PAGE校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)湖南工業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫PAGE1目錄1. 校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì) 11.1 校園網(wǎng)建設(shè)趨勢(shì) 11.2 認(rèn)證計(jì)費(fèi)改造需求 22. 網(wǎng)絡(luò)解決方案 32.1 網(wǎng)絡(luò)設(shè)計(jì)拓?fù)?32.2 認(rèn)證計(jì)費(fèi)方案設(shè)計(jì) 42.2.1 認(rèn)證計(jì)費(fèi)系統(tǒng)需求概述 42.2.2 系統(tǒng)對(duì)現(xiàn)網(wǎng)的業(yè)務(wù)的兼容 42.2.3 方案與設(shè)備選型應(yīng)具有一定的前瞻性、高可靠性 42.2.4 滿足校園網(wǎng)絡(luò)接入場(chǎng)景與認(rèn)證復(fù)雜需求 42.3 華為認(rèn)證計(jì)費(fèi)方案 52.3.1 網(wǎng)絡(luò)拓?fù)?52.3.2 用戶接入 62.3.3 有線用戶接入 62.3.4 無線用戶接入 62.3.5 網(wǎng)絡(luò)VLAN劃分 72.3.6 深瀾Srun3000系統(tǒng) 72.3.7 認(rèn)證計(jì)費(fèi)場(chǎng)景設(shè)計(jì) 82.3.8 DAA根據(jù)目的地址計(jì)費(fèi) 92.3.9 教師在不同地點(diǎn)上線采用不同的計(jì)費(fèi)策略 92.3.10 通過srun3000滿足計(jì)費(fèi)功能 92.3.11 實(shí)驗(yàn)室和學(xué)院的專線接入 102.3.12 辦公打印機(jī)等網(wǎng)絡(luò)設(shè)備的接入 102.3.13 Srun3000系統(tǒng)功能應(yīng)用 102.3.14 高可靠設(shè)計(jì) 102.3.15 多認(rèn)證模式統(tǒng)一部署 112.3.16 用戶上網(wǎng)訪問日志查看 112.3.17 用戶在線監(jiān)控管理 112.3.18 賬號(hào)管理及控制策略 122.3.19 計(jì)費(fèi)策略 13PAGE13校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)校園網(wǎng)建設(shè)趨勢(shì)隨著高校信息化建設(shè)的不斷深入，應(yīng)用于網(wǎng)絡(luò)解耦合已經(jīng)成為大勢(shì)所趨，理想情況下，整個(gè)校園網(wǎng)虛擬成一臺(tái)高性能交換機(jī)或者路由器，網(wǎng)絡(luò)功能向組件化發(fā)展，比如，現(xiàn)網(wǎng)中應(yīng)用越來越多防火墻模塊、入侵防御模塊、無線控制器模塊等等。整個(gè)發(fā)展方向最根本的驅(qū)動(dòng)力是增加用戶的體驗(yàn)，并且網(wǎng)絡(luò)維護(hù)工作者的工作量越來越簡(jiǎn)單。校園網(wǎng)的認(rèn)證計(jì)費(fèi)是校園網(wǎng)的核心業(yè)務(wù)，關(guān)系到全校師生的網(wǎng)絡(luò)體驗(yàn)，其建設(shè)方案的選擇也直接影響著網(wǎng)絡(luò)維護(hù)老師的工作量。802.1x認(rèn)證憑借其嚴(yán)格的端口控制，5元組甚至7元組策略的靈活組合，可是實(shí)現(xiàn)豐富的接入認(rèn)證控制，有效的控制了網(wǎng)絡(luò)的接入安全。早在03年左右部分校園網(wǎng)就采用了這種認(rèn)證策略，到08年左右，迎來了802.1x認(rèn)證建設(shè)的高峰期。隨著應(yīng)用的不斷深入，802.1x被證明雖然其在安全接入控制方面具有獨(dú)到之處，但是無論在用戶的體驗(yàn)還是維護(hù)管理的工作量上面，都與網(wǎng)絡(luò)建設(shè)的初衷相去甚遠(yuǎn)。主要表現(xiàn)在：802.1x客戶端與用戶主機(jī)或者安裝的應(yīng)用程序之間的兼容問題。802.1x認(rèn)證每個(gè)廠家采用的協(xié)議部分是不一樣，產(chǎn)品品牌選擇單一性問題。802.1x多終端上網(wǎng)問題。802.1x對(duì)新興媒體設(shè)備，無法認(rèn)證問題。802.1x對(duì)訪問目的資源，無法區(qū)分認(rèn)證計(jì)費(fèi)問題。802.1x對(duì)沒用戶的QOS控制粒度，無法細(xì)化問題。……雖然，部分廠家對(duì)802.1x進(jìn)行更加人性化的設(shè)計(jì)或者通過跟portal認(rèn)證相互配合的認(rèn)證策略，能解決部分問題，但是無論是在復(fù)雜成都還是應(yīng)用效果上看，對(duì)客戶的應(yīng)用體驗(yàn)以及管理維護(hù)工作量的降低上，均沒有較大的改善。然而，在運(yùn)營商市場(chǎng)應(yīng)用成熟的pppoe/ipoe的認(rèn)證方式，憑借其成熟的技術(shù)，良好的用戶體驗(yàn)及延續(xù)用戶的使用習(xí)慣，方便易于管理的特性，成為廣大高校認(rèn)證計(jì)費(fèi)改造的首選方案。