《【网络工程规划与设计案例教程】项目三_任务三_校园网认证计费系统设计》由会员分享,可在线阅读,更多相关《【网络工程规划与设计案例教程】项目三_任务三_校园网认证计费系统设计(15页珍藏版)》请在金锄头文库上搜索。
1、校园网认证计费系统设计湖南工业职业技术学院 网络技术专业教学资源库目 录1.校园网认证计费系统设计11.1校园网建设趋势11.2认证计费改造需求22.网络解决方案32.1网络设计拓扑32.2认证计费方案设计42.2.1认证计费系统需求概述42.2.2系统对现网的业务的兼容42.2.3方案与设备选型应具有一定的前瞻性、高可靠性42.2.4满足校园网络接入场景与认证复杂需求42.3华为认证计费方案52.3.1网络拓扑52.3.2用户接入62.3.3有线用户接入62.3.4无线用户接入62.3.5网络VLAN划分72.3.6深澜Srun3000系统72.3.7认证计费场景设计82.3.8DAA根据目
2、的地址计费92.3.9教师在不同地点上线采用不同的计费策略92.3.10通过srun3000满足计费功能92.3.11实验室和学院的专线接入102.3.12办公打印机等网络设备的接入102.3.13Srun3000系统功能应用102.3.14高可靠设计102.3.15多认证模式统一部署112.3.16用户上网访问日志查看112.3.17用户在线监控管理112.3.18账号管理及控制策略122.3.19计费策略1311. 校园网认证计费系统设计1.1 校园网建设趋势随着高校信息化建设的不断深入,应用于网络解耦合已经成为大势所趋,理想情况下,整个校园网虚拟成一台高性能交换机或者路由器,网络功能向组
3、件化发展,比如,现网中应用越来越多防火墙模块、入侵防御模块、无线控制器模块等等。整个发展方向最根本的驱动力是增加用户的体验,并且网络维护工作者的工作量越来越简单。校园网的认证计费是校园网的核心业务,关系到全校师生的网络体验,其建设方案的选择也直接影响着网络维护老师的工作量。802.1x认证凭借其严格的端口控制,5元组甚至7元组策略的灵活组合,可是实现丰富的接入认证控制,有效的控制了网络的接入安全。早在03年左右部分校园网就采用了这种认证策略,到08年左右,迎来了802.1x认证建设的高峰期。随着应用的不断深入,802.1x被证明虽然其在安全接入控制方面具有独到之处,但是无论在用户的体验还是维护
4、管理的工作量上面,都与网络建设的初衷相去甚远。主要表现在:(1) 802.1x客户端与用户主机或者安装的应用程序之间的兼容问题。(2) 802.1x认证每个厂家采用的协议部分是不一样,产品品牌选择单一性问题。(3) 802.1x多终端上网问题。(4) 802.1x对新兴媒体设备,无法认证问题。(5) 802.1x对访问目的资源,无法区分认证计费问题。(6) 802.1x对没用户的QOS控制粒度,无法细化问题。虽然,部分厂家对802.1x进行更加人性化的设计或者通过跟portal认证相互配合的认证策略,能解决部分问题,但是无论是在复杂成都还是应用效果上看,对客户的应用体验以及管理维护工作量的降低
5、上,均没有较大的改善。然而,在运营商市场应用成熟的pppoe/ipoe的认证方式,凭借其成熟的技术,良好的用户体验及延续用户的使用习惯,方便易于管理的特性,成为广大高校认证计费改造的首选方案。pppoe/ipoe的session级用户管理,可以方便的根据模板下发策略,保证用户的使用习惯。其精确的流量统计计费,可以促使用户保持良好的网络使用习惯,特别适合在高校应用场景下,规范学生的用网行为。同事,pppoe/ipoe对新兴媒体设备认证计费需求及同一帐号多终端上网,多地理位置的上网都有非常灵活的支持。即面向三网融合的大趋势,又灵活满足用户的使用习惯。另一方面,随着移动互联时代的到来,各种移动终端的
6、规模应用,给用户带来网络使用的便利及工作和学习的高效。高校建设无线校园已经成为一种趋势。高校用户属于慢速移动无线应用,因此,采用802.11a/b/g/n技术建设高速的无线局域网是无线建设的主流趋势。建设无线校园需要重点考虑与现网有线网络的融合,即有线、无线统一认证;有线、无线统一管理等问题。只有这样,才能提高用户的体验和优化网络维护的工作量。1.2 认证计费改造需求目前,湘南财院使用的是基于802.1x协议的认证计费系统。随着网络规模的扩大,网络应用的增多,采用该协议的认证计费逐渐遇到瓶颈,主要表现在:该协议设计之初,是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,接入交换机
7、生产厂家对其进行了改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题;第二,要在以太网上有效的使用该协议,就必须安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如Windows、MAC OS、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题;第三,目前的802.1x系统,无法按照校内/校外以及免费/收费流量进行统计,所以无法实现按照不同流量的分离计费。此外,采用802.1X的认证计费方式无法实现统一端口下,多台终端上网(即家属区用户,无法通过家用soho路由设备,多台终端上网)。然而,这种应
