有线无线一体化接入认证计费解决方案.docx
《有线无线一体化接入认证计费解决方案.docx》由会员分享,可在线阅读,更多相关《有线无线一体化接入认证计费解决方案.docx(14页珍藏版)》请在冰点文库上搜索。
有线无线一体化接入认证计费解决方案
有线无线一体化接入
认证计费解决方案
一体化接入需求分析
随着校园网络建设进程的加速,在有线网络的基础上搭建校园无线网络已经成为一种势在必行的发展趋势,无线校园网的建设如何能够最大程度的利用现有的有线网络资源,无线终端的认证计费如何能够利用现有的有线认证计费系统,进而达到有线无线的一体化接入已经成为无线校园网建设者最为关注的问题。
根据对目前大多数院校网络现状的调研及无线校园网建设的目标的分析,我们总结出无线校园网的建设,在一体化接入认证计费方面,主要有如下几点需求:
1、软硬件架构需求:
要求认证计费系统具有合理的软硬件架构,以满足校园网众多用户的认证计费需求
2、认证需求:
目前校园网的有线用户认证方式大多为802.1x认证或Portal认证,要求无线用户也可以方便采用802.1x或Portal认证
3、计费需求:
计费方式灵活多样,要求对不同的用户、不同的业务使用不同的计费策略,对于同一用户,支持同一帐户多项业务,所有业务的消费都用同一帐户结算。
4、Ipv6需求:
认证计费要求能够支持IPv6终端。
5、服务管理需求:
包括用户对自身帐户的管理功能以及管理员对普通用户的管理功能,其中,管理员要求能够分级,对于不同级别的管理员,可以设置不同的管理权限、管理范围等。
6、日志记录需求:
要求系统能够保存丰富的日志,包括用户上网日志、管理员行为日志、系统日志、交换机设备日志等信息,所有日志信息能够导出。
7、一卡通联动需求:
认证计费系统需要与一卡通系统联动,能够实现校园一卡通的方式付费,使用校园一卡通进行帐户查询、挂失等功能。
8、运营商合作需求:
认证计费系统需要与运营商计费系统联动,当运营商3g用户进入校园时,利用运营商提供的接口做认证,可以使用学校无线网络上网,但不允许访问校内资源。
建议拓扑
该拓扑主要针对实际无线用户数量较多,部署的AP数量较多且大部分也都集中在一定区域内通过以太网交换机相连(即使部分AP不是集中在特定区域内通过以太网交换机相连而是通过其他宽带连接),而用户还是决定采用集中式组网的情况。
如果用户网络的实际规模较小,则可以不必使用DigiFlexMaster网管系统,只适用DigiZoneDirector无线管理器来管理,根据实际管理的AP数量的不同,可以选择不同型号的DigiZoneDirector设备。
神州数码DCSM认证计费管理平台提供“全局安全、方便管理、灵活运营”的接入运营解决方案,基于802.1X的TNC可信网络连接技术及增强版DHCP解决方案融合方案使得DCSM认证计费解决方案不再依赖于各厂商私有802.1X,使得安全接入及计费方案不再依赖于厂商产品,降低投资风险和成本,DCSM同时支持Portal认证,可以与神州数码DCFS流量控制与认证网关联动实现出口统一Portal认证。
DCSM采用旁路的方式部署,对正常的网络流量没有影响。
软/硬件架构
以认证计费系统至少能够管理5万用户为例,推荐系统硬件配置如下:
处理器PowerEdge(TM)R300,四核至强处理器X3323,6MB缓存,2.5GHz,1333MHZ前端总线
机箱选项机箱无冗余电源,NonHotplug硬盘盒
操作系统不含操作系统
显示器不含显示器
内存4GB内存,2x2GB,667MHz,DDR-2,双队列DIMMs
硬盘146GB3.5英寸,15KRPMSAS硬盘-非热插拔
工厂配置C3:
Raid0,SAS6iR卡,2Non-HotplugHDD
SAS/PERC集成卡SAS6/iR控制卡
控制卡无编辑
显示器电源线无编辑
机架配件不含机架导轨编辑
扩展卡选项ExpansionRiser:
2xPCIe插槽编辑
光驱8倍速SATAslimDVD-ROM光驱编辑
键盘不含键盘编辑
鼠标不含鼠标编辑
认证方案
1、融合统一802.1x认证
