北京迪威达康Mydradius无线宽带认证计费管理系统方案.docx
《北京迪威达康Mydradius无线宽带认证计费管理系统方案.docx》由会员分享,可在线阅读,更多相关《北京迪威达康Mydradius无线宽带认证计费管理系统方案.docx(13页珍藏版)》请在冰豆网上搜索。
北京迪威达康Mydradius无线宽带认证计费管理系统方案
Mydradius10g无线宽带认证计费
管理系统建设方案
目录
一、前言4
二、需求说明4
2.1需求说明4
三、解决方案5
3.1网络组网5
3.2启用认证计费系统的多种认证机制6
3.2.1用户名和密码MSCHAPV2验证7
3.2.2MAC绑定认证7
3.2.3唯一认证7
3.2.4最大在线时长Session-Timeout8
3.2.5强制下线功能8
3.3启用认证计费系统的多种计费机制8
3.3.1时长计费8
3.3.2包月计费8
3.3.3应用计费9
3.3.4计费建议9
3.4启用认证计费系统的多种收费方式9
3.4.1后收费9
3.4.2预收费10
3.4.3收费建议10
3.5启动认证计费系统的分级权限管理10
3.5.1权限管理10
3.5.2角色管理10
3.5.3管理员管理11
3.5.4操作日志11
3.6管理系统的可拆装模块化设计11
3.7认证计费系统的功能描述11
3.7.1分布式体系结构11
3.7.2稳定可靠的系统12
3.7.3可扩展功能全的管理系统12
3.7.4丰富的业务功能12
3.7.5系统的实时性13
3.7.6数据库的备份恢复机制13
3.7.7认证计费系统的防攻击性14
四、实施建议14
4.1安全布置15
4.2预留分布式15
4.3数据库硬件配置15
4.4数据库备份和恢复15
4.5认证方式15
4.6AC采用带宽控制和会话隔离15
4.7AC启动计费心跳功能16
4.8计费方式16
4.9收费方式16
4.10分角色管理16
4.11统计报表16
4.12数据输出17
4.13其它功能17
一、前言
随着Internet的迅速发展和普及,网络已成为现代人工作、学习、生活和娱乐中越来越重要的工具和载体。
宽带城域网不断涌现,许多大中型企业、大中小学校里已经或即将投入资金建造自己的区域网络,并接入Internet。
网络延伸到的每个角落,无论是办公室、机房,还是家庭,人们都可以通过网络方便快捷地上网、游戏娱乐、即时沟通、查阅资料等等。
这无疑为人们学习和生活带来了极大的好处,但与此同时,建设通讯线路、购买通讯设备、聘用运营维护人员来运营网络是需要大量的资金的投入,而这些投入最终是需要一套稳定可靠、切实有效的计费收费软件来回收成本,同时期望通过计费的手段以使网络更合理、更有效的使用,最大程度上节省带宽资源,达到网络的使用最优化。
采用合理的计费管理系统是保障网络正常稳定运营的关键。
本方案结合BRICOM提供的需求文档以及双方的沟通交流,同时参照我们以往的客户实际运营经验书写而成,不祥之处有待补充。
二、需求说明
2.1需求说明
1、认证计费系统与无线AC接入设备对接,实现无线客户端的身份认证、计费控制。
2、认证计费系统支持双机热备方式,保证两台数据库的数据库实时同步,当主服务器出现硬件故障的时候,辅服务器无缝接管主服务器的认证计费功能。
3、系统提供完备的WEB管理界面,多权限控制机制可以让各部分人员协调工作。
4、本系统可以与内网的认证系统对接,实现数据的备份,可由总网管统一管理,内网有有线用户由内网认证系统处理,无线用户通过本系统认证计费,当有线系统出现故障的时候,本计费系统可以接管内网的认证计费控制。
三、解决方案
根据以上的需求,我们提出以下组网方案供选择。
3.1网络组网
1、一台AC组成核心接入系统,负责无线用户的网络接入控制。
2、认证计费中心设计上放置两台服务器,一台为主服务器,一台为备用服务器,同一时刻只有一台机器工作启动,当主服务器不可用时,备用服务器可以启用。
按照实际的运营经验,单台服务器完全可以承受3-5万宽带用户的认证和计费需求。
3、认证计费的管理、客户查询系统可以和认证计费合并在一台机器上,建议是可以独立采用一台普通服务器即可。
