网络统一身份认证计费管理系统建设方案综合.docx
《网络统一身份认证计费管理系统建设方案综合.docx》由会员分享,可在线阅读,更多相关《网络统一身份认证计费管理系统建设方案综合.docx(14页珍藏版)》请在冰点文库上搜索。
网络统一身份认证计费管理系统建设方案综合
XXXX学院网络统一身份认证计费管理系统建设方案
2016年03月
一.计费系统设计规划3
二.方案建设目标3
三.总体方案4
1.方案设计4
A.方案(串连网关方式)4
B.方案(旁路方式+BRAS,BRAS产品)6
四.认证计费管理系统与统一用户管理系统的融合12
4.1统一用户管理系统的融合12
4.2一卡通系统的融合13
4.3用户门户系统的融合13
五.认证计费管理系统功能介绍14
六.用户案例18
6.1清华大学案例介绍18
6.2成功案例-部分高校23
6.3系统稳定运行用户证明23
七.实施方案31
7.1实施前准备工作31
7.2认证计费系统安装31
7.3实施割接前测试工作31
7.4实施中割接、割接后测试工作32
一.计费系统设计规划
XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。
因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。
在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。
有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。
二.方案建设目标
针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方案。
Ø实现全网用户统一身份认证和精准计费;
Ø解决现有系统的功能不足和改善用户端体验;
Ø实现全网统一管理,整体数据分析;
Ø现有网络设备升级,提升整体网络速度;
Ø实现一个用户账号可以全部认证,同时和校园一卡通,信息门户的对接,实现用户账号的同步。
Ø实现用户无线、有线一体化,全网统一身份认证计费;
三.总体方案
1.方案设计
A.方案(串连网关方式)
系统部署说明:
(网关实现精准流量计费和灵活控制)
将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采用透明桥方式,此种方案具有以下几种特点:
1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或者其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认证。
2.针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数)状态,到零自动切断用户上网。
3.针对每个用户可以进行动态带宽限制。
4.实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等。
5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。
6.教学区采用Portal认证模式,实现用户的方便认证,适应多种智能终端。
以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:
清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。
(清华大学万兆网关实际测试)
B.方案(旁路方式+BRAS,BRAS产品)
1.无感知认证(MAC认证模式)
Ø1.1为用户分配固定的IP地址,用户在配置地址和网关后直接获得对应的访问权限;如需对用户访问权限进行控制,则可通过在认证计费系统对BRSA或是无线控制器下发DAA模板实现ACL访问控制。
Ø1.2通过DHCP为用户提供地址的动态分配功能。
用户终端接入后,即可通过DHCP获得IPv4地址,对应的网关和DNS服务器等信息。
在采用DHCP方式时,用户可以动态获得某个地址池中的地址,或者按照要求,基于该用户的MAC地址,为其每次都分配同一个IP地址,便于其在网络内提供相应的服务。
Ø1.3用户的IPv6地址建议通过ND/RA的方式获得,及IPv6无状态地址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种方式。
Ø1.4对于无需认证的用户,如果是通过DHCP方式获得IP地址,BRAS多业务路由器以及后台的认证计费系统同样会对用户的信息提供记录,便于今后的查询。
采用BRAS多业务路由器做为二层接入认证管理设备,能够实现用户接入网络的精细化管理功能,BRAS多业务路由器为用户接入提供的DHCP流程中集成了认证模块,能够实现在用户PC接入网络获取IP地址的同时,就能够同步记录下用户的MAC地址、所在的具体位置(精确到交换机端口,包括内层VLANID和外层VLANID)、接入网络的时间、获取的IP地址等多种信息,并对每个用户细致的访问权限、上下行速率的控制,从而实现用户接入网络的可识别、可管理、可控制,而这个过程用户没有任何感知。
