《网络统一身份认证计费管理系统建设方案综合》由会员分享,可在线阅读,更多相关《网络统一身份认证计费管理系统建设方案综合(18页珍藏版)》请在金锄头文库上搜索。
1、XXXX学院网络统一身份认证计费管理系统建设方案2016年03月目录_计费系统设计规划二.方案建设目标三.总体方案1. 方案设计A.方案(串连网关方式)8.方案(旁路方式+BRAS , BRAS 产品)认证计费管理系统与统一用户管理系统的融合4.1统一用户管理系统的融合4.2 一卡通系统的融合4.3用户门户系统的融合五.认证计费管理系统功能介绍六.用户案例6.1清华大学案例介绍6.2成功案例-部分高校6.3系统稳定运行用户证明七.实施方案7.1实施前准备工作7.2认证计费系统安装7.3实施割接前测试工作7.4实施中割接、割接后测试工作_.计费系统设计规划XXXX技术学院整体用户规模设计容量为1
2、0000用户,同时在线用户 规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种 接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。 因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量, 同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现 IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有 线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证 计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够 融合到统一身份认证平台。有线网和无
3、线网是实现账户统一,避免一个用户需要多账户登录有线 网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡 通系统的平滑对接,实现用户账号的同步关联。二.方案建设目标针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理 计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方 案。实现全网用户统一身份认证和精准计费;解决现有系统的功能不足和改善用户端体验;实现全网统一管理,整体数据分析;现有网络设备升级,提升整体网络速度;实现一个用户账号可以全部认证,同时和校园一卡通,信息门户 的对接,实现用户账号的同步
4、。实现用户无线、有线一体化,全网统一身份认证计费;总体方案1. 方案设计A.方案(串连网关方式)系统部署说明:(网关实现精准流量计费和灵活控制)将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采 用透明桥方式,此种方案具有以下几种特点:1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或 者其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认 证。2. 针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数) 状态,到零自动切断用户上网。3. 针对每个用户可以进行动态带宽限制。4. 实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等
5、。5. 采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。6. 教学区采用Portal认证模式,实现用户的方便认证,适应多种智能终端。以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例 如:清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天 大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。(清华大学万兆网关实际测试)B.方案(旁路方式+BRAS ,BRAS产品)1.无感知认证(MAC认证模式) 1.1为用户分配固定的IP地址,用户在配置地址和网关后直接获得对 应的访问权限;如需对用户访问权限进行控制,则可通过在认证计费 系统对BRS
6、A或是无线控制器下发DAA模板实现ACL访问控制。 1.2通过DHCP为用户提供地址的动态分配功能。用户终端接入后, 即可通过DHCP获得IPv4地址,对应的网关和DNS服务器等信息。在 采用DHCP方式时,用户可以动态获得某个地址池中的地址,或者按 照要求,基于该用户的MAC地址,为其每次都分配同一个P地址,便 于其在网络内提供相应的服务。 1.3用户的IPv6地址建议通过ND/RA的方式获得,及IPv6无状态地 址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种方 式。 1.4对于无需认证的用户,如果是通过DHCP方式获得IP地址,BRAS 多业务路由器以及后台的认证计费系统同样会
7、对用户的信息提供记 录,便于今后的查询。采用BRAS多业务路由器做为二层接入认证管 理设备,能够实现用户接入网络的精细化管理功能,BRAS多业务路 由器为用户接入提供的DHCP流程中集成了认证模块,能够实现在用 户PC接入网络获取IP地址的同时,就能够同步记录下用户的MAC地 址、所在的具体位置(精确到交换机端口,包括内层VLAN ID和外层 VLAN ID %接入网络的时间、获取的IP地址等多种信息,并对每个用 户细致的访问权限、上下行速率的控制,从而实现用户接入网络的可 识别、可管理、可控制,而这个过程用户没有任何感知。2. PPPoE 认证BRAS多业务路由器提供了基于硬件板卡的分布式的
