2022年xxxx网络统一身份认证计费管理系统建设方案综合) .pdf

上传人:C****o 文档编号:39673951 上传时间:2022-09-07 格式:PDF 页数:17 大小:215.69KB
返回 下载 相关 举报
2022年xxxx网络统一身份认证计费管理系统建设方案综合) .pdf_第1页
第1页 / 共17页
2022年xxxx网络统一身份认证计费管理系统建设方案综合) .pdf_第2页
第2页 / 共17页
点击查看更多>>
资源描述

《2022年xxxx网络统一身份认证计费管理系统建设方案综合) .pdf》由会员分享,可在线阅读,更多相关《2022年xxxx网络统一身份认证计费管理系统建设方案综合) .pdf(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、XXXX 学院网络统一身份认证计费管理系统建设方案2016 年 03 月目录一计费系统设计规划.2 二方案建设目标.2 三总体方案.3 1.方案设计.3 A.方案(串连网关方式).3 B.方案(旁路方式+BRAS,BRAS 产品).4 四认证计费管理系统与统一用户管理系统的融合.8 4.1 统一用户管理系统的融合.8 4.2 一卡通系统的融合.9 4.3 用户门户系统的融合.9 五认证计费管理系统功能介绍.9 六用户案例.14 6.1 清华大学案例介绍.14 6.2 成功案例-部分高校 .16 6.3 系统稳定运行用户证明.16 七.实施方案.16 名师资料总结-精品资料欢迎下载-名师精心整理

2、-第 1 页,共 17 页 -7.1 实施前准备工作.16 7.2 认证计费系统安装.16 7.3 实施割接前测试工作.16 7.4 实施中割接、割接后测试工作.17 一计费系统设计规划XXXX 技术学院整体用户规模设计容量为10000 用户,同时在线用户规模为5000 人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。在充分满足 IPv4 用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双

3、栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。二方案建设目标针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解名师资料总结-精品资料欢迎

4、下载-名师精心整理-第 2 页,共 17 页 -决方案。实现全网用户统一身份认证和精准计费;解决现有系统的功能不足和改善用户端体验;实现全网统一管理,整体数据分析;现有网络设备升级,提升整体网络速度;实现一个用户账号可以全部认证,同时和校园一卡通,信息门户的对接,实现用户账号的同步。实现用户无线、有线一体化,全网统一身份认证计费;三总体方案1.方案设计A.方案(串连网关方式)系统部署说明:(网关实现精准流量计费和灵活控制)将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采用透明桥方式,此种方案具有以下几种特点:1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或者

5、其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认证。2.针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数)状态,到零自动切断用户上网。3.针对每个用户可以进行动态带宽限制。4.实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等。5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 17 页 -6.教学区采用 Portal 认证模式,实现用户的方便认证,适应多种智能终端。以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:清华大学、北京理工大学、北京师范大学、北大医学院、北京航

6、空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。(清华大学万兆网关实际测试)B.方案(旁路方式+BRAS,BRAS 产品)1.无感知认证(MAC 认证模式)1.1 为用户分配固定的 IP地址,用户在配置地址和网关后直接获得对应的访问权限;如需对用户访问权限进行控制,则可通过在认证计费系统对 BRSA 或是无线控制器下发 DAA 模板实现 ACL访问控制。1.2 通过DHCP为用户提供地址的动态分配功能。用户终端接入后,即可通过 DHCP获得IPv4地址,对应的网关和 DNS服务器等信息。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 17

7、 页 -在采用DHCP 方式时,用户可以动态获得某个地址池中的地址,或者按照要求,基于该用户的 MAC 地址,为其每次都分配同一个 IP地址,便于其在网络内提供相应的服务。1.3 用户的 IPv6地址建议通过 ND/RA 的方式获得,及IPv6无状态地址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种方式。1.4 对于无需认证的用户,如果是通过DHCP 方式获得 IP地址,BRAS多业务路由器以及后台的认证计费系统同样会对用户的信息提供记录,便于今后的查询。采用BRAS多业务路由器做为二层接入认证管理设备,能够实现用户接入网络的精细化管理功能,BRAS多业务路由器为用户接入提供的DHC

8、P流程中集成了认证模块,能够实现在用户 PC接入网络获取 IP地址的同时,就能够同步记录下用户的MAC 地址、所在的具体位置(精确到交换机端口,包括内层 VLAN ID和外层VLAN ID)、接入网络的时间、获取的IP地址等多种信息,并对每个用户细致的访问权限、上下行速率的控制,从而实现用户接入网络的可识别、可管理、可控制,而这个过程用户没有任何感知。2.PPPoE 认证BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能,通过用户侧的 PPPoE拨号,能够实现在客户端与 BRAS之间的PPPoE通道的建立,并同时基于 PPP的协商实现用户的认证、计费功能。PPPoE简要流程为:用

