下载文档原格式
论校园网计费管理系统的构建宋文生(黄冈师范学院湖北黄冈)摘要本文针对我国校园网络的建设现状,分析了校园网络认证与计费的需求,阐述了认证与计费系统的构架。
关键词W EB 认证计费系统基金项目本文系湖北省教育厅重点科研课题,项目编号为B 5网络教育为人们提供了一种全新的学习方式。
它为学习者提供个性化学习的条件,有助于实现交互式学习,有利于促进教育社会化和学习社会化。
但同时,校园网也带来了新的管理及计费的问题。
采用合理的计费管理系统是保障校园网正常稳定运营的关键。
1校园网认证与计费需求分析校园网对于接入用户进行账号/密码、IP 地址、MAC 地址、交换机端口等多元素绑定,以确定用户身份,能够有效地对用户进行接入控制,做到入网即认证。
从功能上来说,学校希望在实现用户管理、灵活计费等基本功能基础上,还能够为用户提供自助查询服务,并且能够对管理员账号进行分级管理,支持远程登录的管理方式。
对于系统的安全性,要求系统能够有效解决IP 地址冲突及盗用问题,有效控制用户私自架设代理服务器的行为。
1.1认证方式与计费方式的多样性目前业界有两种主流认证方式可以选择:基于网关和基于交换机的认证方式。
其中,基于网关的认证计费方式又包括两种主流技术:PPPOE 与WEB PORTAL ;基于交换机的认证计费方式主要是802.1X 技术。
为满足各种需求,要求计费方式多种多样,比如包月无上限,包月有时长上限、超限后计费,包月有流量上限、超限后停机,包月有流量上限、超限后计费,计流量,计时等,支持卡业务批量定制上网卡、充值卡。
1.2访问控制的合理性一是接入层网络设备需要支持基于MAC 地址802.1X 功能和基于端口802.1X 功能,以保证账号的唯一性;同时,支持远程I T 管理及远程开关交换机端口功能;此外还要求适应大量用户同时并发认证及复杂的工作环境等。
二是核心交换设备要求具有强大的处理能力和良好的安全、可靠性、可扩展性;支持各种成熟技术,能升级到万兆。
校园网认证计费解决方案1. 校园网认证计费需求分析校园网建设已经有十多年历史了,多数学校校园网建设已经形成规模,但校园网运营状况不是很理想。
很多学校的校园网,都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象,网管中心忙于应付网络突发故障。
加上几年院校合并,几张校园网拼成一张校园网,导致很多院校的校园网运行不稳用户身份认证和计费困难。
目前校园网认证计费存在:多厂家交换机,统一认证计费存在技术困难;认证计费不精确,不能按精确流量计费。
校园网迫切的需要一套精准的计费系统,可运营易管理的网络。
2. 技术方案2.1 组网方案校园网包括的信息点数量较多,采用核心、接入二层的扁平化网络层次,出口防火墙与核心交换机之间部署BRAS设备,实现所有上网用户的接入认证。
本架构模型如图:1)核心层在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。
鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。
现在的硬件加速系统具备以线速提供复杂业务的潜能。
建议在网络核心采用“越简单越好”的方法。
最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。
核心层用于承担校园网各分布区域的子网互连。
核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。
基于以上的基本数据流量模型分析,采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。
2)接入层主要承担各信息点的接入。
接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。
接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。
为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备ACL功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。
目录摘要 (3)Abstract (3)一.需求分析1.1 设计任务 (4)1.2 需求分析 (4)二.802.1X协议2.1 802.1x认证特点 (5)2.2 802.1x工作机制 (5)2.3 802.1x工作过程 (6)2.4 802.1x应用环境特点 (7)2.5 802.1x认证的安全性分析 (7)2.6 802.1x认证的优势 (7)2.7 802.1x认证的过程 (8)三.设计过程3.1 802.1x相关设置 (8)3.2 802.1x典型配置 (10)四.调试分析4.1 配置调试 (12)五.总结5.1 心得体会 (15)六.参考文献 (15)摘要数字化校园是数字化、信息化、智能化的统一,它在网络和数字化信息的基础上,利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理,在传统校园基础上构建了一个数字化空间,使这些信息资源能够有序地运转,更好地为教学、科研、管理和生活服务。
