校园认证计费解决方案

发布时间:2010/10/20 13:51:23 来源:支点网

一、前言
  随着Internet的不断深入应用与发展,网络数据业务出现井喷趋势,宽带用户呈现快速增长,伴随网络发展的同时,骇客技术、病毒、网络堵塞、信息窃取问题无处不在国外美国白宫网站被黑、俄罗斯宇航局网站资料库被黑,国内超市结算数据被窃取,现在流行的蹭网族,等等案例说明对于我们的企业、学校、政府如何才能有效管理及安全使用已经是重点需要解决的难题:
  ISP运营商需要构建一个安全、稳定、高速的宽带网络,有效搭建计费精确、负荷率高、可控性强、操作简便、维护升级快捷的用户管理平台,以及有效防止内部病毒传播;
  电子政务建设在我国各级政府部门及行政事业单位推进,构建一个完全网络化的虚拟机关,实现信息交流和数据共享有机结合的同时,减少网络及设备投入成本,确保信息畅通无阻、内外网间安全的数据交换、信息传递过程中的加密、建立完善的安全防御机制,有效阻止非法访问和攻击对系统的破坏已成为关注焦点;
  企业信息化发展和成熟,在有限的预算中降低因接入互联网带来的各种风险,实现灵活、安全、可跟踪、可监督的“协同”办公平台;
  各大高校及大中专院校正在通过网络技术在整个校园建立功能强大的有线和无线网络,将学生、教师和行政管理人员连接起来,利用一个丰富带宽资源、超大并发量、安全的内网,可监控上网的环境,促进校园内外沟通。
  二、技术对比
  1.PPPOE
  1998年后期问世的以太网上点对点协议(PPPoverEthernet)技术是由Redback网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNETTechnologies公司在IETFRFC制的基础上联合开发的。主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式,提供支持多用户的宽带接入服务时更加简便易行。
  优点:
  *PPPOE协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
  *是传统PSTN窄带拨号接入技术在以太网接入技术的延伸
  *和原有窄带网络用户接入认证体系一致
  *最终用户相对比较容易接收
  *电信、网通、等主流ISP使用
  2.Web+Portal
  Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。
  用户登录到PortalServer后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给PortalServer,再由PortalServer与NAS之间交互来实现用户的认证。
  优点:
  *不需要特殊的客户端软件,降低网络维护工作量
  *可以提供Portal等业务认证
  3.802.1x
  IEEE802.1x是一种基于端口的网络接入控制技术,在LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwITch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
  优点:
  *通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离。
  4.三种认证技术比较
  三、方案
  1、需求描述
  基于现场基本情况,提出了如下的问题需要解决:
  1、带宽管理的需求目前的校园网出口带宽是有限的,若干用户无限制的使用出口带宽,或者使用某些特殊下载工具,如BT、电驴等,造成出口拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络:出现拥塞,所有用户不能正常上网。
  2、安全管理的需求校园网的用户绝大多数为求知欲望和动手能力非常强的学生群体,他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。同时由于校园网信息流动量大、受众特殊的特点,校园网也常常成为别有用心的网络攻击者的目标。
  3、计费和运营的需求校园网络同时具备了用户密度大,和用户类型多的特点。针对不同的用户群体,如:办公区,学生宿舍,院系机房,如何采取不同的运营管理和控制策略,在保证网络正常运行的情况下保证各项计费数据的采集,最终达到网络运营的目的。
  4、网络行为管理和访问日志的需求盗用IP地址,修改MAC地址,用户名和密码的丢失,合法网络用户无法登陆网络,访问非法网站监测,恶意占用带宽监测,校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得,如何提交有效的网络访问记录
  2、设计原则
  基于校园的作业需求,整体结合带宽管理、帐号管理、优先设计、VPN出口设计具备良好的兼容性、可扩展性、可管理性、可维护性、良好的开放性、先进性及安全性能等
  3、方案设计
  3.1方案说明
  宽带认证服务器由NAT-2400高性能路由器、NATRadiusServer计费系统构成。
  NAT-2400高性能路由器
  NATRadiusServer计费系统
  NATRadiusManager计费管理系统,为标准的Radius机费而开发的,基于Windows平台开发,操作简单易用。NATRadiusManager能兼容标准的Radius协议,支持Hotspot、PPTP、L2TP和PPPoE认证上网功能,能有效的管理用户帐号,支持多种计费方式:包月、计时和流量计费等。能自动计算每个用户的费用,用户到期后自动注销用户帐号。
  3.2NATRadiusManager特点
  支持标准Radius协议
  基于windows平台,操作简易、方便实用;
  设置快捷,1分钟完成Radius计费系统配置;
  支持多种数据库access和MSSQL;
  支持Web用户自助页面,用户可以自己修改密码;
  支持Hotspot、PPTP、L2TP和PPPoE等认证;
  支持多种计费方式包月、计时和流量计费
  支持log日志管理和现金管理日志
  

关键词:信息化教育

更多推荐企业