9、户PC通过客户端发起 PPPoE请求到后台接入服务器BAS,然后交付后台 RADIUS 进行认证及计费。此方案的优势在于通过名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 17 页 -统一的 BAS设备实现集中的接入管理和差异化的策略管理,如用户带宽的分配、QOS的优先级、营运记账等。(PPPoE认证流程图)由于 Me 直接提供了用户接入网络时的PPPoE 认证功能,相应的控制力度也更强。用户均通过 PPPoE 会话实现到网络的接入和访问,相互之间由于 PPPoE 通道的隔离而互不影响,因此能够天然抵御ARP 欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整

10、个网络的可靠性和稳定性。另外,由于BRAS 设备为运营商级设备,设备的处理能力,对用户的控制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权限管理、QoS 等各种操作。并且,在使用BRAS+PPPoE 的接入方式下,在接入层是一张大的二层网络,用户间通过VLAN 隔离,互相之间没有影响,避免了 ARP 病毒等问题;同时,对运营网的管理维护来说,管理员只需要管理大的BARS 设备,接入层设备仅仅是二层接入,不需要在接入设备上作负责设置,极大的减轻了管理员的维护工作量。PPPoE 的拨号客户端在Windows系统中自带,也避免了客户端软件下发所带来的一系列问题。3.WEB Port

11、al认证(IPoE)Web 认证(IPoE)需要与 Portal 认证服务器配合使用,主机首先通过DHCP 得到一个 IP 地址(或是静态设置),通过 HTTP 重定向的方式强制用户与 Portal 认证服务器通信,也可以使用户只访问一些内部服务器;然后,接入服务器将用户强制连接到Portal 认证服务器上,并在浏览器中弹名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 17 页 -出认证页面。在该页面中输入用户名和密码,Portal Server把通过 Protal协议将认证信息传送到BRAS 上,对用户进行认证。认证通过后,用户获得相应的访问权限,可以访问互联网或特定的网络。在

12、 IPoE+Portal的认证方式中,用户的账号都是由Portal 进行认证,这样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的出现。而Portal在实际的处理机制中会把账号信息转交付给BAS,由BAS 向 Radius Server 发起 AAA 认证。RADIUS 认证结束后,BAS 一方面会通知Portal给出相关提示给用户,如“认证通过,可以访问网络”,也可能是“认证失败,用户名或密码错误”等。另一方面BAS 会从 AAA中获取用户的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。上图是“IPoE+Portal”方案的一套用户

13、上网流程,具体流程分解如下:(1)用户获取地址后,通过浏览器发起正常的HTTP请求;(2)从BRAS上来的 HTTP请求被重定向(给 Redirector 设备;(3)Redirector 设备直接回指给用户一个专门的Portal 地址;(4)用户访问 Portal 设备;(5)Portal 设备弹出页面,提示用户输入账号进行认证;(6)用户输入账号信息并提交给Portal server;(7)Portal 将用户账号信息通过 Portal 协议转交给 BRAS进行认证;(8)认证通过时,RADIUS 一方面通知 BRAS并给出相关用户提示;名师资料总结-精品资料欢迎下载-名师精心整理-第 7

14、 页,共 17 页 -(9)另一方面,BRAS 根据用户的状态获取相应的访问策略;(10)Portal 直接端到端给用户相关提醒,如“验证通过,可以上网”;(11)用户访问其他网页,BAS通过调整后的策略进行正确转发;用户将可以正常访问外网;(12)同时后台 RADIUS进行计费策略;认证过程(支持 PPPoE,L2TP,Web Portal认证),认证过程与串行、旁路方式无关,采用哪一种接入方式都可使用所有认证方式,需要接入的bras 或核心交换支持。以旁路模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:浙江大学、天津大学、厦门大学、复旦大学、华东师范大学、杭州师范大学、西北工业

15、大学、兰州大学、电子科技大学、山西财经大学、长治学院等等。(深澜软件无缝对接的网络设备厂家)四认证计费管理系统与统一用户管理系统的融合4.1 统一用户管理系统的融合认证系统可以无缝和学校统一用户管理系统进行融合;使用通过目前统一用户管理系统进行开户,认证系统实现认证,用户在自助系统中进行套餐选择的无管理化的管理方式;认证系统也可以和统一用户管理系统深度融合,使用中间表的模式进行融合:常规采用 LDAP 方式和相关自定义接口方式实现名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 17 页 -例如:兰州大学深澜系统与金智统一身份认证系统对接(如下图)4.2 一卡通系统的融合5.2.1

