毕业论文校园网计费系统.docx
《毕业论文校园网计费系统.docx》由会员分享,可在线阅读,更多相关《毕业论文校园网计费系统.docx(30页珍藏版)》请在冰豆网上搜索。
毕业论文校园网计费系统
毕业论文-校园网计费系统
渤海大学
毕业论文(设计)
题目校园网计费系统的设计与实现
完成人姓名姜太宁
主修专业计算机应用
所在院(系)渤海大学培训学院
入学年度2009年
完成日期2010年10月26日
指导教师秦玉平
校园网计费系统的设计与实现
摘要:
互联网技术的高速发展,使许多校园智能化成为现实,客户高速上网将是校园网建设的重要一块,但同时也面临着上网时间、流量、访问站点统计等诸多管理问题。
由于高校网络节点众多,无法一体化管理众多的设备和用户。
同时IP地址盗用、IP地址冲突、非法使用代理等问题日益严重,因此,选择一个合理的校园网管理计费设备已成为校方考虑的重中之重。
利用多种先进技术手段,限制用户的不合理网络应用,防止用户无限制的使用出口带宽,如使用BT、电驴等,避免出口拥塞,网络质量下降。
国内领先的配合802.1x协议的认证解决方案与802.1x协议交换机配合,实现具备特色的二次认证方案和混合认证方案,保证更广泛的认证和安全效果。
对于计费和运营完全支持具备校园网运营特点的计费策略设置,具备不同群体用户特征的访问权限设置,保证网络计费的准确性,可运营性。
网关校园网认证计费解决方案采用高效率,专业实时操作系统开发的宽带接入网关作为接入和转发设备,配合校园网认证计费系统实现对于校园网的认证、管理和计费功能。
校园网自从拥有了管理计费设备,不同部门不同用户在基本需求得到满足的基础上,还能充分享受自己网络偏好的选择,更是可以方便快捷的做到对用户的有效控制和管理。
关键词:
校园网;计费;802.1X协议
CampusNetworkDesignandImplementationofAccountingSystem
Abstract:
TherapiddevelopmentofInternettechnology,makemanycampusintelligentbecomereality,customershigh-speedInternetaccessnetworkconstructionisanimportantpiece,butalsofacedInternettime,flow,thesitestatisticsmanagementissues.Duetotheuniversitynetworknodes,notmanyintegratedmanagementofequipmentandusers.Atthesametime,thenetworkcanquicklylocatefault.TheIPaddressoftheft,IPaddressconflicts,areasonablechoiceofcampusnetworkmanagementtoll-collectiondeviceshasbecometheconsiderationofpriority.
Useofadvancedtechnology,restrictuserunreasonable,preventusernetworkapplicationsuseofunlimitedbandwidth,suchastheuseofexport,etc,toavoiditsBTnetworkcongestion,exportdeclineinthequality.Thedomesticleading802.1xagreementwithauthenticationsolutionsand802.1xprotocolrealizedwithfeature,switchofsecondarycertificationschemeandmixedcertificationscheme,ensurethesafetyauthenticationandmorewidely.Forbillingandoperationhavedifferentgroupsofusersaccessfeatures,guaranteetheaccuracyofthebillingnetwork,operation.Goodcustomerrelationsmanagementsystem,andeffectivelyprotecttheuser'snetworkinvestmentandafter-salesservice.
Networkgatewaysauthenticationbillingsolutionsuseefficiency,professionaldevelopmentofreal-timeoperatingsystemastheaccesstobroadbandaccessshut,campusnetworkandforwardingequipmentforauthenticationbillingsystemauthentication,thecampusmanagementandfunction.
Campussincehavemanagementtoll-collectiondevices,differentdepartmentsinthebasicrequirementsofdifferentcustomers,satisfythebasiscanfullyenjoyyourselfnetworkpreference,andcanbemoreconvenientfortheuserstoeffectivelycontrolandmanage,greatlyreduceaccidents.
