XXXX網(wǎng)絡(luò)統(tǒng)一身份認證計費管理系統(tǒng)建設(shè)方案(綜合)

監(jiān)理實施細則XXXX學網(wǎng)絡(luò)統(tǒng)一身份認證計費管理系統(tǒng)建設(shè)方案頁腳內(nèi)容1

監(jiān)理實施細則目錄一．..................................................................................................計費系統(tǒng)設(shè)計規(guī)劃4二．.........................................................................................................方案建設(shè)目4三．.................................................................................................................總體方案51...............................................................................................................方案設(shè)計5A.方

案（

串

連

網(wǎng)

關(guān)

方

式

）5B.方

案（

旁

路

方

式

+BRAS

，

BRAS

產(chǎn)

品

）7四．....................................................認證計費管理系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)的融合144.1統(tǒng)一用戶管理系統(tǒng)的融合.............................................................................144.2一卡通系統(tǒng)的融........................................................................................154.3用戶門戶系統(tǒng)的融合....................................................................................15五．..................................................................................認證計費管理系統(tǒng)功能介紹16六．.................................................................................................................用戶案例226.1清華大學案例介........................................................................................226.2成功案例-部分高校......................................................................................頁腳內(nèi)容2

監(jiān)理實施細則6.3系統(tǒng)穩(wěn)定運行用戶證明...............................................................................27七.實施方案................................................................................................................357.1實施前準備工作............................................................................................357.2認證計費系統(tǒng)安.......................................................................................357.3實施割接前測試工作...................................................................................357.4實施中割接、割接后測試工作....................................................................36頁腳內(nèi)容3

監(jiān)理實施細則一．

計費系設(shè)計規(guī)劃XXXX技術(shù)學院整體用戶規(guī)模設(shè)計容量為10000用戶同時在線用戶規(guī)模為5000人具有多個出口線路；網(wǎng)絡(luò)特點呈現(xiàn)高帶寬，高用戶，多種接入方式使用人群，并且在未來還會以多種網(wǎng)絡(luò)架構(gòu)存在（有線，無線此全認證管理計費系統(tǒng)的設(shè)計要充分考慮系統(tǒng)性能滿足出口帶寬容量，同時也必須能滿足復雜的接入模式，多種靈活的控制計費策略。在充分滿足用戶的認證計費需求的前提下，設(shè)計要考慮對實現(xiàn)IPv6+IPv4雙棧認證計費及日志采集等功能需求，同時還需要滿足無線和有線認證的融合統(tǒng)一認證管理模式；目前學校已經(jīng)使用一卡通系統(tǒng)，安全認證計費管理系統(tǒng)必須和一卡通系統(tǒng)實現(xiàn)對接，能支持未來的數(shù)字化校園，能夠融合到統(tǒng)一身份認證平臺。有線網(wǎng)和無線網(wǎng)是實現(xiàn)賬戶統(tǒng)一，避免一個用戶需要多賬戶登錄有線網(wǎng)和無線網(wǎng)的情況，并可通過上網(wǎng)賬戶認證實現(xiàn)與校園門戶系統(tǒng)、校園一卡通系統(tǒng)的平滑對接，實現(xiàn)用戶賬號的同步關(guān)聯(lián)。二．

方案建目標針對目前學校對于用戶認證計費系統(tǒng)的需求，通過安全認證網(wǎng)絡(luò)管理計費系統(tǒng)，搭建一套包括用戶接入、認證、計費及用戶管理的綜合平臺，為校園網(wǎng)提供功能完善、可靠和高性能適合的寬帶接入管理計費解決方案。實現(xiàn)全網(wǎng)用戶統(tǒng)一身份認證和精準計費；解決現(xiàn)有系統(tǒng)的功能不足和改善用戶端體驗；實現(xiàn)全網(wǎng)統(tǒng)一管理，整體數(shù)據(jù)分析；頁腳內(nèi)容4

監(jiān)理實施細則現(xiàn)有網(wǎng)絡(luò)設(shè)備升級，提升整體網(wǎng)絡(luò)速度；實現(xiàn)一個用戶賬號可以全部認證，同時和校園一卡通，信息門戶的對接，實現(xiàn)用戶賬號的同步。實現(xiàn)用戶無線、有線一體化,全網(wǎng)統(tǒng)一身份認證計費；三．

總體方1.A.