16、 实现目的:认证计费系统和一卡通系统进行联动管理,实现统一缴费过程:5.2.2 接口规范:所有连接都用 POST 方式提交!鉴权码为:%*trgl_S URL:http:/server ip:8080/card_if.php 即 SRUN3000 的后台管理服务器的 8080 端口返回信息为 gb2312 编码。4.3 用户门户系统的融合新建认证系统可以和学校目前的用户门户系统进行融合,由于新建认证系统支持多种重定向功能,可以支持认证后重定向的功能,因此可以和学校目前的用户门户系统进行融合可以根据用户的登录名,进行登陆后重定向到该用户所在的学校门户中可以根据 IP 地址范围,进行登陆后重定向到

17、指定的学校门户中,如无线用户的登陆和有线用户的登陆可以统一设置用户,进行登陆后重定向到学校统一的门户系统中五认证计费管理系统功能介绍功能分类功能简要描述备注协议IPV4、IPV6 可单独支持 IPV4、IPV6网,亦可支持IPV4、IPV6混用网名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 17 页 -二层网络以太网接口支持10M、100M、1000M、10000M 网桥模式支持无需改变现有网络,可透明、无缝接入网络三 层 网 络 及以上目标地址路由适用多出口网络的要求NAT 功能支持、但不建议开启OSPF/RIP 透传OSPF/RIP 等路由协议接入控制Web 认证支持IE、

18、firefox、opera 等图形浏览器客户端认证Win32 版本客户端支持 Windows xp、2003、vista,linux 版本客户端支持fedora5 以上、as4以上、ubuntu6 以上且无需 xwindows 支持。心跳检测关闭浏览器认证窗口,自动下网,退出客户端,亦可自动下网。空闲检测监测出规定时间无流量的用户,并强制自动下网Web 认证前 url 用户打开任一网址,跳转登录页面Web 认证后 url L 可在用户认证后登录指定页面免认证用户设置指定特殊用户为直通用户,无需认证不认证访问指定 IP 可以指定若干目的 IP 网段,无需认证就可访问客户端版本控制随着客户端功能升

19、级,可以强制用户使用新的客户端软件。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 17 页 -多认证方式选择可设置只允许 web 或客户端认证,亦可设置PPPoE L2TP,802.1x VPN认证用户代理功能控制防代理、需强制使用客户端配合客户端广播信息和即时消息接收进行各种信息发布P2P 软件限制可以禁止用户使用 BT、eMule 等常见P2P 软件,即可在设备上统一控制,也可以根据时段控制 P2P 软件,可以对单个用户进行控制(计划开发)带宽控制可针对每个用户进行带宽控制;免认证用户根据 IP 地址段进行带宽控制。用户管理用户行为管理基于全状态端口的用户行为管理用户在线

20、查看查看认证用户、免认证用户在线信息强制用户下线强制指定用户离线标准Radius Client 功能可和多厂家 Radius Server 配合使用数据库外置支持数据库内置或外置,外置数据库可以支持Windows、Linux、Unix 认证计费802.1x 认证当采用 802.1x 一次认证、BRAS 二次认证时,支持二次认证一次通过支持时长、流量、包月、卡类计费方式公式方式方便用户制定多种计费策略名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 17 页 -特殊情况下用户免认证上网可以手工设置也可以自动切换国内外流量区分可区分国内外流量,实现仅对国外流量计费。用户费用,流量零透

21、支在用户上网的过程中实现费用和流量的零透支,在用户流量和费用用完的时候,能够立刻截止用户上网用户的催费通知在用户使用快到期,或费用快用完的时候,实现用户的信息通知。安全防范指定IP(段)进行 SSH 管理防止未经授权的 IP 登陆系统指定IP(段)进行后台管理防止未经授权的 IP 登陆后台指定IP(段)进行数据库管理防止未经授权的 IP 登陆数据库指定IP(段)进行数据库连接防止未经授权的 IP 连接数据库管理员权限设置多级管理、自定义角色、自定义权限上网日志记录可以记录用户上网行为:包括时间、上网IP、目的 IP 等,提供 URL 信息。服务器管理Web 管理支持SSH 远程管理支持名师资料

