网络统一身份认证计费管理系统建设方案综合
论校园网计费管理系统的构建
论校园网计费管理系统的构建宋文生(黄冈师范学院湖北黄冈)摘要本文针对我国校园网络的建设现状,分析了校园网络认证与计费的需求,阐述了认证与计费系统的构架。
关键词W EB 认证计费系统基金项目本文系湖北省教育厅重点科研课题,项目编号为B 5网络教育为人们提供了一种全新的学习方式。
它为学习者提供个性化学习的条件,有助于实现交互式学习,有利于促进教育社会化和学习社会化。
但同时,校园网也带来了新的管理及计费的问题。
采用合理的计费管理系统是保障校园网正常稳定运营的关键。
1校园网认证与计费需求分析校园网对于接入用户进行账号/密码、IP 地址、MAC 地址、交换机端口等多元素绑定,以确定用户身份,能够有效地对用户进行接入控制,做到入网即认证。
从功能上来说,学校希望在实现用户管理、灵活计费等基本功能基础上,还能够为用户提供自助查询服务,并且能够对管理员账号进行分级管理,支持远程登录的管理方式。
对于系统的安全性,要求系统能够有效解决IP 地址冲突及盗用问题,有效控制用户私自架设代理服务器的行为。
1.1认证方式与计费方式的多样性目前业界有两种主流认证方式可以选择:基于网关和基于交换机的认证方式。
其中,基于网关的认证计费方式又包括两种主流技术:PPPOE 与WEB PORTAL ;基于交换机的认证计费方式主要是802.1X 技术。
为满足各种需求,要求计费方式多种多样,比如包月无上限,包月有时长上限、超限后计费,包月有流量上限、超限后停机,包月有流量上限、超限后计费,计流量,计时等,支持卡业务批量定制上网卡、充值卡。
1.2访问控制的合理性一是接入层网络设备需要支持基于MAC 地址802.1X 功能和基于端口802.1X 功能,以保证账号的唯一性;同时,支持远程I T 管理及远程开关交换机端口功能;此外还要求适应大量用户同时并发认证及复杂的工作环境等。
二是核心交换设备要求具有强大的处理能力和良好的安全、可靠性、可扩展性;支持各种成熟技术,能升级到万兆。
星锋航无线宽带认证计费管理系统方案
——统计报表
可出具用户清单、用户帐单、日报表、月报表、财务流水报表、开户走势图、消费走势图等分析统计报表,以供业务统计分析。也可以由管理员自定义时间段生成报表。
——唯一性认证
网络运营一般要求一个帐号同时只能一次登陆,认证计费系统可以设定一个帐号是一次登陆还是多次登陆,对公用帐号可以允许多人同时登陆在线。星锋航特有的技术,对于合法用户,可以在非法断线后立即重拨即可上网,不需要用户等待。
——多种计费机制
目前宽带计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费等方式
——单台BRAS设备最大支撑用户数为80000用户,如果用户需求增大,可以增加多台BRAS设备进行认证,由计费统一进行管理。
——认证计费的管理、客户查询系统管理都在同一台设备上完成。
——启用认证计费系统的多种认证机制
客户机身份认证时,由客户机通过无线网络向BRAS发起认证请求,可以是PPPOE或是WEB认证请求,BRAS负责将用户信息(用户名和密码)以及会话信息(网关地址、用户IP地址、用户MAC地址等等)传送到认证计费系,认证计费系统要根据预先设置好的认证机制,结合传送上来的信息来验证每个用户的身份并返加认证结果。
3、系统提供完备的WEB管理界面,多权限控制机制可以让各部分人员协调工作。
4、支持Web登陆、pppoe、专用客户端、radius认证、支持微软系统自带及Android、iOS系统自带VPN拨入认证多种认证方式。
四、方案说明
——外网互联网直接接入BRAS设备,在BRAS设备上实现PPPOE认证、WEB认证、NAT转发、防火墙、流量控制等功能。
校园网认证计费解决方案
校园网认证计费解决方案1. 校园网认证计费需求分析校园网建设已经有十多年历史了,多数学校校园网建设已经形成规模,但校园网运营状况不是很理想。
很多学校的校园网,都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象,网管中心忙于应付网络突发故障。
加上几年院校合并,几张校园网拼成一张校园网,导致很多院校的校园网运行不稳用户身份认证和计费困难。
目前校园网认证计费存在:多厂家交换机,统一认证计费存在技术困难;认证计费不精确,不能按精确流量计费。
校园网迫切的需要一套精准的计费系统,可运营易管理的网络。
2. 技术方案2.1 组网方案校园网包括的信息点数量较多,采用核心、接入二层的扁平化网络层次,出口防火墙与核心交换机之间部署BRAS设备,实现所有上网用户的接入认证。
本架构模型如图:1)核心层在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。
鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。
现在的硬件加速系统具备以线速提供复杂业务的潜能。
建议在网络核心采用“越简单越好”的方法。
最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。
核心层用于承担校园网各分布区域的子网互连。
核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到Internet的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。
基于以上的基本数据流量模型分析,采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。
2)接入层主要承担各信息点的接入。
接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。
接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。
为了在接入层就启用较好的防ARP攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备ACL功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。
