无线宽带接入统一认证计费综合管理系统可行性报告

1、无线宽带接入统一认证计费综合管理系统可 行 性 报 告一校园网运营的常见问题校园网是一个功能复杂的网络，与其他的网络相比有其独特的一面：教育网和Internet混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。而且，校园网用户是一群最有活力的用户群体：掌握新技术最快、最会使用新技术、最有挑战欲望。同时，以太网技术在校园网接入层被普遍采用，这决定了校园网的安全性具有较大的挑战。网络Internet出口拥塞，用户不能正常访问Internet，需要对出口带宽进行有效管理。校园网Internet出口带宽有限，是校园网络最为稀缺的资源。若干用户无限制的使用出口带宽或者使用P2P工具进行下

2、载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。同时，校园网的用户具有用网时间集中、并发在线人数众多、流量巨大且分布时段不均等特点，这些更加剧了网络拥塞程度。用户普遍使用路由器或者代理非法并机，造成管理困难和费用流失。在校园网内代理工具的使用非常严重，多个学生共享路由器或者代理上网的方式，不但给校园网络的管理带来麻烦，也使学校的出口拥塞、费用流失。如何真正有效防止校园网中的代理使用，是非常重要、紧迫的需求。网络的安全时刻受到威胁，网络需要安

3、全控制。考虑到以太网技术的经济性和实用性，以及校园网用户集中的特点，以太网技术在校园网络接入层被普遍采用。以太网技术最初是为企业内部组网使用的技术，其管理能力较弱，在校园网环境下，用户对各种网络技术的掌握程度较高，管理问题尤其突出：学生活跃、好奇、敢于尝试、攻击性强，同时，计算机蠕虫、病毒泛滥、盗版资源泛滥、网络不良行为突发性高。用户网络行为不规范，无法控制，无法进行有效的记录。盗用IP地址，修改MAC地址，用户名和密码的丢失，合法网络用户无法登陆网络，网络管理者如何解决？谁在访问非法网站？谁在恶意占用带宽？校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非

4、法网络行为被相关部门获得，如何提交有效的网络访问记录？计费数据采集难，运营管理得不到很好支持，需要对运营服务提供方便的后台支持。在最初的校园网络中，校园网络只是一个提供上网的工具，对用户的行为无法进行控制，也无法对网络进行有效运营和管理。为了满足非教学区域（学生和老师家属）用户的Internet接入服务需求，校园网还必须承担一个运营网络的角色。如何为这些用户提供好的服务，同时，又方便运营人员对服务的支撑，这就需要为校园网提供简单、实用、易操作、易维护、计费数据清晰准确的认证计费管理系统。CERNET和Internet同时接入，需要提供区别服务。CERNET中主要是大学、科研机构组成，为学生提供

5、学习交流的平台，资费比较便宜。Internet是公众服务网络，收费相对比较贵。有很多校园同时接入两种网络，为区别不同的网络资源，需要运营管理系统能区别提供多种服务，访问不同的网络，收取不同的资费。老师和学生要区别收费，需要提供灵活的计费方式支持。校园网络中有各种类型的用户：老师、学生、研究生、博士生及家属等，如果采用单一的包月计费方式，会使很多类型的用户产生不满。为解决对网络使用的不同需求，需要运营管理系统能提供灵活多样的计费方式，对不同的用户采用差异化的计费策略，提高网络的使用效率和可管理性。以前采用的认证计费管理系统问题多多或对选型一筹莫展。以前可能由于采用的一些厂家的计费系统效率低，功能

6、差，随着网络的发展成为了网络瓶颈；也可能采用了不同厂家的接入设备或802.1X交换机做计费用，而导致相互之间不能共用一套计费后台；也可能随着网络的发展，以前的系统功能已经无法满足现在的需要。二解决方案根据我们多年在校园网、电信网络开发认证计费管理系统的经验，我们开发了一套无线宽带接入统一认证计费综合管理系统，推出的一套适用于校园网运行的解决方案。该系统主要包括：l PPPoE接入管理网关l 统一认证计费管理系统（基于标准Radius Server）l 客户端拨号软件接入设备是校园网接入层的控制设备，该系统经过我校6年多的运营使用，经受了各种复杂和恶劣网络环境的考验，是最为稳定、最高性能、最高安

