蓝海卓越高校校园无线认证计费解决方案.docx
《蓝海卓越高校校园无线认证计费解决方案.docx》由会员分享,可在线阅读,更多相关《蓝海卓越高校校园无线认证计费解决方案.docx(16页珍藏版)》请在冰点文库上搜索。
蓝海卓越高校校园无线认证计费解决方案
蓝海卓越校园全光网络无线认证计费解决方案
成都星锐蓝海网络科技有限公司
2021-9
一、项目背景
在信息迅猛发展的今天,国内所有高校均实现了有线校园的建设。
但随着教学设施的完善,越来越多的便捷式计算机终端被带进了校园,教师和学生对高校校园网的依赖性愈来愈高,“随时随地获取信息”已成为广大师生们的新需求。
而无线校园网络的快速发展与应用,将对学校的教学模式、教学理念及教学管理产生深远的影响,也将对学校教师、学生的学习、生活方式产生积极影响。
无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所,除此之外,校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。
因此,在整个校园内,同一个设备可以在任何时候、任何地方与校园网络连接,不间断地访问校园网络资源。
同时针对学生和教职工家属基于无线网络进行宽带运营,也是高校无线网络建设中考虑的重要环节。
基于校园无线网向不同的用户群体提供不同的无线上网服务,教职工可以基于无线开展教学活动访问某些教育网资源,学生和家属可以基于无线进行付费上网。
而传统无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不仅在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便,使无线网络的效果大打折扣。
因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。
二、需求分析
蓝海卓越针对目前高校在无线认证和计费中存在的问题,推出适合高校校园的无线认证计费解决方案,该方案需要满足以下需求:
1、全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务,采取光纤到户的GPON网络组网;
2、每间宿舍一个ONU+WiFi一体化设备;
3、支持多种认证方式,包括针对教师的AD域认证上网,以及针对宿舍学生和教职工家属的静态用户名密码认证上网;
4、支持基于不同的SSID推送不同的Portal认证页面,面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面;
5、支持对接学校现有的管理系统数据库或LDAP数据库,教师可以直接在认证页面输入相关AD账户密码进行认证上网;
6、学生和教职工家属可以采用付费的方式上网,通过向高校信息中心提供相应的证件办理无线上网套餐,套餐可以按照包月/包年基于时长或者流量进行计费,并通过静态用户名密码的方式认证上网,套餐到期后账户停机;
7、可以对认证页面、认证成功页面进行高度定制,支持多种网页设计语言,以实现对认证页面自由设计的需求;
8、方便管理,能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理;
9、认证成功后可以实现强制跳转至高校官网或其他指定网站,可以有效的进行宣传和推广;
10、所有认证用户均需审计监控;
11、部署方便,维护简单,同时对整体设备需要易操作易管理,维护简单;将来增加覆盖范围和用户数量能够方便的进行扩展升级。
三、校园分析
学生宿舍基本情况
1、楼栋
2、楼层
3、房间数
4、弱电井
5、宿舍
教师公寓基本情况
1、楼栋
2、楼层
3、房间数
4、弱电井
5、教师楼
四、建设目标
1、建设全新的学生宿舍/教师公寓宽带接入网络,提高用户上网体验满意度;
2、新建的网络具有稳定运营能力,能根据校园业务需要实现多种方式的灵活计费,根据管理要求制定精确的网络权限;
3、能够对上网行为进行精准的可追溯、可查询、可分析;