方案設(shè)方案（連網(wǎng)關(guān)方式頁腳內(nèi)容5

監(jiān)理實施細則系統(tǒng)部說明（關(guān)實現(xiàn)精準量計費靈活制）將認證計費網(wǎng)關(guān)采用多鏈路/萬兆鏈路串行在核心設(shè)備與路由器之間，采用透明橋方式，此種方案具有以下幾種特點：1.關(guān)熱備，可以做一臺或者多臺網(wǎng)關(guān)熱備，其中任何一條鏈路出現(xiàn)故障或者其中一臺網(wǎng)關(guān)故障，用戶會自動切換到另外一臺網(wǎng)關(guān)中，無需用戶從新認證。2.針對用戶進行實時流量采集，具有實時性，用戶費用不會出現(xiàn)欠費（負數(shù)）狀態(tài)，到零自動切斷用戶上網(wǎng)。3.針對每個用戶可以進行動態(tài)帶寬限制。4.實現(xiàn)基于流量的多種靈活的計費策略，流量套餐，包月限制流量等等。5.采用多鏈路方式增加整體網(wǎng)絡(luò)吞吐量和鏈路的冗余可靠性。6.教學區(qū)采用Portal證模式，實現(xiàn)用戶的方便認證，適應多種智能終端。以網(wǎng)關(guān)模式部署的深瀾認證計費系統(tǒng)有著眾多高校的實際應用案例，例如：清華大學、北京理工大學、北京師范大學、北大醫(yī)學院、北京航空航天大學、中央民族大學、西安交大、中央民族大學、北京師范大學、中北大學（朔州校區(qū)）等等。頁腳內(nèi)容6

監(jiān)理實施細則（清華大學萬B.

兆網(wǎng)關(guān)實際測試）方案（路方式+BRAS，BRAS品）頁腳內(nèi)容7

監(jiān)理實施細則1.

無感知認證（MAC認證模式）1.1為用戶分配固定的IP地址用戶在配置地址和網(wǎng)關(guān)后直接獲得對應的訪問權(quán)限如需對用戶訪問權(quán)限進行控制，則可通過在認證計費系統(tǒng)對BRSA或是無線控制器下發(fā)DAA模板實現(xiàn)ACL訪問控制。1.2通過DHCP為用戶提供地址的動態(tài)分配功能。用戶終端接入后，即可通過DHCP獲得IPv4地址，對應的網(wǎng)關(guān)DNS務器等信息。在采用DHCP方式時，用戶可以動態(tài)獲得某個地址池中的地址，或者按照要求，基于該用戶MAC地址，為其每次都分配同一個I地址，便于其在網(wǎng)絡(luò)內(nèi)提供相應的服務。頁腳內(nèi)容8

監(jiān)理實施細則1.3用戶的IPv6地址建議通過ND/RA的方式獲得，及Pv6無狀態(tài)地址分配方案，該方式對客戶端的兼容性較好，高校普遍采用了這種方式。1.4對于無需認證的用戶，如果是通過DHCP方式獲得P地址，BRAS多業(yè)務路由器以及后臺的認證計費系統(tǒng)同樣會對用戶的信息提供記錄，便于今后的查詢。采用RAS業(yè)務路由器做為二層接入認證管理設(shè)備，能夠?qū)崿F(xiàn)用戶接入網(wǎng)絡(luò)的精細化管理功能，BRAS多業(yè)務路由器為用戶接入提供的DHCP流程中集成了認證模塊，能夠?qū)崿F(xiàn)在用戶PC入網(wǎng)絡(luò)獲取IP地址的同時，就能夠同步記錄下用戶的MAC址所在的具體位（精確到交換機端口包括內(nèi)層ID和外層VLAN入網(wǎng)絡(luò)的時間、獲取地址等多種信息，并對每個用戶細致的訪問權(quán)限、上下行速率的控制，從而實現(xiàn)用戶接入網(wǎng)絡(luò)的可識別、可管理、可控制，而這個過程用戶沒有任何感知。2.

