蓝海卓越高校校园无线认证计费解决方案

一、项目概述1。

１简介WIFI网络作为移动互联网的主要构成部分，在信息化时代,几乎每个人都需要接入网络获取信息、移动办公、学习等.随着智能手机、平板电脑等智能终端的不断普及,传统的有线接入方式早已无法满足现阶段网络需求,ＷIFI网络的普及对校园信息化建设,教师移动办公等方面起到了很大的助力作用。

二、需求分析２.1 方案设计原则实用性：遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不设计成华而不实的无线网络,也不设计成利用率低下的网络,我们以实用性的原则要求为依据,建设具有最低的TCO(拥有的总成本最低)，有最高的性价比的校园无线局域网络。

ﻫ先进性:采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。

可靠性：系统必须可靠运行，主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。

开放性:选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化,均能够最大可能性的开放标准。

ﻫ可扩充性:系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比;可维护性:系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；ﻫ安全性:必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露.2.2 WＩFI无线覆盖需求该学校覆盖方案由室内和室外等部分共同构成,现阶段主要需求为办公室外区域实现WIFI覆盖，为终端提供高品质的无线接入点.２。

3 具体需求分析教师和学生在必要时需做到移动办公,同时需要通过WIFＩ网络对终端用户进行认证,进行增值服务,如对终端进行计费、信息发布等。

高校宽带认证计费解决方案一、前言校园网是学校和外界交流的重要平台，也是展现学校面貌的重要舞台。

随着学校硬件设备的不断健全，用户的复杂性及多样性，对网络提出了安全认证的需求，网络需要运营，因此也有了计费收费的需要。

各个学校根据自身特点，选择一套合理、有效的认证计费系统是十分有必要的。

中国的高校信息化建设经过从无到有的多年发展，许多高校正在或已经完成了校园网的建设，并经过一段时间的运行，校园网已为教育的信息化做出了贡献。

以太技术在校园网接入层的普遍采用，相对来讲，由于以太技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。

针对不同的校园规模，针对不同的用户群体，校园网的问题和需求在不断的变化，星峰航提出一套具备校园网运营特点，针对校园网的独特用户群体，特殊网络结构的方案是校园网认证计费解决方案的发展方向。

技术日新月异，很多国内外领先的网络厂商大都提出了校园网可运营的理念，以适应现代校园网“以网养网”的需求。

为了能够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台，社区网络中心需要对各种宽带接入技术进行严格的认证、选择，为建立“可管理”的网络打好基础。

在当前宽带技术的发展领域中，PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。

二、校园网的特点以及所面临的问题校园网是一个功能复杂的网络，与其他的网络相比有其独特的一面：教育网和Internet 混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。

而且，校园网用户是一群最有活力的用户群体：掌握新技术最快、最会使用新技术、最有挑战欲望。

同时，以太网技术在校园网接入层被普遍采用，相对来讲，以太网技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。

当这些因素碰到一起的时候，校园网遇到比较突出的如下几个问题：⏹网络Interet出口拥塞，需要对出口带宽进行有效管理。

校园网Internet出口带宽有限，高校学生无限制的使用出口带宽或者使用P2P工具进行下载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。

校园网认证计费解决方案1. 校园网认证计费需求分析校园网建设已经有十多年历史了，多数学校校园网建设已经形成规模，但校园网运营状况不是很理想。

很多学校的校园网，都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象，网管中心忙于应付网络突发故障。

加上几年院校合并，几张校园网拼成一张校园网，导致很多院校的校园网运行不稳用户身份认证和计费困难。

目前校园网认证计费存在：多厂家交换机，统一认证计费存在技术困难；认证计费不精确，不能按精确流量计费。

校园网迫切的需要一套精准的计费系统，可运营易管理的网络。

2. 技术方案2.1 组网方案校园网包括的信息点数量较多，采用核心、接入二层的扁平化网络层次，出口防火墙与核心交换机之间部署BRAS设备，实现所有上网用户的接入认证。

本架构模型如图：1）核心层在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。

鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性极高。

现在的硬件加速系统具备以线速提供复杂业务的潜能。

建议在网络核心采用“越简单越好”的方法。

最低的核心配置可降低配置复杂性，从而减少出现运行错误的几率。

核心层用于承担校园网各分布区域的子网互连。

核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。

基于以上的基本数据流量模型分析，采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。

2）接入层主要承担各信息点的接入。

接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。

接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。

为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻性，接入层交换机采用具备ACL功能的智能二层交换机，并且通过千兆链路和汇聚层交换机互通。

