安腾校园网认证计费系统解决方案_普通__校园网_eNet硅谷动力解决方案频道出处:硅谷动力一、校园宽带网络运营现状作为新技术应用的前沿阵地,校园网在这几年发展迅速。作为对信息最敏感的学校,对网络和知识的需求都促进了网络在校园的发展和应用。校园网是一个功能复杂的网络,往往需要提供两大服务功能:提供校内信息共享服务和提供Internet接入服务。而且,校园网用户一群最有活力的用户群体:掌握新技术最快,最会使用新技术,最有挑战欲望。同时,以太技术在校园网接入层的普遍采用,相对来讲,由于以太技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。当两者碰到一起的时候,校园网遇到比较突出几个问题。网络出口拥塞,用户不能正常访问Internet,需要对出口带宽进行有效管理目前大部分校园网Internet出口带宽是有限的,若干用户无限制的使用出口带宽,或者使用某些特殊下载工具,首先造成出口拥塞,出口的拥塞接着造成更多用户加入带宽的争抢,致使出口更加拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络:出现拥塞,所有用户不能正常上网。网络的安全时刻受到威胁,网络需要安全控制校园网的用户绝大多数为求知欲望和动手能力非常强的学生群体,他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。同时由于校园网信息流动量大的,受众特殊的特点,校园网络也常常成为别有用心的网络攻击者的目标。计费数据和运营管理的控制难度大校园网络在一定程度上属于校园的基础设施,同时又要作为校园进行网络运营,获取收入的的一个载体,如何同时发挥两方面的功能?校园网络同时具备了用户密度大,和用户类型多的特点。针对不同的用户群体,如:办公区,学生宿舍,院系机房,如何采取不同的运营管理和控制策略,在保证网络正常运行的情况下保证各项计费数据的采集,最终达到网络运营的目的,这对于网络中心的管理人员也是极需要考虑的问题。用户网络行为不规范,无法控制,无法进行有效的记录盗用IP地址,修改MAC地址,用户名和密码的丢失,合法网络用户无法登陆网络,网络管理者如何解决?谁在访问非法网站?谁在恶意占用带宽?校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得,如何提交有效的网络访问记录?针对不同的校园规模,针对不同的用户群体,校园网的问题和需求在不断的变化,所以提出一套能够为校园网量身定做,具备校园网运营特点,针对校园网的独特用户群体,特殊网络结构的方案是校园网认证计费解决方案的发展方向。同时,整体的解决方案还需要具备强壮性,完善性和可扩容性,可运营性只有这样的解决方案才是真正符合校园网发展方向的理想解决方案。二、安腾校园网认证计费解决方案安腾作为一家新兴的高科技公司,长期专注于宽带网络接入设备和应用软件的开发、生产、销售和服务。经过多年不懈的技术积累和广大合作伙伴的大力支持,安腾公司已经形成了以BRAS、计费管理软件、日志服务器、无线接入网关为核心的宽带接入系列产品。凭借多年校园网宽带产品的成功开发和运营经验,安腾公司针对国内校园网的宽带网络现状和现实需求,开发出了eFlowD_BrAS和eFlowPPPoE专用宽带接入服务器。该系列产品集认证,计费,管理和控制等功能于一体,是国内针对教育行业认证计费宽带接入的专用解决方案。目前,安腾公司已经成功为国内多家高等和中等院校提供了宽带运营的解决方案,在Web认证计费解决方案,PPPoE认证解决方案,校园网二次认证解决方案,和同802.1x交换机配合的认证解决方案中积累了的大量的实际运营经验。