8、用需求越来越强烈。最后,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。因此,需要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的控制及按流量的认证计费。准出控制系统。采用网关型的准出控制系统,对校园用户进行准出控制。可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效控制用户是否具有外网访问权限,进而控制用户访问外网的带宽。准入控制实现基于pppoe和ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。统一认证计费平台的建设需要满足一下场景的需求:(1) 有线无线一体化接入,学生采用流量计费的方式接入,
9、教师采用工号与密码的方式。Portal与PPOE方式均需支持;(2) 对于学生访问学校内网不认证、不计费,只有在访问外网时通过Portal方式认证;(3) 教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。(4) 对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;(5) 计费系统应有针对用户进行时间补偿的功能,应用场景:如果某一地块网络故障,则需要对该地块的上线用户赠送
10、5天免费上网的补偿;(6) 对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且上线时做单独的账户和密码认证。(7) 主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。比如:学校一名教师申请了一个科研课题,拿出一定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则所有子账号也均不能再上网;(8) 支持对于各个学院的专线接入开会功能,如实验室采用专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下
11、面的接入用户再进行认证和计费限制;(9) 对于打印机的接入做MAC地址认证和IP绑定;2. 网络解决方案针对以上湘南财院提出的明确需求,华为设计的解决方案如下:2.1 网络设计拓扑图1 网络设计拓扑图网络出口采用华为400G平台,分布式无阻塞交换核心路由器做网络出口,连接电信、联通、教育科研网和其他7所高校,其高达3M的FIB标容量、高性能的NAT转发性能及对IPV6的完美支持,能够满足学校网络出口路由及高并发的NAT转换需求,以及对接IPV6网络。认证计费网关采用2台电信级多业务网关华为ME60设备,配合深蓝计费软件,完成整网的准入认证,准出流量计费需求。接入认证服务器(BRAS)建议采用两
12、台热备,因为采用pppoe认证所有的ppp连接终结在BRAS设备上,一台设备故障将影响整网的上网业务。华为BRAS双击热备部署,能够实现单台设备宕机,用户无感知,无需重新拨号的要求,保证用户良好体验。ME60与核心交换之间采用万兆链路互联,保证数据的高速畅通。汇聚交换机采用华为S7700系列T比特核心路由交换机通过万兆链路汇聚到核心设备上,S7700系列交换在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现高清视频流承载、大容量无线网络、弹性云计算、硬件IPV6、一体化安全等业务应用,同事具备强大的扩展性和可靠性。 楼宇小型汇聚,建议采用S5700系列交换机,其便利的U盘开局特性及
13、双内置冗余电源的行业市场独特需求考虑,具有非常高的稳定性,很适合楼层的接入汇聚。2.2 认证计费方案设计2.2.1 认证计费系统需求概述湘南财院校园园区网涵盖有线网络和无线网络两部分,在有线网络中需要覆盖的接入场景包括:学生宿舍、教师办公区、实验室、教工家属楼等,无线网络主要覆盖教师办公楼宇会议室、图书馆等公共场所,在认证方式上以802.1x和Portal认证为主,随着校园带宽的扩容和认证需求与场景的多样化,当前学校的认证计费系统与设备不能满足网络演进的需要,计划在现网引入专业的BRAS设备和认证计费系统增强对网络运营保障,经过调研与研究分析,对本次校园认证计费系统改造的需求梳理如下:2.2.
14、2 系统对现网的业务的兼容(1) 现有802.1x接入认证方式不能满足多类型终端接入网络的需要,本次新建设的认证计费系统与BRAS设备需要对现网的业务兼容,同时应能满足网络PPPOE、IPOE和Portal等多种接入认证的功能需求;(2) 针对校园有线和无线网络部分,计费系统与BRAS设备需要满足现网有线无线统一认证与计费的要求;2.2.3 方案与设备选型应具有一定的前瞻性、高可靠性(1) 随着校园教学应用系统与视频业务的增加,校园内对网络带宽的要求越来越来高,迫切需要增加校园网络出口BRAS设备的转发性能,满足校园内网的交换也应满足将来武汉七所高校网络互联、网络IPv6演进、互联网带宽与网络
15、流量再度多次翻倍扩容的需要;(2) BRAS设备为校园出口网络的关键设备,是设备、网络协议,组网方式上不仅需考虑高可靠性与冗余性的设计,又要考虑网络接入业务在设备承载上的负载分担,高效的利用所有网络设备,并确保网络业务的长期正常运行;2.2.4 满足校园网络接入场景与认证复杂需求(1) 有线无线一体化接入,学生采用流量计费的方式接入,教师采用工号与密码的方式。Portal与PPPOE方式均需支持;(2) 教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。(3) 对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;(4) 计费系统应有针对用户进行时间补偿的功能,应用场景:如果某一地块网络故障,则需要对该地块的上线用户赠送5天免费上网的补偿;(5) 对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且