4、需对所有接入用户实现有线无线一体化管理,整体网络建立扁平化网络;
5、实现上网实名制认证,提升整体网络的可靠性、使用性和管理性;
6、部分情况下,与校园一卡通打通,实现统一收费;
7、与支付宝和微信打通,实现自助收费;
8、新建网络可应对未来5-10的网络发展。
五、方案设计原则
蓝海卓越基于多年的产品运营经验及对无线认证计费运营的深刻理解,针对某高校无线认证计费的需求并结合现有产品推出“蓝海卓越高校校园无线认证计费解决方案”,从打造可管理、可运营的无线认证计费网络的角度出发,致力于为客户建设一个高效可靠、运营成本低的商用无线认证计费网络,使无线认证计费网络部署轻松、可靠、高效。
根据用户需求及用户网络特点,蓝海卓越提供的方案设计遵循以下原则:
1、高可靠性
在宿舍区域全部采用无源光的PON网络,光纤到户,每间宿舍一个ONU设备,统一认证,统一管理,统一配置,同时ONU提供WiFi接入;
无线网络运行的稳定可靠是接入认证系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,适合7×24不间断运行。
2、技术先进性和实用性
在保证满足无线接入认证的同时,又要考虑无线计费系统的先进性,充分考虑到系统应用的现状和未来发展趋势,能够方便的对功能进行扩展。
本次建设采用光纤到户的无源光GPON组网方式,高速、稳定、可承载多种业务。
3、标准开放性
支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范以及标准的Radius协议,有利于保证与其它网络及设备之间的平滑连接互通,以及将来网络的扩展;
4、灵活性及可扩展性
根据未来业务的增长和变化,网络及设备可以平滑地扩容和升级,并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整。
本期项目建设,从有线接入/无线网络信号覆盖、骨干链路建设、安全建设、身份准入系统建设四个方面考虑整个项目的扩展性,做到易扩展,并且做到扩展后所有功能和管理的模式保持不变。
5、可管理性
对网络状况实行集中监测、分析,具有对接入用户、设备、网络、流量等进行统计分析和管理的功能。
宿舍区域的全光网络建设,可通过专用网管系统统一管理ONU设备,智能化调配WiFi的功率、信道、ssid等,减少人为过多的介入运维,提升管理效率。
6、完善的安全措施
对于本期的网络建设,在保证用户高效、稳定、健康的网络服务同时,网络的安全建设也将是重中之重。
(1)用户接入认证的控制:
宿舍用户全部必须实名制认证,接入网络基于WEB认证方式,充分满足各种无线终端的接入。
(2)基于用户的访问策略:
不同的用户可能有不同的网络应用访问,包括HTTP、FTP、视频、语音等,针对不同的应用,加以配置不同的行为控制权限,既满足针对不同用户的网络互访的安全性,又可以针对特殊需求(如安全级别较高的领导等)赋予单独的隔离访问,不会受到非法用户的入侵。
(3)受保护的无线数据传输:
网络安全事件往往会发生在数据传输阶段,因此,新建成的宿舍网络,将同时满足合法的有线用户与无线接入点的数据传输的安全性,以及有线无线接入点与上行网络的数据传输的安全性。
六、方案设计说明
蓝海卓越结合广泛的无线认证计费市场需求,推出蓝海卓越Portal无线认证系统及流控、AC、AP等产品,最大限度的满足现有有线+无线认证计费的市场需求。
通过蓝海卓越Portal系列产品,用户可以方便的组建无线认证网络,实现WEB认证、认证页面自定义等功能;通过蓝海卓越计费管理系统,实现用户管理、套餐管理等功能。
6.1方案拓扑图
方案使用设备
蓝海卓越全光无线网络系统主要由:
移动终端(智能手机、平板电脑、笔记本等)、流控网关/流控、ONU/AP、蓝海卓越Portal服务器、蓝海卓越Radius服务器组成。
在整体方案中,它们充当的角色分别如下:
1、移动终端:
用户使用手机、平板等移动终端设备连接到校园WLAN无线网络中;
2、ONU+AP:
