在套餐管理中实现。
(3)对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且上线时做单独的账户和密码认证。
主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。
学校一名教师申请了一个科研课题,拿出一定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则所有子账号也均不能再上网。
目前srun3000系统还不具备这个功能目前需要开发定制。
2.3.11实验室和学院的专线接入
针对实验室和学院的专线接入采用以太网二层专线接入方式。
专线(LeasedLine)接入业务是指将ME60的某个以太网接口或者接口下的某些VLAN整体提供给一组用户使用的业务。
一条专线下可以接入多台计算机,但是在ME60上只表现为一个用户,ME60对专线进行统一的认证计费、带宽控制、访问权限控制以及QoS控制。
2.3.12办公打印机等网络设备的接入
将打印机视作一个接入用户,认证方式采用MAC地址认证,在打印机上线发出DHCP
请求时触发认证,在ME60上配置打印机的MAC地址绑定IP地址。
与正常宽带用户上线不同的是打印机上线后没有外网访问权限,通过接入子接口的路由导入与教师办公楼进行互通,根据打印机的密码访问打印机。
也可对交换机做静态认证,默认为特定用户的方式在线。
2.3.13Srun3000系统功能应用
Srun3000安全认证网络管理计费系统10年高校认证计费的经验,形成了对高校接入认证的完美理解,系统提供了针对高校的特点的许多特有的功能,比如用户特有的漫游策略,国内,国际地址的区分策略,防IPMAC盗用,灵活的带宽控制策略,方便的高校特色的用户自助等等。
2.3.14高可靠设计
为了提高Radius系统的可靠性,Srun3000Radius采用了内存认证的方式,使得Srun3000Radius的独立性很强,采用定时同步的方式维护内存用户表的完整性,和用户的数据库保持一致,内存表最多可以容纳10万条记录,同时存放了用户的全部的认证相关信息。
采用独立的内存认证方式,使得Srun3000Radius的认证效能是其他Radiusserver的10倍。
后台数据库(包含日常运营数据数据库和访问记录服务器)服务器放置在学校网管中心,负责实时存储Srun3000安全认证网络管理计费系统运营产生的所有信息,方便各管理模块的查询。
Srun3000安全认证网络管理计费系统负责用户的接入、认证、计费控制的主要系统,是整个系统中最重要的部分,Srun3000具有自带的数据保护技术,支持数据库故障和认证网关故障的数据安全,后台的数据库故障:
Srun3000Radius保存有数据库故障前的所有用户资料,因此Srun3000可以独立运行完成用户的认证请求,Srun3000认证网关利用内置的数据保护系统可以存储多达20万用户的用户完整信息、用户状态、可以存储200万条用户明细记录和登陆记录,由于Srun3000具有完整的用户信息,包括用户余额,结合设置的计费策略,Srun3000可以实时依据余额判断用户可用时长及流量并根据用户的使用情况进行实施控制,避免用户产生欠费。
待后台数据库恢复后,可以将Srun3000的信息恢复到数据库中。
2.3.15多认证模式统一部署
Srun3000支持多种接入认证模式:
WEB、DHCP+、VLANID、802.1x,专用客户端、pppoe、L2TP等,支持无线网络的统一认证。
Srun3000系统设计采用了多体系模块化设计,管理功能模块既可以分散部署,也可以集中部署,根据可靠性、安全性、预算,学校可以很灵活的进行部署,并具有完
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 文档 项目 任务 校园网 认证 计费 系统 设计