《蓝海卓越高校校园无线认证计费解决技术方案.docx》由会员分享,可在线阅读,更多相关《蓝海卓越高校校园无线认证计费解决技术方案.docx(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、蓝海卓越校园全光网络无线认证计费解决方案一、项目背景在信息迅猛发展的今天,国内所有高校均实现了有线校园的建设。但随着教学 设施的完善,越来越多的便捷式计算机终端被带进了校园,教师和学生对高校 校园网的依赖性愈来愈高,“随时随地获取信息”已成为广大师生们的新需求。 而无线校园网络的快速发展与应用,将对学校的教学模式、教学理念及教学管 理产生深远的影响,也将对学校教师、学生的学习、生活方式产生积极影响。 无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所, 除此之外,校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥 功效的场所。因此,在整个校园内,同一个设备可以在任何时
2、候、任何地方与 校园网络连接,不间断地访问校园网络资源。同时针对学生和教职工家属基于无线网络进行宽带运营,也是高校无线网络建 设中考虑的重要环节。基于校园无线网向不同的用户群体提供不同的无线上网 服务,教职工可以基于无线开展教学活动访问某些教育网资源,学生和家属可 以基于无线进行付费上网。而传统无线网络的接入方式,用户上网需要得知无 线密码或者不需要密码直接接入到无线网络中,不仅在安全上存在一定的隐患,2 .全网统一采用Portal认证方式,用户终端连入网络,自动获取IP地址, 并由网关自动重定向到PORTAL服务器指定的PORTAL页面;3 .用户在PORTAL页面输入帐号密码,认证成功即可
3、上网;4 .后续只要在用户有效期内,用户连入网络,则流控网关会自动向认证服务 器发起MAC无感知认证,用户在无感知的情况下,认证成功,直接上网,无 需弹出PORTAL页面;5 .当用户到期后,MAC无感知失效,则又会弹出PORTAL页面,提醒用户交费;6 .所有用户可实现线上充值缴费,支付方式为支付宝和微信;7 .用户在任何有网络地方均可接入网络并认证上网,同时经由出口访问互联 网;8 .访问校内资源无需认证;9 .所有用户的上网访问都将被行为审计设备监控,溯源可查;10 .通过防代理服务器,检测用户的上网共享行为,并对检测到的用户进行 断网惩罚。认证计费及PORTAL服务器概述在本次项目上投
4、入一套认证计费管理平台+ PORTAL服务器部署在学校的 中心机房,认证计费支持对接学校数据中心,负责统一认证计费系统实现校内 用户的账号开户、收费、资料变更、销户、管理等。配合流控网关向用户提供 差异性收费策略、控制用户的接入时间与速率、统计账务报表以及上网清单 等。PORTAL服务器实现用户认证页面的推送、公告信息等。认证计费系统软件基于标准Radius协议和Portal协议开发,并具备良好 的标准性、兼容性、开放性,实现有线无线认证计费和管理平台一体化。满足 教育信息系统安全等级保护要求。PORTAL 服务器,支持 CMCC 1.0 , CMCC 2.0 ,华为 PORTAL 协议, W
5、IFIDOG协议,COA扩展协议,可与国内外主流厂商的AC、BRAS、网关、 路由器、交换机完美对接,包括华为、中兴、H3C、锐捷、RUCKUS、 ARUBA、爱立信、贝尔阿尔卡特、思科、川NIPER、飞塔、Microtik.PANABIT等厂商NAS设备对接。Portal服务器主要由Portal组件、管理系统组件、WEB服务器组件、数 据库组件等组成。能实现PORTAL推送认证、有线无线统一认证。6.2 认证与计费管理主要功能NatShell a Q 忠 福 iS a 柒 * * M的页 认0母理 AAA理 统计分析 运理 网银行理 超旁设国 MfStSSNatShell a Q 忠 福 i