PPPoE認證BRAS多業(yè)務路由器提供了基于硬件板卡的分布式的PPPoE功能，通過用戶側(cè)的PPPoE撥，能夠?qū)崿F(xiàn)在客戶端與BRAS間的PPPoE通道的建立，并同時基于PP的協(xié)商實現(xiàn)用戶認證、計費功能。PPPoE簡要流程為：用戶P過客戶端發(fā)起PPPoE請求到后臺接入服務器BAS然后交付后臺RADIUS進行認證及計費。此方案的優(yōu)勢在于通過統(tǒng)一BAS備實現(xiàn)集中的接入管理和差異化的策略管理，如用戶帶寬的分配、QOS的優(yōu)先級、營運記賬等。頁腳內(nèi)容9

監(jiān)理實施細則（PPPoE認證流程圖）由于接提供了用戶接入網(wǎng)絡(luò)時的證功能的控制力度也更強均通過PPPoE會話實現(xiàn)到網(wǎng)絡(luò)的接入和訪問，相互之間由于PPPoE通道的隔離而互不影響，因此能夠天然抵御欺騙、仿冒源地址攻擊等問題，極大減輕網(wǎng)絡(luò)管理員的工作量，并有效保障了整個網(wǎng)絡(luò)的可靠性和穩(wěn)定性。另外，由BRAS設(shè)備為運營商級設(shè)備，設(shè)備的處理能力，對用戶的控制能力完全能夠滿足校園網(wǎng)絡(luò)的需求，可以對每個用戶進行帶寬限制，權(quán)限管理、等各種操作。并且，在使用BRAS+PPPoE的接入方式下在接入層是一張大的二層網(wǎng)絡(luò)戶間通過隔離相之間沒有影響避免了ARP病毒等問題；同時，對運營網(wǎng)的管理維護來說，管理員只需要管理大BARS設(shè)備，接入層設(shè)備僅僅是二層接入，不需要在接入設(shè)備上作負責設(shè)置，極大的減輕了管理員的維護工作量。PPPoE的撥號客戶端在Windows統(tǒng)中自帶，也避免了客戶端軟件下發(fā)所帶來的一系列問題。頁腳內(nèi)容10

監(jiān)理實施細則3.

WEBPortal證（IPoE）Web認證（IPoE）需要與Portal認證服務器配合使用，主機首先通過DHCP到一個IP地址（是靜態(tài)設(shè)置過HTTP重定向的方式強制用戶與Portal認證服務器通信，也可以使用戶只訪問一些內(nèi)部服務器；然后，接入服務器將用戶強制連接到認證服務器上，并在瀏覽器中彈出認證頁面。在該頁面中輸入用戶名和密碼PortalServer通過協(xié)議將認證信息傳送到上，對用戶進行認證。認證通過后，用戶獲得相應的訪問權(quán)限，可以訪問互聯(lián)網(wǎng)或特定的網(wǎng)絡(luò)。在認證方式中，用戶的賬號都是由Portal進行認證，這樣就可以免去客戶端軟件相對繁瑣的接入要求，適應了當前多種接入終端的出現(xiàn)。而在實際的處理機制中會把賬號信息轉(zhuǎn)交付給BAS由向RadiusServer發(fā)起AAA證。RADIUS證結(jié)束后，BAS一方面會通知Portal出相關(guān)提示給用戶，如“認證通過，可以訪問網(wǎng)絡(luò)可能是“認證失敗，用戶名或密錯誤”等。另一方面BAS會從AAA中獲取用戶的訪問屬性，訪問策略，讓認證通過的用戶可以連接到外網(wǎng)資源，讓認證未通過的用戶無法接入到外網(wǎng)。頁腳內(nèi)容11