22、总结-精品资料欢迎下载-名师精心整理-第 12 页,共 17 页 -SQL 操作web 操作数据库数据管理本地数据备份支持本地备份数据,每天5点进行全库备份远程异地备份通过ftp 协议备份数据库到远程服务器,每天5点后全库备份后执行。数据备份与恢复可以对认证计费中的数据库进行备份和恢复操作上网明细清理每月1日凌晨 3点自动将过时数据转移到备份数据库,当前数据库保留3个月的上网明细(可在后台管理中设置)数据库剥离认证系统与数据库完全独立,即使数据库发生故障仍可正常认证,待故障排除,用户上网数据立即写入数据库。系统监控CPU 利用率统计每小时的 cpu 利用率,并绘制图表在线人数统计每小时的在线人

23、数,并绘制图表网络负载统计每小时网络接口的负载情况,并绘制图表系统日志(审计)HTTP 访问日志记录用户的 http 访问日志系统日志支持管理日志支持续费日志支持名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 17 页 -结帐日志支持双机热备双机热备当要求设备可靠性极高时,可以2 台设备进行热备工作;平时主设备工作,备设备待命状态,如果主设备瘫痪或者死机,由备设备接管主设备工作。六用户案例6.1 清华大学案例介绍系统规模:出口:10G 教育网、1G 电信,10G IPv6 出口。注册用户:150000 人同时在线:45000 用户,无线网同时在线10000 人。认证模式:推荐使

24、用客户端认证,可以使用Portal 认证,无线网采用Portal,802.1x,MAC认证并存。认证协议:IPv4,IPv6 双栈出口拓扑图:全校部署两台 Srun 3000 高性能万兆 IPv4 及 IPv6 认证网关(双链路热备)和 Srun 3000 用户运营支撑平台,用户认证使用Portal、专用客户端认证,无线网由12 台 CISCO 无线 AC,和 2500 个 AP 组成,实现统一的无线外置式 Portal 认证。方案特点:全路径双链路冗余,清华大学采用了双链路冗余设计,双栈设计使得两条链路都可以跑IPv4 和 IPv4,左边的链路IPv4 优先,右边的链路 IPv6 优先,当其

25、中一个链路出现问题的时候OSPF 路由会使得数名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 17 页 -据走另外一条链路,实现链路冗余用户认证冗余:两个万兆网关配合独立的认证服务器,实现用户数据的一致性,任意链路的中断,用户都不受任何影响,不需要重新认证无线网一次认证:清华的无线网由12 个 CISCO AC 和 2500 个 AP组成,覆盖学校几个重点区域,支持Portal认证,802.1x认证,MAC 认证,目前全校无线用户同时6000 人在线,Srun3000 Portal 提供外置式 Portal 认证,Srun3000 AAA提供无线认证和万兆网的出口联动,实现用户

26、无线一次认证就打开校内和校外访问,并实现计费。统一外置式 Portal:为了实现高效认证和灵活的定制,深澜软件配合清华大学实现了外置式Portal 和 12 台 CISCO AC 实现对接。方便的多种认证终端支持:Srun3000 在清华大学不仅提供了标准的Windows 绿 色 客 户 端,同 时 提 供 了Linux,苹 果,Andirod,IPhone,IPAD 等多种主流终端的认证客户端方便用户使用。创意的计费模式:为了充分使用有限的带宽资源,清华采用的计费策略是和流量相关的阶梯计费,阶梯越高,使用的单价结算费用越高,这样就在一定基础上避免了带宽被无限制的滥用,保证了学校的关键应用。有

27、线网 Portal页面:登录后弹出页面:旧版有线 client客户端:名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 17 页 -新版有线无线统一client客户端:6.2 成功案例-部分高校6.3 系统稳定运行用户证明七.实施方案7.1 实施前准备工作检查服务器设备安放环境,服务器上架,并上电检查设备运行情况,准备 1 根合适长度的千兆网线,并进行标签粘贴工作,准备服务器的相关IP地址,用户数据信息准备(用户名、密码、计费策略等)。7.2 认证计费系统安装服务器上电运行正常,则进行认证计费系统安装工作;安装 Linux 操作系统;安装 portal 服务器;安装认证模块;安装

28、计费模块;导入用户数据等;7.3 实施割接前测试工作认证计费系统安装完成,测试认证计费系统各个功能模块是否正常,是否已经具备割接条件;测试 portal 服务器是否正常;名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 17 页 -测试认证功能是否正常;测试计费功能是否正常;测试与 BRAS 对接是否成功;测试计流量功能与开启netflow设备是否对接成功等;7.4 实施中割接、割接后测试工作割接开始,与 BRAS 设备进行对接,与开启 netflow设备对接,认证计费系统开启用户认证功能,割接完成。测试用户是否可以正常认证,测试用户流量是否正常,查看用户在线列表是否正常。名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 17 页 -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