校园网用户身份认证系统
目录摘要 (3)Abstract (3)一.需求分析1.1 设计任务 (4)1.2 需求分析 (4)二.802.1X协议2.1 802.1x认证特点 (5)2.2 802.1x工作机制 (5)2.3 802.1x工作过程 (6)2.4 802.1x应用环境特点 (7)2.5 802.1x认证的安全性分析 (7)2.6 802.1x认证的优势 (7)2.7 802.1x认证的过程 (8)三.设计过程3.1 802.1x相关设置 (8)3.2 802.1x典型配置 (10)四.调试分析4.1 配置调试 (12)五.总结5.1 心得体会 (15)六.参考文献 (15)摘要数字化校园是数字化、信息化、智能化的统一,它在网络和数字化信息的基础上,利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理,在传统校园基础上构建了一个数字化空间,使这些信息资源能够有序地运转,更好地为教学、科研、管理和生活服务。
随着现代信息网络技术的发展,信息网在逐渐的庞大,同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。
从一定意义上讲,校园网的建设是衡量一个高校综合实力的重要标志。
学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。
建设数字化校园目的就是充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理的水平,实现学校信息化管理,为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。
建立统一身份认证系统,对用户的身份集中统一管理,保证用户电子身份的惟一性、真实性与权威性,大大提高了数字化校园应用系统的安全性。
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
宽带认证计费系统方案
北京易讯正通宽带认证计费系统方案1 项目介绍贵单位现已经安装宽带设备,但现在对安装用户采用简单的包月计费方式,关于宽带业务的管理系统还不够完善,因此需要引进设备加强管理。
1.1 需求分析根据实际情况,首先要实现两个方面功能,一个是除了包月外,还需要实现包时长、按照时间、流量计费等更丰富的资费策略,另外一个是为了方便宽带业务管理。
易讯正通公司提供了两套满足不同适用需求的产品:宽带认证计费系统和宽带业务管理。
1.2 网络方案宽带认证接入设备1宽带认证计费服务器WEB 服务器DSLAM DSLAM 交换机局域网用户局域网用户宽带认证计费管理系统网络拓扑图北京易讯正通网络通信技术公司宽带管理系统(WEB 方式)路由器ChinaNet宽带认证接入设备2DSLAM防火墙程控计费系统网卡1网卡2转换接口Consel 口汇聚交换机1.3 组网方案说明宽带认证接入设备都支持Radius 协议,所有经过认证接入设备上宽带的用户只要在BAS 设备上的进行相应的系统参数设置,就可以让宽带用户必须经过身份认证后才能上网。
用户上网的计算机需要安装PPPoE 认证客户端软件,需要跟每个用户分配帐号和密码(帐号可以与电话号码一致,如果没有安装固定电话的用户,帐号单独生成),用户密码可以登录到自助的WEB 页面中修改。
一台宽带认证计费系统可以同时支持多台(不限制)宽带认证接入设备进行认证。
对预付费用户而言,当结余金额不够时,用户不能上网;对后付费用户而言,当用户欠费日期超过设定期限时,用户不能上网。
另外,还有部分局域网用户,这部分不需要经过认证就可以上网。
对该部分用而言,如果用户欠费,我们可以通过Consel 口用Telnet 向汇聚交换机发送指令,实现关闭上网端口和恢复端口的功能。
只要服务器硬盘空间够,可以保存至少2-3年的历史数据。
1.4 已经对接成功的认证接入设备华为MA5200华为MA5300华为MA5600港湾Hammer10000港湾Hammer2024华为3COM设备中兴BAS设备思科BAS设备贝尔BAS设备UT斯达康BAS设备安藤BAS设备中太数据BAS设备1.5 业务数据同步在一台安装了双网卡的计算机上运行业务数据同步软件,交互以下数据:1、将在程控计费系统中受理的所有宽带业务数据同步更新到宽带认证计费系统;2、将在程控计费系统中缴费的纪录更新到宽带认证计费系统;3、将宽带认证计费系统中已经欠费的用户导出到程控计费系统;4、将宽带认证计费系统中上网详单、汇总数据导入到程控计费系统;5、用户档案同步;其他数据同步。
西安外事学院认证计费系统及无线网实施部署
西安外事学院认证计费系统及无线网部署建议方案陕西志成大业网络技术有限公司第一章现有网络状况及需求分析1.1 现有网络情况目前西安外事学院的网络已经基本建设完毕,整个网络核心交换机及接入交换机采用H3C的交换设备,出口防火墙采用阿姆瑞特F1800作为学校到教育网、互联网的总出口,网络拓扑结构为星型结构,骨干链路的带宽为千兆,在核心交换机与千兆防火墙中间,采用了城市热点计费认证系统,由于性能原因目前已经停止使用。
由于计费认证系统的停用,整个网络缺乏的认证计费系统,因此对于校内学生访问网络缺乏认真计费手段,不能做到按网络用户进行收费,尤其是学生在宿舍楼内上网问题,目前的临时的解决方案是将有外网访问需求的学生集中在同一个宿舍楼内,以便于统一管理。
1.2 需求分析目前学校为提高学生访问网络的灵活便捷,计划在校园网内部部署无线网络,利用无线网覆盖部分宿舍楼及操场、图书馆等公共场所,便于教师及学生的上网。
但由于没有认证计费系统,一旦部署无线网络,将无法控制连入网络的用户,只要有无线网的地方,普通用户将匿名随意接入,一方面对学校的网络运营造成影响,另一方面也因其隐蔽性因对该人员不可查,因此在部署无线网以前,应在学校内部先部署认证计费系统。