監(jiān)理實施細則上圖是“IPoE+Portal”方案的一套用戶上網(wǎng)流程，具體流程分解如下：2345

用戶獲取地址后，通過瀏覽器發(fā)起正常的HTTP請求；從BRAS上來的HTTP請求被重定向（給Redirector設(shè)備；Redirector設(shè)備直接回指給用戶一個專門的Portal地；用戶訪問Portal設(shè)；Portal設(shè)備出頁面，提示用戶輸入賬號進行認證；頁腳內(nèi)容12

6789

監(jiān)理實施細則用戶輸入賬號信息并提交給Portalserver；Portal將用賬號信息通過P協(xié)議轉(zhuǎn)交給BRAS進行認證；認證通過時，RADIUS一方面通知RAS給出相關(guān)用戶提示；另一方面，BRAS根據(jù)用戶的狀態(tài)獲取相應的訪問策略；）

Portal接端到端給用戶相關(guān)提醒，如“驗證通過，可以上網(wǎng)”；）

用戶訪問其他網(wǎng)頁，BAS過調(diào)整后的策略進行正確轉(zhuǎn)發(fā)；用戶將可以正常訪問外網(wǎng)；）

同時后臺RADIUS進行計費策略；認證過程（支持，，WebPortal認證）認證過程與串行、旁路方式無關(guān)，采用哪一種接入方式都可使用所有認證方式，需要接入的或核心交換支持。以旁路模式部署的深瀾認證計費系統(tǒng)有著眾多高校的實際應用案例，例如：浙江大學、天津大學、廈門大學、復旦大學、華東師范大學、杭州師范大學、西北工業(yè)大學、蘭州大學、電子科技大學、山西財經(jīng)大學、長治學院等等。頁腳內(nèi)容13

監(jiān)理實施細則四．

（深瀾件無縫對接網(wǎng)絡(luò)設(shè)廠家）認證計管理系統(tǒng)與一用戶理系統(tǒng)的融4.1統(tǒng)一用戶理系統(tǒng)的融認證系統(tǒng)可以無縫和學校統(tǒng)一用戶管理系統(tǒng)進行融合用通過目前統(tǒng)一用戶管理系統(tǒng)進行開戶，認證系統(tǒng)實現(xiàn)認證，用戶在自助系統(tǒng)中進行套餐選擇的無管理化的管理方式；認證系統(tǒng)也可以和統(tǒng)一用戶管理系統(tǒng)深度融合，使用中間表的模式進行融合：常規(guī)采用LDAP方式和相關(guān)自定義接口方式實現(xiàn)例如：蘭州大學深瀾系統(tǒng)與金智統(tǒng)一身份認證系統(tǒng)對接（如下圖）頁腳內(nèi)容14

監(jiān)理實施細則4.2一通系統(tǒng)的融5.2.1實現(xiàn)目的：認證計費系統(tǒng)和一卡通系統(tǒng)進行聯(lián)動管理，實現(xiàn)統(tǒng)一繳費過程：5.2.2接口規(guī)范：所有連接都用POST方式提交！鑒權(quán)碼為：%*trgl_SURL:http://[serverip]:8080/card_if.php即SRUN3000后臺管理服務器的8080端口返回信息為gb2312編碼。4.3用門戶系統(tǒng)的合頁腳內(nèi)容15

監(jiān)理實施細則新建認證系統(tǒng)可以和學校目前的用戶門戶系統(tǒng)進行融合于新建認證系統(tǒng)支持多種重定向功能，可以支持認證后重定向的功能，因此可以和學校目前的用戶門戶系統(tǒng)進行融合可以根據(jù)用戶的登錄名，進行登陸后重定向到該用戶所在的學校門戶中可以根據(jù)IP址范圍，進行登陸后重定向到指定的學校門戶中，如無線用戶的登陸和有線用戶的登陸可以統(tǒng)一設(shè)置用戶，進行登陸后重定向到學校統(tǒng)一的門戶系統(tǒng)中五．功能分