随着现代信息网络技术的发展,信息网在逐渐的庞大,同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。
从一定意义上讲,校园网的建设是衡量一个高校综合实力的重要标志。
学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。
建设数字化校园目的就是充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理的水平,实现学校信息化管理,为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。
建立统一身份认证系统,对用户的身份集中统一管理,保证用户电子身份的惟一性、真实性与权威性,大大提高了数字化校园应用系统的安全性。
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
北京易讯正通宽带认证计费系统方案1 项目介绍贵单位现已经安装宽带设备,但现在对安装用户采用简单的包月计费方式,关于宽带业务的管理系统还不够完善,因此需要引进设备加强管理。
1.1 需求分析根据实际情况,首先要实现两个方面功能,一个是除了包月外,还需要实现包时长、按照时间、流量计费等更丰富的资费策略,另外一个是为了方便宽带业务管理。
易讯正通公司提供了两套满足不同适用需求的产品:宽带认证计费系统和宽带业务管理。
1.2 网络方案宽带认证接入设备1宽带认证计费服务器WEB 服务器DSLAM DSLAM 交换机局域网用户局域网用户宽带认证计费管理系统网络拓扑图北京易讯正通网络通信技术公司宽带管理系统(WEB 方式)路由器ChinaNet宽带认证接入设备2DSLAM防火墙程控计费系统网卡1网卡2转换接口Consel 口汇聚交换机1.3 组网方案说明宽带认证接入设备都支持Radius 协议,所有经过认证接入设备上宽带的用户只要在BAS 设备上的进行相应的系统参数设置,就可以让宽带用户必须经过身份认证后才能上网。
用户上网的计算机需要安装PPPoE 认证客户端软件,需要跟每个用户分配帐号和密码(帐号可以与电话号码一致,如果没有安装固定电话的用户,帐号单独生成),用户密码可以登录到自助的WEB 页面中修改。
一台宽带认证计费系统可以同时支持多台(不限制)宽带认证接入设备进行认证。
对预付费用户而言,当结余金额不够时,用户不能上网;对后付费用户而言,当用户欠费日期超过设定期限时,用户不能上网。
另外,还有部分局域网用户,这部分不需要经过认证就可以上网。
对该部分用而言,如果用户欠费,我们可以通过Consel 口用Telnet 向汇聚交换机发送指令,实现关闭上网端口和恢复端口的功能。
只要服务器硬盘空间够,可以保存至少2-3年的历史数据。
1.4 已经对接成功的认证接入设备华为MA5200华为MA5300华为MA5600港湾Hammer10000港湾Hammer2024华为3COM设备中兴BAS设备思科BAS设备贝尔BAS设备UT斯达康BAS设备安藤BAS设备中太数据BAS设备1.5 业务数据同步在一台安装了双网卡的计算机上运行业务数据同步软件,交互以下数据:1、将在程控计费系统中受理的所有宽带业务数据同步更新到宽带认证计费系统;2、将在程控计费系统中缴费的纪录更新到宽带认证计费系统;3、将宽带认证计费系统中已经欠费的用户导出到程控计费系统;4、将宽带认证计费系统中上网详单、汇总数据导入到程控计费系统;5、用户档案同步;其他数据同步。
西安外事学院认证计费系统及无线网部署建议方案陕西志成大业网络技术有限公司第一章现有网络状况及需求分析1.1 现有网络情况目前西安外事学院的网络已经基本建设完毕,整个网络核心交换机及接入交换机采用H3C的交换设备,出口防火墙采用阿姆瑞特F1800作为学校到教育网、互联网的总出口,网络拓扑结构为星型结构,骨干链路的带宽为千兆,在核心交换机与千兆防火墙中间,采用了城市热点计费认证系统,由于性能原因目前已经停止使用。
由于计费认证系统的停用,整个网络缺乏的认证计费系统,因此对于校内学生访问网络缺乏认真计费手段,不能做到按网络用户进行收费,尤其是学生在宿舍楼内上网问题,目前的临时的解决方案是将有外网访问需求的学生集中在同一个宿舍楼内,以便于统一管理。
1.2 需求分析目前学校为提高学生访问网络的灵活便捷,计划在校园网内部部署无线网络,利用无线网覆盖部分宿舍楼及操场、图书馆等公共场所,便于教师及学生的上网。
但由于没有认证计费系统,一旦部署无线网络,将无法控制连入网络的用户,只要有无线网的地方,普通用户将匿名随意接入,一方面对学校的网络运营造成影响,另一方面也因其隐蔽性因对该人员不可查,因此在部署无线网以前,应在学校内部先部署认证计费系统。
