宽带认证计费管理系统解决方案.docx

1、宽带认证计费管理系统解决方案宽带认证计费管理系统解决方案广安职业技术学院本文档为宽带认证计费管理系统解决方案所制作的技术方案，仅供进行参考和交流使用。目录一、前言 2二、校园网的特点以及所面临的问题 4三、解决方案 63.1、 PPPOE接入组网方案 63.2、 Web Client接入方案 73.3、 802.1x二次认证接入组网方案 9四、需要增加的设备 114.1、 宽带接入服务器BRAS 114.2、 宽带认证计费管理系统 134.3、客户端软件 134.3.1、PPPOE客户端 134.4.2、Web Client客户端 144.5 日志记录管理系统 154.6 硬件防火墙 15五、

2、额外的设备 15一、前言以Internet为代表的信息新技术迅速席卷全球，在计算、通讯、商务等领域都引发了引人注目的变革。特别是最近，中国教育科研网（CERNET）的建设力度明显加大，各高校和中学都将陆续通过CERNET接入Internet。校园网在这几年发展迅速。校园网是学校和外界交流的重要平台，也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全，用户的复杂性及多样性，对网络提出了安全认证的需求，网络需要运营，因此也有了计费收费的需要。各个学校根据自身特点，选择一套合理、有效的认证计费系统是十分有必要的。中国的高校信息化建设经过从无到有的多年发展，许多高校正在或已经完成了校园网的建设，并

3、经过一段时间的运行，校园网已为教育的信息化做出了贡献。以太技术在校园网接入层的普遍采用，相对来讲，由于以太技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。针对不同的校园规模，针对不同的用户群体，校园网的问题和需求在不断的变化，所以提出一套具备校园网运营特点，针对校园网的独特用户群体，特殊网络结构的方案是校园网认证计费解决方案的发展方向。技术日新月异，很多国内外领先的网络厂商大都提出了校园网可运营的理念，以适应现代校园网“以网养网”的需求。由于众所周知的原因，网络的使用不能是免费的，服务提供者总是要采取相应的手段收取费用。近年来消耗带宽的新技术（如BT、迅雷等P2P软件）的使

4、用和快速传播，使有限的出口带宽受到极大压力；同时，私接代理、计算机蠕虫、病毒泛滥（特别是ARP病毒）、网络攻击行为时有发生，已经为校园网络的运营带来了极大的威胁，使网络服务管理平台人员头痛不已；认证计费管理系统的计费策略、优惠方式单一，无法适应客户的多样化需求。另外，近年来经常有人从事网络赌博、散播不法言论，公安机关需要网络管理部门提供相关的日志信息进行调查，没有完善的日志系统也成为网络服务管理平台人员的一个心病。另外，对于绝大多数学校来说，除了CERNET分摊的流量费用之外，还需要支付DDN专线费用、网络系统运行维护费用等。因此，采用合理的认证计费管理系统是校园网络服务正常运行的保证。为了能

5、够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台，社区网络中心需要对各种宽带接入技术进行严格的认证、选择，为建立“可管理”的网络打好基础。在当前宽带技术的发展领域中，PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。二、校园网的特点以及所面临的问题校园网是一个功能复杂的网络，与其他的网络相比有其独特的一面：教育网和Internet混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。而且，校园网用户是一群最有活力的用户群体：掌握新技术最快、最会使用新技术、最有挑战欲望。同时，以太网技术在校园网接入层被普遍采用，相对来讲，以太网技术不是一个

6、具有严格管理能力的组网技术，这决定了校园网的安全性较低。当这些因素碰到一起的时候，校园网遇到比较突出的如下几个问题： 网络Interet出口拥塞，用户不能正常访问Internet，需要对出口带宽进行有效管理。校园网internet出口带宽有限，是校园网络最为稀缺的资源。若干用户无限制的使用出口带宽或者使用P2P工具进行下载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。同时，校园网的用户具有用网时间集中、并发在线人数众多、流量巨大且分布时段不