安腾希望能用自己在教育行业多年的经验助校园网宽带运营事业一臂之力!1、安腾校园网宽带接入网关解决方案及特点使用安腾eFlow系列的接入服务器,用户访问接入服务器外面的资源需要认证。如果校园网内部是一个二层的网络环境,可以使用eFlowPPPoE或者eFlowD_BrAS服务器;如果是一个三层的网络,使用eFlowD_BrAS进行认证和管理。所有的用户信息在Radius服务器进行输入和管理,安腾接入服务器与Radius服务器通信实现用户多种元素的绑定。用户不需要认证,可以自由访问校园网内部网络,如果需要访问校园网以外的网络资源,必须通过认证。如果需要对国内外的流量分开计费,可以在eFlow接入服务器中进行相应的设置,对不同的流量分开记录,在Radius后台实现不同的费率。接入方便采用多种方式,可以桥接方式接入网络,也可以路由的方式接入,可方便灵活的无缝接入到原来的网络中。可管理eFlow宽带接入产品,经过多年的市场检验,产品成熟、稳定,该系列产品提供多样化的管理手段,支持Web、Telnet、SNMP、console口管理方式。在用户接入控制方面,能够控制用户带宽、会话数、支持报文过滤、Mac地址绑定等功能,可以实现用户帐户和IP、MAC、Vlan、NAS、Port的绑定。可运营eFlowAAA计费认证系统在计费策略上,支持包月、时长、流量、国内外分开计费等多种后付费策略,同时可以提供包月、时长、流量、上网卡等多种预付费策略。系统提供用户自服务子系统,可以方便用户进行充值、费用查询、上网明细查询等功能。安全性,可靠性安全性、可靠性是电信级网络设备必须具备的基本条件,安腾公司的eFlow系列产品和eFlowAAA计费管理系统是面向电信级运营商设计网络产品。安腾公司深刻理解校园网对安全和可靠性的高度重视,eFlow系列产品采用了优化的TCP/IP协议栈、报文过滤、多级管理权限控制、IP和MAC绑定等多项安全措施,确保系统在复杂网络环境下的具备防攻击、防病毒扩散能力;而eFlowAAA计费管理系统同样进行了安全方面的设计,采用了SUN公司的安全操作系统Solaris和成熟的Linux操作系统,结合大型数据库Oracle进行设计,提供系统负荷分担、数据自动备份、安全检测等机制确保后台系统的可靠运行。扩展性、开放性安腾公司根据中国宽带网络建设的实际结合现代数据通信领域的最新技术,向校园网提供标准、可持续发展的宽带接入产品。安腾公司的宽带接入产品遵循IEEE、IETF、信产部、各大电信运营商的制定的标准、规范进行设计,确保了网络运行产品的兼容性、标准性,并且能够保证根据网络协议的发展进行升级、扩展的能力。实用性、灵活性校园网宽带网络的发展具有很强的个性化需求,因此如何根据每个学校的实际情况进行合理的网络规划和方案实施是保证校园网可持续发展的关键。安腾公司的eFlowBRAS系列产品和eFlowAAA系统产品经过多年的市场检验,承担了不同类型的宽带校园网建设项目,积累了丰富的校园网建设经验。eFlowBRAS系列产品支持的并发用户数为128~4096,可以提供百兆、千兆接口,eFlowAAAGBMS产品在提供通用的用户计费管理功能基础之上,可以根据用户的特殊需求进行二次开发。2、安腾与802.1x交换机配合的二次认证方案方案在接入层使用802.1x交换机对用户进行管理,同时在出口使用安腾的eFlow接入服务器,用户如果只需要访问校园内部网络,只需要通过802.1x的认证,如果需要继续访问外部的网络资源,还需要进一步通过安腾eFlow接入服务器的认证,使用二次认证的方式。安腾eFlowAAA后台可以同时支持802.1x和eFlow接入服务器的认证,而且能区分内外网络的设备,用户只需要一套帐号/密码就可以实现二次认证的过程。如果只有802.1x交换机,也可以实现认证和管理,但是不能提供区分国内外流量的计费方式,而且对用户的带宽限制等方面也存在一定的不足。