pppoe/ipoe的session級(jí)用戶管理，可以方便的根據(jù)模板下發(fā)策略，保證用戶的使用習(xí)慣。其精確的流量統(tǒng)計(jì)計(jì)費(fèi)，可以促使用戶保持良好的網(wǎng)絡(luò)使用習(xí)慣，特別適合在高校應(yīng)用場(chǎng)景下，規(guī)范學(xué)生的用網(wǎng)行為。同事，pppoe/ipoe對(duì)新興媒體設(shè)備認(rèn)證計(jì)費(fèi)需求及同一帳號(hào)多終端上網(wǎng)，多地理位置的上網(wǎng)都有非常靈活的支持。即面向三網(wǎng)融合的大趨勢(shì)，又靈活滿足用戶的使用習(xí)慣。另一方面，隨著移動(dòng)互聯(lián)時(shí)代的到來，各種移動(dòng)終端的規(guī)模應(yīng)用，給用戶帶來網(wǎng)絡(luò)使用的便利及工作和學(xué)習(xí)的高效。高校建設(shè)無線校園已經(jīng)成為一種趨勢(shì)。高校用戶屬于慢速移動(dòng)無線應(yīng)用，因此，采用802.11a/b/g/n技術(shù)建設(shè)高速的無線局域網(wǎng)是無線建設(shè)的主流趨勢(shì)。建設(shè)無線校園需要重點(diǎn)考慮與現(xiàn)網(wǎng)有線網(wǎng)絡(luò)的融合，即有線、無線統(tǒng)一認(rèn)證；有線、無線統(tǒng)一管理等問題。只有這樣，才能提高用戶的體驗(yàn)和優(yōu)化網(wǎng)絡(luò)維護(hù)的工作量。認(rèn)證計(jì)費(fèi)改造需求目前，湘南財(cái)院使用的是基于802.1x協(xié)議的認(rèn)證計(jì)費(fèi)系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)應(yīng)用的增多，采用該協(xié)議的認(rèn)證計(jì)費(fèi)逐漸遇到瓶頸，主要表現(xiàn)在：該協(xié)議設(shè)計(jì)之初，是為了解決無線接入認(rèn)證計(jì)費(fèi)問題，為了將其引入以太網(wǎng)進(jìn)行認(rèn)證計(jì)費(fèi)，接入交換機(jī)生產(chǎn)廠家對(duì)其進(jìn)行了改造，從而導(dǎo)致不同廠商對(duì)該協(xié)議有不同的私有化，進(jìn)而存在兼容問題；第二，要在以太網(wǎng)上有效的使用該協(xié)議，就必須安裝與設(shè)備廠商配套的802.1x客戶端軟件，而且該軟件與操作系統(tǒng)的TCP/IP協(xié)議棧是強(qiáng)耦合關(guān)系，所以對(duì)應(yīng)不同的操作系統(tǒng)（如Windows、MACOS、Linux等）的不同版本，就有不同的客戶端版本，導(dǎo)致軟件兼容性問題；第三，目前的802.1x系統(tǒng)，無法按照校內(nèi)/校外以及免費(fèi)/收費(fèi)流量進(jìn)行統(tǒng)計(jì)，所以無法實(shí)現(xiàn)按照不同流量的分離計(jì)費(fèi)。此外，采用802.1X的認(rèn)證計(jì)費(fèi)方式無法實(shí)現(xiàn)統(tǒng)一端口下，多臺(tái)終端上網(wǎng)（即家屬區(qū)用戶，無法通過家用soho路由設(shè)備，多臺(tái)終端上網(wǎng)）。然而，這種應(yīng)用需求越來越強(qiáng)烈。最后，家用網(wǎng)絡(luò)電視、網(wǎng)絡(luò)冰箱或者物聯(lián)網(wǎng)終端，上網(wǎng)如何認(rèn)證計(jì)費(fèi)問題，也困擾著網(wǎng)絡(luò)管理者。因此，需要對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行改造，建設(shè)統(tǒng)一的網(wǎng)絡(luò)認(rèn)證平臺(tái)，實(shí)現(xiàn)準(zhǔn)入和準(zhǔn)出的控制及按流量的認(rèn)證計(jì)費(fèi)。準(zhǔn)出控制系統(tǒng)。采用網(wǎng)關(guān)型的準(zhǔn)出控制系統(tǒng)，對(duì)校園用戶進(jìn)行準(zhǔn)出控制。可以有效識(shí)別用戶的收費(fèi)/免費(fèi)流量，同時(shí)通過與統(tǒng)一認(rèn)證計(jì)費(fèi)平臺(tái)的協(xié)同工作，可以有效控制用戶是否具有外網(wǎng)訪問權(quán)限，進(jìn)而控制用戶訪問外網(wǎng)的帶寬。準(zhǔn)入控制實(shí)現(xiàn)基于pppoe和ipoe及portal的準(zhǔn)入控制。網(wǎng)絡(luò)中不同區(qū)域靈活選擇認(rèn)證策略。統(tǒng)一認(rèn)證計(jì)費(fèi)平臺(tái)的建設(shè)需要滿足一下場(chǎng)景的需求：有線無線一體化接入，學(xué)生采用流量計(jì)費(fèi)的方式接入，教師采用工號(hào)與密碼的方式。