从大的方面看,一旦部署认证计费系统,学校将能够对全网的用户进行认证、授权、计费等工作,网络用户的上网将不受地域的限制,另外利用认证计费系统,能够灵活的对网络用户进行分组并进行计费权限设置,例如校内教师上网可采用只认证不计费的方式,对学生除进行认证外,还进行计费,使学校的网络投入有更好的回报。
第二章认证计费系统的实施2.1 用户认证计费系统概述认证又称为AAA,它包含三个方面内容:Authentication(鉴别)、Authorization(授权)、Accounting(计费)。
Radius协议是目前应用最广泛,并已发展成为事实上的AAA标准协议。
使用Radius协议实现认证时,涉及到的环节如下:用户主机 AAA Server 计费软件用户主机与网络设备的通信方式:大致可分PPPoE、DHCP/DHCP+、WEB、802.1X 等方式;后面会专门介绍这几种方式。
运营商AAA方案
运营商AAA方案一、引言随着移动通信和互联网的迅速发展,运营商面临着越来越多的挑战和机遇。
在这样的背景下,运营商必须不断提高其服务水平,以满足用户的需求,并在激烈的市场竞争中脱颖而出。
AAA (Authentication, Authorization, and Accounting)方案是一种用于运营商网络中用户身份验证、授权和计费的解决方案,它可以帮助运营商提高运营效率、增强用户体验,并提高其竞争力。
二、AAA方案的基本概念1. 认证(Authentication)认证是指通过验证用户的身份来确定其是否有权访问网络资源。
传统的认证方式包括用户名和密码、数字证书、智能卡等。
认证的目的是防止未经授权的用户访问网络资源,确保网络的安全性。
2. 授权(Authorization)授权是指根据用户的身份和权限,授予用户访问网络资源的权限。
通过授权,运营商可以根据用户的身份和需求,灵活地控制用户访问的资源和服务范围,保证网络资源的合理利用。
3. 计费(Accounting)计费是指对用户使用网络资源的情况进行监控和计费。
通过计费,运营商可以实时监控用户的网络使用情况,了解用户的需求,为用户提供个性化的服务,并根据用户的消费情况进行精准的计费。
AAA方案将认证、授权和计费整合在一起,通过统一的身份认证和计费系统,实现对用户的身份验证、资源授权和费用计费的自动化管理,提高了运营商的运营效率和用户体验。
三、AAA方案在运营商网络中的应用1. 移动通信网络在移动通信网络中,AAA方案被广泛应用于用户接入控制、流量控制和计费管理等方面。
通过AAA服务器对用户进行身份认证和授权,运营商可以有效地控制用户的访问行为,避免因用户滥用网络资源而导致的网络拥堵和安全问题。
同时,AAA方案还可以实现对用户通信费用的精确计费,为用户提供个性化的资费套餐和服务,提升用户满意度。
2. 互联网接入服务在互联网接入服务中,AAA方案也扮演着重要的角色。
赞普科技Mydradius酒店宽带上网认证计费管理系统方案
赞普科技:Mydradius酒店宽带上网认证计费管理系统方案一、前言随着互联网应用和手提电脑的普及,客人需要简单方便,随时随地的宽带接入,客房宽带接入已经明确作为4、5星酒店的基本服务,同时也为酒店带来新的可观的营运收入。
因此,酒店成为宽带公共接入的热点,吸引众多宽带接入运营商的投资。
Mydradius酒店宽带上网认证计费管理系统是一套专业的酒店宽带计费系统,不仅完全适合酒店运作,而且也考虑到运营上与酒店的合作运营模式。
二、webPortal方式认证Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。
Web认证目前已经成为酒店网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。
Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。
三、计费运营的必要性3.1 多样化的收费方案是酒店宽带运营盈利的关键酒店推出的服务必须让顾客满意,这对酒店宽带服务也是如此。
单一化的收费方案往往因为缺少个性化服务,而受到客人的质疑。
其后果是一部分客人干脆就不上网,而必须上网的客人心里则感到不满意。
客人带着意见离开,这是每一个酒店管理者所不愿看到的。
因此要做到既能使酒店收益也能让客人满意,就必须推出多种服务方案。
比较成功的酒店宽带收费模式是比较灵活的:既可以包天,也可以按小时计费与按流量计费。
对于长时间需要上网的顾客来讲,包天就可能节省客人的开支,如果只按时间计费,顾客就会不满意。
而一般的客人不可能需要长时间的上网,他就选择按时间收费,即使每小时的使用费贵一点,他也可能接受,因为酒店已经提供了个性化的服务。
3.2 成为可盈利型酒店宽带运营的可行性方案为了解决以上的困扰,酒店不但需要引入宽带上网,而且要对网络进行合理而且有效的管理,同时,酒店作为集商务、娱乐于一身的场所,还需要提供多种的网络增值服务给客人(如 VOD 点播、在线游戏、旅游咨询服务等),而所有的一切都需要一套完善而成熟的计费管理系统来实现。
无线网络认证计费管理系统方案
1.1 Mydradius 无线网络认证计费管理系统1.1.1前言Mydradius无线宽带上网认证计费管理系统是一套专业的无线宽带计费系统webPortal 方式认证Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。
Web认证目前已经成为无线网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。
Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。
真正的实现“即插即用”Mydradius无线宽带计费系统具有独特的“即插即用”功能,读者只要在图书馆利用自带的手提电脑或者租用无线设备实现上网,为读者提供了最大的便利。
进行统一计费、统一结算读者来到图书馆得到一个独立的账号和密码,通过WEB认证在图书馆的任意地点登录互联网,费用统一计入这一账号中,读者离开时可以与其他消费一起结算,并打出账单,此时该账号密码作废,不影响下次入住读者的利益。
有效的上网管理Mydradius无线宽带计费系统管理功能对读者的上网时长、时段、流量、带宽等实施组合限制,不仅可以保障读者上网资源,同时也为图书馆的管理者解决了后顾之忧。