从大的方面看,一旦部署认证计费系统,学校将能够对全网的用户进行认证、授权、计费等工作,网络用户的上网将不受地域的限制,另外利用认证计费系统,能够灵活的对网络用户进行分组并进行计费权限设置,例如校内教师上网可采用只认证不计费的方式,对学生除进行认证外,还进行计费,使学校的网络投入有更好的回报。
第二章认证计费系统的实施2.1 用户认证计费系统概述认证又称为AAA,它包含三个方面内容:Authentication(鉴别)、Authorization(授权)、Accounting(计费)。
Radius协议是目前应用最广泛,并已发展成为事实上的AAA标准协议。
使用Radius协议实现认证时,涉及到的环节如下:用户主机 AAA Server 计费软件用户主机与网络设备的通信方式:大致可分PPPoE、DHCP/DHCP+、WEB、802.1X 等方式;后面会专门介绍这几种方式。
运营商AAA方案一、引言随着移动通信和互联网的迅速发展,运营商面临着越来越多的挑战和机遇。
在这样的背景下,运营商必须不断提高其服务水平,以满足用户的需求,并在激烈的市场竞争中脱颖而出。
AAA (Authentication, Authorization, and Accounting)方案是一种用于运营商网络中用户身份验证、授权和计费的解决方案,它可以帮助运营商提高运营效率、增强用户体验,并提高其竞争力。
二、AAA方案的基本概念1. 认证(Authentication)认证是指通过验证用户的身份来确定其是否有权访问网络资源。
传统的认证方式包括用户名和密码、数字证书、智能卡等。
认证的目的是防止未经授权的用户访问网络资源,确保网络的安全性。
2. 授权(Authorization)授权是指根据用户的身份和权限,授予用户访问网络资源的权限。
通过授权,运营商可以根据用户的身份和需求,灵活地控制用户访问的资源和服务范围,保证网络资源的合理利用。
3. 计费(Accounting)计费是指对用户使用网络资源的情况进行监控和计费。
通过计费,运营商可以实时监控用户的网络使用情况,了解用户的需求,为用户提供个性化的服务,并根据用户的消费情况进行精准的计费。
AAA方案将认证、授权和计费整合在一起,通过统一的身份认证和计费系统,实现对用户的身份验证、资源授权和费用计费的自动化管理,提高了运营商的运营效率和用户体验。
三、AAA方案在运营商网络中的应用1. 移动通信网络在移动通信网络中,AAA方案被广泛应用于用户接入控制、流量控制和计费管理等方面。
通过AAA服务器对用户进行身份认证和授权,运营商可以有效地控制用户的访问行为,避免因用户滥用网络资源而导致的网络拥堵和安全问题。
同时,AAA方案还可以实现对用户通信费用的精确计费,为用户提供个性化的资费套餐和服务,提升用户满意度。
2. 互联网接入服务在互联网接入服务中,AAA方案也扮演着重要的角色。
赞普科技:Mydradius酒店宽带上网认证计费管理系统方案一、前言随着互联网应用和手提电脑的普及,客人需要简单方便,随时随地的宽带接入,客房宽带接入已经明确作为4、5星酒店的基本服务,同时也为酒店带来新的可观的营运收入。
因此,酒店成为宽带公共接入的热点,吸引众多宽带接入运营商的投资。
Mydradius酒店宽带上网认证计费管理系统是一套专业的酒店宽带计费系统,不仅完全适合酒店运作,而且也考虑到运营上与酒店的合作运营模式。
二、webPortal方式认证Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。
Web认证目前已经成为酒店网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。
Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。
三、计费运营的必要性3.1 多样化的收费方案是酒店宽带运营盈利的关键酒店推出的服务必须让顾客满意,这对酒店宽带服务也是如此。
单一化的收费方案往往因为缺少个性化服务,而受到客人的质疑。
其后果是一部分客人干脆就不上网,而必须上网的客人心里则感到不满意。
客人带着意见离开,这是每一个酒店管理者所不愿看到的。
因此要做到既能使酒店收益也能让客人满意,就必须推出多种服务方案。
比较成功的酒店宽带收费模式是比较灵活的:既可以包天,也可以按小时计费与按流量计费。
对于长时间需要上网的顾客来讲,包天就可能节省客人的开支,如果只按时间计费,顾客就会不满意。
而一般的客人不可能需要长时间的上网,他就选择按时间收费,即使每小时的使用费贵一点,他也可能接受,因为酒店已经提供了个性化的服务。
3.2 成为可盈利型酒店宽带运营的可行性方案为了解决以上的困扰,酒店不但需要引入宽带上网,而且要对网络进行合理而且有效的管理,同时,酒店作为集商务、娱乐于一身的场所,还需要提供多种的网络增值服务给客人(如 VOD 点播、在线游戏、旅游咨询服务等),而所有的一切都需要一套完善而成熟的计费管理系统来实现。
