有线无线认证解决方案文档格式.docx

1、与政务通 IM 平台对接，实现单点登录 SSO，即开机后登录 IM 平台自动通过网络认证，无需二次登录。实现双机热备，避免单点故障。实现无需安装插件的防代理功能。具备人机交互良好的用户操作界面，便于管理员按照不同需求进行相关配置，支持管理员通过 web浏览器、智能终端操作系统对统一身份认证平台的管理，查询，统计。针对后期访客，能够提供短信网关认证方案。2.认证解决方案认证解决方案 2.1 认证系统网络拓扑及方案说明认证系统网络拓扑及方案说明 硬件：Dr.COM 2166 B-RAS 认证网关 Dr.COM Radius Server 认证系统支撑管理平台：Dr.COM数据库服务器 Dr.COM

2、 Billing ware：管理支撑平台 Dr.COM 政务系统全业务接口 如上图，Dr.COM 2166 B-RAS 认证网关部署在网络出口上，负责对所接入的WLAN用户访问互联网的接入、认证、和控制，以及数据采集。Dr.COM RADIUS SERVER 则对内部 WLAN用户进行 RADIUS 认证、Dr.COM Billing ware业务支撑在公共服务中心数据中心，系统实现网络监控、策略设置、账号管理、统计输出报表、访问记录存储等业务功能。各部分的主要作用说明如下：Dr.COM 2166 B-RAS 认证网关2166 B-RAS 认证网关对 WLAN接入用户提供认证、数据采集和用户接

3、入控制管理。Dr.COM高性能 RADIUS 服务器该系统处理无线用户提交的身份认证请求，可以基于不同 SSID 实现固定账号密码认证和短信账号认证 Dr.COM ORACLE 数据库服务器该服务器对 RADIUS 服务器提供设备管理、业务配置管理、安全管理、用户管理和营帐中心支撑平台。Dr.COM 政府系统接口IM 接口。接受 IM 平台发送认证信息，允许 IM平台中登录用户信息直接在 Dr.COM中认证通过 2.2IM 平台接口服务说明平台接口服务说明 系统结构图 流程说明 1.用户被 AC 重定向到 PORTAL页面，提示使用 IM 客户端登录。2.用户登录 IM 客户端，客户端将用户

4、IP，账号信息发送到 IM 服务端 3.IM 服务端将登录信息转发 Dr.COM 全业务接口 4.Dr.COM全业务接口校验账号信息 5.Dr.COM校验信息成功，Dr.COM网关允许用户上网，并做相关记录 3.城市热点城市热点 2166 产品介绍产品介绍 3.1Dr.COM 2166 B-RAS 计费系统简介计费系统简介 Dr.COM 2166 B-RAS 宽带接入服务器是一种专用的以太网宽带接入的智能设备，部署在接入层，汇聚层和核心层的出口，支持分布式和堆叠，适用于城域网，大型小区的宽带运营，负责用户的认证，授权和计费，数据采集、实时控制和执行各种网络和计费策略，采用 Dr.COM 自主开

5、发的网络操作系统，并将数据传送到后台进行处理，配合 Dr.COM 的计费软件，共同组成 Dr.COM 宽带计费管理平台。Dr.COM 2166 B-RAS 宽带接入服务器支持线速的千兆 的 L3 层交换，支持 L2 L7 层的流分类，在流分类的基础上可以进行基于用户的 ACL 和 QOS 方面的多种操作，执行各种类型的实时计费控制策略，单台支持 64000 个用户账号，最大型号支持 16000个用户同时在线。双机热备份，可靠性非常高。产品外观产品外观 前视图 2166 B-RAS 处理性能卓越处理性能卓越 设备采用多核技术，比上一代产品性能提高 2-3倍；产品采用 4核 CPU，双操作系统的平

6、台，继承了原有 DrOS 平台系统优异的稳定和高性能的优点，以 DrOS 为核心的同时又采用了开放的 linux 操作平台作为应用开发平台，支持 IPv4/v6 双栈技术，实现了双向 2G（即 4G的全线速转发能力），转发能力比 Dr.COM 2133 B-RAS 提高 2-3倍，千兆全双工 64 字节包转发率达到 100，真正实现千兆线性转发。3.2 支持支持 IPv6/v4 双栈的认证计费和带宽控制双栈的认证计费和带宽控制 IPv6（Internet Protocol Version 6，即网际网路协定版本 6）也被称作下一代互联网协议，它是由 IETF设计的用来替代现行的 IPv4 协议

7、的一种新的 IP 协议。IPv6是为了解决 IPv4 所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，例如路由方面、自动配置等方面。新一代 Dr.COM 2166 B-RAS 全面支持 IPv6，完全满足新一代 IPV6网络认证计费和运营管理需求。同时，北京城市热点 Dr.COM 2166 B-RAS 是国内首个通过 IPv6 Ready第二阶段增强金牌认证的宽带认证计费产品。3.3 支持链路汇聚和负载均衡支持链路汇聚和负载均衡 能够灵活适应日益复杂的城域网网络环境，特别是在运营商经过多年发展后，并发用户数和流量大大增加，Dr.COM 2166 B-RAS 为客户提供高性能和低成