6、S a 柒 * * M的页 认0母理 AAA理 统计分析 运理 网银行理 超旁设国 MfStSS短信认证模板帐号认0模板 tn僖认证模板冷助扫码模板 APPUiiEtflK外部认证模板二板 E专用槿板各3出MI设备值B富理(I设备姐工理fl时间tr理a SSIDBSadmin *认立蝌 厂陶令用期长Q中国联通. ORGIDtttffl AQP管理运僖接口认证计费管理系统支持多种认证方式,二层PPPOE , 802.1X ,三层的WEB Portal,L2Tp认证,认证授权都有以下的功能:采用关系型数据库MYSQL开发,可通过升级达到电信级用户容量需求,支撑100万开户数的规模支持标准Radiu
7、s协议支持 Radius 扩展 COA ( Change of Authorization )协议,支持 COADM协议根据用户状态进行认证,非正常用户不能通过认证支持对同一帐号可同时使用人数多少的认证同一账户认证成功后再次认证,后认证用户可自动踢前一次认证用户下 线根据接入设备传送的用户信息,把用户的帐号和IP地址、MAC地址、接 入设备IP、VLAN ID进行认证绑定下发策略定义的多服务,配合BAS实现各种域的控制。与华三、华为、锐捷等主流厂商的802.1X交换机进行认证,并且能够实 现802.1X交换机与流控网关配合进行二次认证的功能预判断帐号是否可用,提高用户的感知。提供个性化认证界面
8、,可以很方便使用任意网页编辑语言设计自己的认 证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面停 留的时间以及认证成功后跳转的网址,支持WEB管理界面中对PORTAL页 面的编辑功能,对图片、文字、链接均可进行自定义,支持WEB管理界面 中对PORTAL页面进行源码编辑功能,方便管理员进行复杂的PORTAL页 面修改认证后打开指定主页,方便用户登录运营商网站或广告页支持无感知的MAC认证支持验证码功能支持二次认证网络一次认证通过支持黑白名单功能多账号分权限管理可根据不同的需要设定不同的管理员权限对不同的管理员,可以指定不同的用户组、产品套餐、PORTAL管理权限,轻松实现分级管理
9、4W+B+S PORTAL页面推送策略按照When、where, who. what实现万能弹功能,基于SSID、时间、地点、用户推送不同的Portal认证模板可以根据终端类型(手机、PC)进行自适应,实现个性化的PORTAL页面推送,实现不同终端展现不同效果的PORTAL页面PORTAL及其他认证功能支持PORTAL页面短信开户认证支持MAC无感知认证功能支持PORTAL页面一键认证功能支持微信连WIFI认证功能支持企业访客协助扫码认证功能支持外部APP对接认证功能支持第三方数据库对接认证功能支持AD域对接认证功能PORTAL页面高度自定义根据蓝海卓越模板制作规范,用户可以很方便使用任意网页
10、编辑语言设计自己的认证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面停留的时间以及认证成功后跳转的网址支持WEB管理界面中对PORTAL页面的编辑功能,对图片、文字、链接均可进行自定义支持WEB管理界面中对PORTAL页面进行源码编辑功能,方便管理员进行复杂的PORTAL页面修改强大的用户组管理能力支持划分多个不同用户组支持划分子用户组,子用户组不限制层级可指定管理员管理用户组权限,轻松实现多级用户权限管理针对不同的用户组,可以指定不同厂商的NAS产品,生成不同的下发规则(如限速、停机等)多种灵活计费方式支持自定义产品套餐,可以设定包年、包月、包天、按小时、按流量等各种复杂计费策
11、略,适用不同的网络环境和地区的特殊需求支持套餐包和叠加包的套餐设定针对不同的用户组,可以设定不同的产品套餐,各项目之间互不干扰批量更改产品套餐,只需修改产品,所有的对应用户规则也会相应修改, 方便快捷方便快捷的用户管理用户管理界面高度集成化,操作方便快捷,使用最少步骤完成业务操作流程包括新开户、续费、更改用户资料、更换产品、停机保号、修改密码、打印票据、用户下线、发送短信等,均可一键操作,简单易用到极致对于正常用户、停机保号用户、停机用户、即将到期用户、到期用户,均做了分门别类的显示,方便管理人员查询统计及导出支持用户暂停、停机保号、中途销户支持用户首次上线开始计时功能支持一键绑定用户MAC地