3.2启用认证计费系统的多种认证机制
客户机身份认证时,AC只负责将用户信息(用户名和密码)以及会话信息(网关地址、用户IP地址、用户MAC地址等等)传送到认证计费系统,认证计费系统要根据预先设置好的认证机制,结合传送上来的信息来验证每个用户的身份。
3.2.1用户名和密码MSCHAPV2验证
AC和认证计费系统之间的启用安全的MSCHAPV2认证机制,通过随机串来生成随机密码摘要在网络上传输,从而有效防止网络监听导致密码泄密。
认证计费系统根据预先开设好的用户名和密码对该随机串进行正向运算并比较结果,进行校验。
3.2.2MAC绑定认证
根据实际的运营实例来看,企业网络内部除了需要对用户和密码进行认证外,还需要绑定其它物理参数来唯一确认用户,绑定参数可以有多种,比如IP绑定、MAC地址绑定、DSLAN端口绑定等等。
1、IP地址一般动态分配,静态维护IP地址工作量巨大,不可取。
,动态分配的IP要实现绑定基本不太可能。
2、推荐采用MAC绑定认证,因为整个网络是二层接入网络,AC从IP层上直接可以获取到客户机的MAC地址,在计费系统上可以查看上线用户属性,点绑定即可自动绑定到该MAC地址上。
客户机的MAC存在可修改性,但是需要一定计算机知识的人才可以修改,从大范围上来说,采用MAC地址绑定是切实有效的。
3.2.3唯一认证
企业网运营一般要求一个帐号同时只能一次登陆,认证计费系统可以设定一个帐号是一次登陆还是多次登陆,对公用帐号可以允许多人同时登陆在线。
3.2.4最大在线时长Session-Timeout
用户认证通过后,可以根据金额或者包月过期情况返回本次会话最大的时长,到这个时长后AC会根据这个时长控制自动终止用户会话,防止用户过期使用系统。
3.2.5强制下线功能
用户PPP会话建立后,管理员有时候由于各种原因要将用户强制下线,可以通过网管系统关闭物理端口,同时也可以通过计费系统发送下线指令强制已经在线用户自动掉线。
3.3启用认证计费系统的多种计费机制
目前宽带计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费,但是从实际运营情况来说,流量计费基本众多运营商废弃,转而采用时长和包月计费,包天计费也非常少,在酒店会用到包天这种方式。
建议应用时长计费和包月计费两种模型来应用到本次项目中。
3.3.1时长计费
时长计费是按照用户PPPOE会话的时长来计算金额的,时长计费是最直接、精确的计费方式,同时可以非常灵活的设置优惠措施,可以按日、周、月、时间范围来优惠。
3.3.2包月计费
包月计费是目前众多宽带运营商应用最为广泛的计费方式,粗放的包月就直接是每月收取固定费用,精细的包月可以是包月上下限方式,比如99元包100小时,超过100小时按照2元/小时收取。
本系统还支持一种步步高方式的包月,比如99元包100小时,超过100小时按照2元/小时收取,超过200小时按照3元/小时收取,最高封顶150元等。
3.3.3应用计费
系统预留应用计费接口,可以针对网络后续建设中的增值服务进行计费,比如网络电视、视频会议、IM即时沟通等等收费业务,针对每个服务预留服务代码,可以纳入到统一的计费管理平台上。
3.3.4计费建议
建议采用精细的包月计费方式,使计费政策更贴近用户,实际运营证明,这种方式是被广大用户所接受。
3.4启用认证计费系统的多种收费方式
收费是宽带运营商必须面临的问题,目前主要的收费方式是后收费、预收费、免费三种。
作为一个商业运营的网络运营商,免费只能是针对内部职工或者商业合作用户,免费用户量比较少,更多的是收费用户。
3.4.1后收费
后收费是针对长期使用的用户采用的一种计费方式,中电信和中网通都大型宽带运营商均采用这种模式,用户先使用,网络使用费随电话费用一并交纳,这种方式更多的是和电话帐单一并输入,需要宽带计费系统和电话收费系统做统一帐单接口,涉及到电话计费厂商和宽带计费厂商的系统接口问题。
本系统提供开放的API,可以允许电话计费厂商获取某个帐号某个月的帐单情况。
3.4.2预收费
预收费方式是用户先交费,然后使用,当费用不足时,自动停机!