2.PPPoE认证
BRAS多业务路由器提供了基于硬件板卡的分布式的PPPoE功能,通过用户侧的PPPoE拨号,能够实现在客户端与BRAS之间的PPPoE通道的建立,并同时基于PPP的协商实现用户的认证、计费功能。
PPPoE简要流程为:
用户PC通过客户端发起PPPoE请求到后台接入服务器BAS,然后交付后台RADIUS进行认证及计费。
此方案的优势在于通过统一的BAS设备实现集中的接入管理和差异化的策略管理,如用户带宽的分配、QOS的优先级、营运记账等。
(PPPoE认证流程图)
由于Me直接提供了用户接入网络时的PPPoE认证功能,相应的控制力度也更强。
用户均通过PPPoE会话实现到网络的接入和访问,相互之间由于PPPoE通道的隔离而互不影响,因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个网络的可靠性和稳定性。
另外,由于BRAS设备为运营商级设备,设备的处理能力,对用户的控制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权限管理、QoS等各种操作。
并且,在使用BRAS+PPPoE的接入方式下,在接入层是一张大的二层网络,用户间通过VLAN隔离,互相之间没有影响,避免了ARP病毒等问题;同时,对运营网的管理维护来说,管理员只需要管理大的BARS设备,接入层设备仅仅是二层接入,不需要在接入设备上作负责设置,极大的减轻了管理员的维护工作量。
PPPoE的拨号客户端在Windows系统中自带,也避免了客户端软件下发所带来的一系列问题。
3.WEBPortal认证(IPoE)
Web认证(IPoE)需要与Portal认证服务器配合使用,主机首先通过DHCP得到一个IP地址(或是静态设置),通过HTTP重定向的方式强制用户与Portal认证服务器通信,也可以使用户只访问一些内部服务器;然后,接入服务器将用户强制连接到Portal认证服务器上,并在浏览器中弹出认证页面。
在该页面中输入用户名和密码,PortalServer把通过Protal协议将认证信息传送到BRAS上,对用户进行认证。
认证通过后,用户获得相应的访问权限,可以访问互联网或特定的网络。
在IPoE+Portal的认证方式中,用户的账号都是由Portal进行认证,这样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的出现。
而Portal在实际的处理机制中会把账号信息转交付给BAS,由BAS向RadiusServer发起AAA认证。
RADIUS认证结束后,BAS一方面会通知Portal给出相关提示给用户,如“认证通过,可以访问网络”,也可能是“认证失败,用户名或密码错误”等。
另一方面BAS会从AAA中获取用户的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。
上图是“IPoE+Portal”方案的一套用户上网流程,具体流程分解如下:
(1)用户获取地址后,通过浏览器发起正常的HTTP请求;
(2)从BRAS上来的HTTP请求被重定向(给Redirector设备;
(3)Redirector设备直接回指给用户一个专门的Portal地址;
(4)用户访问Portal设备;
(5)Portal设备弹出页面,提示用户输入账号进行认证;
(6)用户输入账号信息并提交给Portalserver;
(7)Portal将用户账号信息通过Portal协议转交给BRAS进行认证;
(8)认证通过时,RADIUS一方面通知BRAS并给出相关用户提示;
(9)另一方面,BRAS根据用户的状态获取相应的访问策略;
(10)Portal直接端到端给用户相关提醒,如“验证通过,可以上网”;
(11)用户访问其他网页,BAS通过调整后的策略进行正确转发;用户将可以正常访问外网;
(12)同时后台RADIUS进行计费策略;
认证过程(支持PPPoE,L2TP,WebPortal认证),认证过程与串行、旁路方式无关,采用哪一种接入方式都可使用所有认证方式,需要接入的bras或核心交换支持。
以旁路模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:
浙江大学、天津大学、厦门大学、复旦大学、华东师范大学、杭州师范大学、西北工业大学、兰州大学、电子科技大学、山西财经大学、长治学院等等。
(深澜软件无缝对接的网络设备厂家)
四.认证计费管理系统与统一用户管理系统的融合
4.1统一用户管理系统的融合
认证系统可以无缝和学校统一用户管理系统进行融合;使用通过目前统一用户管理系统进行开户,认证系统实现认证,用户在自助系统中进行套餐选择的无管理化的管理方式;
认证系统也可以和统一用户管理系统深度融合,使用中间表的模式进行融合:
常规采用LDAP方式和相关自定义接口方式实现
例如:
兰州大学深澜系统与金智统一身份认证系统对接(如下图)
4.2一卡通系统的融合
认证计费系统和一卡通系统进行联动管理,实现统一缴费过程:
所有连接都用POST方式提交!