Portal與PPOE方式均需支持；對(duì)于學(xué)生訪問學(xué)校內(nèi)網(wǎng)不認(rèn)證、不計(jì)費(fèi)，只有在訪問外網(wǎng)時(shí)通過Portal方式認(rèn)證；教師在辦公區(qū)辦公時(shí)上網(wǎng)進(jìn)行認(rèn)證不計(jì)費(fèi)，在家屬區(qū)上網(wǎng)時(shí)進(jìn)行計(jì)費(fèi)。另外要求，教師在辦公區(qū)上線時(shí)，也要能夠支持同一賬戶在家屬區(qū)同時(shí)上線，并且進(jìn)行計(jì)費(fèi)的功能。對(duì)于學(xué)生和用戶的賬戶有一個(gè)暫停計(jì)費(fèi)的功能，比如學(xué)生采取包月的形式，如果1號(hào)交錢，學(xué)生5號(hào)放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號(hào)暫停服務(wù)，則系統(tǒng)計(jì)費(fèi)的時(shí)間段應(yīng)能夠往下一個(gè)月自動(dòng)后移；計(jì)費(fèi)系統(tǒng)應(yīng)有針對(duì)用戶進(jìn)行時(shí)間補(bǔ)償?shù)墓δ埽瑧?yīng)用場(chǎng)景：如果某一地塊網(wǎng)絡(luò)故障，則需要對(duì)該地塊的上線用戶贈(zèng)送5天免費(fèi)上網(wǎng)的補(bǔ)償；對(duì)于導(dǎo)師帶領(lǐng)學(xué)生做項(xiàng)目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場(chǎng)景，需要支持主賬號(hào)和附屬賬號(hào)的功能，比如一個(gè)導(dǎo)師的主免費(fèi)賬號(hào)下，下掛20個(gè)附屬賬號(hào)也屬于免費(fèi)賬號(hào)，并且上線時(shí)做單獨(dú)的賬戶和密碼認(rèn)證。主賬號(hào)和附屬賬戶的模式也須支持學(xué)校科研項(xiàng)目申請(qǐng)的方式，并支持收費(fèi)。比如：學(xué)校一名教師申請(qǐng)了一個(gè)科研課題，拿出一定經(jīng)費(fèi)申請(qǐng)一個(gè)項(xiàng)目科研主賬號(hào)和多個(gè)子賬號(hào)開展工作，此時(shí)對(duì)該團(tuán)隊(duì)的項(xiàng)目的上網(wǎng)計(jì)費(fèi)僅需計(jì)費(fèi)主賬號(hào)，主賬號(hào)一旦計(jì)費(fèi)時(shí)間截止，則所有子賬號(hào)也均不能再上網(wǎng)；支持對(duì)于各個(gè)學(xué)院的專線接入開會(huì)功能，如實(shí)驗(yàn)室采用專線接入，則應(yīng)支持對(duì)專線用戶開戶，開戶后對(duì)專線用戶的整體接入帶寬和不對(duì)下面的接入用戶再進(jìn)行認(rèn)證和計(jì)費(fèi)限制；對(duì)于打印機(jī)的接入做MAC地址認(rèn)證和IP綁定；網(wǎng)絡(luò)解決方案針對(duì)以上湘南財(cái)院提出的明確需求，華為設(shè)計(jì)的解決方案如下：網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D1網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D網(wǎng)絡(luò)出口采用華為400G平臺(tái)，分布式無阻塞交換核心路由器做網(wǎng)絡(luò)出口，連接電信、聯(lián)通、教育科研網(wǎng)和其他7所高校，其高達(dá)3M的FIB標(biāo)容量、高性能的NAT轉(zhuǎn)發(fā)性能及對(duì)IPV6的完美支持，能夠滿足學(xué)校網(wǎng)絡(luò)出口路由及高并發(fā)的NAT轉(zhuǎn)換需求，以及對(duì)接IPV6網(wǎng)絡(luò)。認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)采用2臺(tái)電信級(jí)多業(yè)務(wù)網(wǎng)關(guān)華為ME60設(shè)備，配合深藍(lán)計(jì)費(fèi)軟件，完成整網(wǎng)的準(zhǔn)入認(rèn)證，準(zhǔn)出流量計(jì)費(fèi)需求。接入認(rèn)證服務(wù)器（BRAS）建議采用兩臺(tái)熱備，因?yàn)椴捎胮ppoe認(rèn)證所有的ppp連接終結(jié)在BRAS設(shè)備上，一臺(tái)設(shè)備故障將影響整網(wǎng)的上網(wǎng)業(yè)務(wù)。華為BRAS雙擊熱備部署，能夠?qū)崿F(xiàn)單臺(tái)設(shè)備宕機(jī)，用戶無感知，無需重新?lián)芴?hào)的要求，保證用戶良好體驗(yàn)。ME60與核心交換之間采用萬兆鏈路互聯(lián)，保證數(shù)據(jù)的高速暢通。匯聚交換機(jī)采用華為S7700系列T比特核心路由交換機(jī)通過萬兆鏈路匯聚到核心設(shè)備上，S7700系列交換在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，實(shí)現(xiàn)高清視頻流承載、大容量無線網(wǎng)絡(luò)、彈性云計(jì)算、硬件IPV6、一體化安全等業(yè)務(wù)應(yīng)用，同事具備強(qiáng)大的擴(kuò)展性和可靠性。