同时通过对一些非法的IP地址过滤功能宏观的控制整个网络的访问目标地址,并可以实时的掌握网络运行情况,随时查看相关信息。
保证内部网络安全性Mydradius无线宽带计费系统拥有NAT网络地址转换技术,相当于防火墙的强大功能,将内部网络与internet 之间、图书馆内网之间实现隔离,保障了网络的安全。
1.1.2产品组成1网络计费网关网络计费网关是安装在一台专用的高性能的服务器上,有四个1000兆的以太网接口, 运行网络计费网关程序,实现对每个接入点进行接入认证控制,对认证成功的接入点实现网络全线速转发。
2、宽带计费管理软件Mydradius无线宽带计费管理软件是专业宽带计费管理软件,由多个功能模块组成:认证计帐、实时计费、用户管理、帐务管理、客户帐单查询、系统管理、管理员管理。
校园宽带认证解决方案
方案特点:ﻫ成熟先进的软件架构ﻫﻫ城市热点宽带认证计费系统的软件架构优势:•采用Tomcat+JDK+OracleDatabase的架构组合,相比典型的Apache+PHP+MYSQL开源组合,在稳定性、性能、扩展性、业界口碑等方面都更适用于构建长期运营发展的企业级应用。
ﻫ•充分利用Oracle Database产品的强大功能实现后台业务的封装.如数据压缩、RAC、备份/恢复、跨库协作、外部表高性能日志入库、支持SMTP、TCP等网络通信开发易与其它模块互联,强大的封装函数库,完善的脚本开发等都是其它数据库产品难以超越或达到的。
完全实现了RADIUS SERVER、Tomcat、Database的解耦,Database故障不会影响RADIUS SERVER正常认证。
ﻫﻫ•真正的跨平台部署,完美支持LINUX、WINDOWS等主流系统平台.管理界面支持主流的IE与firefox内核浏览器,自助服务界面支持所有主流浏览器。
ﻫ•采用SSH成熟的开源开发框架,便于实现团队协作,高效而规范,为高质高效满足客户定制化需求提供有力保证。
ﻫﻫ数字化校园接口ﻫﻫ随着高校信息化建设的脚步日益加快,数字化校园建设在各大高校如火如荼的进行着,数字化校园建设最重要的环节当属高校一卡通和高校宽带认证计费系统,城市热点Dr。
COM宽带认证计费系统支持与多种认证系统通过LDAP或RADIUS进行对接,2008年至今,已经和新中新、金智、三九、新开普、鑫三强、迪科等国内主流知名校园一卡通公司完成对接,能实现校园卡统一身份认证、收费、业务办理、圈存等业务,并成功与深圳大学、中国农业大学、华东理工、同济大学、南京邮电大学、河海大学、北京联合大学、云南财经学院等综合性大学完成校园卡对接。
ﻫﻫ在与深圳大学新中新校园一卡通对接的项目中,更是实现了认证与计费全业务接口无缝衔接,从认证方面,深圳大学师生宽带认证时只需要输入校园卡的查询密码即可通过认证,实现以校园卡为信息化建设核心,并与认证计费网关实现统一身份认证平台;从计费方面,城市热点开放了计费业务全接口,实现了刷卡开户、收费、扣费、定期圈存和自然月结算策略(运营商通用计费策略)以及缴费自动触发开户等个性化功能,以上举措让深大师生在校园宽带上的使用更加便利,缴费更加方便,计费更加准确合理,极大促进了数字化校园与宽带认证系统整合的步伐。
上网认证管理系统
记录用户上网记录,方便查询。
所有管理员的相关操作都会被记入日志,分清职责。
对用户交费、退费日志,有据可依。
对带宽、流量不正常用户,实时处理。
记录上网用户访问过的源IP、目标IP、端口、访问时间。
3
2
1
4
5
6
六、功能综述
英华科技
*
带宽管理
支持分组分策略带宽控制。
支持分时段带宽管理。
系统实时带宽查看、分析。
五、系统部署 3/5
英华科技
*
管理员可发通知到客户端网页通知用户注意事项。用户可通过自服务系统报修或提交网络问题。建立双向交流平台。
五、系统部署 4/5
英华科技
*
关于3G流量控制:通过每月给用户赠送3G流量,超过则锁定账户,月初时系统自动解锁来完成。
与各部门协调、配合:分步、分阶段或按部门逐步实施。从网络信息点较少,网络较难管理的楼宇开始。
六、功能综述
5、ARP防控 ARP病毒专防模块 ARP病毒防护分为几个步骤,在系统运行之初,将内网所有交换机添加到设备管理中,系统低层有一专用模块实时对各个设备进行监控并读取ARP表,如发现ARP病毒特征则立即通知管理员,并强制该用户离线,并强制关闭客户机。
IP管理
六、功能综述
英华科技
一、校园网的需求分析 7/8
英华科技
*
来自网络流量分类统计和计费的需求 :
一、校园网的需求分析 8/8
英华科技
*
安全的身份认证需求 : 系统安全的身份认证机制非常重要。目前多数校园网络没有严格的身份认证机制,这导致出现一系列的问题: 1、无法控制用户的接入。 2、无法保证网络的安全。 3、出现故障时无法快速的、准确的定位。 4、无法记录上网行为。 5、无法实时对用户进行在线分析。 6、无法有效的收取费用。
(最新版)学院校园网用户上网认证收费管理办法
学院校园网用户上网认证收费管理办法为了优化校园网络服务,引导用户合理使用校园网资源,更好地为学校教学、科研和管理服务,推进校园信息化建设,确保校园网安全、稳定可靠运行,结合学校的实际情况,在学校财务收费管理办法的框架内,制定本管理办法。
一、基本原则(一)校园网认证收费适用接入校园网的任何单位和个人,所有用户需要具有真实合法的身份。
每位教职工可申请一个办公帐号,办公账号的有效期限为该职工在校工作期间内;每位学生可申请一个学生帐号,学生帐号的有效期限为在校就读期间内。
(二)所有校园网用户免费访问校园网内部资源;访问校外资源都必须通过认证,并按流量计费。
二、收费方式所有校园网用户均采用预付费方式缴纳费用,当用户帐号余额为零时,计费系统自动切断该用户的网络连接,不能访问校园网外资源。
三、资费标准(一)入网费教学办公区和学生宿舍区暂时免收入网费,教工宿舍区已经统一安装了线路的免收入网费,但用户需要另外单独安装线路的费用自理。
(二)通信费1.基本费率为:高峰时段(8:00-23:59):0.007元/MB;优惠时段(0:00-7:59):0.0007元/MB;2.学生用户每个月最高通信费不能超过30元(优惠额度除外)。