Keywords:
campusnetwork;billing;802.1Xprotocol
(四)功能介绍
(五)计费策略设置
(六)小组账号与用户账号设置
(七)计费和收费处理
(五)深澜软件的解决方案
一、引言
(一)校园网的现状
校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。
随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。
各个学校根据自身特点,选择一套合理、有效的认证计费系统是十分有必要的。
中国的高校信息化建设经过从无到有的10年发展,许多高校正在或已经完成了校园网的建设,并经过一段时间的运行,校园网已为教育的信息化做出了贡献。
根据目前我国校园网的建设情况来看,重点高校这部分,认证计费已基本满足。
学校通过对办公区、学生区、家属区进行合理的收费,并把这些费用用在网络的扩容和维护上,实现“以网养网”可持续发展。
但是在这个满足的基础上,仍然出现了各种各样的问题。
(二)校园网的规划、建设和应用
在思想上充分认识到组建学校校园网的重要性和必要性。
在现代信息社会中,飞速发展的信息技术已为教育改革提供了强有力的技术支持。
事实上,现代教育技术正是建立在现代教育理论和现代信息技术基础上的,其中校园网建设则是目前现代教育技术的热门课题之一,它的主要目标就是为学校教师和学生进行教学科研提供信息化的教学环境。
校园网的建成,为全校的教学、科研、教务、人事、行政、财务、图书、管理等提供了一个高效高性能的工作环境,对提高全校的教学、科研、管理水平,进行国内交流,都会起到巨大的推动作用。
从某种意义上讲,校园网是学校信息化教学环境的基础设施以及实现各项管理工作的物质基础,是实现“终身教育”的重要手段,因此,校园网的建设和应用必将对全面实施素质教育,提高全民素质产生其他信息化手段所无可比拟的巨大作用。
培养人才的指导思想和评估标准也将发展质的变化。
因特网和校园网的普及和发展,给教育领域带来了深刻的变化。
三中心的教学模式的突破、人才观念的转变以及校园教育的延伸等等,这些新的问题都将无法回避地出现在各类学校和每一教育工作者的面前,这就要求我们师生尽快适应这样的思维模式和教学方式,主要体现在如下几个方面:
第一,信息化的教学环境拓宽了学生接受知识的渠道。
学生不仅可以从传统的教学环境,即三中心教学模式(以教师、课堂和书本中心的模式)中学习知识,而且还可以从网上进行学习或讨论。
这样,从集体学习向个体化学习模式发展,学生应用计算机技术,通过校园网共享多媒体资源进行学习,使学生成为学习的主体,教师成为学生学习的指导者和帮助者。
学生的学习过程已不再是被动地接受知识,而包含有更多的创造性活动内容,因而最终形成以学生为中心的个体化学习模式。
是目前素质教育真正的模式。
第二,培养人才的指导思想和评估标准也将发展质的变化。
培养学生适应在信息化环境中学习、生活和工作,将被导入必修的基础素质教育之一。
在当前知识更新速度加快、学科之间交叉和渗透日益显著的背景下,培养学生的继续深造能力和创新能力,显得比传授几门专业知识更重要。
因此,今后评估人才的标准,不再仅以掌握知识多少为依据,而将着重考核其解决问题的能力和创新能力。
第三,由于多媒体计算机技术的采用,使网络教育具有交互功能和更加形象生动的特点,特别适合个体化学习模式,有利于受教育者的基本素质培养。
因此有理由预测,今后校园内外进行学习的比例将会发生重大变化,教育进一步社会化将会成为我国教育现代化的重要内容。
二、校园认证计费监控方案
(一)校园网遇到比较突出几个问题
校园网是一个功能复杂的网络,往往需要提供两大服务功能:
提供校内信息共享服务和提供Internet接入服务。
而且,校园网用户是一群最有活力的用户群体:
掌握新技术最快,最会使用新技术,最有挑战欲望。
同时,以太技术在校园网接入层的普遍采用,相对来讲,由于以太技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。
当两者碰到一起的时候,校园网遇到比较突出几个问题:
1.带宽管理的需求。
目前的校园网出口带宽是有限的,若干用户无限制的使用出口带宽,或者使用某些特殊下载工具,如BT、电驴等,造成出口拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络出现拥塞,所有用户不能正常上网。
2.安全管理的需求。
校园网的用户绝大多数为求知欲望和动手能力非常强的学生群体,他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。
同时由于校园网信息流动量大、受众特殊的特点,校园网也常常成为别有用心的网络攻击者的目标。
3.计费和运营的需求。
校园网络同时具备了用户密度大,和用户类型多的特点。
针对不同的用户群体,如:
办公区,学生宿舍,院系机房,如何采取不同的运营管理和控制策略,在保证网络正常运行的情况下保证各项计费数据的采集,最终达到网络运营的目的。
4.网络行为管理和访问日志的需求。
盗用IP地址,修改MAC地址,用户名和密码的丢失,合法网络用户无法登陆网络,网络管理者如何解决?
谁在访问非法网站?
谁在恶意占用带宽?
