下载文档原格式
高校宽带认证计费解决方案一、前言校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。
随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。
各个学校根据自身特点,选择一套合理、有效的认证计费系统是十分有必要的。
中国的高校信息化建设经过从无到有的多年发展,许多高校正在或已经完成了校园网的建设,并经过一段时间的运行,校园网已为教育的信息化做出了贡献。
以太技术在校园网接入层的普遍采用,相对来讲,由于以太技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。
针对不同的校园规模,针对不同的用户群体,校园网的问题和需求在不断的变化,星峰航提出一套具备校园网运营特点,针对校园网的独特用户群体,特殊网络结构的方案是校园网认证计费解决方案的发展方向。
技术日新月异,很多国内外领先的网络厂商大都提出了校园网可运营的理念,以适应现代校园网“以网养网”的需求。
为了能够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台,社区网络中心需要对各种宽带接入技术进行严格的认证、选择,为建立“可管理”的网络打好基础。
在当前宽带技术的发展领域中,PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。
二、校园网的特点以及所面临的问题校园网是一个功能复杂的网络,与其他的网络相比有其独特的一面:教育网和Internet 混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。
而且,校园网用户是一群最有活力的用户群体:掌握新技术最快、最会使用新技术、最有挑战欲望。
同时,以太网技术在校园网接入层被普遍采用,相对来讲,以太网技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。
当这些因素碰到一起的时候,校园网遇到比较突出的如下几个问题:⏹网络Interet出口拥塞,需要对出口带宽进行有效管理。
校园网Internet出口带宽有限,高校学生无限制的使用出口带宽或者使用P2P工具进行下载,首先造成出口拥塞,出口的拥塞接着造成更多用户加入带宽的争抢,致使出口更加拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络出现拥塞,所有用户不能正常上网。
2021.2-3中国教育网络63近年来,互联网新应用的不断发展导致师生的工作、学习和生活与网络结合更为紧密,互联网应用朝着大带宽、大存储和云计算的方向大步迈进,网络教学、在线学习、视频新闻、社交媒体等与音视频相关的互联网资讯必然带来用户的大流量使用需求,这使得校园网的用网量激增。
伴随着校园主干网络的速度提升、上网终端数的稳步增长以及用户传输数据的大量增加,出口带宽成为了制约校园网无限制使用的重要因素。
在校园网出口带宽资源相对有限、需重点保障正常的教学、科研用网需求的前提下,如何响应国家对上网提速降费的号召,同时回应学校师生对校园网资费标准改革的呼声,尽可能地满足师生的用网需求,这是目前每所高校所面临的实际问题。
计费管理是网络管理的一个重要环节,对校园网制定合理收费政策非常重要,它可以保障互联网系统的稳定运行与可持续发展,并敦促校内师生更为合理的使用网络资源。
为使校园网更好地服务于教学科研工作,中国农业大学在2020年底进行了校园网资费管理政策的调研,本文将结合调研情况,总结目前高校校园网的主要上网收费管理模式并进行综合分析,最后结合中国农大实际数据,对学校上网资费改革提出初步建议。
校园网上网计费模式高校校园网目前的上网政策主要有包月、按流量、按时长、按套餐、免费、代拨等多种计费模式。
模式1:包月计费包月计费即是每个月向用户收取固定上网费用,用户则可享受自然月内不限上网流量和上网时长的一种计费模式。
校园网包月上网曾经很普遍,但随着上网大带宽应用普及,校园网出口所需带宽资源越来越大,而包月计费存在因无节制上网带来的带宽浪费和出口拥堵情况,因此在2012年前后,较多高校纷纷转入了按时长/流量计费或套餐计费的管理模式。