7、全性、最可信赖及最高性价比的网关设备。接入方式：l PPPoE接入认证网络特性：l 支持静态路由l 源地址路由支持l 多出口路由支持，可以同时接入不同的ISP网络l 支持NAT、NPATl 每秒钟能够处理百万以上数据包l 支持设备冗余备份和负载均衡l NAT后认证计费及控制，实现对NAT后用户真正的控制管理及计费l 可网管，支持SNMP V1&V2， SNMP Trap，MIBIIl 内置DHCP Server，也可以实现DHCP Relayl 支持组播代理、DVMRP组播路由协议安全控制特性：l 非法用户不能上网，用户认证后才能正常访问网络l 支持直通用户带宽控制及计费l 可以限制用户同时使

8、用的TCP连接数l 控制用户的上网速率，限制使用的上下行带宽l 限制用户使用P2P工具下载l 支持ACL访问控制列表，可实现IP、ICMP、TCP/UDP的包过滤规则，禁止用户访问非法网站，同时也可防止病毒泛滥，堵塞出口带宽l 有效防范DHCP Decline等攻击及80 TCPIP的DOS攻击l QoS控制，根据访问内容进行优先排序l 支持强制用户下线，如果与IDS设备配合，可以实现连动l 支持多级管理权限l 对Telnet访问权限进行控制l 支持用户上网日志信息采集及分发认证和授权功能：l 支持MySQL免费数据库，以数据库作为用户数据的存储介质l 根据用户状态进行认证，非正常用户不能通过

9、认证l 对用户进行时段控制，结合校园网络的节假日和周末对用户上网进行控制l 读取用户的带宽控制数据，控制用户可用的带宽l 控制用户帐号同时使用个数l 根据接入设备传送的用户信息，把用户的帐号和IP地址、MAC地址、接入设备IP、接入设备端口、VLAN ID进行认证绑定l 动态修改用户的绑定元素l 用户使用状态和统计信息对计费的支持：l 内置Radius Client，与Radius Server进行通信配合l 收集用户上网的流量和时长，提供原始计费清单，据此可以实现各种已知的计费方式l 支持主备Radius，可以复制计费信息到备用计费服务器l 控制用户可使用的流量和时间，实现实时计费，欠费断网

10、l 使用Keep-alive机制，避免用户非正常断线造成的计费错误l 根据用户剩余金额，计算用户可用业务数量（流量、时长），并下传到接入设备进行控制l 接收接入设备传送的计费信息，生成原始计费清单l 计算用户每次上网的费用，实现实时用户计费l 管理在线表，维护用户的在线信息l 检查用户的信用额度，停用超额用户l 具有高效、稳定、可靠及极强的扩展性和兼容性，解决了校园网中存在的认证和计费困难的问题。管理特性：l 支持Telnet远程管理、提供RS232 CLI（串口）配置l TFTP版本升级l 配置文件上传、下载l 支持多种启动方式支持的网络协议：StandardSubjectIEEE 8028

11、02.3，802.3U，802.1QRFC791Internet ProtocolRFC792Internet Control Message ProtocolRFC793Transmission Control ProtocolRFC1812Requirements for IP Version 4 RoutersRFC1492An Access Control ProtocolRFC2057Source Directed Access Control on the InternetRFC2865Remote Authentication Dial In User Service (RADI

12、US)RFC2866RADIUS AccountingRFC1155Structure and identification of management information for TCP/IP-based internetsRFC1156Management Information Base for network management of TCP/IP-based internetsRFC1157Simple Network Management Protocol (SNMP)RFC1213Management Information Base for Network Managem

13、ent of TCP/IP-based internets:MIB-II该系统能够解决校园网面临的安全、计费采集、出口控制等诸多关键问题，并且具备很好的扩展性，可以和任何标准的Radius服务器对接，胜任不同的组网方式。统一认证计费功能是基于标准的Radius Server的认证、计费、管理、发布和监控的支撑系统，系统本着操作简单、使用方便、功能完善及遵循国际标准的原则进行设计，为校园网的运营提供了友好的管理手段，同时，该系统能够支持主流802.1X交换机厂商的计费系统。三系统方便运营管理的特性免却IP分配管理的麻烦，在服务器上可自动给客户端分配IP地址； 系统可为用户提供多种服务，与RADI