校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。
一旦有相关的非法网络行为被相关部门获得,如何提交有效的网络访问记录呢,校园网认证计费解决方案就是校园网建设中一个理想的选择。
(二)解决方案特点
1.贴近校园网实际需求的用户行为管理。
利用多种先进技术手段,限制用户的不合理网络应用,防止用户无限制的使用出口带宽,如使用BT、电驴等,避免出口拥塞,网络质量下降。
2.国内领先的配合802.1x协议的认证解决方案与802.1x协议交换机配合,实现具备特色的二次认证方案和混合认证方案,保证更广泛的认证和安全效果。
3.功能全面。
对于计费和运营完全支持具备校园网运营特点的计费策略设置,具备不同群体用户特征的访问权限设置,保证网络计费的准确性,可运营性。
4.完备的网络行为管理和访问日志。
完备的日志纪录帮助您实现网络用户行为的可查,易查,有效管理和规范用户行为。
5.先进的解决方案架构。
解决方案架构合理部署出口网关设备和后台软件的功能分配,保证了网关数据的转发性能,是国内领先的大并发用户量,大流量的认证计费解决方案。
6.完备的售后服务。
具备完善的客户关系管理系统,有效保护您的网络投资和售后服务跟踪。
响应速度和技术能力业界领先。
网关校园网认证计费解决方案采用高效率,专业实时操作系统开发的宽带接入网关作为接入和转发设备,配合校园网认证计费系统实现对于校园网的认证、管理和计费功能。
(三)一次方案特点
1.接入方便。
支持桥接方式和路由的方式接入,方便灵活,无缝融合。
2.可管理支持Web、Telnet、SNMP、console口管理方式。
能够控制用户带宽、会话数、支持报文过滤、Mac地址绑定等功能,可以实现用户帐户和IP、MAC、Vlan、NAS、Port的绑定。
3.可运营支持多种后付费策略和种预付费策略。
用户自服务子系统方便用户,减轻网络中心负担。
4.安全性、可靠性。
整体系统面向电信级运营商设计,硬件采取多项措施确保系统的防攻击、防病毒扩散能力,计费管理系统采用了安全和成熟的操作系统,提供系统负荷分担、数据自动备份、安全检测等机制,确保后台系统的可靠运行。
5.扩展性、开放性。
遵循IEEE、IETF、信产部、各大电信运营商标准,确保了网络运行产品的兼容性、标准性,保证网络的升级、扩展的能力。
6.实用性、灵活性。
产品和方案经过多年的市场检验,成功支持了多个不同类型的宽带校园网建设项目,性能优越,性价比极高,同时可以根据用户的特殊需求进行二次开发。
(四)二次方案特点
宽带接入网关配合802.1x的交换机实施的校园网二次认证解决方案,是国内唯一专业的二次认证解决方案,是真正拥有成功案例,研发经验和最多配合经验的专业方案。
特点:
1.安全性高。
充分利用了802.1x交换机管理优势和同多个厂家的成功合作经验,实现802.1x交换机的多元素绑定认证和完备的网络日志查询功能。
2.充分利用出口带宽启用二次认证。
合理区分内网和外网费率,促进学生理性思考和使用网络,确保网络资源合理利用和分配。
3.与交换机厂商合作经验丰富。
目前已经与DLINK、华为、神州数码、港湾等主流802.1X交换机厂商有过成功的合作经验,是国内领先的具备丰富对接经验的方案提供商。
4.具备成熟方案实施经验。
是国内对于二次认证与802.1X配合的领先实践者,目前已经拥有多年的实施经验和成功客户,在二次认证方案实施方面具备其他厂家不可比拟的优势。
5.管理方便。
方案体现为分布式二层接入,设备和用户通过后台宽带认证管理系统进行统一管理,管理系统以B/S结构设计,大大方便网络中心负责人随时对学校运营情况的了解,体现优秀系统之分布接入集中管理的设计模式。
6.激活内网资源。
促进学生参与二次认证方案,充分提倡学校建设数字校园,丰富内网资源,接入费用降低或者0费用大大刺激学生接入网络的兴趣,培养学生创造能力,使学生对社会更具竞争力。
三、基于802.1x认证技术的应用分析
(一)802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图3.1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图3.1802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
后文的认证系统、认证点和接入设备三者表达相同含义。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(ExtensibleAuthenticationProtocoloverLAN)协议。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
(二)802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。
由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。
EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。
基于EAP-MD5的802.1x认证系统功能实体协议栈如图3.2所示。
基于EAP-MD5的802.1x认证流程如图3.3所示,认证流程包括以下步骤:
图3.2 基于EAP-MD5的802.1x认证系统功能实体协议栈
图3.3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。
用户上线完毕。
(三)802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。
不同的组网方式下,802.1x认证系统实现的网络位置有所不同。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LANSwitch设备上,这些LANSwitch为汇聚层设备。
其下挂的网络位置较低的LANSwitch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LANSwitch设备,集中在该设备上进行802.1x认证处理。
这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。
汇聚层设备集中认证如图3.4所示。
图3.4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LANSwitch设备上,这些LANSwitch作为接入层边缘设备。
认证报文送给边缘设备,进行802.1x认证处理。
这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。
认证任务分配到众多的设备上,减轻了中心设备的负荷。
接入层设备分布认证如图3.5所示。
图3.5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。
如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。
反之,如果采用分布式组网,则从组播务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。
这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。
它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
(四)小结
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。
对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。
对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。
但如果802.lx认证技术应用于宽带IP城域网,就存在
升级会员 