8、PPPoE功能,通 过用户侧的PPPoE拨号,能够实现在客户端与BRAS之间的PPPoE通道的建 立,并同时基于PPP的协商实现用户的认证、计费功能。PPPoE简要流程为:用户PC通过客户端发起PPPoE请求到后台接入服 务器BAS,然后交付后台RADIUS进行认证及计费。此方案的优势在于通过 统一的BAS设备实现集中的接入管理和差异化的策略管理,如用户带宽的分酿 QOS的优先级、营运记账等。(PPPoE认证流程图)由于Me直接提供了用户接入网络时的PPPoE认证功能,相应的控制 力度也更强。用户均通过PPPoE会话实现到网络的接入和访问,相互之间 由于PPPoE通道的隔离而互不影响,因此能够
9、天然抵御ARP欺骗、仿冒源 地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个网络的 可靠性和稳定性。另外,由于BRAS设备为运营商级设备,设备的处理能力,对用户的控 制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权 限管理、QoS等各种操作。并且,在使用BRAS+PPPoE的接入方式下,在 接入层是一张大的二层网络,用户间通过VLAN隔离,互相之间没有影响, 避免了 ARP病毒等问题;同时,对运营网的管理维护来说,管理员只需要 管理大的BARS设备,接入层设备仅仅是二层接入,不需要在接入设备上作 负责设置,极大的减轻了管理员的维护工作量。PPPoE的拨号客户端在W
10、indows系统中自带,也避免了客户端软件下 发所带来的一系列问题。3. WEB Portal 认证(IPoE)Web认证(IPoE)需要与Portal认证服务器配合使用,主机首先通过 DHCP得到一个IP地址(或是静态设置),通过HTTP重定向的方式强制用 户与Portal认证服务器通信,也可以使用户只访问一些内部服务器;然后, 接入服务器将用户强制连接到Portal认证服务器上,并在浏览器中弹出认 证页面。在该页面中输入用户名和密码,Portal Server把通过Protal协议将认证信息传送到BRAS上,对用户进行认证。认证通过后,用户获得相应 的访问权限,可以访问互联网或特定的网络。
11、在IPoE+Portal的认证方式中,用户的账号都是由Portal进行认证,这 样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的 出现。而Portal在实际的处理机制中会把账号信息转交付给BAS,由BAS 向Radius Server发起AAA认证。RADIUS认证结束后,BAS 一方面会通 知Portal给出相关提示给用户,如“认证通过,可以访问网络,也可能是 “认证失败,用户名或密码错误”等。另一方面BAS 会从 AAA中获取用户 的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未 通过的用户无法接入到外网。上图是“IPoE+Portal”方案的一套用户上
12、网流程,具体流程分解如下:(1)用户获取地址后,通过浏览器发起正常的HTTP请求;(2)从BRAS上来的HTTP请求被重定向(给Redirector设备;(3)Redirector设备直接回指给用户一个专门的Portal地址;(4)用户访问Portal设备;(5)Portal设备弹出页面,提示用户输入账号进行认证;(6)用户输入账号信息并提交给Portal server ;(7)Portal将用户账号信息通过Portal协议转交给BRAS进行认证;(8)认证通过时,RADIUS一方面通知BRAS并给出相关用户提示;(9)另一方面,BRAS根据用户的状态获取相应的访问策略;(10)Portal直
13、接端到端给用户相关提醒,如验证通过,可以上网”;(11)用户访问其他网页,BAS通过调整后的策略进行正确转发;用户将可以正常访问外网;(12 )同时后台RADIUS进行计费策略;认证过程(支持PPPoE,L2TP,Web Portal认证),认证过程与串行、 旁路方式无关,采用哪一种接入方式都可使用所有认证方式,需要接入的 bras或核心交换支持。以旁路模式部署的深澜认证计费系统有着众多高校的实际应用案例,例 如:浙江大学、天津大学、厦门大学、复旦大学、华东师范大学、杭州师范 大学、西北工业大学、兰州大学、电子科技大学、山西财经大学、长治学院 等等。(深澜软件无缝对接的网络设备厂家)认证计费管
14、理系统与统一用户管理系统的融合4.1统一用户管理系统的融合认证系统可以无缝和学校统一用户管理系统进行融合;使用通过目前统一用 户管理系统进行开户,认证系统实现认证,用户在自助系统中进行套餐选择 的无管理化的管理方式;认证系统也可以和统一用户管理系统深度融合,使用中间表的模式进行融常规采用LDAP方式和相关自定义接口方式实现例如:兰州大学深澜系统与金智统一身份认证系统对接(如下图)4.2 一卡通系统的融合认证计费系统和一卡通系统进行联动管理,实现统一缴费过程:所有连接都用POST方式提交!鉴权码为:%*trgl_SURL: ip:8080/card_if.php 即 SRUN3000的后台管理服
15、务器的 8080端口返回信息为gb2312编码。4.3用户门户系统的融合新建认证系统可以和学校目前的用户门户系统进行融合,由于新建认证系统 支持多种重定向功能,可以支持认证后重定向的功能,因此可以和学校目前 的用户门户系统进行融合可以根据用户的登录名,进行登陆后重定向到该用户所在的学校门户中 可以根据IP地址范围,进行登陆后重定向到指定的学校门户中,如无线用 户的登陆和有线用户的登陆可以统一设置用户,进行登陆后重定向到学校统一的门户系统中五.认证计费管理系统功能介绍功能分类功能简要描述备注协议IPV4、IPV6可单独支持IPV4、IPV6网,亦可支持IPV4、IPV6混用网二层网络以太网接口支持10M、100M、1000M、10000M网桥模式支持无需改变现有网络,可透明、无缝接入网络三层网络及以上目标地址路由适用多出口网络的要求NAT功能支持、但不建议开启OSPF/RIP透传OSPF/RIP等路由协议接入控制Web认证支持IE、firefox、opera等图形浏览器客户端认证Win32版本客户端支持可如巧,xp、2003、vista, linux版本客户端支持fedora5以上