蓝海卓越有线无线一体化认证解决方案目前在很多场合（比如出租屋、企业园区、校园网、小区宽带、商场等环境）需要使用到有线无线一体化认证的方案，蓝海卓越结合自身在有线拨号认证计费以及无线portal认证基础上，推出蓝海卓越自有的有线无线一体化解决方案。

（欢迎私信了解详情）客户需求：1、针对有线网络用户采用PPPOE拨号认证，并可以实现包月/年等计费管理功能；2、针对无线用户可以采用portal认证，需要用户手机短信认证上网，可以根据实际情况实施免费上网和付费上网；3、电脑拨号账户和无线认证账户不能互相使用；4、通过认证计费管理系统可以对所有账户进行管理；5、可以对portal认证的用户进行认证页面的定制，以便推送通知/公告或广告。

网络拓扑：方案说明：1、通过蓝海卓越BRAS网关和认证计费系统实现对有线网络电脑主机的拨号认证上网功能，同时绑定MAC；2、通过蓝海卓越AC设备对所有的AP进行集中管理，蓝海卓越AC同蓝海卓越统一无线认证管理系统（Portal）平台对接，实现对无线终端用户的portal认证上网功能，并且绑定MAC；3、无线portal认证页面可以进行随意修改，可以实现手机终端自注册，自主选择套餐并支付宝付费。

4、AP自动发现AC，并由AC进行统一管理，下发参数。

方案特点：1、有线无线在同一项目中混合部署，节约成本，同一台交换机上即可接有线电脑，也可接无线AP。

2、有线和无线混合接入，但是采用不同的认证方式。

有线用户可以采用路由器或电脑拨号上网，无线用户手机或平板、笔记本采用WEB PORTAL认证方式，符合用户的使用习惯和实际使用场景。

3、有线和无线可以支持完全不同和策略，有线收费、无线免费，或者部分无线收费，部分无线免费，可以根据运营情况灵活调。

4、收费可以按月、年、天、小时、流量等不同策略设定套餐，所有的套餐均由管理员自定义。

5、无线免费上网，支持短信注册认证、帐号密码认证、微信免费上网、一键登录免费上网等多种主流的免费上网方式。

校园网认证计费系统用户缴费流程
一．请用户打开IE浏览器输入：：
出现图⑴界面，输入用户名和密码，点击“自服务”（请不要回车），
进入图⑵，点击“用户自服务”，
进入图⑶，点击“用户自主交费”，
进入图⑷，填写缴费单，交现金的用户，请选“现金”；用校内经费本转帐的用户请选“转帐”。

交费单填写好之后，点“确定”。

进入打印缴费单界面，见图⑸、图⑹，打印缴费单。

图⑴
图⑵
图⑶
用校内经费本转帐的
用户选“转帐”。

图⑷
交现金的用户选“现
金”。

图⑸
图⑸
图⑹二．用户打印出缴费单之后，到财务处办理缴费。

（1）交现金的用户，带打印的缴费单和现金到河海馆2楼财务处交费。

交费后把财务处盖过现金收讫章交款单的信息中心联交网络馆203房间帐户管理员，帐户管理员帮用户加款到帐户。

（2）用校内经费本转帐的用户，先填写校财务经费报销单，由经费本负责人在报销单上签名，带经费本和缴费单及填写好的报销单到财务处转帐交费。

交费后把财务处盖过转帐收讫章交款单的信息中心联交网络馆203房间帐户管理员，帐户管理员帮用户加款到帐户。

友情提醒：
新的交费流程用户不需先到信息中心网络馆让帐户管理员手工开写校内缴款通知单，用户在认证计费系统中打印的缴款通知单就可以到财务处直接办理。

蓝海卓越计费如何使用VPN建议多项目认证蓝海卓越的计费平台可与海蜘蛛的网关PPPOE进行无缝对接，是一种经济实用的计费解决方案，适合小型运营商使用。

但在实际使用过程中，由于计费和海蜘蛛进行RADIUS对接时，两端均需要配置IP地址，才能正常使用，如果是在一个项目使用，那么蓝海卓越的计费和海蜘蛛可以通过配置局域网IP进行互通，但是如果想实现一个蓝海卓越的计费管理多台海蜘蛛设备，那就需要把蓝海卓越的计费放置在公网上，配置公网IP，同时每台海蜘蛛均需要配置固定IP的光纤线路，这样就会导致成本增加。