鉴权码为:
%*trgl_S
URL:
ip]:
8080/card_if.php即SRUN3000的后台管理服务器的8080端口
返回信息为gb2312编码。
4.3用户门户系统的融合
新建认证系统可以和学校目前的用户门户系统进行融合,由于新建认证系统支持多种重定向功能,可以支持认证后重定向的功能,因此可以和学校目前的用户门户系统进行融合
可以根据用户的登录名,进行登陆后重定向到该用户所在的学校门户中
可以根据IP地址范围,进行登陆后重定向到指定的学校门户中,如无线用户的登陆和有线用户的登陆
可以统一设置用户,进行登陆后重定向到学校统一的门户系统中
五.认证计费管理系统功能介绍
功能分类
功能简要描述
备注
协议
IPV4、IPV6
可单独支持IPV4、IPV6网,亦可支持IPV4、IPV6混用网
二层网络
以太网接口支持
10M、100M、1000M、10000M
网桥模式支持
无需改变现有网络,可透明、无缝接入网络
三层网络及以上
目标地址路由
适用多出口网络的要求
NAT功能
支持、但不建议开启
OSPF/RIP
透传OSPF/RIP等路由协议
接入控制
Web认证
支持IE、firefox、opera等图形浏览器
客户端认证
Win32版本客户端支持Windowsxp、2003、vista,linux版本客户端支持fedora5以上、as4以上、ubuntu6以上且无需xwindows支持。
心跳检测
关闭浏览器认证窗口,自动下网,退出客户端,亦可自动下网。
空闲检测
监测出规定时间无流量的用户,并强制自动下网
Web认证前url
用户打开任一网址,跳转登录页面
Web认证后urlL
可在用户认证后登录指定页面
免认证用户设置
指定特殊用户为直通用户,无需认证
不认证访问指定IP
可以指定若干目的IP网段,无需认证就可访问
客户端版本控制
随着客户端功能升级,可以强制用户使用新的客户端软件。
多认证方式选择
可设置只允许web或客户端认证,亦可设置PPPoEL2TP,802.1xVPN认证
用户代理功能控制
防代理、需强制使用客户端配合
客户端广播信息和即时消息接收
进行各种信息发布
P2P软件限制
可以禁止用户使用BT、eMule等常见P2P软件,即可在设备上统一控制,也可以根据时段控制P2P软件,可以对单个用户进行控制(计划开发)
带宽控制
可针对每个用户进行带宽控制;免认证用户根据IP地址段进行带宽控制。
用户管理
用户行为管理
基于全状态端口的用户行为管理
用户在线查看
查看认证用户、免认证用户在线信息
强制用户下线
强制指定用户离线
标准RadiusClient功能
可和多厂家RadiusServer配合使用
数据库外置
支持数据库内置或外置,外置数据库可以支持Windows、Linux、Unix
认证计费
802.1x认证
当采用802.1x一次认证、BRAS二次认证时,支持二次认证一次通过
支持时长、流量、包月、卡类计费方式
公式方式方便用户制定多种计费策略
特殊情况下用户免认证上网
可以手工设置也可以自动切换
国内外流量区分
可区分国内外流量,实现仅对国外流量计费。
用户费用,流量零透支
在用户上网的过程中实现费用和流量的零透支,在用户流量和费用用完的时候,能够立刻截止用户上网
用户的催费通知
在用户使用快到期,或费用快用完的时候,实现用户的信息通知。
安全防范
指定IP(段)进行SSH管理
防止XX的IP登陆系统
指定IP(段)进行后台管理
防止XX的IP登陆后台
指定IP(段)进行数据库管理
防止XX的IP登陆数据库
指定IP(段)进行数据库连接
防止XX的IP连接数据库
管理员权限设置
多级管理、自定义角色、自定义权限
上网日志记录
可以记录用户上网行为:
包括时间、上网IP、目的IP等,提供URL信息。
服务器管理
Web管理
支持
SSH远程管理
支持
SQL操作
web操作数据库
数据管理
本地数据备份
支持本地备份数据,每天5点进行全库备份
远程异地备份
通过ftp协议备份数据库到远程服务器,每天5点后全库备份后执行。
数据备份与恢复
可以对认证计费中的数据库进行备份和恢复操作
上网明细清理