神州数码DCSM认证计费管理平台,在实现有线无线一体化认证的同时,还可以支持多厂商异构网络环境下的802.1x接入认证,彻底解决了困扰校园网用户已久的私有802.1x协议“绑架”问题,无论接入设备是任何主流网络厂商的产品,都可以实现终端802.1x认证,并且提供地址绑定、即时消息、强制下线等附加功能,真正做到了认证行为与接入产品的厂商无关性。
DCSM添加多厂商接入设备界面如下图所示:
有线标准802.1x转私有802.1x认证步骤如下:
1、用户开机后,客户端发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。
2、用户通过客户端软件,采用标准802.1x认证,发起认证请求。
3、接入交换机(非神州数码设备)收到认证请求,由于是标准的802.1x认证,交换机可以识别认证信息,将客户端认证信息发送到DCSM认证服务平台。
4、DCSM认证服务中心将认证通过信息返回给接入交换机。
5、交换机将认证通过信息返回给客户端,客户端界面显示认证通过信息。
6、标准认证通过后,客户端与DCSM服务器基于TCP/UDP直接通信,私有信息直接传递到服务器,服务器与客户端之间可以完成即时消息通知、IP地址上传、强制下线以及keepalive等功能。
7、交换机将用户所在端口打开,用户可以上网,DCSM开始对用户计费。
为降低服务器负担,无线终端可以采用神州数码私有802.1x认证,无线私有802.1x认证步骤:
1、用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求;
2、AP检测到该请求后,向AAA发出请求,AAA服务器发出响应;
3、用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。
4、用户端将身份标识传送到AP;
5、AP将相应信息发送到DCSM进行认证。
6、如果认证通过,则AP到DHCP服务器的端口打开。
客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。
7、用户可以上网了,认证服务器开始对用户计费。
8、AP通过定期的检测保证链路的激活。
如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。
2、无线用户WebPortal认证
神州数码网络智能无线AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、RougeAP检测和无线加密、认证等管理。
无线用户认证支持在多种主流浏览器及操作系统上使用Portal认证,动态分配IPv4和IPv6地址,用户能否上网由其所属帐户的余额和信用额度判定。
根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。
无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。
AP可以通过以太网或DSL链路接入网络。
DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。
如上图所示,用户接入的流程如下:
(1)用户开机后,检测到SSID有效;
(2)客户端发起DHCP请求,经认证设备转发到DHCPServer。
DHCPServer为用户分配IP地址;
(3)用户打开浏览器,HTTP请求被AP捕获,并重定向到DCSM认证界面,DCSM友好Web认证界面入下图所示:
(4)用户输入用户名和密码,并传送到DigiZoneDirector;
(5)DigiZoneDirector将用户名和密码发送到DCSM服务器进行认证;
(6)认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口;
(7)用户可以上网,DCSM服务器计费开始,客户端通过保活页面与DCSM服务器通信
保活页面如下图所示,用户正常下线时通过点击保活页面的“下线”按钮向DCSM发送下线请求,如果遇到异常情况保活失效,DCSM在监测到保活失效后会与DCFS交互,通知DCFS保活失效,DCFS响应保活失败通知,同时启用对该用户的流量监测功能,监测到用户下线后,通知DCSM用户下线,DCSM对该用户的计费终止。