8、本的组网方案，大大提高客户的设备投资利用率。Dr.COM 2166 B-RAS 最多可支持 6个千兆网络端口，可支持双进双出的端口配置模式，另外两个千兆网络端口可用于两台 Dr.COM 2166 B-RAS 之间数据同步。Dr.COM 2166 B-RAS 端口支持链路聚合功能，两条 1G捆绑可以满足单台设备单向 2G双向 4G的流量。3.4RADIUS SERVER/RADIUS CLIENT 随着现有各厂商对 Radius 协议的标准化理解以及 Radius 扩展属性的补充，Radius协议的功能越来越全面，城市热点 2166支持标准 RADIUS 协议，符合 RFC 2865 RFC 2

9、866 协议，可以与第三方 RADIUS 配合完成认证，计费。也可以根据 RADIUS SERVER 扩展 RADIUS 属性。其主要优势是：1.性能强大，其专用网络操作系统利用基于高性能的硬件，可实现每秒 500 万包的包处理能力，每秒可处理 5000个认证请求，是普通软件 RADIUS 服务器的十倍；高性能和高并发认证能力对于故障恢复后“认证浪涌”、低时间间隔的计费更新包都是至关重要的，低性能的 Radius 服务器很容易在以上两种情况下导致负载过高甚至宕机。2.可靠性高，Dr.COM Radius 服务器除了可实现一主一备的冗余方式，另外可以实现用户账号的本地缓存，与后台数据库的互为冗余

10、，当 Radius 服务器与数据库服务器通讯异常，Radius 服务器可以使用本地缓存的用户账号继续提供认证和计费功能，使认证计费平台比一般软件 Radius 服务器可靠性更高；另外 Dr.COM Radius 服务器还支持单 IP 多台集群部署，实现负载均衡和热备，由于有些 BAS 设备切换主备 RADIUS 服务器的时间会比较长，因此单 IP 的 RADIUS 服务器集群比传统的主备 RADIUS 服务器部署对用户的影响更小，是一个更理想的高可用部署方式。支持 Accountingon重登录设计，当接入服务器断电或其他故障重启后，如果向Radius 服务器发出 Accountingon 包

11、，Dr.COM Radius 服务器会将原来通过该接入服务器接入的在线用户清空，防止用户死锁而导致的无法登录。3.安全性高，一般软件 Radius 服务器都是采用开源的 Linux 系统进行开发，由于是通用操作系统，其安全漏洞和后门需要频繁打补丁进行补漏，一旦补丁打得不及时，或者遭到黑客攻击，则整个认证平台可能会瘫痪，甚至导致账号资料的流失；而Dr.COM RADIUS Server 采用城市热点自主研发的网络操作系统，其底层和内核均不是基于传统的 Linux 平台，因此不存在 Linux 等开源或商业操作系统带来的安全隐患，而且 Dr.COM RADIUS Server 具备内置防火墙、防

12、DDOS 攻击、内置 ACL等多种安全功能，整体安全性比一般软件 Radius 服务器高得多。Dr.COM RADIUS Server 支持 CHAPMD5挑战值方式，在认证的通讯过程中保证不会被破解或监听到密码，比一般仅支持 PAP 的软件 RADIUS 服务器安全性更高。Dr.COM 产品自身除了可以作为 RADIUS SERVER 外，也可以配合第 3方厂家的RADIUS SERVER 作为 RADIUS CLIENT 使用。并创造性的提出 Radius Cache 功能，即便在 Radius 服务器死机的情况下，之前认证过的用户信息（只要用户有过 1次登陆）会保留在 Dr.COM Ra

13、dius 服务器中，所以并不会影响用户的正常认证，充分弥补了由于 Radius 服务器不稳定因素导致不能认证的严重后果，即 RADIUS 服务器和接入服务器出现中断，也不会影响到正常接入。3.5 身份认证身份认证 Dr.COM 2166 B-RAS 支持多种认证协议，能够直接终结 PPPoE、PPTP 认证协议，同时还支持 802.1x、Web 登录方式，自有的专用客户端还能提供防代理、透三层绑定MAC、在线催费、信息发布等功能，可根据自己的需要，灵活选择一种或多种认证方式。另外还支持标准的 RADIUS 协议，能够很方便的与第三方设备进行认证与计费，大大保护网络设备的投资。3.6 详尽用户上

14、网访问日志详尽用户上网访问日志 Dr.COM 计费网关在对于用户访问记录的记录方面是非常完善的。而且为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时，自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访问记录，保证了访问记录的完整性和灵活性。Dr.COM 2166 B-RAS 计费网关的存储过程是：用户登录认证成功后，访问网站，通过页面或者客户端注销后，产生登录记录和访问记录，2166 B-RAS 计费网关把登录 记录和访问记录存放到指定的 Dr.COM数据库服务器中（2166 B-RAS 计费网关支持双机热备份，数据库服务器可以采用双机热备份的形式，即多台数据库服务器互作备份），当主数据库服务器无法工作时，而且没有备份数据库服务器，这时，2166 B-RAS 并不会把用户的登录记录和访问记录丢弃，而是把登录记录和访问记录存储到 CPU RAM（即内存）中，保证了用户数据的完整性。如果主数据库连接长时间得不到恢复，硬件将只存储最新的 16000条登陆记录，32000条访问记录。（如果用户每天访问记录特别大，通过增加内存即可，以上存储数据由内存大小决定）。访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间的长短，取决于硬