嘉定都市网

标题: 宽带计费方案解析(校园网,城域网---华为技术) [打印本页]
作者: xuanren    时间: 2004-6-6 11:06
标题: 宽带计费方案解析(校园网,城域网---华为技术)
华为3Com校园网计费方案


    2004-03-25 15:06:00

前言
校园网计费是一个基本的需求,其计费方案是随着管理理念的不断深入而逐渐完善。早期的校园网计费采用计费网关的形式,这对小型的网比较合适。但是计费网关最大的问题是处理性能会成为网络应用的瓶颈。同时随着技术的进步,交换机的处理能力越来越强,出现了分布式的网络计费。其中又以基于802.1x认证技术的计费方案最为流行。本文将提供完整的校园网计费方案。

需求分析
什么才是完整的计费?通过实践我们将校园网计费需求总结如下:

1、    准确的用户身份确认

校园网计费用户分为两类,一类是不计费,另一类是计费。但是无论是计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要,同时也是做到准确计费的需要。但是如何进行用户身份确认呢?这就需要通过认证技术来实现。目前认证技术有许多,如WEB认证,802.1x认证,PPPOE认证。这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的校园内。这是因为802.1x认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。正是这一点打动写了许多学校老师的心。本方案将以802.1x认证用户身份确认技术。

2、    灵活的计费策略

计费策略主要有三:按时长、按流量和带宽。从实际情况看,时长计费最普遍,流量计费最科学,带宽计费最简单。同时由于一个校园网的用户有许多类,因此可能这三种计费策略都会被采用。但是,新建和改建的校园网往往采用可操作性强、简单的按时长计费的方式,并且配合预付费的方式进行收费,保证了杜绝恶意欠费的发生。

3、    精确的费用统计

网络使用一旦进行收费,那么就需要我们能够精确的计费,这是一个可运营的网络必备的条件。其中最需要关注的是是非否会因PC死机等异常情况是造成计费的不准确。因此我们需要一套保护机制做到无论采用哪种计费策略,发生什么异常都能保证计费的准确。

4、    人性化的网络计费

无论采用什么技术和方法都需要一套计费系统来完成计费。那么什么是好的计费系统呢?除了做到以上三点之外还需提供人性化的解决方案,能够通过优化来降低管理者的强度,提供自动化水平,同时对于用户来说又能感觉使用方便,收费合理。

方案简介
考虑到网络的效率,本次计费方案推荐采用802.1x认证技术+预付费的时长计费,组网图如下:





本次计费方案由三部分组成:

1、     客户端

用户采用802.1x认证客户端来完成上网的认证。从安全性和业务开展的角度考虑,建议全网采用华为3COM公司的802.1x客户端

2、     认证设备

所有接入交换机。接入交换机完成对用户认证请求的处理,将802.1x协议规定的EAP报文转化成Radius报文,完成和认证计费平台的互动,允许或拒绝用户上网。对于上网用户交换机完成计费信息的实时统计,并交由认证计费平台处理。

3、     认证计费平台

采用CAMS综合计费平台。此平台基于Linux系统和Oracle系统,完成所有了认证和计费过程

华为3COM认证计费特点
认证相关
1、     认证方式效率高并且灵活

由于采用分布式的认证方式,这样将认证的压力分布到每一个接入层设备,即使所有的用户同时发起认证请求也不会造成网络拥塞和服务中断。并且,作为802.1x国标的主要制订者,我们进行了协议扩展,打破了原有协议只支持端口认证,实现了对于逻辑端口的认证。这样我们不仅可以允许每一个物理端口下有不止一个的用户同时上网,同时每一个用户都需进行严格的身份认证。

2、     认证安全可靠

认证系统采用CHAP方式认证,流程图如下:


同时采用MD5加密技术,对报文进行签名和对用户密码加密等措施严格保证认证全过程的安全性。

3、     引入绑定技术

IP是我们识别用户身份最重要的依据,但是现在有许多软件可以修改用户的IP甚至是MAC地址,这样就容易造成用户管理的混乱。特别是一旦用户帐号被盗后我们在短时间内很难对此做出任何判断。现在我们引入了绑定技术,可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码,还需认证其IP和MAC,甚至是VLAN和端口号。这样一来不仅完善了对用户合法身份识别的方法更是降低了因帐号被盗所引起的损失。

4、     防止Proxy使用

Proxy的使用将减少网络运营的收入,增加网络运营的成本。因此我们通过客户端、交换机和CAMS三者的配合可以阻止Proxy在校园的使用(无论是单网卡还是双网卡Proxy技术)。