无线接入点,实现一定区域内无线信号的覆盖;
3、OLT+AC控制器:
集中控制管理所有ONU+AP设备,根据需求建立针对教师教学和学生家属的两个SSID;
4、蓝海卓越Portal服务器:
同AC设备对接,实现Portal认证页面的弹出和无线认证流程,认证页面支持任意网页语言进行定制设计,针对不同的SSID推送不同的认证页面;
5、蓝海卓越计费管理服务器:
负责对学生和家属无线上网用户进行开户和套餐管理,并通过Portal认证页面实现认证上网。
方案说明
1.由于学校上网认证方式为PORTAL认证,为提高可用性,学校网络应进行扁平化设计,本次组网方式采取大二层设计;
2.出口部署一台高性能出口认证流控网关设备,负责网络接入,流量优化,应用控制,路由策略路由、服务控制策略选择。
3.流控网关下接OLT设备,OLT通过分光口和光纤与ONU连接。
4.新建网络采用GPON技术,流控网关到用户之间采用GPON无源光网络传输。
传输路径:
流控网关-—OLT设备—分光器—ONU终端—终端用户;单纤提供2G带宽。
5.二层的网络结构,确保全网性能均衡,没有瓶颈节点,从接入至核心均实现全线速转发,骨干提供万兆接口,网络后期可升级至万兆。
6.宿舍区域,为了保证网络的安全可靠,为了便于后续扩容,建议为为每个接入用户划分一个QING的二层VLAN,实现严格的端口隔离。
通过OLT交换机透传到流控网关,由流控网关终结两层VLAN。
QINQVLAN可以实现用户的二层隔离,所有的用户数据都会经过流控网关,方便校园网的统一接入和管理。
7.宿舍区域:
每间宿舍一个ONU布放原则,ONU设备自带WiFi功能,对每间宿舍进行无线信号覆盖。
认证及上网流程
1.本次宿舍区是大二层组网方式,用户IP由认证网关作为用户网关,并分发IP地址;
2.全网统一采用Portal认证方式,用户终端连入网络,自动获取IP地址,并由网关自动重定向到PORTAL服务器指定的PORTAL页面;
3.用户在PORTAL页面输入帐号密码,认证成功即可上网;
4.后续只要在用户有效期内,用户连入网络,则流控网关会自动向认证服务器发起MAC无感知认证,用户在无感知的情况下,认证成功,直接上网,无需弹出PORTAL页面;
5.当用户到期后,MAC无感知失效,则又会弹出PORTAL页面,提醒用户交费;
6.所有用户可实现线上充值缴费,支付方式为支付宝和微信;
7.用户在任何有网络地方均可接入网络并认证上网,同时经由出口访问互联网;
8.访问校内资源无需认证;
9.所有用户的上网访问都将被行为审计设备监控,溯源可查;
10.通过防代理服务器,检测用户的上网共享行为,并对检测到的用户进行断网惩罚。
认证计费及PORTAL服务器概述
在本次项目上投入一套认证计费管理平台+PORTAL服务器部署在学校的中心机房,认证计费支持对接学校数据中心,负责统一认证计费系统实现校内用户的账号开户、收费、资料变更、销户、管理等。
配合流控网关向用户提供差异性收费策略、控制用户的接入时间与速率、统计账务报表以及上网清单等。
PORTAL服务器实现用户认证页面的推送、公告信息等。
认证计费系统软件基于标准Radius协议和Portal协议开发,并具备良好的标准性、兼容性、开放性,实现有线无线认证计费和管理平台一体化。
满足教育信息系统安全等级保护要求。
PORTAL服务器,支持CMCC1.0,CMCC2.0,华为PORTAL协议,WIFIDOG协议,COA扩展协议,可与国内外主流厂商的AC、BRAS、网关、路由器、交换机完美对接,包括华为、中兴、H3C、锐捷、RUCKUS、ARUBA、爱立信、贝尔阿尔卡特、思科、JUNIPER、飞塔、Microtik、PANABIT等厂商NAS设备对接。
Portal服务器主要由Portal组件、管理系统组件、WEB服务器组件、数据库组件等组成。
能实现PORTAL推送认证、有线无线统一认证。
6.2认证与计费管理主要功能
Ø认证计费管理系统支持多种认证方式,二层PPPOE,802.1X,三层的WEBPortal,L2TP认证,认证授权都有以下的功能:
Ø采用关系型数据库MYSQL开发,可通过升级达到电信级用户容量需求,支撑100万开户数的规模
Ø支持标准Radius协议
Ø支持Radius扩展COA(ChangeofAuthorization)协议,支持COADM协议
Ø根据用户状态进行认证,非正常用户不能通过认证
Ø支持对同一帐号可同时使用人数多少的认证
Ø同一账户认证成功后再次认证,后认证用户可自动踢前一次认证用户下线
Ø根据接入设备传送的用户信息,把用户的帐号和IP地址、MAC地址、接入设备IP、VLANID进行认证绑定
Ø下发策略定义的多服务,配合BAS实现各种域的控制。
Ø与华三、华为、锐捷等主流厂商的802.1x交换机进行认证,并且能够实现802.1x交换机与流控网关配合进行二次认证的功能
Ø预判断帐号是否可用,提高用户的感知。
Ø提供个性化认证界面,可以很方便使用任意网页编辑语言设计自己的认证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面停留的时间以及认证成功后跳转的网址,支持WEB管理界面中对PORTAL页面的编辑功能,对图片、文字、链接均可进行自定义,支持WEB管理界面中对PORTAL页面进行源码编辑功能,方便管理员进行复杂的PORTAL页面修改
Ø认证后打开指定主页,方便用户登录运营商网站或广告页
Ø支持无感知的MAC认证
Ø支持验证码功能
Ø支持二次认证网络一次认证通过
Ø支持黑白名单功能
多账号分权限管理
Ø可根据不同的需要设定不同的管理员权限
Ø对不同的管理员,可以指定不同的用户组、产品套餐、PORTAL管理权限,轻松实现分级管理
4W+B+SPORTAL页面推送策略
Ø按照When、where、who、what实现万能弹功能,基于SSID、时间、地点、用户推送不同的Portal认证模板
Ø可以根据终端类型(手机、PC)进行自适应,实现个性化的PORTAL页面推送,实现不同终端展现不同效果的PORTAL页面
PORTAL及其他认证功能
Ø支持PORTAL页面短信开户认证
Ø 支持MAC无感知认证功能
Ø支持PORTAL页面一键认证功能
Ø 支持微信连WIFI认证功能
Ø支持企业访客 协助扫码认证功能
Ø支持外部 APP对接认证功能
Ø 支持第三方数据库对接认证功能
Ø支持 AD域对接认证功能
PORTAL页面高度自定义
Ø根据蓝海卓越模板制作规范,用户可以很方便使用任意网页编辑语言设计自己的认证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面停留的时间以及认证成功后跳转的网址
Ø支持WEB管理界面中对PORTAL页面的编辑功能,对图片、文字、链接均可进行自定义
Ø支持WEB管理界面中对PORTAL页面进行源码编辑功能,方便管理员进行复杂的PORTAL页面修改
强大的用户组管理能力
Ø支持划分多个不同用户组
Ø支持划分子用户组,子用户组不限制层级
Ø可指定管理员管理用户组权限,轻松实现多级用户权限管理
Ø针对不同的用户组,可以指定不同厂商的NAS产品,生成不同的下发规则(如限速、停机等)
多种灵活计费方式
Ø支持自定义产品套餐,可以设定包年、包月、包天、按小时、按流量等各种复杂计费策略,适用不同的网络环境和地区的特殊需求
Ø支持套餐包和叠加包的套餐设定
Ø针对不同的用户组,可以设定不同的产品套餐,各项目之间互不干扰
Ø批量更改产品套餐,只需修改产品,所有的对应用户规则也会相应修改,方便快捷
方便快捷的用户管理
Ø用户管理界面高度集成化,操作方便快捷,使用最少步骤完成业务操作流程
Ø包括新开户、续费、更改用户资料、更换产品、停机保号、修改密码、打印票据、用户下线、发送短信等,均可一键操作,简单易用到极致
Ø对于正常用户、停机保号用户、停机用户、即将到期用户、到期用户,均做了分门别类的显示,方便管理人员查询统计及导出
Ø支持用户暂停、停机保号、中途销户
Ø支持用户首次上线开始计时功能