7、均等特点，这些更加剧了网络拥塞程度。 用户普遍使用代理，造成管理困难和费用流失。在校园网内代理工具的使用非常严重，多个学生共享代理上网的方式，不但给校园网络的管理带来麻烦，也使学校的出口拥塞、费用流失。如何真正有效防止校园网中的代理使用，是非常重要、紧迫的需求。 网络的安全时刻受到威胁，网络需要安全控制。考虑到以太网技术的经济性和实用性，以及校园网用户集中的特点，以太网技术在校园网络接入层被普遍采用。以太网技术最初是为企业内部组网使用的技术，其管理能力较弱，在校园网环境下，用户对各种网络技术的掌握程度较高，管理问题尤其突出：学生活跃、好奇、敢于尝试、攻击性强，同时，计算机蠕虫、病毒泛滥、盗版资

8、源泛滥、网络不良行为突发性高。 用户网络行为不规范，无法控制，无法进行有效的记录。盗用IP地址，修改MAC地址，用户名和密码的丢失，合法网络用户无法登陆网络，网络管理者如何解决？谁在访问非法网站？谁在恶意占用带宽？校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得，如何提交有效的网络访问记录？ 计费数据采集难，运营管理得不到很好支持，需要对运营服务提供方便的后台支持。在最初的校园网络中，校园网络只是一个提供上网的工具，对用户的行为无法进行控制，也无法对网络进行有效运营和管理。为了满足非教学区域（学生和老师家属）用户的Internet接

9、入服务需求，校园网还必须承担一个运营网络的角色。如何为这些用户提供好的服务，同时，又方便运营人员对服务的支撑，这就需要为校园网提供简单、实用、易操作、易维护、计费数据清晰准确的认证计费管理系统。 CERNET和Internet同时接入，需要提供区别服务。CERNET中主要是大学、科研机构组成，为学生提供学习交流的平台，资费比较便宜。Internet是公众服务网络，收费相对比较贵。有很多校园同时接入两种网络，为区别不同的网络资源，需要运营管理系统能区别提供多种服务，访问不同的网络，收取不同的资费。 老师和学生要区别收费，需要提供灵活的计费方式支持。校园网络中有各种类型的用户：老师、学生、研究生、

10、博士生及家属等，如果采用单一的包月计费方式，会使很多类型的用户产生不满。为解决对网络使用的不同需求，需要运营管理系统能提供灵活多样的计费方式，对不同的用户采用差异化的计费策略，提高网络的使用效率和可管理性。三、解决方案3.1、 PPPOE接入组网方案应用背景网络运营者想通过相同的接入设备来连接到远程站点上的多个主机，同时接入设备能够提供与拨号上网类似的访问控制和计费功能。在众多的接入技术中，把多个主机连接到接入设备的最经济的方法就是以太网，PPP接入方式可以提供良好的访问控制和计费功能，于是产生了在以太网上传输PPP的方法，即PPPOE协议；由于PPPOE协议的“标准、稳定、技术成熟、运营管理

11、方便”的接入方式，PPPoE协议的提出解决了用户上网收费等实际应用问题，得到了宽带接入运营商的认可并广泛采用。功能特点： PPPoE BRAS可以体现更多的用户接入，学校可以通过有线无线连接等方式提供支持多用户的宽带接入服务，利用可靠和熟悉的技术来加速部署高速互联网业务，对现有网络部署影响小；可以通过ABMS访问控制功能对用户的身份进行确认，通过计费功能对用户进行计费，同时对终端用户的网络行为进行监控，保证了网络安全； PPPoE BRAS设备同时提供P2P软件带宽控制功能，可以根据用户上网时间进行P2P软件的带宽控制：如高峰期控制P2P带宽，而非高峰期不控制P2P带宽；支持PPPoE用户之间