1.1 Mydradius 无线网络认证计费管理系统1.1.1前言Mydradius无线宽带上网认证计费管理系统是一套专业的无线宽带计费系统webPortal 方式认证Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。
Web认证目前已经成为无线网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。
Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。
真正的实现“即插即用”Mydradius无线宽带计费系统具有独特的“即插即用”功能,读者只要在图书馆利用自带的手提电脑或者租用无线设备实现上网,为读者提供了最大的便利。
进行统一计费、统一结算读者来到图书馆得到一个独立的账号和密码,通过WEB认证在图书馆的任意地点登录互联网,费用统一计入这一账号中,读者离开时可以与其他消费一起结算,并打出账单,此时该账号密码作废,不影响下次入住读者的利益。
有效的上网管理Mydradius无线宽带计费系统管理功能对读者的上网时长、时段、流量、带宽等实施组合限制,不仅可以保障读者上网资源,同时也为图书馆的管理者解决了后顾之忧。
同时通过对一些非法的IP地址过滤功能宏观的控制整个网络的访问目标地址,并可以实时的掌握网络运行情况,随时查看相关信息。
保证内部网络安全性Mydradius无线宽带计费系统拥有NAT网络地址转换技术,相当于防火墙的强大功能,将内部网络与internet 之间、图书馆内网之间实现隔离,保障了网络的安全。
1.1.2产品组成1网络计费网关网络计费网关是安装在一台专用的高性能的服务器上,有四个1000兆的以太网接口, 运行网络计费网关程序,实现对每个接入点进行接入认证控制,对认证成功的接入点实现网络全线速转发。
2、宽带计费管理软件Mydradius无线宽带计费管理软件是专业宽带计费管理软件,由多个功能模块组成:认证计帐、实时计费、用户管理、帐务管理、客户帐单查询、系统管理、管理员管理。
方案特点:ﻫ成熟先进的软件架构ﻫﻫ城市热点宽带认证计费系统的软件架构优势:•采用Tomcat+JDK+OracleDatabase的架构组合,相比典型的Apache+PHP+MYSQL开源组合,在稳定性、性能、扩展性、业界口碑等方面都更适用于构建长期运营发展的企业级应用。
ﻫ•充分利用Oracle Database产品的强大功能实现后台业务的封装.如数据压缩、RAC、备份/恢复、跨库协作、外部表高性能日志入库、支持SMTP、TCP等网络通信开发易与其它模块互联,强大的封装函数库,完善的脚本开发等都是其它数据库产品难以超越或达到的。
完全实现了RADIUS SERVER、Tomcat、Database的解耦,Database故障不会影响RADIUS SERVER正常认证。
ﻫﻫ•真正的跨平台部署,完美支持LINUX、WINDOWS等主流系统平台.管理界面支持主流的IE与firefox内核浏览器,自助服务界面支持所有主流浏览器。
ﻫ•采用SSH成熟的开源开发框架,便于实现团队协作,高效而规范,为高质高效满足客户定制化需求提供有力保证。
ﻫﻫ数字化校园接口ﻫﻫ随着高校信息化建设的脚步日益加快,数字化校园建设在各大高校如火如荼的进行着,数字化校园建设最重要的环节当属高校一卡通和高校宽带认证计费系统,城市热点Dr。
COM宽带认证计费系统支持与多种认证系统通过LDAP或RADIUS进行对接,2008年至今,已经和新中新、金智、三九、新开普、鑫三强、迪科等国内主流知名校园一卡通公司完成对接,能实现校园卡统一身份认证、收费、业务办理、圈存等业务,并成功与深圳大学、中国农业大学、华东理工、同济大学、南京邮电大学、河海大学、北京联合大学、云南财经学院等综合性大学完成校园卡对接。
ﻫﻫ在与深圳大学新中新校园一卡通对接的项目中,更是实现了认证与计费全业务接口无缝衔接,从认证方面,深圳大学师生宽带认证时只需要输入校园卡的查询密码即可通过认证,实现以校园卡为信息化建设核心,并与认证计费网关实现统一身份认证平台;从计费方面,城市热点开放了计费业务全接口,实现了刷卡开户、收费、扣费、定期圈存和自然月结算策略(运营商通用计费策略)以及缴费自动触发开户等个性化功能,以上举措让深大师生在校园宽带上的使用更加便利,缴费更加方便,计费更加准确合理,极大促进了数字化校园与宽带认证系统整合的步伐。