Ø支持一键绑定用户MAC地址、NASIP地址、VLAN地址、ACIP、SSID
Ø可以根据用户的不同需求实现各种上网策略,包括按照时长、流量进行计费管理,以及绑定MAC、限制登录数量等用户上网管理
完善的账务管理
Ø所有开户、续费操作均会产生账单,每笔账单经手手、收费对象、金额、收费日期一目了然,便于查询和审计
Ø支持收费人员与财务人员进行对帐处理,日结日清,不会出现坏帐
Ø支持管理员充值续费和系统自动续费(用户帐户有余额的情况下)
Ø支持用户冲帐,对于多交了的钱,进行冲帐退还处理
便捷的充值续费
Ø支持用户通过支付宝进行自助开户、充值、续费
Ø支持用户通过微信进行自助开户、充值、续费
Ø支持用户通过第三方平台使用微信和支付宝进行自助开户、充值、续费
Ø支持代理商充值续费
Ø支持管理员人工充值
短信通知功能
Ø内置短信通知功能,支持与第三方短信网关进行对接
Ø支持对开户、续费、即将到期和到期用户发送短信通知,并设定不同内容
Ø支持管理员主动向用户发送短信通知
数据挖掘及统计分析
Ø可根据客户需求提供接口和数据库字典,以便用户能够直接调用数据库查询数据,进行数据挖掘和分析。
Ø 注册人数走势统计分析功能
Ø 在线人数走势统计分析功能
Ø 注册类型统计统计分析功能
Ø 上网终端统计统计分析功能
Ø 账号在线率统计统计分析功能
Ø 在网用户率统计统计分析功能
Ø PORTAL推送统计统计分析功能
Ø 累计认证成功数记录及查询功能
Ø 认证失败记录表及查询功能
Ø PORTAL推送日志记录及查询功能
Ø 人均上网时长统计分析功能
Ø 人均上网流量统计分析功能
强大的记录审计功能
Ø支持用户上网登录记录的保存和查询
Ø支持管理员操作记录的保存和查询审计
Ø支持管理员登录记录的保存和查询
Ø支持收费记录的保存和查询
Ø支持开户、续费记录的保存和查询审计
Ø支持WEB接口访问操作日志记录功能
Ø支持短信发送日志记录功能
Ø支持访客授权日志记录功能
Ø支持清空日志记录功能
多种数据备份功能
Ø多种数据备份功能,确保数据安全
Ø支持自动备份到服务器
Ø支持邮件备份到管理员指定邮箱
Ø支持手动备份数据到自己的电脑上
Ø支持数据通过EXCEL表格导入导出
代理管理功能
Ø内置代理管理功能,支持添加多个代理商
Ø支持对不同代理商设置不同权限,且互不干扰。
Ø代理商使用不同的WEB访问端口,避免了安全问题
灵活的自定义界面
Ø为方便运营商提升自身形象,预留接口,允许运营商自定义页面图片及文字内容。
Ø允许自定义用户自助系统页面图片及文字内容
用户自助服务功能
Ø支持用户登录自助系统查询信息
Ø支持用户自助修改密码
Ø支持用户自助充值缴费(通过充值卡或是支付宝)
Ø支持用户留言,并查看管理员回复
6.3方案特点
1)无线接入认证
所有具备无线功能的移动终端均可以方便的接入到无线网络中,当发起http访问请求后会被重定向到Portal认证页面;
2)认证页面定制
认证页面/认证成功页面均可以按照自己的要求进行定制设计,支持任意网页设计语言,达到良好的页面展示效果;在认证页面和认证成功页面可以自由设计承载校方需要发布的信息;
3)不同SSID推送不同认证页面
针对教师和学生建立两个不同的SSID,基于不同的SSID设置不同的认证页面url,实现不同SSID推送不同的认证页面,学生和教师完全分开;
4)页面跳转
当所有用户完成认证后,自动跳转至学校官网或其他指定网址,增强知名度,提高宣传和服务水平;
5)AD域认证/第三方数据源认证
根据高校现有的AD域或者相关管理系统数据库,教师可以采用AD域账户或者其他已有的账户信息进行认证;
6)认证计费管理
学生和教职工家属通过向高校信息中心提供相关证件开通办理无线认证上网账户,并对该账户进行计费管理,实现按照包年包月基于上网时长或者流量的计费方式,开户、停机均可在蓝海卓越计费管理系统中完成;
7)用户管理
强大的用户管理功能,可以实现对用户的上传、下载速度以及在线时长等进行设置,实现对无线接入用户的速度、在线用户数、上网时长等管理,针对不同的用户采用不同的上网规则。
升级会员 