認證計管理系統(tǒng)功介紹類協(xié)議二層網(wǎng)絡(luò)三層網(wǎng)絡(luò)及以上

功能簡要描述IPV4、以太網(wǎng)接口支持網(wǎng)橋模式支持目標地址路由NAT功能

備注可單獨支持IPV4、IPV6，亦可支持IPV4、混用網(wǎng)10M、100M、1000M、無需改變現(xiàn)有網(wǎng)絡(luò)，可透明、無縫接入網(wǎng)絡(luò)適用多出口網(wǎng)絡(luò)的要求支持、但不建議開啟頁腳內(nèi)容16

監(jiān)理實施細則OSPF/RIPWeb證客戶端認證心跳檢測

透傳OSPF/RIP等路由協(xié)議支持IE、firefox、opera等圖形瀏覽器Win32版本客戶端支持indows、2003、vista，linux版本客戶端支持fedora5以上、as4以上、ubuntu6以上且無需xwindows支持。關(guān)閉瀏覽器認證窗口，自動下網(wǎng)，退出客戶端，亦可自動下網(wǎng)。接入控監(jiān)測出規(guī)定時間無流量的用戶,并強制

空閑檢測Web證前urlWeb證后urlL免認證用戶設(shè)置不認證訪問指定IP

制自動下網(wǎng)用戶打開任一網(wǎng)址，跳轉(zhuǎn)登錄頁面可在用戶認證后登錄指定頁面指定特殊用戶為直通用戶無需認證可以指定若干目的IP網(wǎng)段需認證就可訪問頁腳內(nèi)容17

監(jiān)理實施細則客戶端版本控制多認證方式選擇用戶代理功能控制客戶端廣播信息和即時消息接收P2P軟件限制帶寬控制用戶行為管理

隨著客戶端功能升級可以強制用戶使用新的客戶端軟件?？稍O(shè)置只允許web或客戶端認證，亦可設(shè)置PPPoEL2TP,802.1xVPN認證防代理、需強制使用客戶端配合進行各種信息發(fā)布可以禁止用戶使用BT、eMule等常見P2P軟件，即可在設(shè)備上統(tǒng)一控制，也可以根據(jù)時段控制P2P軟件，可以對單個用戶進行控制（計劃開發(fā)）可針對每個用戶進行帶寬控制免認證用戶根據(jù)IP地址段進行帶寬控制?；谌珷顟B(tài)端口的用戶行為管理用戶管用戶在線查看

查看認證用戶免認證用戶在線信息理強制用戶下線

強制指定用戶離線頁腳內(nèi)容18

監(jiān)理實施細則標準RadiusClient功能數(shù)據(jù)庫外置802.1x認證支持時長、流量、包月、卡類計費方式特殊情況下用戶免認證上網(wǎng)

可和多廠家RadiusServer配合使用支持數(shù)據(jù)庫內(nèi)置或外置外置數(shù)據(jù)庫可以支持Windows、、Unix當采用802.1x一次認證二次認證時，支持二次認證一次通過公式方式方便用戶制定多種計費策略可以手工設(shè)置也可以自動切換認證計費

可區(qū)分國內(nèi)外流量實現(xiàn)僅對國外流國內(nèi)外流量區(qū)分量計費。在用戶上網(wǎng)的過程中實現(xiàn)費用和流用戶費用，流量零量的零透支在用戶流量和費用用完的時透支候，能夠立刻截止用戶上網(wǎng)在用戶使用快到期或費用快用完的用戶的催費通知時候，實現(xiàn)用戶的信息通知。頁腳內(nèi)容19

監(jiān)理實施細則指定IP（段）進行SSH管理指定I（段進行后臺管理指定I（段進行數(shù)安全防據(jù)庫管理

防止未經(jīng)授權(quán)的IP登陸系統(tǒng)防止未經(jīng)授權(quán)的IP登陸后臺防止未經(jīng)授權(quán)的IP登陸數(shù)據(jù)庫范服務器管理

指定I（段進行數(shù)據(jù)庫連接管理員權(quán)限設(shè)置上網(wǎng)日志記錄Web理SSH遠程管理SQL操作

防止未經(jīng)授權(quán)的IP連接數(shù)據(jù)庫多級管理、自定義角色、自定義權(quán)限可以記錄用戶上網(wǎng)行為：包括時間、上網(wǎng)IP、目的P等，提供RL信息。支持支持web作數(shù)據(jù)庫數(shù)據(jù)管

