使用对象
所有客户
产品名称
综合访问治理服务器
编写部门
华为3Com TSC
资料版本
V1.0
华为3Com校园网认证计费解决方案
拟 制:
日 期:
审 核:
日 期:
审 核:
日 期:
批 准:
日 期:
华 为3Com 有 限 公 司
版权所有 侵权必究
目 录(TOC Heading)
第1章 前言... 2
第2章 需求分析... 3
2.1正确的用户身份确认.. 3
2.2 灵活的计费策略.. 3
2.3 精确的费用统计.. 3
2.4 个性化的网络计费.. 3
第3章 解决方案简介... 5
第4章 华为3Com认证计费方案的特点... 7
4.1 认证相关.. 7
4.1.1 认证方式效率高且灵活.. 7
4.1.2 认证安全可靠.. 7
4.1.3 引入绑定技术.. 8
4.1.4 防止PRoxy的使用.. 8
4.2 用户治理.. 8
4.2.1 灵活的用户治理.. 8
4.2.2 自动完成绑定.. 8
4.2.3 用户ip唯一.. 8
4.2.4 黑名单.. 9
4.2.5 在线用户控制.. 9
4.2.6 用户上网时段控制.. 9
4.2.7 用户访问控制.. 9
4.2.8 统一身份识别.. 9
4.2.9 用户自助治理.. 9
4.2.10 密码治理.. 10
4.2.11 在线通知.. 10
4.3 计费治理.. 10
4.3.1 灵活的计费策略.. 10
4.3.2 支持预付费.. 10
4.3.3 包月暂停.. 10
4.3.4 余额通知.. 10
4.3.5 帐单查询.. 10
4.4 性能价格比.. 11
要害词:
Cams,认证,计费
摘 要:
本文介绍了华为3Com的综合访问治理服务器在校园网计费认证解决方案中的具体地位和功能。
缩略语清单:
Cams ? 综合访问治理服务器
参考资料清单:
无
第1章 前言
在校园网中,认证、计费是一个基本的需求,其计费方案是随着治理理念的不断深入而逐渐完善。早期的校园网计费采用计费网关的形式,这对小型的网络比较合适。但是计费网关最大的问题是处理性能会成为网络应用的瓶颈。随着技术的进步,交换机的处理能力越来越强,出现了分布式的网络计费。其中又以基于802.1x认证技术的计费方案最为流行。本文将介绍华为3Com公司的校园网计费方案。
华为3Com公司是可治理、可运营宽带网络的发明者和最主要推动者,可以说影响了全国的宽带网络建设。同时也是可治理、可运营的教育网理念的缔造者。并通过一年多的深入了解,不断完善方案,为教育行业的用户治理和计费制定了完善的方案。整套方案中的核心就是CAMS。我们将和教育用户进行更广泛的互动,为我国教育事业做出一份贡献。
第2章 需求分析
2.1 正确的用户身份确认
校园网计费用户分为两类,一类是免费用户,另一类是计费用户。但是无论是计费还是不计费,我们都需要对其身份进行准确的识别。这是网络安全的需要,同时也是做到准确计费的需要。但是如何进行用户身份确认呢?这就需要通过认证技术来实现。目前流行的认证技术比较多,如基于WEB的Portal认证、802.1x认证、PPPOE认证。这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的校园内。这是因为802.1x认证具有的最大特点是简单,无需非凡的设备支持,同时支持任何网络应用。正是这一点打动许多学校老师的心。本方案将以802.1x作为认证用户身份的技术。
2.2 灵活的计费策略
总体说来,计费策略主要有三种:按时长、按流量和带宽。其他如按目的IP计费,应用较少。从实际情况看,时长计费最普遍,流量计费最科学,带宽计费最简单。同时由于一个校园网的用户有许多类,因此可能这三种计费策略都会被采用。一般的,新建和改建的校园网往往采用可操作性强、简单的按时长计费的方式,并且配合预付费或包月的方式进行收费,杜绝恶意欠费的发生。