3.优惠措施(1)原则上教工每月免收XX元通信费(合计流量约19G)。
(2)所有用户访问校内资源不计流量且免费。
(3)全日制在校学生在校期间凭学生有效证件到网络中心办理帐号,每月每人免XX元的通信费(合计流量约4.3G)。
(4)通信流量当月有效,月末未用完不结转,不退钱。
四、其他说明(一)由校内单位聘请的临时人员,确因工作需要使用网络的,由用人单位出具证明,办理上网帐号,聘用期内有效。
(二)校内营业单位按流量计费,不优惠。
(三)用户可通过客户端或服务网站查询网络费用使用情况。
(四)用户销户后,方可返还其帐号内的余额(不含优惠额度)。
Srun3000安全认证网络管理计费系统解决方案指南(802.1x)
Srun 3000 安全认证网络管理计费系统解决方案指南(802.1x)系统版本号 rc10.3背景及需求分析高等教育发展到现今,校园网络的应用已经获得了长足的发展。
随着网络应用的深入, 宽带接入互联网显现了很多亟待解决的管理问题。
学校迫切需要对于上网用户进行必要的管 理。
特别是随着服务水平的提高和服务内容的增加,高校早已把学生纳入服务的主要对象。
对于学生们的上网服务保障, 上网行为的管理以及更合理的分配网络资源等需求日益提上日 程。
随着高校上网用户数量的增加, 校园网早已不再是一个小的局域网,而更象是一个区网 甚至于市级网的级别。
同时校园网还有其自身的特点,l面向的用户相对单一化,集中化,大部分是在校大学生;l上网时段集中,高校学生的作息时间基本固定,学生的除了上网络课的应用,大部 分上网集中在课休时间,校园网高峰时对于网络设备的要求很高, 特别是入网认证效率方面;l用户对于网络的应用需求多样, 高校用户大部分是二十多岁的青年,新事物的接受 能力强,对于网络中的时时翻新的应用,有很强的尝试愿望;l学校管理部门应国家安全部门的有关要求,也要对于学生的上网行为,即要保证应 用,又要进行必要的管理,防止非法、反动、不健康等言论内容的传播,所以只能疏堵结合。
因此很多高校提出了对入网认证,上网行为管理,日志记录,收费等更高的具体需求。
高性能的安全认证网络管理计费系统 SRUN3000 产品概述Srun 3000 安全认证网络管理计费系统是一套以实现网络运营为基础,增强全局安全 为中心,提高管理效率为目的的第三代网络安全运营管理系统。
Srun 3000 是一套基 于标准的RADIUS协议开发的宽带认证计费管理系统。
它不仅支持PPPOE和网关的认 证计费方式,还支持所有的 802.1X 接入控制技术,与其他厂商支持相应标准的产品 兼容,支持华为、Juniper、中兴等厂商的 BRAS 设备,也支持 D‐Link、思科、H3C、 华为、3Com、LINKSYS、中兴、锐捷网络、惠普、神州数码、北电网络、Juniper 等 厂商的交换机,并能够提供更加丰富的功能。
智慧校园网运营管理体系建设方案
智慧校园网运营管理体系建设方案目录1项目背景概述 (5)1.1项目背景 (5)1.2现状分析 (6)1.3总体建设目标 (6)2总体架构设计 (8)2.1建设原则 (8)2.1.1安全性 (8)2.1.2先进性 (8)2.1.3开放性 (8)2.1.4扩展性 (8)2.1.5高性能 (9)2.1.6可运营管理 (9)2.1.7规范化和标准化 (9)2.2网络架构拓扑 (10)2.3网络设计概述 (10)3网络出口优化设计 (12)3.1出口优化设计 (12)3.2外网连接层设计 (12)3.2.1高性能NAT、PBR (12)3.2.2多链路负载均衡、智能DNS技术 (14)3.2.3用户路由技术 (16)3.3日志管理层规划 (16)3.3.1传统的出口日志系统的问题 (16)3.3.2锐捷日志系统部署方案 (17)4 IT运维管理设计 (18)4.1建设目标 (18)4.1.1主动化事前管理 (18)4.1.2集中式简单管理 (18)4.1.3提高信息化服务工作规范性及效率 (18)4.1.4提高IT 投资效益 (19)4.1.5提升运维管理水平 (19)4.1.6提升服务水平 (19)4.2建设思想 (19)4.2.1面向业务的管理平台 (19)4.2.2建立全方位的集中式管理平台 (19)4.2.3建立统一的事件管理平台 (19)4.2.4标准化运维流程管理 (20)4.2.5高交互性和可视化效果的界面 (20)4.2.6全方位的管理完善实践 (20)4.2.7满足多角度的管理需求 (20)4.2.8面向基础设施的管理 (20)4.3产品方案设计 (21)4.3.1综合监控管理平台 (21)4.3.2运维流程管理平台 (37)4.4系统运营 (43)4.4.1运营现状及改进建议 (43)4.4.2运营规划 (43)4.4.3运营建设重点 (44)4.4.4流程模拟 (45)4.5效益分析 (46)5运营管理系统设计 (48)5.1智慧校园网统一认证需求分析 (48)5.2智慧校园网统一认证建设思路 (49)5.3智慧校园网解决方案价值 (50)5.4解决方案网络架构设计 (51)5.5学校运营平台与运营商BOSS无缝对接 (51)5.6客户端防代理防逃费 (53)5.7本地号段绑定 (54)5.8 “校内免费、校外收费” (54)5.9智慧校园网解决方案业务效果 (54)5.9.1校园网用户开户 (55)5.9.2校园网用户缴费 (56)5.9.3用户接入认证 (56)5.9.4用户计费方式 (57)5.9.5用户接入控制 (58)5.9.6运营账务管理 (59)5.9.7服务器安全防护 (59)5.9.8基于终端的WEB认证 (60)1 项目背景概述1.1 项目背景学院自建校以来,服务于教务教学的校园网络设施,有力地支持了学院的高速发展。
校园网统一计费平台业务模式宣讲
校园网统一计费平台业务模式宣讲前言校园网作为学校重要的信息化基础设施之一,对于学生和教职工的信息化需求起到了至关重要的作用。
然而,随着学校信息化建设的不断推进,校园网使用费用逐渐成为学校管理的一大难题。
为了解决这一问题,我们设计了校园网统一计费平台,旨在为学校提供合理、透明的收费机制,同时减轻学校管理的负担。