本地數(shù)據(jù)備份

支持本地備份數(shù)據(jù)，每天5點進行全頁腳內(nèi)容20

理

監(jiān)理實施細則庫備份通過ftp協(xié)議備份數(shù)據(jù)庫到遠程服務遠程異地備份數(shù)據(jù)備份與恢復上網(wǎng)明細清理數(shù)據(jù)庫剝離CPU利用率

器，每天5點后全庫備份后執(zhí)行。可以對認證計費中的數(shù)據(jù)庫進行備份和恢復操作每月1凌晨3點自動將過時數(shù)據(jù)轉(zhuǎn)移到備份數(shù)據(jù)庫，當前數(shù)據(jù)庫保留3個月的上網(wǎng)明細（可在后臺管理中設(shè)置）認證系統(tǒng)與數(shù)據(jù)庫完全獨立即使數(shù)據(jù)庫發(fā)生故障仍可正常認證，待故障排除，用戶上網(wǎng)數(shù)據(jù)立即寫入數(shù)據(jù)庫。統(tǒng)計每小時的cpu利用率，并繪制圖表系統(tǒng)監(jiān)在線人數(shù)

統(tǒng)計每小時的在線人數(shù)并繪制圖表控統(tǒng)計每小時網(wǎng)絡(luò)接口的負載情況并網(wǎng)絡(luò)負載繪制圖表頁腳內(nèi)容21

監(jiān)理實施細則HTTP訪問日志系統(tǒng)日志

記錄用戶的http訪問日志支持系統(tǒng)日管理日志

支持志（審計）續(xù)費日志結(jié)帳日志

支持支持當要求設(shè)備可靠性極高時，可以臺雙機熱

設(shè)備進行熱備工作；平時主設(shè)備工作，備雙機熱備備

設(shè)備待命狀態(tài)，如果主設(shè)備癱瘓或者死機，由備設(shè)備接管主設(shè)備工作。六．

用戶案6.1清華大學例介紹系統(tǒng)規(guī)：出口：10G教育網(wǎng)、1G電信，10GIPv6出口。注冊用戶：150000人同時在線：45000用戶，無線網(wǎng)同時在線10000人。認證模式：推薦使用客戶端認證，可以使用證，無線網(wǎng)采用Portal，認證頁腳內(nèi)容22

監(jiān)理實施細則并存。認證協(xié)議：IPv4，IPv6雙棧出口拓撲圖：全校部署兩臺Srun3000高性能萬兆IPv4及IPv6證網(wǎng)關(guān)（雙鏈路熱備）Srun3000用戶運營支撐平臺，用戶認證使用、專用客戶端認證，無線網(wǎng)由臺CISCO線AC，和個成，實現(xiàn)統(tǒng)一的無線外置式Portal認證。方案特：頁腳內(nèi)容23

監(jiān)理實施細則全路徑雙鏈路冗余，清華大學采用了雙鏈路冗余設(shè)計，雙棧設(shè)計使得兩條鏈路都可以跑IPv4IPv4左邊的鏈路優(yōu)先右邊的鏈路優(yōu)先當其中一個鏈路出現(xiàn)問題的時候OSPF路由會使得數(shù)據(jù)走另外一條鏈路，實現(xiàn)鏈路冗余用戶認證冗余：兩個萬兆網(wǎng)關(guān)配合獨立的認證服務器，實現(xiàn)用戶數(shù)據(jù)的一致性，任意鏈路的中斷，用戶都不受任何影響，不需要重新認證無線網(wǎng)一次認證：清華的無線網(wǎng)由12個AC和個組，覆蓋學校幾個重點區(qū)域支持認證802.1x認證認證目前全校無線用戶同時人在線Portal提供外置式Portal認證，Srun3000提供無線認證和萬兆網(wǎng)的出口聯(lián)動，實現(xiàn)用戶無線