樓宇小型匯聚，建議采用S5700系列交換機(jī)，其便利的U盤開局特性及雙內(nèi)置冗余電源的行業(yè)市場(chǎng)獨(dú)特需求考慮，具有非常高的穩(wěn)定性，很適合樓層的接入?yún)R聚。認(rèn)證計(jì)費(fèi)方案設(shè)計(jì)認(rèn)證計(jì)費(fèi)系統(tǒng)需求概述 湘南財(cái)院校園園區(qū)網(wǎng)涵蓋有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩部分，在有線網(wǎng)絡(luò)中需要覆蓋的接入場(chǎng)景包括：學(xué)生宿舍、教師辦公區(qū)、實(shí)驗(yàn)室、教工家屬樓等，無線網(wǎng)絡(luò)主要覆蓋教師辦公樓宇會(huì)議室、圖書館等公共場(chǎng)所，在認(rèn)證方式上以802.1x和Portal認(rèn)證為主，隨著校園帶寬的擴(kuò)容和認(rèn)證需求與場(chǎng)景的多樣化，當(dāng)前學(xué)校的認(rèn)證計(jì)費(fèi)系統(tǒng)與設(shè)備不能滿足網(wǎng)絡(luò)演進(jìn)的需要，計(jì)劃在現(xiàn)網(wǎng)引入專業(yè)的BRAS設(shè)備和認(rèn)證計(jì)費(fèi)系統(tǒng)增強(qiáng)對(duì)網(wǎng)絡(luò)運(yùn)營保障，經(jīng)過調(diào)研與研究分析，對(duì)本次校園認(rèn)證計(jì)費(fèi)系統(tǒng)改造的需求梳理如下：系統(tǒng)對(duì)現(xiàn)網(wǎng)的業(yè)務(wù)的兼容現(xiàn)有802.1x接入認(rèn)證方式不能滿足多類型終端接入網(wǎng)絡(luò)的需要，本次新建設(shè)的認(rèn)證計(jì)費(fèi)系統(tǒng)與BRAS設(shè)備需要對(duì)現(xiàn)網(wǎng)的業(yè)務(wù)兼容，同時(shí)應(yīng)能滿足網(wǎng)絡(luò)PPPOE、IPOE和Portal等多種接入認(rèn)證的功能需求；針對(duì)校園有線和無線網(wǎng)絡(luò)部分，計(jì)費(fèi)系統(tǒng)與BRAS設(shè)備需要滿足現(xiàn)網(wǎng)有線無線統(tǒng)一認(rèn)證與計(jì)費(fèi)的要求；方案與設(shè)備選型應(yīng)具有一定的前瞻性、高可靠性隨著校園教學(xué)應(yīng)用系統(tǒng)與視頻業(yè)務(wù)的增加，校園內(nèi)對(duì)網(wǎng)絡(luò)帶寬的要求越來越來高，迫切需要增加校園網(wǎng)絡(luò)出口BRAS設(shè)備的轉(zhuǎn)發(fā)性能，滿足校園內(nèi)網(wǎng)的交換也應(yīng)滿足將來武漢七所高校網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)IPv6演進(jìn)、互聯(lián)網(wǎng)帶寬與網(wǎng)絡(luò)流量再度多次翻倍擴(kuò)容的需要；BRAS設(shè)備為校園出口網(wǎng)絡(luò)的關(guān)鍵設(shè)備，是設(shè)備、網(wǎng)絡(luò)協(xié)議，組網(wǎng)方式上不僅需考慮高可靠性與冗余性的設(shè)計(jì)，又要考慮網(wǎng)絡(luò)接入業(yè)務(wù)在設(shè)備承載上的負(fù)載分擔(dān)，高效的利用所有網(wǎng)絡(luò)設(shè)備，并確保網(wǎng)絡(luò)業(yè)務(wù)的長期正常運(yùn)行；滿足校園網(wǎng)絡(luò)接入場(chǎng)景與認(rèn)證復(fù)雜需求有線無線一體化接入，學(xué)生采用流量計(jì)費(fèi)的方式接入，教師采用工號(hào)與密碼的方式。Portal與PPPOE方式均需支持；教師在辦公區(qū)辦公時(shí)上網(wǎng)進(jìn)行認(rèn)證不計(jì)費(fèi)，在家屬區(qū)上網(wǎng)時(shí)進(jìn)行計(jì)費(fèi)。另外要求，教師在辦公區(qū)上線時(shí)，也要能夠支持同一賬戶在家屬區(qū)同時(shí)上線，并且進(jìn)行計(jì)費(fèi)的功能。對(duì)于學(xué)生和用戶的賬戶有一個(gè)暫停計(jì)費(fèi)的功能，比如學(xué)生采取包月的形式，如果1號(hào)交錢，學(xué)生5號(hào)放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號(hào)暫停服務(wù)，則系統(tǒng)計(jì)費(fèi)的時(shí)間段應(yīng)能夠往下一個(gè)月自動(dòng)后移；計(jì)費(fèi)系統(tǒng)應(yīng)有針對(duì)用戶進(jìn)行時(shí)間補(bǔ)償?shù)墓δ埽瑧?yīng)用場(chǎng)景：如果某一地塊網(wǎng)絡(luò)故障，則需要對(duì)該地塊的上線用戶贈(zèng)送5天免費(fèi)上網(wǎng)的補(bǔ)償；對(duì)于導(dǎo)師帶領(lǐng)學(xué)生做項(xiàng)目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場(chǎng)景，需要支持主賬號(hào)和附屬賬號(hào)的功能，比如一個(gè)導(dǎo)師的主免費(fèi)賬號(hào)下，下掛20個(gè)附屬賬號(hào)也屬于免費(fèi)賬號(hào)，并且上線時(shí)做單獨(dú)的賬戶和密碼認(rèn)證。