业务模式简介校园网统一计费平台是一个集成化的管理系统,涵盖了学生和教职工的上网认证、流量计费、账单管理以及在线支付等功能。
我们通过合作伙伴提供的技术支持,将整个校园网管理流程数字化,并提供便捷的用户接口,使得学生和教职工能够方便地使用和管理校园网资源。
上网认证校园网统一计费平台通过与学校信息化管理系统对接,实现学生和教职工的身份认证。
用户只需使用校园卡或个人账号登录系统,即可自动完成认证,无需重复输入账号密码。
这大大简化了用户上网的操作流程,提升了用户体验。
流量计费校园网统一计费平台支持对用户的上网流量进行计费。
我们通过合作伙伴提供的技术,实时监控和统计用户的网络流量消耗,并根据学校制定的收费标准进行计费。
用户可以通过个人账号登录平台,查看实时的流量消耗情况,以及相关的费用信息。
这样,用户可以清楚地了解自己的使用情况,并根据需求调整上网行为。
账单管理校园网统一计费平台提供便捷的账单管理功能,学生和教职工可以通过个人账号登录平台,查看和下载自己的账单。
账单包括了上网的流量消耗情况以及相应的费用明细。
同时,我们还提供了账单的打印和导出功能,方便用户进行进一步的查阅和处理。
通过这样的账单管理机制,学生和教职工可以更加清楚地了解自己的消费情况,提高消费的透明度。
在线支付为了提供更加便捷的支付方式,校园网统一计费平台集成了在线支付功能。
用户可以通过个人账号登录平台,选择相应的账单进行在线支付。
我们支持多种支付方式,包括支付宝、微信支付等。
用户只需输入支付密码或者扫描二维码,即可完成支付操作。
这样,用户无需再到学校财务处或网费充值点进行线下支付,节约了时间和精力。
高校统一身份认证系统设计与实现
48Internet Technology互联网+技术引言:近年来随着互联网的飞速发展,我国在不断提升对网络信息安全的重视。
高校的网络建设给校内师生提供了便捷高效的移动化办公和智能化教学,给校园生活添加色彩的同时,来自校内校外的危险也不容忽视,稍有不慎黑客、木马就会威胁到网络的安全性[1]。
其中,师生个人身份信息的安全问题尤为突出。
部分网络用户在网络访问时缺乏隐私保护意识,将敏感信息暴露在互联网上,导致个人信息泄露,严重威胁到师生的个人财产安全[2]。
与此同时,形形色色应用系统的出现,记忆诸多用户名密码信息给师生带来困扰。
因此,建设一个统一的身份认证入口,打好高校未来信息化发展的基础势在必行。
一、业务功能设计平台整体架构设计如下图1所示:图 1 统一身份认证平台整体架构图1.身份数据源。
身份信息是高校信息化发展的基础。
用户数据与数据中心同步,实现一数一源,保障身份数据的统一性、权威性、规范性,降低了身份数据维护的复杂度,所有应用系统只需维护一套身份数据。
2.业务系统。
支持各种接入协议,既能兼容老旧系统,又符合当前网络发展的趋势,为应用系统提供丰富的选择。
接口接入、协议接入等多种方式以满足可扩展性。
访问策略的管理,能够从源头进行安全管控,提供追踪审计。
3.用户。
根据需求的差异,满足系统管理员、教职工、学生等各方的需要。
4.认证。
满足当前师生的诉求,支持手机验证码、扫码登录等,以减少密码记忆的困扰。
兼容传统的用户名密码以高校统一身份认证系统设计与实现文|郭俊【摘要】 随着信息化的普及,高校已从数字化逐渐向智慧化转变。
人员的身份数据是高校信息发展中最重要的一环,如果人员信息管理不当,容易出现校园信息管理的混乱甚至带来信息安全隐患。
因此,需要一个便捷安全的身份认证平台,来规范高校的人员管理,并对校内各应用系统进行整合。
该方案作为校级公共平台牢固信息发展的数据底座,对上层应用系统提供统一的身份认证服务。
【关键词】 身份认证 身份管理 认证管理 多因素认证及当前主流的微信、钉钉等方式。
综合信息管理系统项目实施方案
综合信息管理系统项目实施方案目录一、主干网络系统建设(一)概述(二)主干网络建设(三)访问服务中心(四)Internet连接(五)服务器系统(六)系统软件的选择(七)主干网实施和综合布线子系统(八)数据备份(九)网络管理(十)IP地址分配和域名管理(十一)网络安全二、管理软件系统建设(一)概述(二)财务系统建设(三)物资管理系统建设(四)产品技术文档管理系统建设(五)办公自动化系统建设三、项目实施及培训(一)概述(二)子系统实施及培训进度四、项目验收一、某公司综合信息管理系统实施方案——主干网络系统建设(一)概述结合某公司企业网的建设,统筹规划,全面安排,确保网络的合理性、先进性、经济性和安全性,并且为网络未来的发展留有足够的扩充余地。
1、网络设计原则坚持实用性和公司投资的充分利用坚持开放性、兼容性和可互连性,向事实上的工业标准TCP/IP协议靠拢,同时考虑支持IPX/SPX坚持技术的先进性坚持高可管理性坚持高可靠性提供冗余备份功能能有效进行网络管理利于网络扩展和技术升级充分利用现有的网络设备提供严格受控的拨号访问系统提供完全的网络安全控制2、网络建设目标和总体规划某公司信息系统网络建设的目标,主要是在公司办公楼和各生产车间部门构建局域网建设、及其广域网联接的基础上,将互联网技术引入企业内部网,从而建立起统一、快捷、高效的Intranet系统。
整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。
具体规划如下:以电讯公司为中心,与公司机关大楼、厂区内各生产部门(考斯特、总装车间、零件车间及各库房)等单位通过光纤相连,构成一大型局域网。
以千兆以太作为主干网,利用第三层交换技术实现中型局域网规划,在原有网络主干的基础上增加各分交换网与中心主交换机(主节点)构成网络主干,各二级单位(三级节点)采用100M光纤收发器通接入主干网。
考虑到网络环路连接可达到冗余效果,增加系统的可靠性,因此,二级节点之间尽可能互联,形成环路。
深澜认证计费软件解决方案
认证方案建议
机房: 认证方式:PPPOE 接入控制:配置本地同网段地址以保证内网互通。 服务器: 认证方式:PPPOE或MAC认证 接入控制:根据帐号下发固定IP地址,绑定MAC,并设置 相关访问权限。 工控机: 认证方式:MAC认证 接入控制:根据帐号下发固定IP地址,绑定MAC。