12、址、NAS IP地址、VLAN地址、AQP、SSID可以根据用户的不同需求实现各种上网策略,包括按照时长、流量进行计费管理,以及绑定MAC、限制登录数量等用户上网管理完善的账务管理所有开户、续费操作均会产生账单,每笔账单经手手、收费对象、金额、收费日期一目了然,便于查询和审计支持收费人员与财务人员进行对帐处理,日结日清,不会出现坏帐支持管理员充值续费和系统自动续费(用户帐户有余额的情况下)支持用户冲帐,对于多交了的钱,进行冲帐退还处理便捷的充值续费支持用户通过支付宝进行自助开户、充值、续费支持用户通过微信进行自助开户、充值、续费支持用户通过第三方平台使用微信和支付宝进行自助开户、充值、续费支持
13、代理商充值续费支持管理员人工充值短信通知功能内置短信通知功能,支持与第三方短信网关进行对接支持对开户、续费、即将到期和到期用户发送短信通知,并设定不同内容支持管理员主动向用户发送短信通知数据挖掘及统计分析可根据客户需求提供接口和数据库字典,以便用户能够直接调用数据库查询数据,进行数据挖掘和分析。注册人数走势统计分析功能 在线人数走势统计分析功能 注册类型统计统计分析功能上网终端统计统计分析功能 账号在线率统计统计分析功能 在网用户率统计统计分析功能PORTAL推送统计统计分析功能 累计认证成功数记录及查询功能认证失败记录表及查询功能PORTAL推送日志记录及查询功能 人均上网时长统计分析功能
14、人均上网流量统计分析功能强大的记录审计功能支持用户上网登录记录的保存和查询 支持管理员操作记录的保存和查询审计 支持管理员登录记录的保存和查询支持收费记录的保存和查询支持开户、续费记录的保存和查询审计 支持WEB接口访问操作日志记录功能 支持短信发送日志记录功能支持访客授权日志记录功能支持清空日志记录功能多种数据备份功能多种数据备份功能,确保数据安全 支持自动备份到服务器 支持邮件备份到管理员指定邮箱 支持手动备份数据到自己的电脑上 支持数据通过EXCEL表格导入导出代理管理功能内置代理管理功能,支持添加多个代理商 支持对不同代理商设置不同权限,且互不干扰。代理商使用不同的WEB访问端口,避免
15、了安全问题灵活的自定义界面为方便运营商提升自身形象,预留接口,允许运营商自定义页面图片及文字内容。允许自定义用户自助系统页面图片及文字内容用户自助服务功能支持用户登录自助系统查询信息 支持用户自助修改密码支持用户自助充值缴费(通过充值卡或是支付宝)支持用户留言,并查看管理员回复方案特点1)无线接入认证所有具备无线功能的移动终端均可以方便的接入到无线网络中,当发起http访 问请求后会被重定向到Portal认证页面;2)认证页面定制认证页面/认证成功页面均可以按照自己的要求进行定制设计,支持任意网 页设计语言,达到良好的页面展示效果;在认证页面和认证成功页面可以自由 设计承载校方需要发布的信息;
16、3)不同SSID推送不同认证页面针对教师和学生建立两个不同的SSID,基于不同的SSID设置不同的认证页面 url,实现不同SSID推送不同的认证页面,学生和教师完全分开;4)页面跳转当所有用户完成认证后,自动跳转至学校官网或其他指定网址,增强知名度, 提高宣传和服务水平;5) AD域认证/第三方数据源认证根据高校现有的AD域或者相关管理系统数据库,教师可以采用AD域账户或者 其他已有的账户信息进行认证;6)认证计费管理学生和教职工家属通过向高校信息中心提供相关证件开通办理无线认证上 网账户,并对该账户进行计费管理,实现按照包年包月基于上网时长或者流量 的计费方式,开户、停机均可在蓝海卓越计费