每月1日凌晨3点自动将过时数据转移到备份数据库,当前数据库保留3个月的上网明细(可在后台管理中设置)
数据库剥离
认证系统与数据库完全独立,即使数据库发生故障仍可正常认证,待故障排除,用户上网数据立即写入数据库。
系统监控
CPU利用率
统计每小时的cpu利用率,并绘制图表
在线人数
统计每小时的在线人数,并绘制图表
网络负载
统计每小时网络接口的负载情况,并绘制图表
系统日志(审计)
HTTP访问日志
记录用户的http访问日志
系统日志
支持
管理日志
支持
续费日志
支持
结帐日志
支持
双机热备
双机热备
当要求设备可靠性极高时,可以2台设备进行热备工作;平时主设备工作,备设备待命状态,如果主设备瘫痪或者死机,由备设备接管主设备工作。
六.用户案例
6.1清华大学案例介绍
系统规模:
出口:
10G教育网、1G电信,10GIPv6出口。
注册用户:
150000人
同时在线:
45000用户,无线网同时在线10000人。
认证模式:
推荐使用客户端认证,可以使用Portal认证,无线网采用Portal,802.1x,MAC认证并存。
认证协议:
IPv4,IPv6双栈出口拓扑图:
全校部署两台Srun3000高性能万兆IPv4及IPv6认证网关(双链路热备)和Srun3000用户运营支撑平台,用户认证使用Portal、专用客户端认证,无线网由12台CISCO无线AC,和2500个AP组成,实现统一的无线外置式Portal认证。
方案特点:
Ø全路径双链路冗余,清华大学采用了双链路冗余设计,双栈设计使得两条链路都可以跑IPv4和IPv4,左边的链路IPv4优先,右边的链路IPv6优先,当其中一个链路出现问题的时候OSPF路由会使得数据走另外一条链路,实现链路冗余
Ø用户认证冗余:
两个万兆网关配合独立的认证服务器,实现用户数据的一致性,任意链路的中断,用户都不受任何影响,不需要重新认证
Ø无线网一次认证:
清华的无线网由12个CISCOAC和2500个AP组成,覆盖学校几个重点区域,支持Portal认证,802.1x认证,MAC认证,目前全校无线用户同时6000人在线,Srun3000Portal提供外置式Portal认证,Srun3000AAA提供无线认证和万兆网的出口联动,实现用户无线一次认证就打开校内和校外访问,并实现计费。
Ø统一外置式Portal:
为了实现高效认证和灵活的定制,深澜软件配合清华大学实现了外置式Portal和12台CISCOAC实现对接。
Ø方便的多种认证终端支持:
Srun3000在清华大学不仅提供了标准的Windows绿色客户端,同时提供了Linux,苹果,Andirod,IPhone,IPAD等多种主流终端的认证客户端方便用户使用。
Ø创意的计费模式:
为了充分使用有限的带宽资源,清华采用的计费策略是和流量相关的阶梯计费,阶梯越高,使用的单价结算费用越高,这样就在一定基础上避免了带宽被无限制的滥用,保证了学校的关键应用。
有线网Portal页面:
登录后弹出页面:
旧版有线client客户端:
新版有线无线统一client客户端:
6.2成功案例-部分高校
6.3系统稳定运行用户证明
七.实施方案
7.1实施前准备工作
检查服务器设备安放环境,服务器上架,并上电检查设备运行情况,准备1根合适长度的千兆网线,并进行标签粘贴工作,准备服务器的相关IP地址,用户数据信息准备(用户名、密码、计费策略等)。
7.2认证计费系统安装
服务器上电运行正常,则进行认证计费系统安装工作;
Ø安装Linux操作系统;
Ø安装portal服务器;
Ø安装认证模块;
Ø安装计费模块;
Ø导入用户数据等;
7.3实施割接前测试工作
认证计费系统安装完成,测试认证计费系统各个功能模块是否正常,是否已经具备割接条件;
Ø测试portal服务器是否正常;
Ø测试认证功能是否正常;
Ø测试计费功能是否正常;
Ø测试与BRAS对接是否成功;
Ø测试计流量功能与开启netflow设备是否对接成功等;
7.4实施中割接、割接后测试工作
割接开始,与BRAS设备进行对接,与开启netflow设备对接,认证计费系统开启用户认证功能,割接完成。
测试用户是否可以正常认证,测试用户流量是否正常,查看用户在线列表是否正常。
升级会员 