2.3 精确的费用统计
上网一旦进行收费,那么就需要我们能够精确的计费,这是一个可运营的网络必备的条件。其中最需要关注的是,是否会因用户PC死机等异常情况造成计费的不准确。因此我们需要一套保护机制做到无论采用哪种计费策略,发生什么异常都能保证计费的准确。
2.4 个性化的网络计费
无论采用什么技术和方法都需要一套计费系统来完成计费。那么什么是好的计费系统呢?除了做到以上三点之外还需提供个性化的解决方案,能够通过优化治理界面、计费策略来降低治理者的工作强度,同时对于用户来说又能感觉使用方便,收费合理。
第3章 解决方案简介
考虑到网络的工作效率,本计费方案推荐采用802.1x认证技术+预付费的时长计费,组网图如下:
计费方案由三部分组成:
1、 客户端
用户采用802.1x认证客户端来完成上网的认证。从安全性、兼容性和业务开展的角度考虑,建议全网采用华为3Com公司的802.1x客户端。
2、 认证设备
接入交换机。接入交换机启动802.1x功能,完成对用户认证请求的处理,将802.1x协议规定的EAP报文转化成Radius报文,完成和认证计费平台的互动,答应或拒绝用户上网。对于上网用户,交换机完成用户上网的实时统计和定期更新,并将时间信息交由认证计费平台处理。
3、 认证计费平台
采用CAMS综合计费平台。此平台基于linux操作系统和Oracle数据库,负责完成所有认证和计费过程。
第4章 华为3Com认证计费方案的特点
4.1 认证相关
4.1.1 认证方式效率高且灵活
由于采用分布式的认证方式,这样将认证的负担分布到每一个接入层设备,即使所有的用户同时发起认证请求也不会造成网络拥塞和服务中断。并且,作为802.1x国标的主要制订者,华为3Com公司进行了协议扩展,突破了原有协议只支持端口认证的功能,实现了对于逻辑端口的认证。这样不仅可以答应每一个物理端口下有不止一个的用户同时上网,同时每一个用户都需进行严格的身份认证。
4.1.2 认证安全可靠
认证流程图如下:
CHAP验证过程中采用md5加密技术,对报文进行签名和对用户密码加密等措施严格保证认证过程的安全性。
4.1.3 引入绑定技术
IP地址是我们识别用户身份重要依据之一,但是现在有许多软件可以修改用户的IP甚至是MAC地址,这样就轻易造成用户治理的混乱。非凡是一旦用户帐号被盗后,我们在短时间内很难对此做出任何判定。现在我们引入了绑定技术,可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码,还需认证其IP或MAC,甚至是VLAN和端口号。这样一来不仅完善了对用户合法身份识别的方法,更降低了因帐号被盗所引起的损失。
4.1.4 防止Proxy的使用
Proxy的使用将减少网络运营的收入,增加网络运营的成本,尤其是在学生众多的校园网内。因此我们通过客户端、交换机和CAMS三者的配合可以阻止Proxy在校园的使用(无论是单网卡还是双网卡Proxy技术)。
4.2 用户治理
4.2.1 灵活的用户治理
一套好的认证计费方案必然是一套好的用户治理方案。CAMS系统可以单独生成用户,还可以批量生成用户,如卡号类用户。只要配有制卡机,学校就能发行自己的上网卡,方便学生上网。但是,从治理的角度看,我们建议为每一个用户制定相关档案。CAMS内置了常用用户信息模板,同时也提供相应新模板的制作。治理者可以根据具体情况自定义用户参数,如寝室号,学号等信息。
4.2.2 自动完成绑定
上文提到为了提高安全性,我们可以采用帐号+IP+MAC的绑定技术。但是用户数量很多时,登记每一个用户的IP和MAC是一件工作量很大的事情。这时只需启动自动绑定功能,CAMS就可以自动学习用户第一次上网时的IP和MAC并做相应绑定。