配合安腾eFlow接入服务器,可以弥补这方面的缺陷,使整个方案在安全的前提下,实现了灵活性和可扩展性。安腾eFlowAAA系统可以和不同厂家的802.1x交换机配合实现各种元素的绑定,保证了此方案的兼容性,让学校能有更大的选择余地。如果需要区分流量的计费,需要在安腾的eFlow接入服务器中设置,与Radius后台系统配合实现。此方案能用在不同的网络环境中,能符合各种校园网的需求。安全性高充分利用了802.1x交换机对学生宿舍端口的管理,使网络攻击和病毒传播变得困难。安腾后台宽带认证管理系统对多个厂家的802.1x交换机有良好的兼容性,可以实现802.1x交换机到用户的多mac、多IP段、交换机物理端口号、交换机vlan、交换机管理ip、用户名、密码共7种元素的绑定认证。安腾BRAS同时具有上网log记录功能,可以根据用户名和IP、时长等多个元素进行查询,清晰看到目标用户在一时间段内所有网络行为,完全符合公安部门网络安全要求标准。计费更加合理多样合理!学生访问校园内信息只用支付几元包月接入网络费用,一般学习娱乐讨论都可以在校园内网得资源,学生不会为过贵的网络接入费用担心,所以在合理的状态下有更多的学生愿意接入到校园网中。多样!外网计费采用多样灵活的方式,学生可以后缴费也可以预缴费;可以按时长也可以按流量;可以包天更加可以包月;可以主动去网络中心交钱也可以去买卡充值。全部都在安腾后台宽带认证管理系统中体现,继承了安腾小区产品和运营商产品中计费策略丰富完整的特点。充分利用出口带宽当是单一网络环境时,由于计费单一,学生经过802.1x认证出网无法区分内外网资源,学生一起往Internet出口挤,造成再大的出口也无法满足学生的需要,同时出口带宽租用费也非常昂贵,造成极大的带宽浪费。当二次认证启用后,内网和外网费率产生区别,学生会理性思考是否需要支付Internet费用,是否内网资源已经足够使用。实际运营过程中,**科技大学采用次认证方案后,平均内网线人数从3800提供到5400,外网平均在线人数在1300左右,重点在访问外网Internet资源的时候带宽从3-5kbps提高到了1Mbps,这才是名副其实的校园网宽带。充分利用校园网很多学校花大量资金铺设校园光纤网络,只为学生上Internet服务,而且中间带宽限制严格,一层楼的带宽走到中心机房有效部分最多15M,1000M的光纤跑15M数据用奢侈来形容也觉得是非常低调的表达。使用二次认证方案充分提倡学校建设数字校园,丰富内网资源,建立网络图书馆、网络教学、网络广播、网络电影、网络竞技等服务。部分可以做成增值业务,辅助家庭困难学生……二次认证的内网定义就是充分利用校园网的一个动力。促进学生参与校园网络资源建设校园网的发展不能全部靠老师,必须发动学生,二次认证的实施就提供了一个校园网资源建设的理由,接入费用降低或者0费用大大刺激学生接入网络的兴趣,学校可成立相应兴趣小组或项目小组,丰富校园网络资源的同时提供学生网络技术应用能力,培养学生创造能力,使学生对社会更具竞争力。安腾公司做产品的同时也和几所高校建立校企合作关系,培养大量网络技术人才。管理方便方案体现为分布式二层接入,802.1x交换机分布在用户楼层分布接入管理,同时采用二层认证控制内外网资源并且区分计费,虽然方案相对复杂,但是所有设备和用户可以通过安腾后台宽带认证管理系统进行统一管理,管理系统以B/S结构设计,大大方便网络中心负责人随时对学校运营情况的了解,体现优秀系统之分布接入集中管理的设计模式。三、后记安腾公司经过多年的持续不断的努力,树立起近千个的成功案例。在教育领域打拼多年,安腾更是深知必须不断的研究用户的需求,不断的完善自己的产品和服务才是公司的发展之道。截至目前,安腾公司的产品已经运营在大江南北的几十所高等院校的校园网络上。