华为3COM校园网计费方案.DOC

华为3COM校园网计费方案 前言 校园网计费是一个基本的需求，其计费方案是随着管理理念的不断深入而逐渐完善。早期的校园网计费采用计费网关的形式，这对小型的网比较合适。但是计费网关最大的问题是处理性能会成为网络应用的瓶颈。同时随着技术的进步，交换机的处理能力越来越强，出现了分布式的网络计费。其中又以基于802.1x认证技术的计费方案最为流行。本文将提供完整的校园网计费方案。 需求分析 什么才是完整的计费？通过实践我们将校园网计费需求总结如下： 准确的用户身份确认 校园网计费用户分为两类，一类是不计费，另一类是计费。但是无论是计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要，同时也是做到准确计费的需要。但是如何进行用户身份确认呢？这就需要通过认证技术来实现。目前认证技术有许多，如WEB认证，802.1x认证，PPPOE认证。这些认证技术各有千秋，PPPOE技术被广泛的应用在宽带小区，WEB认证被应用在一些信息系统内，而802.1x认证被应用在广大的校园内。这是因为802.1x认证具最大的特点是简单，无需特殊的设备支持，同时支持任何网络应用。正是这一点打动写了许多学校老师的心。本方案将以802.1x认证用户身份确认技术。 灵活的计费策略 计费策略主要有三：按时长、按流量和带宽。从实际情况看，时长计费最普遍，流量计费最科学，带宽计费最简单。同时由于一个校园网的用户有许多类，因此可能这三种计费策略都会被采用。但是，新建和改建的校园网往往采用可操作性强、简单的按时长计费的方式，并且配合预付费的方式进行收费，保证了杜绝恶意欠费的发生。 精确的费用统计 网络使用一旦进行收费，那么就需要我们能够精确的计费，这是一个可运营的网络必备的条件。其中最需要关注的是是非否会因PC死机等异常情况是造成计费的不准确。因此我们需要一套保护机制做到无论采用哪种计费策略，发生什么异常都能保证计费的准确。 人性化的网络计费 无论采用什么技术和方法都需要一套计费系统来完成计费。那么什么是好的计费系统呢？除了做到以上三点之外还需提供人性化的解决方案，能够通过优化来降低管理者的强度，提供自动化水平，同时对于用户来说又能感觉使用方便，收费合理。 方案简介 考虑到网络的效率，本次计费方案推荐采用802.1x认证技术＋预付费的时长计费，组网图如下： 本次计费方案由三部分组成： 客户端 用户采用802.1x认证客户端来完成上网的认证。从安全性和业务开展的角度考虑，建议全网采用华为3COM公司的802.1x客户端 认证设备 所有接入交换机。接入交换机完成对用户认证请求的处理，将802.1x协议规定的EAP报文转化成Radius报文，完成和认证计费平台的互动，允许或拒绝用户上网。对于上网用户交换机完成计费信息的实时统计，并交由认证计费平台处理。 认证计费平台 采用CAMS综合计费平台。此平台基于Linux系统和Oracle系统，完成所有了认证和计费过程 华为3COM认证计费特点 认证相关 认证方式效率高并且灵活 由于采用分布式的认证方式，这样将认证的压力分布到每一个接入层设备，即使所有的用户同时发起认证请求也不会造成网络拥塞和服务中断。并且，做为802.1x国标的主要制订者，我们进行了协议扩展，打破了原有协议只支持端口认证，实现了对于逻辑端口的认证。这样我们不仅可以允许每一个物理端口下有不止一个的用户同时上网，同时每一个用户都需进行严格的身份认证。 认证安全可靠 认证系统采用CHAP方式认证，流程图如下： 同时采用MD5加密技术，对报文进行签名和对用户密码加密等措施严格保证认证全过程的安全性。 引入绑定技术 IP是我们识别用户身份最重要的依据，但是现在有许多软件可以修改用户的IP甚至是MAC地址，这样就容易造成用户管理的混乱。特别是一旦用户帐号被盗后我们在短时间内很难对此做出任何判断。现在我们引入了绑定技术，可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码，还需认证其IP和MAC，甚至是VLAN和端口号。这样一来不仅完善了对用户合法身份识别的方法更是降低了因帐号被盗所引起的损失。 防止Proxy使用 Proxy的使用将减少网络运营的收入，增加网络运营的成本。因此我们通过客户端、交换机和CAMS三者的配合可以阻止Proxy在校园的使用（无论是单网卡还是双网卡Proxy技术）。 用户管理 一套好的认证计费方案必然是一套好的用户管理方案 1、灵活的用户管理 CAMS系统可以单独的生成用户同时可以批量的生成用户，如卡号类用户。只要配有制卡机，学校就能发行自己的上网卡方便学生上网。但是，从管理的角度看，我们建议为每一个用户制定相关档案。CAMS内置了常用用户信息模板，同时也提供相应新模块的制作。管理者可以根据其情况自定义