4.2.3 用户IP唯一
通常我们采用DHCP分配客户IP地址时,其依据是VLAN或MAC,而不是用户本身。对此,CAMS提供内置的DHCP功能,可以根据用户名来分配地址,这就意味着每一个用户将对应唯一的IP。这不仅能提高治理的效率,更能广泛的应用到校园信息系统中去,使整个系统可以根据IP实现灵活的计费、治理策略。
4.2.4 黑名单
一旦一个用户帐号连续输入不正确的密码(如10次),此帐号将被自动记录到黑名单而被冻结,这样可以防范恶意的穷举(暴力)破解密码。当然,也可将攻击网络或故意破坏的用户加入黑名单。
4.2.5 在线用户控制
CAMS提供具体的用户在线信息,如帐号、IP、MAC、端口、时间、流量等,并可实施强制下线,减少非法用户和中毒计算机对网络的危害。
4.2.6 用户上网时段控制
网络是个双刃剑,因此我们对于学生的上网时段需要控制。CAMS可以提供非常灵活的时间控制。如,对于学生帐号,8:00-19:00不答应上网;对于实验室帐号,只答应特定的时间段上网等。
4.2.7 用户访问控制
我们可以通过配置ACL来对网络做出相应的访问规则。那么这样的规则是否能落实到每一个用户呢?现在可以了。CAMS支持用户分组,每组成员数不限。同时华为3Com交换机支持动态VLAN下发。这就意味着我们通过ACL制定相关VLAN的访问策略,对于不同用户组的用户在完成认证后其VLAN ID将被下发到接入交换机,从而使网络访问受到严格的控制。
4.2.8 统一身份识别
校园内经常存在不同类型的应用系统或服务器,CAMS支持LDAP目录服务,可以将网络计费系统良好的融入到整个大网之中,做到用户一个帐号对应不同的应用系统。
4.2.9 用户自助治理
CAMS拥有用户自助治理模块。用户可以通过WEB方式登陆自助平台进行业务的查询、密码修改、余额的查询、上网卡充值等动作。
4.2.10 密码治理
用户假如要修改密码,有两种方式:一是登录自助网站修改;二是通过客户端修改密码,两种方式都非常方便。
假如忘记了密码,那么还可以通过Email的方式索回密码。
4.2.11 在线通知
通过CAMS,网络中心可以将各种通知信息,如停网通知实时地发到每一个在线用户的客户端上去,从而保证及时发布重要通知。
4.3 计费治理
4.3.1 灵活的计费策略
CAMS支持按流量、时长、带宽计费。整个计费过程严谨、科学、准确。同时可以制定灵活的优惠策略。如,制定优惠时间段和优惠策略或制定奖励计划等。
4.3.2 支持预付费
作为神州行和校园201电话的发明者,我们华为3Com将上网预付费引入到校园。学生可以采用预付费的方式上网。学校可以发行相应的充值卡,学生也可以通过Web方式自助充值。
4.3.3 包月暂停
学校有寒暑假,假期如采用包月的方式,那么对于用户来讲就要损失费用。例如,学校7月10日放暑假,CAMS为此提供包月暂停,学生申请了此业务,那么7月下半月的费用可以用到9月下旬。
4.3.4 余额通知
一旦帐户余额不足,那么CAMS将通过其注册的Email通知该客户。
4.3.5 帐单查询
CAMS是面向电信运营商、企业网市场的认证计费产品,因此提供电信运营级的帐单治理和报表治理,从而保证计费有迹可查。
4.4 性能价格比
作为电信级认证计费系统,CAMS已经应用在国内外许多运营商市场;同时CAMS针对教育行业进行了大量的专门开发,整个开发是严格遵循CMM5标准。CAMS基于Linux平台,数据库采用Oracle,支持冗余备份和负荷分担工作,并在价格和性能方面找到了完美的平衡点。
附件
华为3com校园网认证计费解决方案-20040303.pdf