12、的相互隔离，确保用户安全；使用专有PPPOE客户端可以防止用户双网卡代理、多IP代理、应用层代理等，禁止所有小路由器用户进行PPPoE接入，同时对没有安装专有PPPoE客户端的PC不允许接入管理，彻底解决小路由用户盗用网络资源的情况；支持与用户互动，支持即时消息通知，播放广告信息等运维管理； ABMS系统具有多样网络费用收取策略，打破以往校园网必须设置一个对外服务的窗口，人工进行收费、续费等服务的方式；ABMS系统支持包月、时长、流量、上网卡等多种计费策略，系统提供用户自服务子系统，可以方便用户进行充值、费用查询、上网明细查询等功能，同时可满足各种消费层次的用户，刺激运营网络使用率的提高；合法

13、用户在通信时要保障其数据的安全性，隔离带有用户个人信息的数据包，对于主要的网络设备防止其受到攻击而造成网络瘫痪。由于用户终端是以普通网卡与网络设备相连，在通信时会发送一些广播地址的帧（如ARP，DHCP消息等），而这些消息会携带用户的个人信息（如用户的MAC地址），如不隔离这些消息让其他用户接收到，容易发生MAC/IP地址的仿冒，影响合法用户上网。对于运营商来说，保护其系统设备的安全性，防止恶意攻击是十分重要的；日志记录管理系统（LRMS）对全网用户的访问行为进行记录，日志记录系统需要大硬盘的服务器用于上网日志的记录和分析管理。3.2、 Web Client接入方案应用背景 专有客户端软件，需

14、要同 宽带接入服务配合使用，它可以在二、三层网络环境实现用户接入认证，完美解决了运营商、广电、企业、校园网中代理和下载工具使用的问题。对于已建设好的网络，系统可以透明接入，无须对已现有网络结构进行大规模改动，下图是典型接入方式示意图： BRAS采用桥接模式放置到用户网络的出口处，对流入、流出的数据包进行监控、统计，并根据用户权限对用户上网行为进行控制， 可按不同需要对网络流量进行控制和规划，实现带宽管理与流量分配。功能特点：运营商可以通过数字用户线或无线连接等方式提供支持多用户的宽带接入服务，利用可靠和熟悉的技术来加速部署高速互联网业务，对现有网络部署影响小；可以通过ABMS访问控制功能对用户

15、的身份进行确认，通过计费功能对用户进行计费，同时对用户的网络行为进行监控，保证了网络安全；终端用户可同时接入多个运营商，这种动态服务选择的功能可以使运营商容易创建和提供新的业务； Web BRAS设备同时提供了P2P软件带宽控制功能，可以根据用户上网时间进行P2P软件的带宽控制：如高峰期控制P2P带宽，而非高峰期不控制P2P带宽；合理规范出口宽带管理；使用专有Web客户端可以防止用户双网卡代理、多IP代理、应用层代理等，禁止所有小路由器用户接入，同时对没有安装专有Web客户端的PC不允许接入管理(可以Web方式接入并存)，彻底解决小路由用户盗用网络资源的情况；支持与用户互动，支持即时消息通知，

16、播放广告信息等运维管理；日志记录管理系统（LRMS）对全网用户的访问行为进行记录，日志记录系统需要大硬盘的服务器用于上网日志的记录和分析管理。3.3、 802.1x二次认证接入组网方案应用背景802.1x是一种很有特点的认证方式，它可以控制到交换机的端口，当认证不通过的情况下，除802.1x组播报文外其他报文都无法通过交换机，用户的PC完全无法对网络造成影响，攻击和病毒无从下手，安全性非常高。随着交换机的发展，可网管交换机在802.1x认证的同时还可以对端口进行速率限制、Qos等其他功能。802.1x认证协议的特殊安全性，对整网性能优化起到不可忽视的作用。功能特点 ABMS认证后台管理系统可以同时支持交换机802.1x和BRAS宽带接入服务器的认证方式，而且能区分内外