深澜软件简介
协议开销大
认证方案建议
办公区: 认证方式:PPPOE或IPOE配合MAC认证 接入控制:具有全部权限,控制带宽,可以与家属区共用 帐号,不防代理。 家属区: 认证方式:PPPOE 接入控制:具有部分权限,限制带宽,不防代理 学生区: 认证方式:PPPOE或IPOE 接入控制:具有相关访问权限,可由运营商运营,但由计 费系统进行数据统计,启用防代理
深澜高效认证计费管理运营平台武汉明华旭日科技有限公司深澜华中办事处新型校园网认证计费方案扁平化网络结构扁平化管理扁平化接入扁平化高体验的用户接入ipv4ipv6双栈认证有线无线一体化接入准入准出灵活的权限管理简化管理应用系统一体化接入新型校园网认证计费方案基于用户的管理智慧化运维自动化接口化精细化控制自助化用户管理人性化管理界面新型校园网认证计费方案灵活计费策略定制统计报表定制个性化界面定制界面美化设计个性化定制特色功能定制新型校园网认证计费方案全冗余化的设计更专业的设备数据本地异地全自动备份虚拟化部署稳定的系统新型校园网认证计费方案新型校园网认证计费方案新型校园网认证计费方案认证方式介绍高体验优点缺点ipoe具有portal认证的所有优点专业设备实现性能可靠性高实现准入控制强制dhcp可配合mac认证实现无感知认证全面支持无线动态策略控制用户间二层隔离需要接入层实现ip地址占用较差的断线控制pppoe真正成熟的认证技术天然用户间隔离系统兼容性好用户准入准出控制动态策略控制节省地址资源ipv4v6一体化认证运维排障简单对手持终端支持较差必须做扁平化改造认证方式介绍高体验优点缺点mac认证接入简单用户体验好ipv4v6一体化认证全面操作系统支持可与多种认证方式融合实现混合认证动态策略控制必须做扁平化改造无法防代理无法防mac仿冒用户隔离依赖接入层l2tp认证成熟的三层ppp技术系统兼容性好配合客户端可实现路由策略下发到终端动态策略控制ipv4v6一体化认证协议开销大认证方案建议办公区
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX学院网络统一身份认证计费管理系统建设方案2016年03月目录一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案.................................................1.方案设计 ..............................................A.方案(串连网关方式).................................B.方案(旁路方式+BRAS,BRAS产品)四.认证计费管理系统与统一用户管理系统的融合.................4.1统一用户管理系统的融合 ................................4.2一卡通系统的融合 ......................................4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例.................................................6.1清华大学案例介绍 ......................................6.2成功案例-部分高校......................................6.3系统稳定运行用户证明 ..................................七.实施方案....................................................7.1实施前准备工作.........................................7.2认证计费系统安装.......................................7.3实施割接前测试工作.....................................7.4实施中割接、割接后测试工作............................. 一.计费系统设计规划XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。
因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。
在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。
有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。
二.方案建设目标针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方案。
➢实现全网用户统一身份认证和精准计费;➢解决现有系统的功能不足和改善用户端体验;➢实现全网统一管理,整体数据分析;➢现有网络设备升级,提升整体网络速度;➢实现一个用户账号可以全部认证,同时和校园一卡通,信息门户的对接,实现用户账号的同步。
➢实现用户无线、有线一体化,全网统一身份认证计费;三.总体方案1.方案设计A.方案(串连网关方式)系统部署说明:(网关实现精准流量计费和灵活控制)将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间,采用透明桥方式,此种方案具有以下几种特点:1.网关热备,可以做一台或者多台网关热备,其中任何一条链路出现故障或者其中一台网关故障,用户会自动切换到另外一台网关中,无需用户从新认证。
2.针对用户进行实时流量采集,具有实时性,用户费用不会出现欠费(负数)状态,到零自动切断用户上网。
3.针对每个用户可以进行动态带宽限制。
4.实现基于流量的多种灵活的计费策略,流量套餐,包月限制流量等等。
5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。
6.教学区采用Portal认证模式,实现用户的方便认证,适应多种智能终端。
