目 录(TOC Heading)第1章 前言... 2第2章 需求分析... 32.1正确的用户身份确认.. 32.2 灵活的计费策略.. 32.3 精确的费用统计.. 32.4 个性化的网络计费.. 3第3章 解决方案简介... 5第4章 华为3Com认证计费方案的特点... 74.1 认证相关.. 74.1.1 认证方式效率高且灵活.. 74.1.2 认证安全可靠.. 74.1.3 引入绑定技术.. 84.1.4 防止
PRoxy的使用.. 84.2 用户治理.. 84.2.1 灵活的用户治理.. 84.2.2 自动完成绑定.. 84.2.3 用户
ip唯一.. 84.2.4 黑名单.. 94.2.5 在线用户控制.. 94.2.6 用户上网时段控制.. 94.2.7 用户访问控制.. 94.2.8 统一身份识别.. 94.2.9 用户自助治理.. 94.2.10 密码治理.. 104.2.11 在线通知.. 104.3 计费治理.. 104.3.1 灵活的计费策略.. 104.3.2 支持预付费.. 104.3.3 包月暂停.. 104.3.4 余额通知.. 104.3.5 帐单查询.. 104.4 性能价格比.. 11
要害词:Cams,认证,计费 摘 要:本文介绍了华为3Com的综合访问治理服务器在校园网计费认证解决方案中的具体地位和功能。 缩略语清单:Cams ? 综合访问治理服务器 参考资料清单: 无
第4章 华为3Com认证计费方案的特点
4.1 认证相关
4.1.1 认证方式效率高且灵活
由于采用分布式的认证方式,这样将认证的负担分布到每一个接入层设备,即使所有的用户同时发起认证请求也不会造成网络拥塞和服务中断。并且,作为802.1x国标的主要制订者,华为3Com公司进行了协议扩展,突破了原有协议只支持端口认证的功能,实现了对于逻辑端口的认证。这样不仅可以答应每一个物理端口下有不止一个的用户同时上网,同时每一个用户都需进行严格的身份认证。
4.1.2 认证安全可靠
认证流程图如下:
CHAP验证过程中采用
md5加密技术,对报文进行签名和对用户密码加密等措施严格保证认证过程的安全性。
4.1.3 引入绑定技术
IP地址是我们识别用户身份重要依据之一,但是现在有许多软件可以修改用户的IP甚至是MAC地址,这样就轻易造成用户治理的混乱。非凡是一旦用户帐号被盗后,我们在短时间内很难对此做出任何判定。现在我们引入了绑定技术,可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码,还需认证其IP或MAC,甚至是VLAN和端口号。这样一来不仅完善了对用户合法身份识别的方法,更降低了因帐号被盗所引起的损失。
4.1.4 防止Proxy的使用
Proxy的使用将减少网络运营的收入,增加网络运营的成本,尤其是在学生众多的校园网内。因此我们通过客户端、交换机和CAMS三者的配合可以阻止Proxy在校园的使用(无论是单网卡还是双网卡Proxy技术)。
4.2 用户治理
4.2.1 灵活的用户治理
一套好的认证计费方案必然是一套好的用户治理方案。CAMS系统可以单独生成用户,还可以批量生成用户,如卡号类用户。只要配有制卡机,学校就能发行自己的上网卡,方便学生上网。但是,从治理的角度看,我们建议为每一个用户制定相关档案。CAMS内置了常用用户信息
模板,同时也提供相应新模板的制作。治理者可以根据具体情况自定义用户参数,如寝室号,学号等信息。
4.2.2 自动完成绑定
上文提到为了提高安全性,我们可以采用帐号+IP+MAC的绑定技术。但是用户数量很多时,登记每一个用户的IP和MAC是一件工作量很大的事情。这时只需启动自动绑定功能,CAMS就可以自动学习用户第一次上网时的IP和MAC并做相应绑定。
4.2.3 用户IP唯一
通常我们采用DHCP分配客户IP地址时,其依据是VLAN或MAC,而不是用户本身。对此,CAMS提供内置的DHCP功能,可以根据用户名来分配地址,这就意味着每一个用户将对应唯一的IP。这不仅能提高治理的效率,更能广泛的应用到校园信息系统中去,使整个系统可以根据IP实现灵活的计费、治理策略。