主賬號(hào)和附屬賬戶的模式也須支持學(xué)校科研項(xiàng)目申請(qǐng)的方式，并支持收費(fèi)。比如：學(xué)校一名教師申請(qǐng)了一個(gè)科研課題，拿出一定經(jīng)費(fèi)申請(qǐng)一個(gè)項(xiàng)目科研主賬號(hào)和多個(gè)子賬號(hào)開展工作，此時(shí)對(duì)該團(tuán)隊(duì)的項(xiàng)目的上網(wǎng)計(jì)費(fèi)僅需計(jì)費(fèi)主賬號(hào)，主賬號(hào)一旦計(jì)費(fèi)時(shí)間截止，則所有子賬號(hào)也均不能再上網(wǎng)；支持對(duì)于各個(gè)學(xué)院的專線接入開會(huì)功能，如實(shí)驗(yàn)室采用專線接入，則應(yīng)支持對(duì)專線用戶開戶，開戶后對(duì)專線用戶的整體接入帶寬和不對(duì)下面的接入用戶再進(jìn)行認(rèn)證和計(jì)費(fèi)限制；對(duì)于打印機(jī)的接入做MAC地址認(rèn)證和IP綁定；華為認(rèn)證計(jì)費(fèi)方案考慮到目前校園網(wǎng)絡(luò)發(fā)展的幾個(gè)趨勢(shì)，諸如：“千兆到桌面”、“數(shù)字化校園”、“多業(yè)務(wù)并行”等，同時(shí)結(jié)合湘南財(cái)院于多業(yè)務(wù)場(chǎng)景接入、；靈活管理運(yùn)營的相關(guān)要求，經(jīng)過前期的交流調(diào)研，華為公司針對(duì)此次認(rèn)證計(jì)費(fèi)系統(tǒng)改造的解決方案如下：在校園網(wǎng)的核心出口推薦部署兩臺(tái)華為公司MSCG專業(yè)設(shè)備ME60作為既作為用戶接入認(rèn)證和計(jì)費(fèi)網(wǎng)關(guān)又作為校園網(wǎng)核心出口路由器，兩臺(tái)ME60間采用萬兆口互聯(lián)，兩臺(tái)設(shè)備間啟用VRRP+，BFDforFRR等冗余保障及鏈路故障倒換協(xié)議，使得兩臺(tái)ME60互為熱備，在用戶接人會(huì)話數(shù)和流量上進(jìn)行1:1負(fù)載分擔(dān)。認(rèn)證計(jì)費(fèi)系統(tǒng)采用深瀾公司Srun3000多接入認(rèn)證計(jì)費(fèi)平臺(tái)，作為Radiusserver、PortalServer和Policyserver、深瀾用戶自助管理平臺(tái)。網(wǎng)絡(luò)拓?fù)湓诰W(wǎng)絡(luò)拓?fù)浞桨钢谐隹趦膳_(tái)ME60與聯(lián)通、電信、CERNET等網(wǎng)絡(luò)全連接，出口實(shí)現(xiàn)多設(shè)備、多鏈路冗余備份。深瀾統(tǒng)一認(rèn)證計(jì)費(fèi)平臺(tái)通過內(nèi)部網(wǎng)絡(luò)與兩臺(tái)ME60連接，兩臺(tái)ME60之間做雙機(jī)熱備，實(shí)現(xiàn)校園出口和核心路由器的冗余熱備。ME60下行與核心交換機(jī)集群連接，各個(gè)接入網(wǎng)絡(luò)的樓棟、宿舍和辦公區(qū)域都直接匯聚接入核心交換機(jī)集群。無線部分即可直接接人核心交換集群，也可在無線網(wǎng)絡(luò)的最近匯聚交換機(jī)上接入。圖2改造后的網(wǎng)絡(luò)拓?fù)鋱D用戶接入有線用戶接入（1）接入交換機(jī)配置用戶VLAN。匯聚交換機(jī)添加外層VLAN。S7700透?jìng)鞯組E60，由ME60終結(jié)QINQ報(bào)文。（2）ME60作為用戶網(wǎng)關(guān)，IPOE用戶上線到ME60轉(zhuǎn)DHCP服務(wù)器給用戶分配IP地址，在通過認(rèn)證之前用戶只能訪問認(rèn)證前域的服務(wù)器，用戶的第一個(gè)HTTP報(bào)文進(jìn)行重定向到Portal服務(wù)器，實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過后允許用戶訪問認(rèn)證后域。（3）ME60作為用戶網(wǎng)關(guān)，PPPOE用戶直接到深瀾AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證。（4）有線用戶基于樓棟交換機(jī)每VLAN，樓棟互訪通過樓棟交換機(jī)同VLAN互訪，跨樓棟和區(qū)域互訪經(jīng)過ME60轉(zhuǎn)發(fā)。無線用戶接入（1）AP與AC二層可達(dá)，AC作為AP網(wǎng)關(guān)并且為AP分配IP地址，AP和AC建立Capwap隧道，實(shí)現(xiàn)AC對(duì)AP的管理。（2）AP選擇本地轉(zhuǎn)發(fā)模式，對(duì)于無線終端上行的報(bào)文進(jìn)行SSID到VLAN的變換，匯聚交換機(jī)添加外層VLAN，S7700透?jìng)鞯組E60，由ME60終結(jié)QINQ報(bào)文。