模式2:流量计费流量计费则是根据用户使用网络时所产生的数据流量(一般按下行流量)的大小收费,它是现阶段大部分高校所采用的计费方式。
不同高校的流量计费模式又在有无赠送免费流量、超限额流量统一单价计费、超限额流量阶梯单价计费、有无流量计费封顶、有无流量或连接数限制等几个纬度上存在差别。
RG—SAM系统在高校校园网中的应用及常见问题处理作者:董珺祝瑞玲来源:《中国科技博览》2013年第09期[摘要]山东传媒职业学院从2008年建成校园网络开始就一直使用RG-SAM系统进行校园网络的接入管理、计费管理和安全管理,收到非常好的管理效果,成功实现“以网养网”的管理模式。
并总结出使用过程中的问题处理经验。
[关键词]校园网;RG-SAM;计费;部署;管理;问题;处理中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2013)09-0304-021.RG-SAM系统概述RG-SAM系统是一套基于标准的RADIUS协议开发的认证计费管理系统。
该系统在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理,和对外统一接口等。
大大降低了用户的投资成本,使得管理效率得到了很大的提升。
RG-SAM系统在“高安全、可运营、易管理”三个方面具有业内类似产品无可比拟的优势。
RG-SAM通过RG-AC集群部署方案,在有限的硬件设备投入下,提供最安全、最稳定的全面解决方案,同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案;另外,以好用、易用为原则,Web访问形式的友好界面,为用户提供贴心的使用形式。
RG-SAM系统追求的是为用户创造高稳定性、高性能的运营环境,实现用户入网即认证,帮助网络管理者以最小的投入开辟“以网养网”的运营之路。
(图1)2. RG-SAM部署方案当前,SAM系统在我院校园网的部署方案如下:(图2)2.1 网络拓扑结构RG-SAM支持标准的802.1X协议,可以与其他厂商支持相应标准的产品兼容,同时为了完全可以兼容其他厂商的交换机,锐捷开发了兼容性组件,配合锐捷的兼容性组件,可以实现802.1X协议方面的全功能支持,例如:发短消息,用户存活探测、防代理等。
以上这种拓扑方案具有以下优点:RG-AC高可用集群技术、统一运营,分区管理、随需定制的计费策略、全面优化的统计报表、管理精细化、必需入网即认证,注重安全、看重运营计费,需要合理化、差異化的运营策略、实现与数字化校园对接。
校园网认证计费解决方案1. 校园网认证计费需求分析校园网建设已经有十多年历史了,多数学校校园网建设已经形成规模,但校园网运营状况不是很理想。
很多学校的校园网,都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象,网管中心忙于应付网络突发故障。
加上几年院校合并,几张校园网拼成一张校园网,导致很多院校的校园网运行不稳用户身份认证和计费困难。
目前校园网认证计费存在:多厂家交换机,统一认证计费存在技术困难;认证计费不精确,不能按精确流量计费。
校园网迫切的需要一套精准的计费系统,可运营易管理的网络。
2. 技术方案2.1 组网方案校园网包括的信息点数量较多,采用核心、接入二层的扁平化网络层次,出口防火墙与核心交换机之间部署BRAS设备,实现所有上网用户的接入认证。
本架构模型如图:1)核心层在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。
鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。
现在的硬件加速系统具备以线速提供复杂业务的潜能。
建议在网络核心采用“越简单越好”的方法。
最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。
核心层用于承担校园网各分布区域的子网互连。
核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。
基于以上的基本数据流量模型分析,采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。
