网络统一身份认证计费管理系统建设方案综合

网络统一身份认证计费管理系统建设方案综合

Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

XXXX学院网络统一身份认证计费管理系

统建设方案

2016年03月

目录

一．计费系统设计规划

XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。

在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。

有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。

二．方案建设目标

针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方案。

实现全网用户统一身份认证和精准计费；

解决现有系统的功能不足和改善用户端体验；

实现全网统一管理，整体数据分析；

现有网络设备升级，提升整体网络速度；

实现一个用户账号可以全部认证，同时和校园一卡通，信息门

户的对接，实现用户账号的同步。

实现用户无线、有线一体化,全网统一身份认证计费；三．总体方案

1.方案设计

A.方案（串连网关方式）

系统部署说明：（网关实现精准流量计费和灵活控制）将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间，采用透明桥方式，此种方案具有以下几种特点：

1.网关热备，可以做一台或者多台网关热备，其中任何一条链路出现故障或者其中一台网关故障，用户会自动切换到另外一台网关中，无需用户从新认证。

2.针对用户进行实时流量采集，具有实时性，用户费用不会出现欠费（负数）状态，到零自动切断用户上网。

3.针对每个用户可以进行动态带宽限制。

4.实现基于流量的多种灵活的计费策略，流量套餐，包月限制流量等等。

5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。

6.教学区采用Portal认证模式，实现用户的方便认证，适应多种智能终端。

以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例，例如：清华大学、北京理工大学、北京师范大学、北大医学院、北京航空

航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学（朔州校区）等等。

（清华大学万兆网关实际测试）

B.方案（旁路方式+BRAS，BRAS产品）

1.无感知认证（MAC认证模式）

为用户分配固定的IP地址，用户在配置地址和网关后直接获得对

应的访问权限；如需对用户访问权限进行控制，则可通过在认证计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控制。

通过DHCP为用户提供地址的动态分配功能。用户终端接入后，即

可通过DHCP获得IPv4地址，对应的网关和DNS服务器等信息。在采

用DHCP方式时，用户可以动态获得某个地址池中的地址，或者按照要求，基于该用户的MAC地址，为其每次都分配同一个IP地址，便

于其在网络内提供相应的服务。

用户的IPv6地址建议通过ND/RA的方式获得，及IPv6无状态地址分配方案，该方式对客户端的兼容性较好，高校普遍采用了这种方

式。

对于无需认证的用户，如果是通过DHCP方式获得IP地址，BRAS多

业务路由器以及后台的认证计费系统同样会对用户的信息提供记

录，便于今后的查询。采用BRAS多业务路由器做为二层接入认证管理设备，能够实现用户接入网络的精细化管理功能，BRAS多业务路由器为用户接入提供的DHCP流程中集成了认证模块，能够实现在用户PC接入网络获取IP地址的同时，就能够同步记录下用户的MAC地

址、所在的具体位置（精确到交换机端口，包括内层VLAN ID和外

层VLAN ID）、接入网络的时间、获取的IP地址等多种信息，并对

每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。

2.PPPoE认证

BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能，通过用户侧的PPPoE拨号，能够实现在客户端与BRAS之间的PPPoE通道的建立，并同时基于PPP的协商实现用户的认证、计费功能。

PPPoE简要流程为：用户PC通过客户端发起PPPoE请求到后台接入服务器BAS，然后交付后台RADIUS进行认证及计费。此方案的优势在于通过统一的BAS设备实现集中的接入管理和差异化的策略管理，如用户带宽的分配、QOS的优先级、营运记账等。

（PPPoE认证流程图）

由于Me直接提供了用户接入网络时的PPPoE认证功能，相应的控制力度也更强。用户均通过PPPoE会话实现到网络的接入和访问，相互之间由于PPPoE通道的隔离而互不影响，因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题，极大减轻网络管理员的工作量，并有效保障了整个网络的可靠性和稳定性。

另外，由于BRAS设备为运营商级设备，设备的处理能力，对用户的控制能力完全能够满足校园网网络的需求，可以对每个用户进行带宽限制，权限管理、QoS等各种操作。并且，在使用BRAS+PPPoE的接入方式下，在接入层是一张大的二层网络，用户间通过VLAN隔离，互相之间没有影响，避免了ARP病毒等问题；同时，对运营网的管理维护来说，管理员只需要管理大的BARS设备，接入层设备仅仅是二层接入，不需要在接入设备上作负责设置，极大的减轻了管理员的维护工作量。

PPPoE的拨号客户端在Windows系统中自带，也避免了客户端软件下发所带来的一系列问题。

3.WEB Portal认证（IPoE）

Web认证（IPoE）需要与Portal认证服务器配合使用，主机首先通过DHCP得到一个IP地址（或是静态设置），通过HTTP重定向的方式强制用户与Portal认证服务器通信，也可以使用户只访问一些内部服务器；然后，接入服务器将用户强制连接到Portal认证服务器上，并在浏览器中弹出认证页面。在该页面中输入用户名和密码，Portal Server把通过Protal协议将认证信息传送到BRAS上，对用户进行认证。认证通过后，用户获得相应的访问权限，可以访问互联网或特定的网络。