以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例,例如:清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学(朔州校区)等等。
(清华大学万兆网关实际测试)B.方案(旁路方式+BRAS,BRAS产品)1.无感知认证(MAC认证模式)➢ 1.1 为用户分配固定的IP地址,用户在配置地址和网关后直接获得对应的访问权限;如需对用户访问权限进行控制,则可通过在认证计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控制。
➢ 1.2 通过DHCP为用户提供地址的动态分配功能。
用户终端接入后,即可通过DHCP获得IPv4地址,对应的网关和DNS服务器等信息。
在采用DHCP方式时,用户可以动态获得某个地址池中的地址,或者按照要求,基于该用户的MAC地址,为其每次都分配同一个IP地址,便于其在网络内提供相应的服务。
➢ 1.3 用户的IPv6地址建议通过ND/RA的方式获得,及IPv6无状态地址分配方案,该方式对客户端的兼容性较好,高校普遍采用了这种方式。
➢ 1.4 对于无需认证的用户,如果是通过DHCP方式获得IP地址,BRAS 多业务路由器以及后台的认证计费系统同样会对用户的信息提供记录,便于今后的查询。
采用BRAS多业务路由器做为二层接入认证管理设备,能够实现用户接入网络的精细化管理功能,BRAS多业务路由器为用户接入提供的DHCP流程中集成了认证模块,能够实现在用户PC接入网络获取IP地址的同时,就能够同步记录下用户的MAC地址、所在的具体位置(精确到交换机端口,包括内层VLAN ID和外层VLAN ID)、接入网络的时间、获取的IP地址等多种信息,并对每个用户细致的访问权限、上下行速率的控制,从而实现用户接入网络的可识别、可管理、可控制,而这个过程用户没有任何感知。
2.PPPoE认证BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能,通过用户侧的PPPoE拨号,能够实现在客户端与BRAS之间的PPPoE通道的建立,并同时基于PPP的协商实现用户的认证、计费功能。
PPPoE简要流程为:用户PC通过客户端发起PPPoE请求到后台接入服务器BAS,然后交付后台RADIUS进行认证及计费。
此方案的优势在于通过统一的BAS设备实现集中的接入管理和差异化的策略管理,如用户带宽的分配、QOS的优先级、营运记账等。
(PPPoE认证流程图)由于Me直接提供了用户接入网络时的PPPoE认证功能,相应的控制力度也更强。
用户均通过PPPoE会话实现到网络的接入和访问,相互之间由于PPPoE通道的隔离而互不影响,因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个网络的可靠性和稳定性。
另外,由于BRAS设备为运营商级设备,设备的处理能力,对用户的控制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权限管理、QoS等各种操作。
并且,在使用BRAS+PPPoE的接入方式下,在接入层是一张大的二层网络,用户间通过VLAN隔离,互相之间没有影响,避免了ARP病毒等问题;同时,对运营网的管理维护来说,管理员只需要管理大的BARS设备,接入层设备仅仅是二层接入,不需要在接入设备上作负责设置,极大的减轻了管理员的维护工作量。
PPPoE的拨号客户端在Windows系统中自带,也避免了客户端软件下发所带来的一系列问题。
3.WEB Portal认证(IPoE)Web认证(IPoE)需要与Portal认证服务器配合使用,主机首先通过DHCP得到一个IP地址(或是静态设置),通过HTTP重定向的方式强制用户与Portal认证服务器通信,也可以使用户只访问一些内部服务器;然后,接入服务器将用户强制连接到Portal认证服务器上,并在浏览器中弹出认证页面。
在该页面中输入用户名和密码,Portal Server把通过Protal协议将认证信息传送到BRAS上,对用户进行认证。
认证通过后,用户获得相应的访问权限,可以访问互联网或特定的网络。
在IPoE+Portal的认证方式中,用户的账号都是由Portal进行认证,这样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的出现。
而Portal在实际的处理机制中会把账号信息转交付给BAS,由BAS 向Radius Server发起AAA认证。
RADIUS认证结束后,BAS一方面会通知Portal给出相关提示给用户,如“认证通过,可以访问网络”,也可能是“认证失败,用户名或密码错误”等。
另一方面BAS会从AAA中获取用户的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。
上图是“IPoE+Portal”方案的一套用户上网流程,具体流程分解如下:(1)用户获取地址后,通过浏览器发起正常的HTTP请求;(2)从BRAS上来的HTTP请求被重定向(给Redirector设备;(3)Redirector设备直接回指给用户一个专门的Portal地址;(4)用户访问Portal设备;(5)Portal设备弹出页面,提示用户输入账号进行认证;(6)用户输入账号信息并提交给Portal server;(7)Portal将用户账号信息通过Portal协议转交给BRAS进行认证;(8)认证通过时,RADIUS一方面通知BRAS并给出相关用户提示;(9)另一方面,BRAS 根据用户的状态获取相应的访问策略;(10)Portal直接端到端给用户相关提醒,如“验证通过,可以上网”;(11)用户访问其他网页,BAS通过调整后的策略进行正确转发;用户将可以正常访问外网;(12)同时后台RADIUS进行计费策略;认证过程(支持PPPoE,L2TP,Web Portal认证),认证过程与串行、旁路方式无关,采用哪一种接入方式都可使用所有认证方式,需要接入的bras或核心交换支持。