2)接入层主要承担各信息点的接入。
接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。
接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。
为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备ACL功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。
《校园网认证计费体系的构建经验之谈》科技的进步,带领我们进入了一个快速发展的信息时代。
随着网络的进一步普及,校园网也成了学校和外界交流的重要平台,同样也是校园文化建设不可或缺的一部分。
校园网的应用益处是有目共睹的,为广大教师、学生和科研管理人员提供了一个全新的工作环境,改变了原有的信息获取方式,促进了信息交流、资源共享和科研合作,不仅如此,如今的校园网络也成了各校评优争优的重要考察项目。
但是物有两极,有优势也有弊端,用户的复杂性及多样性是校园网必须要克服的硬伤,于是对校园网有了安全认证的需求,网络需要正常安全的运行,计费认证成了不可或缺的需要。
一、构建校园网认证计费体系的重要性①实名登录互联网是国家相关法规的要求根据国家网络安全管理的相关法规,国家公安部、国家教育部的相关文件要求和省市公安、教育、文化等部门的要求,互联网使用单位必须落实上网人员身份认证和日志留存等相关技术措施,并对上网内容和网上行为提供审计功能,记录备份需保存60天以上;必须健全安全组织、安全管理员、信息审核员的安全责任制度。
因此,上网人员身份认证和日志留存是国家对互联网安全管理的强制规范。
②认证计费有助于控制流量、缓解出口拥堵随着网络用户的不断增多,出口流量骤然增大。
根据网络中心流量信息统计,校园网日常流通量中的很大一部分与教学、科研、管理无关。
这部分流量对于校园网的正常运行构成了很大的冲击,经常造成校园网流量过大,甚至出口阻塞。
为保证校园网的正常运行,必须实施校园网出口总体流量控制,采用认证计费是有效控制流量、缓解出口拥堵的有效途径之一。
③认证计费有助于加强和规范校园网管理、控制随意浪费为保障校园网的正常运行以满足教育、教学、科研和管理工作的需要,学校每年都要投入巨额经费来支付线路租用、ip地址使用、网络设备升级维护等费用。
为了更好地实现校园网的规范化管理,学校将对校园网的使用实行成本核算,办公、教学、管理和科研等公用联网用户产生的合理费用由学校承担;学生宿舍用户和流动用户实行适度收费服务,但不以盈利为目的。
校园网认证计费系统解决方案目前大部分高校校园网采用802.1x认证或者Web Portal认证,这两种认证方式为当前高校校园网主流认证方式,如果学校采用的是802.1x认证,则可能会出现不同厂商的认证计费平台与接入交换机不能互通的问题,针对校园网接入设备品牌多样的特点,无论学校采用哪个主流厂商的接入交换机,都可以通过神州数码DCSM综合接入平台实现终端802.1x认证,并且实现一些诸如多元素绑定、即时消息、强制下线等一些辅助功能,DCSM还可以与神州数码接入交换机相配合,实现Web Portal方式内网准入认证,同时DCSM也可以与DCFS相配合,实现出口统一Portal认证,通过神州数码专利的二次转一次认证技术,也可以实现只认证一次,校内免费访问,校外访问计费的功能,可以根据学校的不同需求灵活选择。
神州数码网络认证计费解决方案特点神州数码根据多年教育行业的建设经验,针对校园网运营的特点,以及当前所面临的问题,于2009年推出DCSM内网安全管理系统,作为认证计费管理的核心产品,DCSM通过五个统一、十个一体化够解决当前高校在安全管理与认证计费方面所遇到的问题。
*Web和802.1x一体化的价值通过认证计费管理平台实现Web和802.1x一体化,可以方便的与接入交换机及出口网关设备相互通,对不同的区域可以根据学校需要采用不同的认证管理方式,例如对于学生宿舍区采用控制力比较强的802.1x认证方式,在接入端实现终端多元素绑定,对于教师办公区域,可以采用灵活方便的Web Portal的认证方式。