XXXX学院网络统一身份认证计费管理系统建设方案2016年03月目录一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案.................................................1.方案设计 ..............................................A.方案(串连网关方式).................................B.方案(旁路方式+BRAS,BRAS产品)四.认证计费管理系统与统一用户管理系统的融合.................4.1统一用户管理系统的融合 ................................4.2一卡通系统的融合 ......................................4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例.................................................6.1清华大学案例介绍 ......................................6.2成功案例-部分高校......................................6.3系统稳定运行用户证明 ..................................七.实施方案....................................................7.1实施前准备工作.........................................7.2认证计费系统安装.......................................7.3实施割接前测试工作.....................................7.4实施中割接、割接后测试工作............................. 一.计费系统设计规划XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。
因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。
在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。
有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。
二.方案建设目标针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方案。
➢实现全网用户统一身份认证和精准计费;➢解决现有系统的功能不足和改善用户端体验;➢实现全网统一管理,整体数据分析;➢现有网络设备升级,提升整体网络速度;➢实现一个用户账号可以全部认证,同时和校园一卡通,信息门户的对接,实现用户账号的同步。
➢实现用户无线、有线一体化,全网统一身份认证计费;三.总体方案1.方案设计A.方案(串连网关方式)系统部署说明:(网关实现精准流量计费和灵活控制)将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采用透明桥方式,此种方案具有以下几种特点:1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或者其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认证。
2.针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数)状态,到零自动切断用户上网。
3.针对每个用户可以进行动态带宽限制。
4.实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等。
5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。
6.教学区采用Portal认证模式,实现用户的方便认证,适应多种智能终端。
以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。
(清华大学万兆网关实际测试)B.方案(旁路方式+BRAS,BRAS产品)1.无感知认证(MAC认证模式)➢ 1.1 为用户分配固定的IP地址,用户在配置地址和网关后直接获得对应的访问权限;如需对用户访问权限进行控制,则可通过在认证计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控制。
➢ 1.2 通过DHCP为用户提供地址的动态分配功能。
用户终端接入后,即可通过DHCP获得IPv4地址,对应的网关和DNS服务器等信息。
在采用DHCP方式时,用户可以动态获得某个地址池中的地址,或者按照要求,基于该用户的MAC地址,为其每次都分配同一个IP地址,便于其在网络内提供相应的服务。
➢ 1.3 用户的IPv6地址建议通过ND/RA的方式获得,及IPv6无状态地址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种方式。