目前在实际使用过程中，很多海蜘蛛路由器设备是汇聚了多条ADSL线路进行接入后再给用户提供网络服务，此种方式可以有效的降低带宽使用费用。

但这样就给一个计费管理多台海蜘蛛造成了麻烦。

因为ADSL每次拨号后IP会变，那么我们配置了对接后，只要IP一变，之前的配置就不生效了。

鉴于此，蓝海卓越工程师提出了以下的解决方案：第一步，将蓝海卓越的计费放置于一个项目A的内部，并于此项目建立好认证对接第二步，在项目A的海蜘蛛上配置动态域名如，使我们可以随时通过动态域名访问。

第三步，在项目A的海蜘蛛上建立PPTP VPN服务，详细请参考下文，并且建立如下用户：用户名：aaa，指定IP地址为10.10.10.11用户名：bbb，指定IP地址为10.10.10.12用户名：ccc，指定IP地址为10.10.10.13第四步，在项目B、C、D几个项目的海蜘蛛上建立PPTP VPN客户端，使用刚才建立的帐号进行PPTP连接，PPTP服务器地址就填写项目A设备的动态域名，拨上号后，会分别获得如上指定的地址。

第五步，项目A的内网地址配置为192.168.0.1，计费接入项目A的内网，并且配置IP 地址为192.168.0.250，网关地址配置为：192.168.0.1，这样计费就可以与VPN用户通讯。

第六步，在计费上配置NAS认证，将上述几个地址做为NAS设备的地址添加进RADIUS 管理，同时在项目B、C、D的RADIUS认证地址指向：192.168.0.250，这样就可以进行对接了。

目录更新 (2)一、简介 (3)二、安装环境 (4)三、配置 (5)1、ROS配置 (5)2、FreeRadius配置 (9)3、计费系统安装及配置 (11)四、计费系统操作 (13)1)、登录计费认证管理系统 (13)2)、登录界面预览 (13)3)、计费系统详细操作流程 (15)1、添加设备。

(15)2、新建套餐。

(16)3、新建项目。

(17)4、办理开户 (18)5、拨号测试。

(21)6、下线功能。

(24)7、订单暂停 (25)8、账户充值 (26)9、缴费记录 (27)10、用户管理 (28)11、报表功能 (29)12、系统功能 (29)更新更新内容版本号时间作者 一、简介关于ROSROS是RouterOS的缩写，routeros是mikrotik公司的软路由产品。

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。

特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。

RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，基于标准的x86构架的PC。

一台586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。

完全是一套低成本，高性能的路由器系统。

关于FreeRadiusFreeRadius是一套开源、免费的完全兼容RADIUS协议的服务器/客户端软件，可以用它对用户的接入和访问特定的网络进行有效的控制、授权、计费等等，它支持多种验证，包括文件，LDAP以及主流的支持SQL的数据库（ORACLE、MYSQL、DB2等等）。

我们可以使用FREERADIUS来搭建一个3A认证的服务器。

关于MySqlMySQL是一个小型关系型数据库管理系统，开发者为瑞典MySQL AB公司。

科技开创蓝海专业成就卓越蓝海卓越认证计费系统功能说明星锐蓝海网络科技有限公司目录1.标准RADIUS功能 (3)2.华为BRAS设备RADIUS扩展 (4)3.蓝海卓越BRAS设备RADIUS支持 (4)4.认证控制功能 (5)5.系统主控功能 (6)6.系统管理功能 (7)7.查询统计功能 (8)8.营业受理功能 (9)9.BOSS接口功能 (11)蓝海卓越认证计费系统功能说明一、标准RADIUS功能第1功能Authentication报文：支持标准RADIUS认证报文分析功能，BRAS发起Authentication请求报文到AAA系统认证鉴权。