（3）ME60作為用戶網(wǎng)關(guān)，無線認(rèn)證通過后給用戶分配IP地址，Portal認(rèn)證通過后才能訪問外網(wǎng)業(yè)務(wù)。（4）無線用戶通過在AP實(shí)現(xiàn)二層隔離，互訪流量經(jīng)過ME60。網(wǎng)絡(luò)VLAN劃分用戶通過統(tǒng)一VLAN接入各樓棟匯聚交換機(jī)，支持樓棟內(nèi)互訪。區(qū)塊匯聚交換機(jī)(教工用戶、教學(xué)用戶等匯聚)，在樓棟交換機(jī)上打區(qū)塊外層VLAN。核心交換機(jī)透?jìng)鱍inQ報(bào)文，在ME60的BAS子接口終結(jié)。無線網(wǎng)絡(luò)用戶整網(wǎng)統(tǒng)一規(guī)劃管理VLAN1000，與AC6605互通。圖3網(wǎng)絡(luò)VLAN劃分深瀾Srun3000系統(tǒng)深瀾公司Srun3000系統(tǒng)為國內(nèi)各高校主流采用的認(rèn)證計(jì)費(fèi)系統(tǒng)，本次方案也建議采用該系統(tǒng)與ME60對(duì)接配合用于校園網(wǎng)絡(luò)的運(yùn)營。Srun3000安全認(rèn)證網(wǎng)絡(luò)管理計(jì)費(fèi)系統(tǒng)由Srun3000Portal，Srun3000用戶自服務(wù)平臺(tái)和Srun3000Radius認(rèn)證計(jì)費(fèi)平臺(tái)組成，Srun3000認(rèn)證計(jì)費(fèi)系統(tǒng)包含的業(yè)務(wù)模塊和運(yùn)行環(huán)境包括：圖4Srun3000認(rèn)證計(jì)費(fèi)系統(tǒng)Srun3000Portal：配合ME60彈出用戶定制的認(rèn)證頁面，根據(jù)用戶的認(rèn)證條件，比如認(rèn)證的身份，位置，方式，返回相應(yīng)的控制屬性給ME60，實(shí)現(xiàn)對(duì)用戶的Portal認(rèn)證控制，同時(shí)在Portal上提供方便的用戶自助服務(wù)平臺(tái)，實(shí)現(xiàn)用戶自助。Srun3000UserManager用戶管理系統(tǒng)：用于管理所有的用戶，包括任何級(jí)別的管理員、收費(fèi)員及角色管理系統(tǒng)；支持虛擬化技術(shù)，具體的功能見附件列表。Srun3000Radius認(rèn)證計(jì)費(fèi)平臺(tái):為多種接入認(rèn)證方式提供認(rèn)證，授權(quán)，計(jì)費(fèi)，支持多種NAS設(shè)備,為多種接入BRAS提供了專門的屬性擴(kuò)展，并提供COA技術(shù)，實(shí)現(xiàn)由RadiusServer端發(fā)起用戶的下線，授權(quán)變更，對(duì)用戶的上網(wǎng)做完整的控制，Srun3000Radius采用內(nèi)存認(rèn)證技術(shù)，內(nèi)部可以最多存放10萬條明細(xì)，支持在鏈路中斷的情況下獨(dú)立運(yùn)行，同時(shí)配合NAS支持主備Raidus平滑切換。Srun3000Log日志記錄系統(tǒng)：采用數(shù)據(jù)鏡像采集，數(shù)據(jù)外部輸入等多種數(shù)據(jù)采集技術(shù)，配合負(fù)載均衡設(shè)備，可以忠實(shí)的記錄用戶上網(wǎng)的URL，提供全部用戶的上網(wǎng)日志，智能的存儲(chǔ)技術(shù)，可以在上千萬條URL記錄的情況下快速定位問題ＵＲＬ。Srun3000智能客戶端：Srun3000提供多種認(rèn)證客戶端，PPPoE，802.1x，L2TP，在客戶端提供了消息推送，用戶自服務(wù)，用戶認(rèn)證信息保存的多種方便的功能。認(rèn)證計(jì)費(fèi)場(chǎng)景設(shè)計(jì)經(jīng)過前期交流和需求調(diào)研了解到校園內(nèi)有如下幾種用戶和計(jì)費(fèi)場(chǎng)景：學(xué)生用戶：學(xué)生用戶分為具備外網(wǎng)出口權(quán)限和不具外網(wǎng)出口權(quán)限兩種用戶；教師用戶：教師用戶在辦公區(qū)和家屬區(qū)上線；教工用戶：教工用戶為在教師家屬區(qū)上線用戶；專線用戶：特定的學(xué)院或是實(shí)驗(yàn)室通過專線形式接入，不對(duì)專線用戶下的二次用戶接入進(jìn)行再次認(rèn)證；主賬號(hào)與附屬賬戶用戶：學(xué)校導(dǎo)師或是科研團(tuán)隊(duì)，通過一個(gè)主賬戶認(rèn)證計(jì)費(fèi)，主賬號(hào)的附屬賬號(hào)同時(shí)具備上線權(quán)限，計(jì)費(fèi)控制在主賬號(hào)上統(tǒng)一管理打印機(jī)等無撥號(hào)功能設(shè)備的接入；針對(duì)以上接入用戶需求，設(shè)計(jì)認(rèn)證與計(jì)費(fèi)方案如下：DAA根據(jù)目的地址計(jì)費(fèi)DAA是destinationaddressaccounting的簡(jiǎn)稱，在ME60上部署DAA功能實(shí)現(xiàn)了對(duì)用戶接入業(yè)務(wù)訪問目的地址的差別進(jìn)行管理，根據(jù)不同目的地址定義不同的費(fèi)率級(jí)別進(jìn)行收費(fèi)和不同的網(wǎng)速控制。