4.2.4 黑名单
一旦一个用户帐号连续输入不正确的密码(如10次),此帐号将被自动记录到黑名单而被冻结,这样可以防范恶意的穷举(暴力)破解密码。当然,也可将攻击网络或故意破坏的用户加入黑名单。
4.2.5 在线用户控制
CAMS提供具体的用户在线信息,如帐号、IP、MAC、端口、时间、流量等,并可实施强制下线,减少非法用户和中毒计算机对网络的危害。
4.2.6 用户上网时段控制
网络是个双刃剑,因此我们对于学生的上网时段需要控制。CAMS可以提供非常灵活的时间控制。如,对于学生帐号,8:00-19:00不答应上网;对于实验室帐号,只答应特定的时间段上网等。
4.2.7 用户访问控制
我们可以通过配置ACL来对网络做出相应的访问规则。那么这样的规则是否能落实到每一个用户呢?现在可以了。CAMS支持用户分组,每组成员数不限。同时华为3Com交换机支持动态VLAN下发。这就意味着我们通过ACL制定相关VLAN的访问策略,对于不同用户组的用户在完成认证后其VLAN ID将被下发到接入交换机,从而使网络访问受到严格的控制。
4.2.8 统一身份识别
校园内经常存在不同类型的应用系统或服务器,CAMS支持LDAP目录服务,可以将网络计费系统良好的融入到整个大网之中,做到用户一个帐号对应不同的应用系统。
4.2.9 用户自助治理
CAMS拥有用户自助治理模块。用户可以通过WEB方式登陆自助平台进行业务的查询、密码修改、余额的查询、上网卡充值等动作。
4.2.10 密码治理
用户假如要修改密码,有两种方式:一是登录自助网站修改;二是通过客户端修改密码,两种方式都非常方便。假如忘记了密码,那么还可以通过Email的方式索回密码。
4.2.11 在线通知
通过CAMS,网络中心可以将各种通知信息,如停网通知实时地发到每一个在线用户的客户端上去,从而保证及时发布重要通知。
4.3 计费治理
4.3.1 灵活的计费策略
CAMS支持按流量、时长、带宽计费。整个计费过程严谨、科学、准确。同时可以制定灵活的优惠策略。如,制定优惠时间段和优惠策略或制定奖励计划等。
4.3.2 支持预付费
作为神州行和校园201电话的发明者,我们华为3Com将上网预付费引入到校园。学生可以采用预付费的方式上网。学校可以发行相应的充值卡,学生也可以通过Web方式自助充值。
4.3.3 包月暂停
学校有寒暑假,假期如采用包月的方式,那么对于用户来讲就要损失费用。例如,学校7月10日放暑假,CAMS为此提供包月暂停,学生申请了此业务,那么7月下半月的费用可以用到9月下旬。
4.3.4 余额通知
一旦帐户余额不足,那么CAMS将通过其注册的Email通知该客户。
4.3.5 帐单查询
CAMS是面向电信运营商、企业网市场的认证计费产品,因此提供电信运营级的帐单治理和报表治理,从而保证计费有迹可查。
4.4 性能价格比
作为电信级认证计费系统,CAMS已经应用在国内外许多运营商市场;同时CAMS针对教育行业进行了大量的专门开发,整个开发是严格遵循CMM5标准。CAMS基于Linux平台,数据库采用Oracle,支持冗余备份和负荷分担工作,并在价格和性能方面找到了完美的平衡点。
华 为3Com 有 限 公 司版权所有 侵权必究
计费方案由三部分组成:1、 客户端用户采用802.1x认证客户端来完成上网的认证。从安全性、兼容性和业务开展的角度考虑,建议全网采用华为3Com公司的802.1x客户端。2、 认证设备接入交换机。接入交换机启动802.1x功能,完成对用户认证请求的处理,将802.1x协议规定的EAP报文转化成Radius报文,完成和认证计费平台的互动,答应或拒绝用户上网。对于上网用户,交换机完成用户上网的实时统计和定期更新,并将时间信息交由认证计费平台处理。3、 认证计费平台采用CAMS综合计费平台。此平台基于linux操作系统和Oracle数据库,负责完成所有认证和计费过程。 