第2功能Authentication PAP认证：支持标准RADIUS认证报文中采用PAP密码认证方式，BRAS发起Authentication请求报文到AAA系统认证鉴权第3功能Authentication CHAP认证：支持标准RADIUS认证报文中采用CHAP密码认证方式，BRAS发起Authentication请求报文到AAA系统认证鉴权第4功能Authentication授权：在接收BRAS Authentication请求报文之后，RADIUS Server 根据用户信息资源，对用户授权信息进行封装，通过Authentication响应报文把用户带宽限制、最大时长、IP等信息授权到BRAS。

第5功能Accounting-On报文：支持标准RADIUS计费报文分析功能，BRAS发起Accounting-On报文，通知RADIUS该BRAS启动成功，开始计费。

第6功能Accounting-Off报文：支持标准RADIUS计费报文分析功能，BRAS发起Accounting-Off报文，通知RADIUS该BRAS结束计费，在线用户统一下线，BRAS进入维护或切换状态。

第7功能Accounting-Start报文：支持标准RADIUS计费报文分析功能，BRAS发起Accounting-Start报文，通知用户计费开始。

免费Portal无线接入认证系统解决方案蓝海卓越基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对中低端用户推出一套免费的“Web Portal无线接入认证系统”，从打造可管理、可运营的无线网络角度出发，致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络，使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所，如：酒店、咖啡厅、学校、车站、商场等人流众多的地方，商家为了留住客户、解决客户在购物消费和等待时的上网问题，往往配置无线接入点提供给广大客户上网使用，而这种传统的输入密码方式不仅给管理带来了极大的不便，同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证，需要满足以下需求：1、方便部署、易于维护；使用此种解决方案的客户，无线认证规模都不是很大，大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal 系统方案，用户可以很方便的进行安装部署，中文管理界面，易于维护。

2、能够在系统中建立上网账户，对用户进行管理；本系统采用Radius认证的方式，支持标准的Radius协议，用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius，能够方便的建立用户上网账户，对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面，推送相关信息和广告内容；认证页面高度定制，可以随意的设置满足自己需求的认证页面，目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括：Portal服务器、胖AP。

Portal服务器：蓝海卓越免费版Portal系统，WINDOWS环境，安装在一台WIN 系统电脑上即可；胖AP：胖AP产品分为室内型吸顶式AP和室外型壁挂式AP，均为蓝海卓越自主开发的AP固件，集成AP、AC及路由等功能，与蓝海卓越免费版Portal系统完美对接。

方案及Portal服务器说明1、部署简单，不影响现有网络环境；Portal服务程序为WIN环境，大大降低的安装的复杂性，只需要安装在现有环境中任意一台电脑中即可；同时只需要购买蓝海卓越一台胖AP产品即可，胖AP支持多种接入方式，完全适应现有的网络环境。