用户管理
一套好的认证计费方案必然是一套好的用户管理方案

1、灵活的用户管理

CAMS系统可以单独的生成用户同时可以批量的生成用户,如卡号类用户。只要配有制卡机,学校就能发行自己的上网卡方便学生上网。但是,从管理的角度看,我们建议为每一个用户制定相关档案。CAMS内置了常用用户信息模板,同时也提供相应新模块的制作。管理者可以根据其情况自定义用户参数,如寝室号,学号等信息。

2、自动完成绑定

上文提到为了提高安全性我们可以采用帐号+IP+MAC的绑定技术。但是用户数很大,登记每一个用户的IP和MAC是一个工作量很大的事。这时只需启动自动绑定功能,CAMS就可以自动学习用户第一次上网时的IP和MAC并做相关绑定。

3、每个用户唯一IP

通常我们采用DHCP分配IP时其依据是VLAN或MAC,而不是用户本身。对此,CAMS提供内置的DHCP功能,可以根据用户名来分配地址,这就意味着每一个用户将对应唯一的IP。这不仅能提高管理的效率,根能广泛的应用到校园信息系统中去,使整个系统可以根据IP实现灵活的策略。

4、     黑名单

一旦一个用户帐号发生连续输入不正确的密码,此帐号将被自动进入黑名单而被冻结,这样可以防范恶意的穷举破解密码。同时也可将对网络造成损失的用户加入黑名单,从而杜绝再次发生。

5、在线用户控制

提供详细的用户在线信息:帐号、IP、MAC、端口、时间

并可实施强制下线功能,实时的减少非法用户和中毒计算机对网络的危害

6、用户上网时间控制

网络是个双刃剑,因此我们对于学生的上网时间需要控制。CAMS可以提供非常灵活的时间控制。如,对于学生帐号,8:00-19:00不允许上网;对于实验室帐号,只允许特定的时间段上网等

7、用户访问控制

我们可以通过ACL来对网络使用做出相应的规范。那么这样的规范是否能落实到每一个用户呢?现在可以了。CAMS支持用户分组,每组成员数不限。同时华为3COM交换机支持动态VLAN下发。这就意味着我们通过ACL制定相关VLAN的访问策略,对于不同用户组的用户在完成认证后其VLAN ID将被下发到其接入交换机,从而使其网络访问受到严格的控制。

8、统一身份识别

校园内经常存在不同的系统或服务器,这对信息系统而言不是一件好事。而CAMS支持LDAP目录服务,可以将网络计费系统良好的融入到整个大网之中,做到用户一个帐号对应不同的应用系统。

9、自助管理

CAMS拥有用户自主管理模块。用户可以通过WEB方式登陆自助平台进行业务的查询、修改,余额的查询,上网卡充值等动作。

10、密码管理

用户如果要修改密码他有两种方式:

一是登录自助网站修改;二是通过客户端修改密码

两种方式都非常方便

如果忘记了密码,那么可以通过email的方式索回密码。

11、在线通知

通过CAMS,网络中心可以将通知,如停网通知实时的发到每一个在线用户的客户端上去,从而保证了重要通知的及时性。

计费管理
1、     灵活的计费策略

CAMS支持按流量、时长、带宽计费。整个计费过程严谨科学准确。同时可以制定灵活的优惠策略。如,制定优惠时间段和优惠策略或制定奖励计划等

2、     支持预付费

作为神州行和校园201电话的发明者,我们将上网预付费引入到校园。学生可以采用预付费的方式上网。学校可以发行相应的充制卡,学生可以自助充值。

3、     包月暂停

学校往往在7月10日左右放暑假,这时如采用包月的方式,那么对于用户来讲就损失半个的钱。现在就不用了,CAMS提供包月暂停,意味着用户一旦申请此业务,那么7月下半月的费用可以用到9月下旬。

4、     余额通知

一旦用户余额不足,那么CAMS将通过email通知他

5、     帐单查询

CAMS是一套电信级的认证产品,因此提供电信运营级的帐单管理和报表管理,从而保证计费有迹可查

性价比
CAMS是一套电信级计费系统,应用在国内外许多运营商;同时CAMS针对教育行业进行了大量的开发,整个开发是严格遵循CMM5标准。同时CAMS基于Linux,数据库采用Oracle,支持冗余备份和负荷分担工作,并在价格和性能方面找到了完美的平衡点。

小结
华为3Com公司是可管理、可运营宽带网络的发明者和最主要推动者,可以说影响了全国的宽带网络建设。同时,华为3Com公司也是可管理、可运营的教育网理念的缔造者。并通过一年多的深入了解,不断完善方案,为教育行业的用户管理和计费制定了完善的方案。





文中简单提供了802.1x技术的细节,权做抛砖引玉吧。。



欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1