14、US认证计费系统结合，可为每用户定制不同的服务级别，包括带宽的分配，固定或动态IP地址。交费策略灵活方便，可根据用户所交的金额确定服务的时长，超过时间将自动停止网络服务；可解决IP地址短缺问题，对于用户较多的大楼和小区，运营商可能没有相应数量的合法IP地址满足大量用户同时上网的需要，因此运营商可能希望给用户分配内部网IP地址(10.x.x.x、192.168.x.x、172.16-31.x.x)。系统内带NAT（Network Address Translating）功能模块，可方便运营商分配内部网IP地址给上网用户再通过系统进行IP地址翻译成合法IP地址上公网，免却运营商因为IP地址短缺需要

15、另外购买专用NAT设备的麻烦；可对用户进行以1kbps为单位的任何速率控制，提供了保证用户服务质量的有效手段；解决了以太网应用PPPoE接入时产生的第二层的广播问题。用户接入服务器之前必须发第二层的以太广播包来发现可访问的接入管理器和相应服务。对于大用户量的交换网络，如果运营商未划分VLAN，用户接入PPPoE服务器时可能造成广播风暴，影响整个交换网络的运营状况；如果运营商已划分VLAN，则可能需要较多的配置改动，使所有VLAN的用户都能访问到服务器。为此我们为服务器增加了对802.1q的标准trunk封装的支持，可实现服务器接入端口与以太网交换机之间的trunk连接，使服务器能方便地集成进已

16、划分VLAN的大型交换网络，只要在与之连接的交换机上做很少的配置改动即可让所有允许VLAN的用户访问到服务器。可以说服务器的trunk功能大大降低了管理开销同时也消除了采用PPPoE接入方式对运营商网络带来的广播影响；由于用户和PPPoE之间是PPP的点到点连接方式，PPPoE服务器不向用户转发第三层的广播包，因此同一交换网络甚至同一VLAN的PPPoE接入用户之间无法应用第三层的广播包来互相干扰；四系统功能特性支持超过10000个用户并发连接，包处理速率可达每秒约1500Mbit/s；系统自动向客户机分配IP、网关、DNS等，避免了IP冲突，网关填写错误等人为疏忽。支持统一Radius认证、

17、授权和计费协议。按照RFC2138/2139的规范向RADIUS服务器发送用户身份验证请求和服务访问的信息；能对用户进行以1kbps为单位的任何速率控制，保证了上网高峰时期每个用户的服务质量；能限制每个用户的并发tcp连接数，有效的杜绝了某些恶意用户滥用网络资源； 支持客户端网关检测，防止客户端利用宽带路由器或者共享连接等手段进行非法并机，有效地保障了投资利益；支持NAT功能，解决IP地址短缺问题，可以分配内部网IP地址给上网用户，再通过PPPoE服务器进行IP地址翻译成合法IP地址上公网，避免了因为IP地址短缺需要另外购买专用NAT设备的麻烦；系统能通过设定灵活的访问控制规则来限制局网内主机

18、和Internet之间的相互访问，这些规则包括：n 限制某些协议的使用n 限制访问某些IPn 限制访问某些子网n 限制访问某些端口 支持包过滤防火墙，有效地控制病毒的传播，防止已经染病毒电脑对子网内的其他电脑的影响。支持CHAP/PAP验证，防止用户认证过程被监听；基于数据库的log记录系统；支持802.1Q Vlan trunk，可以按楼层灵活地划分Vlan，解决了以太网应用PPPoE接入时产生的第二层的广播问题； 支持多个出口线路，可以避免上网高峰时期单个出口线路所造成的瓶颈问题，动态地实现多出口之间的流量均衡； 支持用户拨号帐号和IP地址绑定，能有效地对上网用户进行监管；支持用户拨号帐号和MAC地址绑定，实现帐号和主机绑定；支持远程管理，包括telnet和ssh；方便的客户端软件，既可以支持windows的用户也可支持Linux用户；五系统安全性系统的命令行管理接口拥有两级权限管理，普通管理员权限和超级管理员权限。普通管理员权限只能做有限的系统状态查看操作，超级管理员权限则可以完成所有的系统状态查看和配置管理动作。系统采用了安