*准入和准出一体化的价值通过认证计费管理平台实现准入和准出一体化,校园用户只需要1套帐号密码,经过1次认证就可以实现访问内外网的需求,同时也可以实现内网访问只认证不计费,外网访问计费的方式。
通过认证平台与出口流控设备的互动,可以实现非常灵活的计费方式,不仅可以按照上网时长计费,也可以根据流量计费或根据带宽计费。
校园网认证计费方式分析摘要:随着宽带互联网的飞速发展,多数高校都建成了覆盖教室、图书馆、师生公寓、办公楼的校园网,有的甚至还部署了wlan,实现了校园网接入的无缝覆盖,为师生提供高速互联网接入服务,校园网在很大程度上已不再是一个小的局域网,就其用户规模来说,可能相当于一个区域网甚至市级网,因此校园网可运营的理念应运而生,以适应现代校园网“以网养网”的需求。
一、校园网的特点校园网具有可运营的特点,但与基础电信运营商的网络运营业务相比又有着鲜明的特殊性:(一)网络构成相对复杂,公共服务网络和部分运营网络共存。
(二)用户规模大且主要集中在校园内,一般为在校大学生和教师。
(三)上网时段相对集中,主要集中在课余时间,网络高峰时段相对固定,同时存在突发流量大的特性。
(四)网络应用需求多样,主要是消耗带宽的新技术(如bt等p2p软件)。
(五)网络管理难度大,一是计算机病毒、盗版资源泛滥;二是大学生大都处于20岁左右的年龄阶段,非法、不健康的网络不良行为突发性高。
二、校园网运营管理面临的主要问题(一)校内用户私接代理情况比较普遍,容易造成费用流失。
(二)cernet和internet同时接入,需要提供区别服务。
(三)教师和学生往往要区别收费,需要提供灵活的计费方式。
(四)网络internet出口容易出现拥塞,需要对带宽分配进行有效管理。
(五)计费数据采集困难,对运营管理带来难度。
(六)网络不良行为控制困难,无法进行有效的记录。
针对校园网自身的特点和运营管理中存在的主要问题,采用合理的认证计费策略是校园网运营的基本保障,本文就目前校园网主要的认证和计费方式进行分析讨论。
三、校园网的接入认证方式校园网有多种接入方式。
通常教研室、机房、图书馆甚至是宿舍都是通过局域网连接在一起,有的学校还提供远程拨号访问,要对所有接入用户进行统一管理。
(一)用户接入方式1.pppoe方式。
用户之间相互独立,互不干扰,用户的ip地址分配是在ppp链接建立以后,由server分配,不受其他dhcp server的影响。
锐捷SAM认证计费系统优势阐述锐捷SAM作为中国高教行业最早、最成熟、应用最广的高校认证计费系统,有着其他厂商不可比拟的优势,先将本次项目中锐捷SAM认证计费系统的优势做以阐述,主要有如下几点:1)认证优势:锐捷SAM认证计费系统接入认证采用802.1X或Web两种方式对接入用户进行认证,与锐捷交换机联动,从网络边缘就对接入用户进行管理控制,未通过认证客户,不仅无法访问外网,对于内网也无法访问,避免了非法用户接入带来的病毒传播、网络攻击等行为。
其它厂商使用网关方式认证,用户未通过认证,虽然不能访问外网,但是如果有病毒或者其它的网络攻击行为,必然会影响到接入网络的正常用户使用。
即使其它厂商采用RADIUS认证,结合交换机的802.1x进行认证联动,也仅仅是实现简单的用户接入认证,对于认证服务器故障类的时间,没有有效的解决方法,一旦发生,全网用户都不能接入网络,将会严重影响正常教学。
而锐捷SAM结合锐捷智能交换机,可以实现逃生功能,当认证服务器故障时,接入交换机会自动关闭交换机端口的认证,用户可以正常访问网络,不会影响到教学和应用。
2)安全优势:锐捷SAM认证计费系统与锐捷智能网管交换机联动,可以实现动态策略的下发,灵活的控制用户的接入认证方式。
其它厂商软件不能与交换机进行智能联动,仅仅实现简单的802.1x认证,安全性差。
3)出口设备联动优势:锐捷SAM认证计费系统与锐捷出口流量控制设备进行联动,可以有效的对学生的流量及带宽进行有效控制,可以实现动态灵活的带宽策略。
例如,周一至周日,白天工作时间,学生大多在上课,教学应用带宽需求大,通过SAM与锐捷流控设备联动,对教师接入和机房设备分配较大带宽,保障关键教学应用;晚上下班后及周末,教学应用对带宽需求较小,SAM与锐捷流控设备联动,可以实现动态的带宽分配,自动减少教学及机房设备的出口带宽分配,将较大的带宽分配给学生使用,实现高效的带宽复用。
满足不同时间段的不同带宽控制需求。