17、管理系统中完成;7)用户管理强大的用户管理功能,可以实现对用户的上传、下载速度以及在线时长等 进行设置,实现对无线接入用户的速度、在线用户数、上网时长等管理,针对 不同的用户采用不同的上网规则。网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方 便,使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高 效的无线网络已经成为校园无线网络建设的当务之急。二、需求分析蓝海卓越针对目前高校在无线认证和计费中存在的问题,推出适合高校校园的 无线认证计费解决方案,该方案需要满足以下需求:1、全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务,采取 光纤到户的GPON
18、网络组网;2、每间宿舍一个ONU+WiFi 一体化设备;3、支持多种认证方式,包括针对教师的AD域认证上网,以及针对宿舍学生和教职工家属的静态用户名密码认证上网;4、支持基于不同的SSID推送不同的Portal认证页面,面向开展教学活动的教师 和上网冲浪的学生及教职工家属推送不同的认证页面;5、支持对接学校现有的管理系统数据库或LDAP数据库,教师可以直接在认证页面输入相关AD账户密码进行认证上网;6、学生和教职工家属可以采用付费的方式上网,通过向高校信息中心提供相应的证件办理无线上网套餐,套餐可以按照包月/包年基于时长或者流量进行计费, 并通过静态用户名密码的方式认证上网,套餐到期后账户停机
19、;7、可以对认证页面、认证成功页面进行高度定制,支持多种网页设计语言,以 实现对认证页面自由设计的需求;8、方便管理,能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理;9、认证成功后可以实现强制跳转至高校官网或其他指定网站,可以有效的进行 宣传和推广;10、所有认证用户均需审计监控;11、部署方便,维护简单,同时对整体设备需要易操作易管理,维护简单;将 来增加覆盖范围和用户数量能够方便的进行扩展升级。三、校园分析学生宿舍基本情况1、楼栋 2、楼层3、房间数 4、弱电井5、宿舍教师公寓基本情况1、楼栋2、楼层3、房间数4、弱电井5、教师楼建设目标1、建设全新的学
20、生宿舍/教师公寓宽带接入网络,提高用户上网体验满意度;2、新建的网络具有稳定运营能力,能根据校园业务需要实现多种方式的灵活计费,根据管理要求制定精确的网络权限;3、能够对上网行为进行精准的可追溯、可查询、可分析;4、需对所有接入用户实现有线无线一体化管理,整体网络建立扁平化网络; 5、实现上网实名制认证,提升整体网络的可靠性、使用性和管理性;6、部分情况下,与校园一卡通打通,实现统一收费; 7、与支付宝和微信打通,实现自助收费;8、新建网络可应对未来5-10的网络发展。五、方案设计原则蓝海卓越基于多年的产品运营经验及对无线认证计费运营的深刻理解,针对某 高校无线认证计费的需求并结合现有产品推出
21、“蓝海卓越高校校园无线认证计 费解决方案”,从打造可管理、可运营的无线认证计费网络的角度出发,致力 于为客户建设一个高效可靠、运营成本低的商用无线认证计费网络,使无线认 证计费网络部署轻松、可靠、高效。根据用户需求及用户网络特点,蓝海卓越 提供的方案设计遵循以下原则:1、高可靠性在宿舍区域全部采用无源光的PON网络,光纤到户,每间宿舍一个ONU设 备,统一认证,统一管理,统一配置,同时ONU提供WiFi接入;无线网络运行的稳定可靠是接入认证系统正常运行的关键保证,在网络设 计中选用高可靠性网络产品,合理设计网络架构,适合7x24不间断运行。2、技术先进性和实用性在保证满足无线接入认证的同时,又
22、要考虑无线计费系统的先进性,充分考虑到系统应用的现状和未来发展趋势,能够方便的对功能进行扩展。本 次建设采用光纤到户的无源光GPON组网方式,高速、稳定、可承载多种业 务。3、标准开放性支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范 以及标准的Radius协议,有利于保证与其它网络及设备之间的平滑连接互 通,以及将来网络的扩展;4、灵活性及可扩展性根据未来业务的增长和变化,网络及设备可以平滑地扩容和升级,并在扩 容和升级过程中最大程度的减少对网络架构和现有设备的更换调整。本期 项目建设,从有线接入/无线网络信号覆盖、骨干链路建设、安全建设、身 份准入系统建设四个方面