Webportal+DHCP实现简单,无需客户端和相关配置,扩展性也好。
在无线控制器中设定使用Web-Portal方式认证。
当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户帐号上。
3、认证与ipv6结合
神州数码网络DCSM认证计费服务系统,支持IPv6无线终端的管理与认证,支持IPv4和IPv6协议收发报文,包括认证计费报文,各种业务报文以及强制下线报文,可以实现与有线IPv6系统协同的统一认证,实现基于IPv6的用户与IP、MAC绑定,做到无线与有线的认证一体化。
IPv6无线终端认证信息在DCSM上的显示:
IPv6无线终端认证信息
DCSM管理端支持基于IPv6的远程访问和管理,可以显示接入认证用户的IPv6相关信息,支持接入设备的IPv6配置和管理,在安全策略中配置和使用IPv6,在日志文件中可以展示及查询IPv6信息,同时支持报表IPv6信息的导入和导出。
IPv6信息的显示和查询如下图所示:
IPv6终端信息显示
神州数码网络认证客户端,支持获取本机IPv6信息,客户端同时集成了IPv6DHCP客户端,可以支持服务器下发IPv6地址设置。
神州数码认证客户端获取和设置IPv6信息如下:
IPv6认证客户端信息
4、上网日志保存
神州数码DCSM认证计费管理平台统一保存60天的用户上网日志信息,日志信息包括用户名、IPv4和IPv6地址、上下线时间、上网地点等。
计费方案
DCSM可支持多种计费类型,提供后付、预付等计费业务,可按流量、时长等进行计费。
计费类型达数十种之多,其中每种计费类型又可衍生出多种计费策略。
可实现基础计费管理、精细化计费管理以及用户与账户分离的运营管理方式。
基础计费管理:
基础计费策略由模板直接定义,可实现免费、包天、包月、时长、流量、有限时长、有限流量、国内外流量区分费率、国内包月国际流量预付/后付的计费策略。
在此基础之上定义包学期、包学年、包季度、或任意时间段的计费策略。
精细化计费管理:
可定制不同区域、不同时间段、不同日期段、不同接入设备类型、不同Vlan、上网时长各区间、上网入/出流量各区间不同的计费策略,实现灵活、精细的计费。
用户、账户分离的运营管理方式:
用户与账户一对一、一对多、多对一、多对多的方式实现了用户与账户的独立管理,满足私人账号、公共账户、多业务账户的管理,提供运营商级别的运营管理理念和手段。
服务与管理功能
帐户管理:
用户的帐户名在创建帐户时生成,对于帐户信息可以设置哪些为可选项,哪些为必填项(比如上网类型、单位代码、汇聚交换机代码等信息),对于每一个帐户有一个帐户管理员,帐户管理员的用户名即是帐户名。
帐户管理员可以对本帐户的上网信息及帐务情况做详细的查询,查询结果可以一EXCEL表格的形式导出。
账户管理员同时可以修改个人信息,包括账户管理员密码、联系方式等基本信息,帐户中的金额用于支付该帐户下的所有上网用户和所有业务的费用。
灵活的缴费形式:
可以采用现金支付、校内转帐或校园一卡通的方式缴费,因账户余额不足关断的IP,或新申请开通的IP,缴费以后立即扣除当月包月部分费用,并由系统立即开通其IP。
管理员级别分级:
可以对管理员进行分级管理,对于不同级别的管理员设置不同的管理权限、管理范围。
级别高的管理员还可以对级别低的管理员进行管理。
结算与短信提醒:
可以设置DCSM系统自动结算上网费用的时间,结算时间到扣除帐户费用,包括包月费用、使用时长产生的费用等,结算后可以设置如果帐户当前余额+信用额度≤0,立即阻止该帐户下的无线用户认证上网,强制当时已认证通过的无线用户下线。
对该帐户下的有线用户,则阻止单IP用户和代理服务器上网。
如果该帐户属于特殊用户(如校领导用户、或是校办、党办帐户下的一些用户),可以设置其业务不受帐户余额的限制。
对于欠费用户(结算后余额+信用额度≤0 或 余额+信用额度小于当前所扣款数的帐户),可以定时发送短信通知欠费帐户管理员。
统计与查询:
神州数码DCSM系统统计与查询功能支持按数据库内所有字段进行条件查询,生成的表单能按各种字段进行二次排序,各字段位置能任意更换。
查询结果中的部分字段可以修改。
DCSM统计内容丰富,包括IP地址分配与使用情况,有线、无线用户数量及在线用户数量、业务数量、帐务情况等信息,统计信息可以以图形、表格等多种方式展现,所有表单均能导出。
丰富的日志存储:
DCSM可以保存丰富的日志,包括用户上网日志、管理员的登录与操作日志、系统操作日志(包括帐户结算日志、交换机设备的操作日志等)等信息,所有的日志记录均能够以EXCEL表格形式导出。
一卡通联动方案
神州数码DCSM提供基于WebService的一卡通接口,可以与一卡通系统联动实现丰富的一卡通功能,主要功能包括:
1、通过一卡通系统实现在DCSM系统开户的功能。
用户可以不再通过管理端集体开户、逐个开户、信息导入开户、WEB自服务开户等原有开户方式。
用户使用自己的一卡通在一卡通终端机上就可以在DCSM系统上开户。
开户的同时就确定了计费策略,DCSM系统根据一卡通所携带的身份类别预置其所在用户组、所使用计费策略。
2、通过一卡通系统实现DCSM账号的密码重置功能。
用户可以不再通过管理端重置密码、WEB自服务重置密码功能来更改DCSM账号的密码。
用户使用自己的一卡通在一卡通终端机上就可以修改DCSM对应账号的密码。
3、通过一卡通系统实现向DCSM账号转账验证功能。
针对管理员不希望DCSM账号余额+转账金额>某个限定值情况下不允许转账的功能而设计。
4、通过一卡通系统实现向DCSM账户转账的功能。
用户使用自己的一卡通在一卡通终端机上就可以向DCSM对应账户充值。
在DCSM系统里定义对于通过一卡通转账记录的科目为一卡通转账,这样就可以统计一卡通转账记录,从而可以与一卡通自身维护的向DCSM转账记录进行对账,解决可能出现的转账失败、转账记录丢失等异常现象。
5、通过一卡通系统查询DCSM账户余额功能。
用户用自己的一卡通在一卡通终端机上就可以查询其DCSM对应账户的余额。
6、通过一卡通系统查询DCSM账户在某个时间段内的缴费/转账记录。
用户用自己的一卡通在一卡通终端机上就可以查询其DCSM对应账户在自定义时间段内的缴费/充值/转账记录,反馈三个基本信息:
账户、缴费/充值/转账日期、缴费/充值/转账金额。
7、如果管理方想更改计费策略(一般而言都是在基于预付方式的计费策略之间进行变换,不提供预付与后付策略之间的转换),则可以有两种方式:
A、强制更改计费策略情况:
管理员可以通过DCSM管理端或操作数据库的方式来修改计费策略。
B、多种计费策略,让用户自己选择情况:
管理员可以定义每个用户组(用户组里包括用户)可以通过DCSM的USERWEB自服务在哪些计费策略之间进行变更。
8、在用户丢失密码时,用校园一卡通的身份识别功能让用户设置新密码。
运营商合作方案
2008年12月底,工信部下发了三张3G牌照,经过重组的三大电信运营商各获得一张。
从技术成熟度上来看,TD-SCDMA拥有100万用户,用户范围主要在中国,中国移动采用的是这一技术的技术;WCDMA拥有3.78亿用户,129个国家318个商用网络,主要是欧洲的市场,中国联通采用这一技术;CDMA2000拥有超过5亿的用户,172个商用网,主要市场在北美,在中国、印度等国家的发展迅速,中国电信采用这一技术。
随着3G牌照的发放,电信运营商纷纷利用3G+WLAN的组合方式,低成本的实现无线网络覆盖,向用户提供更有竞争力的服务。
运营商的3G用户在校园网覆盖的区域内,仍然希望可以利用无线校园网接入Internet,这就需要运营商与校方合作,通过运营商认证计费平台与学校的认证计费系统互动来实现,如下图所示:
校园网内的运营商用户,系统利用运营商提供的接口做认证,其认证信息首先发送到DCSM,DCSM与运营商认证计费平台互动来判断是否允许该用户上网,并实时更新用户信息,一旦用户欠费,运营商认证计费平台实时通知DCSM,将该用户下线,整个过程中DCSM保留该用户在校园网内接入互联网的接入日志信息,便于最后与运营商结算相关费用,但运营商用户作为校外普通用户,不允许访问校内资源。
升级会员 