在校園網(wǎng)內(nèi)，用戶上線后一般訪問教育網(wǎng)內(nèi)不收費(fèi)或者收很低的費(fèi)用，而且是不限速的，而如果訪問教育網(wǎng)外的Internet，需要收取較高的費(fèi)用，同時(shí)限制一定的帶寬，通過此功能可以實(shí)現(xiàn)訪問校內(nèi)資源不計(jì)費(fèi)，訪問外網(wǎng)或是教育網(wǎng)采用不同的計(jì)費(fèi)策略。教師在不同地點(diǎn)上線采用不同的計(jì)費(fèi)策略教師在辦公區(qū)辦公時(shí)上網(wǎng)進(jìn)行認(rèn)證不計(jì)費(fèi)，在家屬區(qū)上網(wǎng)時(shí)進(jìn)行計(jì)費(fèi)。教師在辦公區(qū)上線時(shí)，也要能夠支持同一賬戶在家屬區(qū)同時(shí)上線，并且進(jìn)行計(jì)費(fèi)。ME60根據(jù)用戶上線攜帶的不同VLAN或是Option信息通過Radius報(bào)文上報(bào)到srun3000,在srun3000上可以根據(jù)這些信息做漫游計(jì)費(fèi)，在特定的源地址和VLANID可以不做明細(xì)計(jì)費(fèi)，同時(shí)允許多個(gè)用戶同時(shí)撥號(hào)，統(tǒng)一計(jì)費(fèi)。通過srun3000滿足計(jì)費(fèi)功能(1)對(duì)于學(xué)生和用戶的賬戶有一個(gè)暫停計(jì)費(fèi)的功能，比如學(xué)生采取包月的形式，如果1號(hào)交錢，學(xué)生5號(hào)放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號(hào)暫停服務(wù)，則系統(tǒng)計(jì)費(fèi)的時(shí)間段應(yīng)能夠往下一個(gè)月自動(dòng)后移，srun3000系統(tǒng)中按開通日期結(jié)算功能，可以實(shí)現(xiàn)用戶暫停服務(wù)后開通，就按開通日期延后一個(gè)月的日期結(jié)算。(2)計(jì)費(fèi)系統(tǒng)應(yīng)有針對(duì)用戶進(jìn)行時(shí)間補(bǔ)償?shù)墓δ埽绻骋坏貕K網(wǎng)絡(luò)故障，則需要對(duì)該地塊的上線用戶贈(zèng)送5天免費(fèi)上網(wǎng)的補(bǔ)償,srun3000系統(tǒng)的計(jì)費(fèi)模塊有贈(zèng)送流量或是時(shí)間個(gè)優(yōu)惠模式，通過這個(gè)功能可以在套餐管理中實(shí)現(xiàn)。(3)對(duì)于導(dǎo)師帶領(lǐng)學(xué)生做項(xiàng)目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場(chǎng)景，需要支持主賬號(hào)和附屬賬號(hào)的功能，比如一個(gè)導(dǎo)師的主免費(fèi)賬號(hào)下，下掛20個(gè)附屬賬號(hào)也屬于免費(fèi)賬號(hào)，并且上線時(shí)做單獨(dú)的賬戶和密碼認(rèn)證。主賬號(hào)和附屬賬戶的模式也須支持學(xué)校科研項(xiàng)目申請(qǐng)的方式，并支持收費(fèi)。比如：學(xué)校一名教師申請(qǐng)了一個(gè)科研課題，拿出一定經(jīng)費(fèi)申請(qǐng)一個(gè)項(xiàng)目科研主賬號(hào)和多個(gè)子賬號(hào)開展工作，此時(shí)對(duì)該團(tuán)隊(duì)的項(xiàng)目的上網(wǎng)計(jì)費(fèi)僅需計(jì)費(fèi)主賬號(hào)，主賬號(hào)一旦計(jì)費(fèi)時(shí)間截止，則所有子賬號(hào)也均不能再上網(wǎng)。目前srun3000系統(tǒng)還不具備這個(gè)功能目前需要開發(fā)定制。實(shí)驗(yàn)室和學(xué)院的專線接入針對(duì)實(shí)驗(yàn)室和學(xué)院的專線接入采用以太網(wǎng)二層專線接入方式。專線（LeasedLine）接入業(yè)務(wù)是指將ME60的某個(gè)以太網(wǎng)接口或者接口下的某些VLAN整體提供給一組用戶使用的業(yè)務(wù)。一條專線下可以接入多臺(tái)計(jì)算機(jī)，但是在ME60上只表現(xiàn)為一個(gè)用戶，ME60對(duì)專線進(jìn)行統(tǒng)一的認(rèn)證計(jì)費(fèi)、帶寬控制、訪問權(quán)限控制以及QoS控制。辦公打印機(jī)等網(wǎng)絡(luò)設(shè)備的接入將打印機(jī)視作一個(gè)接入用戶，認(rèn)證方式采用MAC地址認(rèn)證，在打印機(jī)上線發(fā)出DHCP請(qǐng)求時(shí)觸發(fā)認(rèn)證，在ME60上配置打印機(jī)的MAC地址綁定IP地址。與正常寬帶用戶上線不同的是打印機(jī)上線后沒有外網(wǎng)訪問權(quán)限，通過接入子接口的路由導(dǎo)入與教師辦公樓進(jìn)行互通，根據(jù)打印機(jī)的密碼訪問打印機(jī)。