➢ 1.4 对于无需认证的用户,如果是通过DHCP方式获得IP地址,BRAS 多业务路由器以及后台的认证计费系统同样会对用户的信息提供记录,便于今后的查询。
采用BRAS多业务路由器做为二层接入认证管理设备,能够实现用户接入网络的精细化管理功能,BRAS多业务路由器为用户接入提供的DHCP流程中集成了认证模块,能够实现在用户PC接入网络获取IP地址的同时,就能够同步记录下用户的MAC地址、所在的具体位置(精确到交换机端口,包括内层VLAN ID和外层VLAN ID)、接入网络的时间、获取的IP地址等多种信息,并对每个用户细致的访问权限、上下行速率的控制,从而实现用户接入网络的可识别、可管理、可控制,而这个过程用户没有任何感知。
2.PPPoE认证BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能,通过用户侧的PPPoE拨号,能够实现在客户端与BRAS之间的PPPoE通道的建立,并同时基于PPP的协商实现用户的认证、计费功能。
PPPoE简要流程为:用户PC通过客户端发起PPPoE请求到后台接入服务器BAS,然后交付后台RADIUS进行认证及计费。
此方案的优势在于通过统一的BAS设备实现集中的接入管理和差异化的策略管理,如用户带宽的分配、QOS的优先级、营运记账等。
(PPPoE认证流程图)由于Me直接提供了用户接入网络时的PPPoE认证功能,相应的控制力度也更强。
用户均通过PPPoE会话实现到网络的接入和访问,相互之间由于PPPoE通道的隔离而互不影响,因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个网络的可靠性和稳定性。
另外,由于BRAS设备为运营商级设备,设备的处理能力,对用户的控制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权限管理、QoS等各种操作。
并且,在使用BRAS+PPPoE的接入方式下,在接入层是一张大的二层网络,用户间通过VLAN隔离,互相之间没有影响,避免了ARP病毒等问题;同时,对运营网的管理维护来说,管理员只需要管理大的BARS设备,接入层设备仅仅是二层接入,不需要在接入设备上作负责设置,极大的减轻了管理员的维护工作量。
PPPoE的拨号客户端在Windows系统中自带,也避免了客户端软件下发所带来的一系列问题。
3.WEB Portal认证(IPoE)Web认证(IPoE)需要与Portal认证服务器配合使用,主机首先通过DHCP得到一个IP地址(或是静态设置),通过HTTP重定向的方式强制用户与Portal认证服务器通信,也可以使用户只访问一些内部服务器;然后,接入服务器将用户强制连接到Portal认证服务器上,并在浏览器中弹出认证页面。
在该页面中输入用户名和密码,Portal Server把通过Protal协议将认证信息传送到BRAS上,对用户进行认证。
认证通过后,用户获得相应的访问权限,可以访问互联网或特定的网络。
在IPoE+Portal的认证方式中,用户的账号都是由Portal进行认证,这样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的出现。
而Portal在实际的处理机制中会把账号信息转交付给BAS,由BAS 向Radius Server发起AAA认证。
RADIUS认证结束后,BAS一方面会通知Portal给出相关提示给用户,如“认证通过,可以访问网络”,也可能是“认证失败,用户名或密码错误”等。
另一方面BAS会从AAA中获取用户的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。
上图是“IPoE+Portal”方案的一套用户上网流程,具体流程分解如下:(1)用户获取地址后,通过浏览器发起正常的HTTP请求;(2)从BRAS上来的HTTP请求被重定向(给Redirector设备;(3)Redirector设备直接回指给用户一个专门的Portal地址;(4)用户访问Portal设备;(5)Portal设备弹出页面,提示用户输入账号进行认证;(6)用户输入账号信息并提交给Portal server;(7)Portal将用户账号信息通过Portal协议转交给BRAS进行认证;(8)认证通过时,RADIUS一方面通知BRAS并给出相关用户提示;(9)另一方面,BRAS 根据用户的状态获取相应的访问策略;(10)Portal直接端到端给用户相关提醒,如“验证通过,可以上网”;(11)用户访问其他网页,BAS通过调整后的策略进行正确转发;用户将可以正常访问外网;(12)同时后台RADIUS进行计费策略;认证过程(支持PPPoE,L2TP,Web Portal认证),认证过程与串行、旁路方式无关,采用哪一种接入方式都可使用所有认证方式,需要接入的bras或核心交换支持。
