网络统一身份认证计费管理系统建设方案综合

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XXXX学院网络统一身份认证计费管理系

统建设方案

2016年03月

目录

一.计费系统设计规划 (2)

二.方案建设目标 (2)

三.总体方案 (3)

1.方案设计 (3)

A.方案(串连网关方式) (3)

B.方案(旁路方式+BRAS,BRAS产品) (4)

四.认证计费管理系统与统一用户管理系统的融合 (8)

4.1统一用户管理系统的融合 (8)

4.2一卡通系统的融合 (9)

4.3用户门户系统的融合 (9)

五.认证计费管理系统功能介绍 (9)

六.用户案例 (14)

6.1清华大学案例介绍 (14)

6.2成功案例-部分高校 (16)

6.3系统稳定运行用户证明 (16)

七.实施方案 (16)

7.1实施前准备工作 (16)

7.2认证计费系统安装 (16)

7.3实施割接前测试工作 (16)

7.4实施中割接、割接后测试工作 (17)

一.计费系统设计规划

XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。

在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。

有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。

二.方案建设目标

针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

决方案。

➢实现全网用户统一身份认证和精准计费;

➢解决现有系统的功能不足和改善用户端体验;

➢实现全网统一管理,整体数据分析;

➢现有网络设备升级,提升整体网络速度;

➢实现一个用户账号可以全部认证,同时和校园一卡通,信息门户的对接,实现用户账号的同步。

➢实现用户无线、有线一体化,全网统一身份认证计费;三.总体方案

1.方案设计

A.方案(串连网关方式)

系统部署说明:(网关实现精准流量计费和灵活控制)将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采用透明桥方式,此种方案具有以下几种特点:

1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或者其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认证。

2.针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数)状态,到零自动切断用户上网。

3.针对每个用户可以进行动态带宽限制。

4.实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等。

5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。

6.教学区采用Portal认证模式,实现用户的方便认证,适应多种智能终端。

以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。

(清华大学万兆网关实际测试)

B.方案(旁路方式+BRAS,BRAS产品)

1.无感知认证(MAC认证模式)

➢ 1.1 为用户分配固定的IP地址,用户在配置地址和网关后直接获得对应的访问权限;如需对用户访问权限进行控制,则可通过在认证

计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控

制。

➢ 1.2 通过DHCP为用户提供地址的动态分配功能。用户终端接入后,即可通过DHCP获得IPv4地址,对应的网关和DNS服务器等信息。

在采用DHCP方式时,用户可以动态获得某个地址池中的地址,或者

按照要求,基于该用户的MAC地址,为其每次都分配同一个IP地址,便于其在网络内提供相应的服务。

➢ 1.3 用户的IPv6地址建议通过ND/RA的方式获得,及IPv6无状态地址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种

方式。

➢ 1.4 对于无需认证的用户,如果是通过DHCP方式获得IP地址,BRAS多业务路由器以及后台的认证计费系统同样会对用户的信息

提供记录,便于今后的查询。采用BRAS多业务路由器做为二层接入

认证管理设备,能够实现用户接入网络的精细化管理功能,BRAS多

业务路由器为用户接入提供的DHCP流程中集成了认证模块,能够实

现在用户PC接入网络获取IP地址的同时,就能够同步记录下用户的

MAC地址、所在的具体位置(精确到交换机端口,包括内层VLAN ID 和外层VLAN ID)、接入网络的时间、获取的IP地址等多种信息,并

对每个用户细致的访问权限、上下行速率的控制,从而实现用户接

入网络的可识别、可管理、可控制,而这个过程用户没有任何感知。

2.PPPoE认证

BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能,通过用户侧的PPPoE拨号,能够实现在客户端与BRAS之间的PPPoE通道的建立,并同时基于PPP的协商实现用户的认证、计费功能。

PPPoE简要流程为:用户PC通过客户端发起PPPoE请求到后台接入服务器BAS,然后交付后台RADIUS进行认证及计费。此方案的优势在于通过

相关文档
最新文档