学校（校园）无线WIFI覆盖需求综合解决方案清晨的阳光透过窗帘洒进办公室，我坐在电脑前，开始构思这个学校无线WIFI覆盖的需求方案。

思绪如泉水般涌动，让我不禁陷入回忆，那些年，我们曾经为无线网络覆盖付出的努力和汗水，如今又要为这个学校量身定制一套解决方案。

一、项目背景随着信息技术的快速发展，无线网络已成为现代校园的基础设施。

学校师生对无线网络的依赖程度越来越高，为了满足教学、科研、管理等各方面的需求，提高校园信息化水平，学校决定实施无线WIFI 覆盖项目。

二、需求分析1.覆盖范围：学校总面积约为平方米，包括教学楼、实验楼、图书馆、宿舍楼、食堂等场所。

2.用户需求：学校师生约人，高峰时段在线用户数约人。

用户需求包括高速上网、移动办公、在线教学、视频会议等。

4.安全性：确保无线网络安全，防止非法访问和攻击，保障用户数据安全。

三、解决方案1.网络架构：采用星型拓扑结构，以核心交换机为中心，连接各教学楼、宿舍楼、图书馆等场所的无线AP。

2.设备选型：（1）无线AP：选用高性能、稳定的无线AP，支持802.11acWave2标准，支持MU-MIMO技术，满足用户高速上网需求。

（2）交换机：选用具备三层交换功能的交换机，支持VLAN、QoS 等功能，保障网络性能。

（3）防火墙：选用高性能防火墙，实现内外网隔离，防止非法访问和攻击。

3.网络部署：（1）教学楼：每层楼部署若干台无线AP，保证信号覆盖均匀，满足教学需求。

（2）宿舍楼：每间宿舍部署一台无线AP，保证宿舍内信号稳定，满足学生生活需求。

（3）图书馆：在图书馆内部署多台无线AP，满足读者在线学习需求。

（4）食堂：在食堂部署无线AP，满足师生用餐时上网需求。

4.网络优化：（1）无线信号优化：通过调整无线AP的位置和天线方向，优化无线信号覆盖。

（2）传输速率优化：通过设置无线AP的频段、信道、功率等参数，提高传输速率。

5.安全防护：（1）无线网络安全：设置无线网络加密，防止非法访问。

蓝海卓越无线宽带认证计费管理系统建设方案科技开创蓝海专业成就卓越目录一、前言 (4)二、市场主流无线方案利弊分析 (4)1. AC+瘦AP的解决方案： (5)2. 路由器+AP的解决方案： (5)3. 无线AP+AC+WEBPORT+BRAS解决方案： (5)4. 本文介绍的蓝海卓越的方案，无线AP+BRAS+计费的解决方案： (5)三、无线宽带认证计费组网说明 (6)四、解决方案 (6)1. 网络组网 (6)2. 组网拓扑图: (7)3. 方案说明 (7)启用认证计费系统的多种认证机制 (7)BRAS开启PPPOE服务功能 (8)BRAS开启WEB认证功能 (8)BRAS上实现NA T功能 (8)BRAS上实现流量控制 (8)用户名和密码验证 (8)绑定认证 (8)唯一性认证 (9)最大在线时长Session-Timeout (9)强制下线功能 (9)启用认证计费系统的多种计费机制 (9)小时计费 (9)包月计费 (9)启用认证计费系统的多种收费方式 (9)预收费 (10)收费建议 (10)启动认证计费系统的分级权限管理 (10)权限管理 (10)角色管理 (10)管理员管理 (10)操作日志 (10)4. 实施建议 (11)安全布置 (11)预留分布式 (11)数据库硬件配置 (11)数据库备份和恢复 (11)认证方式 (11)BRAS采用带宽控制和会话隔离 (11)BRAS启动计费心跳功能 (11)计费方式 (11)收费方式 (12)分角色管理 (12)统计报表 (12)数据输出 (12)五、产品介绍 (12)1. 蓝海卓越BRAS 5000认证网关 (12)2. NS－G500认证计费服务器 (17)错误！未指定书签。

一、前言随着21世纪社会经济迅速发展，互联网与无线通信技术的融合。

高速率，高性能和兼容性已成为人们的普遍要求，对随时随地进行通信和信息服务的需求变得迫切。

同时，随着无线手持设备如手机和平板等的普及和无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品。

如何利用PPTP建立远程VPN连接
众所周知，局域网是相对互联网，更安全的网络访问方式。

在公司内部可能会有一些重要的资源服务器，如财务，CRM等服务器，通常是通过内网访问，然而在员工外地出差或者假期遇到突发事件时，需要访问公司内部的资源，那么我们可以在网关路由器上设置PPTP VPN服务，让员工登录内部网络，实现内部资源的访问。

也比如在一些连锁企业，也需要通过互联通构建VPN服务。

亦或者一些学校内部会给学生开放图书馆类的资源服务，但有时也需要对外网开放，以方便学生回家查阅。

实现PPTP功能，按照下面几个步骤：
1、进入BRAS-5000，IP管理——地址池，如图所示：
配置好PPTP地址池
2、打开VPN服务——PPTP服务，如图：
3、配置PPTP，如图：
配置PPTP有三种认证方式：
（1）旁路认证：不需要使用正确用户名和密码就可以通过验证，此种方式，无需建议用户名，使用任意用户名拨号即可。

（2）本地认证：在网关上录入本地账号和密码通过此账号进行验证，此种方式，需要要“用户管理”中建立PPTP用户。

（3）Radius认证：通过radius服务器提供的账号密码进行验证，此种方式需要通过标准的RADIUS服务器进行用户管理，如蓝海卓越的计费系统。

配置好PPTP过后，在需要进行vpn拨号的电脑上新建vpn拨号连接，通过名网拨号即可
注意：配置PPTP服务，分配给用户的地址池，不能与设备内网用户现在所使用地址段相同，否则PPTP拨号后将无法与内网用户互访。