23、考虑整个项目的扩展性,做到易扩展,并且做到 扩展后所有功能和管理的模式保持不变。5、可管理性对网络状况实行集中监测、分析,具有对接入用户、设备、网络、流量等 进行统计分析和管理的功能。宿舍区域的全光网络建设,可通过专用网管系统统一管理ONU设备,智能 化调配WiFi的功率、信道、ssid等,减少人为过多的介入运维,提升管理效 率。6、完善的安全措施对于本期的网络建设,在保证用户高效、稳定、健康的网络服务同时,网 络的安全建设也将是重中之重。用户接入认证的控制:宿舍用户全部必须实名制认证,接入网络 基于WEB认证方式,充分满足各种无线终端的接入。(2)基于用户的访问策略:不同的用户可能有不同的网
24、络应用访问, 包括HTTP、FTP、视频、语音等,针对不同的应用,加以配置不同 的行为控制权限,既满足针对不同用户的网络互访的安全性,又可 以针对特殊需求(如安全级别较高的领导等)赋予单独的隔离访问, 不会受到非法用户的入侵。受保护的无线数据传输:网络安全事件往往会发生在数据传输阶段, 因此,新建成的宿舍网络,将同时满足合法的有线用户与无线接入点的 数据传输的安全性,以及有线无线接入点与上行网络的数据传输的安全 性。六、方案设计说明蓝海卓越结合广泛的无线认证计费市场需求,推出蓝海卓越Portal无线认 证系统及流控、AC、AP等产品,最大限度的满足现有有线+无线认证计费的市场 需求。通过蓝海卓
25、越Portal系列产品,用户可以方便的组建无线认证网络,实 现WEB认证、认证页面自定义等功能;通过蓝海卓越计费管理系统,实现用户 管理、套餐管理等功能。6.1方案拓扑图PORTAL系统 AAA系统PORTAL系统 AAA系统一对接完成认证防代理服务器BRAS/流控OLT分光器分光器OM3APONU+APONU+APONU+AP有线电脑丁机、平板方案使用设备蓝海卓越全光无线网络系统主要由:移动终端(智能手机、平板电脑、笔 记本等)、流控网关/流控、ONU/AP、蓝海卓越Portal服务器、蓝海卓越Radius服务器组成。在整体方案中,它们充当的角色分别如下:1、移动终端:用户使用手机、平板等移
26、动终端设备连接到校园WLAN无线网 络中;2、ONU+AP :无线接入点,实现一定区域内无线信号的覆盖;3、OLT+AC控制器:集中控制管理所有ONU+AP设备,根据需求建立针对教 师教学和学生家属的两个SSID ;4、蓝海卓越Portal服务器:同AC设备对接,实现Portal认证页面的弹出和 无线认证流程,认证页面支持任意网页语言进行定制设计,针对不同的SSID推 送不同的认证页面;5、蓝海卓越计费管理服务器:负责对学生和家属无线上网用户进行开户和套餐 管理,并通过Portal认证页面实现认证上网。方案说明L由于学校上网认证方式为PORTAL认证,为提高可用性,学校网络应进行 扁平化设计,
27、本次组网方式采取大二层设计;2 .出口部署一台高性能出口认证流控网关设备,负责网络接入,流量优化, 应用控制,路由策略路由、服务控制策略选择。3 .流控网关下接OLT设备,OLT通过分光口和光纤与ONU连接。4 .新建网络采用GPON技术,流控网关到用户之间采用GPON无源光网络 传输。传输路径:流控网关-OLT设备一分光器一ONU终端一终端用户; 单纤提供2G带宽。5 .二层的网络结构,确保全网性能均衡,没有瓶颈节点,从接入至核心均实 现全线速转发,骨干提供万兆接口,网络后期可升级至万兆。6 .宿舍区域,为了保证网络的安全可靠,为了便于后续扩容,建议为为每个 接入用户划分一个QING的二层VLAN ,实现严格的端口隔离。通过OLT 交换机透传到流控网关,由流控网关终结两层VLAN。QINQ VLAN可以实 现用户的二层隔离,所有的用户数据都会经过流控网关,方便校园网的统 一接入和管理。7 .宿舍区域:每间宿舍一个ONU布放原则,ONU设备自带WiFi功能,对 每间宿舍进行无线信号覆盖。认证及上网流程1.本次宿舍区是大二层组网方式,用户IP由认证网关作为用户网关,并分 发IP地址;