校园网认证计费系统设计
目 录
1. 校园网认证计费系统设计 1
1.1 校园网建设趋势 1
1.2 认证计费改造需求 2
2. 网络解决方案 3
2.1 网络设计拓扑 3
2.2 认证计费方案设计 4
2.2.1 认证计费系统需求概述 4
2.2.2 系统对现网的业务的兼容 4
2.2.3 方案与设备选型应具有一定的前瞻性、高可靠性 4
2.2.4 满足校园网络接入场景与认证复杂需求 4
2.3 华为认证计费方案 5
2.3.1 网络拓扑 5
2.3.2 用户接入 6
2.3.3 有线用户接入 6
2.3.4 无线用户接入 6
2.3.5 网络VLAN划分 7
2.3.6 深澜Srun3000系统 7
2.3.7 认证计费场景设计 8
2.3.8 DAA根据目的地址计费 9
2.3.9 教师在不同地点上线采用不同的计费策略 9
2.3.10 通过srun3000满足计费功能 9
2.3.11 实验室和学院的专线接入 10
2.3.12 办公打印机等网络设备的接入 10
2.3.13 Srun3000系统功能应用 10
2.3.14 高可靠设计 10
2.3.15 多认证模式统一部署 11
2.3.16 用户上网访问日志查看 11
2.3.17 用户在线监控管理 11
2.3.18 账号管理及控制策略 12
2.3.19 计费策略 13
1. 校园网认证计费系统设计
1.1 校园网建设趋势
随着高校信息化建设的不断深入,应用于网络解耦合已经成为大势所趋,理想情况下,整个校园网虚拟成一台高性能交换机或者路由器,网络功能向组件化发展,比如,现网中应用越来越多防火墙模块、入侵防御模块、无线控制器模块等等。整个发展方向最根本的驱动力是增加用户的体验,并且网络维护工作者的工作量越来越简单。
校园网的认证计费是校园网的核心业务,关系到全校师生的网络体验,其建设方案的选择也直接影响着网络维护老师的工作量。802.1x认证凭借其严格的端口控制,5元组甚至7元组策略的灵活组合,可是实现丰富的接入认证控制,有效的控制了网络的接入安全。早在03年左右部分校园网就采用了这种认证策略,到08年左右,迎来了802.1x认证建设的高峰期。随着应用的不断深入,802.1x被证明虽然其在安全接入控制方面具有独到之处,但是无论在用户的体验还是维护管理的工作量上面,都与网络建设的初衷相去甚远。主要表现在:
(1)802.1x客户端与用户主机或者安装的应用程序之间的兼容问题。
(2)802.1x认证每个厂家采用的协议部分是不一样,产品品牌选择单一性问题。
(3)802.1x多终端上网问题。
(4)802.1x对新兴媒体设备,无法认证问题。
(5)高速免费到几号802.1x对访问目的资源,无法区分认证计费问题。
(6)802.1x对没用户的QOS控制粒度,无法细化问题。
……
虽然,部分厂家对802.1x进行更加人性化的设计或者通过跟portal认证相互配合的认证策略,能解决部分问题,但是无论是在复杂成都还是应用效果上看,对客户的应用体验以及管理维护工作量的降低上,均没有较大的改善。
然而,在运营商市场应用成熟的pppoe/ipoe的认证方式,凭借其成熟的技术,良好的用户体验及延续用户的使用习惯,方便易于管理的特性,成为广大高校认证计费改造的首选方案。pppoe/ipoe的session级用户管理,可以方便的根据模板下发策略,保证用户的使用习惯。其
精确的流量统计计费,可以促使用户保持良好的网络使用习惯,特别适合在高校应用场景下,规范学生的用网行为。同事,pppoe/ipoe对新兴媒体设备认证计费需求及同一帐号多终端上网,多地理位置的上网都有非常灵活的支持。即面向三网融合的大趋势,又灵活满足用户的使用习惯。
另一方面,随着移动互联时代的到来,各种移动终端的规模应用,给用户带来网络使用的便利及工作和学习的高效。高校建设无线校园已经成为一种趋势。高校用户属于慢速移动无线应用,因此,采用802.11a/b/g/n技术建设高速的无线局域网是无线建设的主流趋势。建设无线校园需要重点考虑与现网有线网络的融合,即有线、无线统一认证;有线、无线统一管理等问题。只有这样,才能提高用户的体验和优化网络维护的工作量。
1.2 认证计费改造需求
目前,湘南财院使用的是基于802.1x协议的认证计费系统。随着网络规模的扩大,网络应用的增多,采用该协议的认证计费逐渐遇到瓶颈,主要表现在:
该协议设计之初,是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,
接入交换机生产厂家对其进行了改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题;第二,要在以太网上有效的使用该协议,就必须安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如Windows、MAC OS、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题;第三,目前的802.1x系统,无法按照校内/校外以及免费/收费流量进行统计,所以无法实现按照不同流量的分离计费。此外,采用802.1X的认证计费方式无法实现统一端口下,多台终端上网(即家属区用户,无法通过家用soho路由设备,多台终端上网)。然而,这种应用需求越来越强烈。最后,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。因此,需要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的控制及按流量的认证计费。准出控制系统。采用网关型的准出控制系统,对校园用户进行准出控制。可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效控制用户是否具有外网访问权限,进而控制用户访问外网的带宽。准入控制实现基于pppoe和ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。
统一认证计费平台的建设需要满足一下场景的需求:
(1)有线无线一体化接入,学生采用流量计费的方式接入,教师采用工号与密码的方式。Portal与PPOE方式均需支持;
(2)对于学生访问学校内网不认证、不计费,只有在访问外网时通过Portal方式认证;
(3)教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。
(4)对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论