这种方式目前被广大专网运营商所采用,方式灵活,管理方便。
宽带计费系统自成体系,不需要和电话计费合并输出计费帐单,不足之处是用户需要分开交纳电话和宽带计费费用。
3.4.3收费建议
收费方式可根据实际情况来决定,两种方式均可,以方便用户最为最高准则。
3.5启动认证计费系统的分级权限管理
计费系统的权限拆分的非常细致,可以自己定义角色来分配给不同的管理员,同时权限可以方便的授权或者回收。
3.5.1权限管理
管理系统针对每个操作项目均可以管理到,提供提供功能权限管理界面,可以允许后续开发的管理模块自由挂接到系统中,纳入到统一的权限管理中。
3.5.2角色管理
管理系统可以对权限进行分组,每个分组设定一个角色名称,每个角色的权限可以授权或者回收,每个角色可以有多个管理员。
3.5.3管理员管理
管理员可以划分成超级管理员、帐务管理员、客户服务管理员、工程服务管理员等等。
3.5.4操作日志
每个管理员的每一步关键的操作,系统均记录到日志系统中,允许超级管理员可以随时查看每个管理员的工作情况及其出现纠纷的时候,该由那个管理员负责。
3.6管理系统的可拆装模块化设计
认证计费系统的管理系统采用模块化设计,根据功能的扩展可以通过插入功能模块即可实现平滑升级,系统开放管理系统的开发API,允许第三方按照API来编写模块挂接到管理系统中。
管理系统和查询系统全部基于JAVASERVLET编写,可以通过更改模板HTML文件来切换页面的显示方式,而不需要修改业务程序。
3.7认证计费系统的功能描述
认证计费系统详细的功能描述请参见《Mydradius功能说明手册.doc》,本次仅结合本项目进行一个描述。
3.7.1分布式体系结构
Mydradius可以进行分布式布置,单台机器承受用户在3-5万左右,随着用户规模扩大,可增加前台服务器来分担认证和计费的压力。
采用Mydradius可以最大程度上保证系统平滑扩展到大容量用户规模。
随着用户规模的扩大,Mydradius可以实现一次布置,平滑升级效果。
3.7.2稳定可靠的系统
系统基于Linux操作系统之上,采用最稳定的Oracle数据库作为后台数据运算核心,认证计费代码采用ANSIC高效代码编写而成,认证计费核心支持宽带、VOIP、内容计费支持,可以随时升级扩展成多业务计费平台。
Mydradius可以实现在电源、硬件、网络可靠的情况下,3年持续运转,正常工作,不给用户造成因认证计费系统导致用户全网中断。
3.7.3可扩展功能全的管理系统
管理系统全部为模块化设计,显示页面采用HTML模板和标签,企业网页编辑人员均可对系统进行切换显示界面。
Mydradius可以被配置或者修改HTML模板来达到更换企业形象,丰富的标签机制保证不需要任何的程序开发。
3.7.4丰富的业务功能
支持所有接入方式,基于时长、流量、包月、包天等进行实时计费;
灵活的费率策略和折扣定制功能,支持所有的计费方式;
支持多种付费类型:
预付费、预付费卡、后付费、免费等;
支持多种认证方式:
Radius、Web、VLAN、PPPOE等;
具有强大的访问控制和系统管理功能:
带宽控制、上网时间段/范围控制、在线用户/在线服务/访问记录实时监控等;
带宽控制可以精确到Kb,有效保证带宽的合理使用;
具有完善的帐务管理和报表统计功能。
3.7.5系统的实时性
实时性包括实时计费、实时服务、实时自服务、实时访问控制和实时系统监控等五个部分。
实时计费:
对于预付费业务(包括卡业务)的用户,能进行实时费用扣减和资源反算,并提供服务限制。
对于超出阈值的用户可以实时断线;
实时服务:
服务实时申请/撤销/暂停/恢复;用户在服务申请后立即能够使用,一旦被禁止又将立即无法访问;做到“即开即通、即禁即止”。
对于可充值卡,能够做到随时缴款随时启用;
实时自服务:
用户可以实时通过Web查询当前自己的帐户余额和服务使用记录,对帐户密码等信息的更改能够实时生效;
实时访问控制:
当用户达到设定的限制或服务限额,系统将根据设置采取拒绝访问、催缴通知等措施;
实时系统监控:
对异常情况进行实时告警。
3.7.6数据库的备份恢复机制
数据的可靠性、安全性是计费系统的关键。
我们在系统设计时通过以下措施实现高可靠性和高可用性,实现计费系统7X24小时不间断正确工作。
管理员可以随时通过管理系统备份数据库到操作台机器上,系统每天凌晨会做数据库的全备份。
往往企业在上计费系统时,会上双机系统,成本很高,达到的效果也不是很理想,我们建议采用单机系统,定期备份核心数据库,同时做一个备份机器以防止主服务器硬件异常能最快的速度恢复上去。
从实际的运营经验来看,单台服务器承受3-5万用户完全没有问题,只要机器硬件稳定可靠,最好定期备份,是最经济、可靠的方案。
3.7.7认证计费系统的防攻击性
认证计费系统是整个宽带运营的核心,它一旦遭受攻击,将造成全网的认证延迟,甚至是全网中断,所以对计费系统的保护是良好运营的前提。
规划认证计费系统放置到AC同一个VLAN,对外不可见,在外部放置一个WWW查询服务器,允许客户机查询自己的上网记录情况,该WWW服务器只允许通过数据库连接端口访问认证计费中心,其它端口全部封闭。
认证计费核心服务器由内部操作控制台来控制,不对外开放远程控制权限,需要厂家支持的时候,可临时开放远程控制权限。
四、实施建议
根据Mydradius的功能列表,同时结合本次项目特色,做如下项目实施建议:
4.1安全布置
认证计费核心和AC放置同一个VLAN,不允许外部访问,只接收前台WWW查询服务器的用户服务查询。
4.2预留分布式
认证计费核心可随着用户增长,增加服务器即可实现平滑升级。
4.3数据库硬件配置
采用硬件RAID5方式对数据库进行磁盘冗余,用户量规模扩大可采用磁盘阵列,增强系统的IO能力。
4.4数据库备份和恢复
采用定期在线全数据库备份机制,保证系统的数据安全。
5000用户规模的认证计费核心数据库一年的数据量大约是500M左右,备份和恢复时间大概是5-10分钟左右。
4.5认证方式
采用安全的CHAP认证方式,对客户机采用自动绑定MAC地址功能,达到最大程度上限制一个帐号固定终端使用。
4.6AC采用带宽控制和会话隔离
AC采用带宽控制保证客户机接入的网络速度,同时把每个PPPOE会话进行完全隔离,互相不能访问。
4.7AC启动计费心跳功能
AC启动计费心跳功能,保证由于客户机异常关机、或者汇接交换异常时,最大程度上保证用户的计费数据正确。
4.8计费方式
计费方式采用时长和包月两种机制,可实现步步高等精细计费,增强用户使用黏性。
4.9收费方式
建议采用预收费方式,不交费或者欠费用户自动停机,达到预警时间内将自动发送提醒邮件到客户邮箱。
4.10分角色管理
按照运营角色分成超级管理员、收费管理员、客户服务管理员、工程管理员等角色。
实施对整个系统的管理。
4.11统计报表
系统可出具用户清单、用户帐单、日报表、月报表、财务流水报表、历史上线报表、上线时刻走势图、时长消费走势图等等分析统计报表,以供业务统计分析。
4.12数据输出
系统提供开放API,允许第三方软件开放商针对本系统开发,同时提供数据导出机制,导出到XLS文件中或者文本文件中,作为第三方的数据对接凭证。
4.13其它功能
其它没有提及的功能,请参照《Mydradius功能说明.doc》手册