也可對(duì)交換機(jī)做靜態(tài)認(rèn)證，默認(rèn)為特定用戶的方式在線。Srun3000系統(tǒng)功能應(yīng)用Srun3000安全認(rèn)證網(wǎng)絡(luò)管理計(jì)費(fèi)系統(tǒng)10年高校認(rèn)證計(jì)費(fèi)的經(jīng)驗(yàn)，形成了對(duì)高校接入認(rèn)證的完美理解，系統(tǒng)提供了針對(duì)高校的特點(diǎn)的許多特有的功能，比如用戶特有的漫游策略，國內(nèi)，國際地址的區(qū)分策略，防IPMAC盜用，靈活的帶寬控制策略，方便的高校特色的用戶自助等等。高可靠設(shè)計(jì)為了提高Radius系統(tǒng)的可靠性，Srun3000Radius采用了內(nèi)存認(rèn)證的方式，使得Srun3000Radius的獨(dú)立性很強(qiáng)，采用定時(shí)同步的方式維護(hù)內(nèi)存用戶表的完整性，和用戶的數(shù)據(jù)庫保持一致，內(nèi)存表最多可以容納10萬條記錄，同時(shí)存放了用戶的全部的認(rèn)證相關(guān)信息。采用獨(dú)立的內(nèi)存認(rèn)證方式，使得Srun3000Radius的認(rèn)證效能是其他Radiusserver的10倍。后臺(tái)數(shù)據(jù)庫（包含日常運(yùn)營數(shù)據(jù)數(shù)據(jù)庫和訪問記錄服務(wù)器）服務(wù)器放置在學(xué)校網(wǎng)管中心，負(fù)責(zé)實(shí)時(shí)存儲(chǔ)Srun3000安全認(rèn)證網(wǎng)絡(luò)管理計(jì)費(fèi)系統(tǒng)運(yùn)營產(chǎn)生的所有信息，方便各管理模塊的查詢。Srun3000安全認(rèn)證網(wǎng)絡(luò)管理計(jì)費(fèi)系統(tǒng)負(fù)責(zé)用戶的接入、認(rèn)證、計(jì)費(fèi)控制的主要系統(tǒng)，是整個(gè)系統(tǒng)中最重要的部分，Srun3000具有自帶的數(shù)據(jù)保護(hù)技術(shù)，支持?jǐn)?shù)據(jù)庫故障和認(rèn)證網(wǎng)關(guān)故障的數(shù)據(jù)安全，后臺(tái)的數(shù)據(jù)庫故障：Srun3000Radius保存有數(shù)據(jù)庫故障前的所有用戶資料，因此Srun3000可以獨(dú)立運(yùn)行完成用戶的認(rèn)證請(qǐng)求，Srun3000認(rèn)證網(wǎng)關(guān)利用內(nèi)置的數(shù)據(jù)保護(hù)系統(tǒng)可以存儲(chǔ)多達(dá)20萬用戶的用戶完整信息、用戶狀態(tài)、可以存儲(chǔ)200萬條用戶明細(xì)記錄和登陸記錄，由于Srun3000具有完整的用戶信息，包括用戶余額，結(jié)合設(shè)置的計(jì)費(fèi)策略，Srun3000可以實(shí)時(shí)依據(jù)余額判斷用戶可用時(shí)長及流量并根據(jù)用戶的使用情況進(jìn)行實(shí)施控制，避免用戶產(chǎn)生欠費(fèi)。待后臺(tái)數(shù)據(jù)庫恢復(fù)后，可以將Srun3000的信息恢復(fù)到數(shù)據(jù)庫中。多認(rèn)證模式統(tǒng)一部署Srun3000支持多種接入認(rèn)證模式：WEB、DHCP+、VLANID、802.1x，專用客戶端、pppoe、L2TP等，支持無線網(wǎng)絡(luò)的統(tǒng)一認(rèn)證。Srun3000系統(tǒng)設(shè)計(jì)采用了多體系模塊化設(shè)計(jì)，管理功能模塊既可以分散部署，也可以集中部署，根據(jù)可靠性、安全性、預(yù)算，學(xué)校可以很靈活的進(jìn)行部署，并具有完善的無縫結(jié)合功能，即可以將RadiusServer、數(shù)據(jù)庫、用戶自助服務(wù)系統(tǒng)、策略管理平臺(tái)融合在一臺(tái)服務(wù)器上，也可以將RadiusServer、數(shù)據(jù)庫、用戶自助服務(wù)系統(tǒng)、策略管理平臺(tái)分別部署在不同的服務(wù)器上。在湘南財(cái)院建議采用分開部署的方式用戶上網(wǎng)訪問日志查看Srun3000認(rèn)證網(wǎng)關(guān)在對(duì)于用戶訪問記錄的記錄方面是非常完善的，可為訪問記錄專門設(shè)計(jì)一個(gè)數(shù)據(jù)庫日志文件。并且根據(jù)當(dāng)其訪問記錄超過容量時(shí)，自動(dòng)分配一個(gè)新的訪問記錄文件，可以通過寫文件或者寫數(shù)據(jù)庫的形式保存訪問記錄，保證了訪問記錄的完整性和靈活性。訪問日志是通過寫文件的形式存儲(chǔ)到數(shù)據(jù)庫服務(wù)器硬盤里面的，存儲(chǔ)時(shí)間的長短，取決于硬盤空間的大小。只要硬盤空間足夠大，就可以存儲(chǔ)相當(dāng)?shù)娜罩疚募⑶冶ＷC數(shù)據(jù)不會(huì)丟失。在訪問記錄中可以隨時(shí)查詢到：賬戶名、登陸訪問時(shí)間、當(dāng)前在線人數(shù)、總使用時(shí)間、登陸的目標(biāo)網(wǎng)站地址、目標(biāo)IP、源IP、