还剩30页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
XX校园智慧网络建设运营管理设计
1.1智慧校园网统一认证需求分析XX学院未来校园网建设由中标方投资,通过校企双方合作,以市场化运营的方式实现了校方和中标方以及运营商的共赢的数字校园建设方案,根据业务需求和建设方案,需要对XX学院现有校园网的认证计费系统进行改造运营商基于三网融合的根本需求,以及对整个智慧校园进行统一运营的需求,需要实现上网用户账号的开通、认证、计费都在运营商系统上完成,既统一账号的管理,也防止私开账号和带宽不一致的问题,节省未对接前的维护本钱就需要将校方的认证计费管理系统和CRM系统进行对接,到达此目的在本次XX学院智慧校园网建设工程中,学校考虑到要对校园网进行监控以及为了后续建设智慧化校园,需要将所有帐号进行统一管理在现有认证计费系统的根底上,可将学校自建局部和运营商投资建设局部统一纳入到认证计费管理系统中来需要说明的是,锐捷网络的RG-SAM运营商对接方案无需在CRM上进行开发是使用标准的radiusproxy协议与CRMAAA系统进行的对接另外当RG-SAM未与运营商CRM对接时也可以独立完成用户开户、缴费、认证的统一管理
1.2智慧校园网统一认证建设思路>用户认证计费校园网内部用户发起
802.IX认证,RG-SAM收集用户认证信息后,通过radiusproxy协议将用户的认证请求和计费请求报文转发给运营商CRM处理同时RG-SAM在判断用户是否可以访问校园网的同时,将下发必要的用户接入控制消息和记录用户在线信息>用户开户缴费校园网内部用户可以到运营商营业厅或学校代办点进行用户开户和缴费,通过运营商CRM系统与RG-SAM运营商版的配合,实现以下两种开户方式由用户最终选择其中一种方案一运营商和校园网使用一套帐号该帐号由运营商开户也能在校园网内使用;方案二运营商和校园网使用各自的帐号运营商和校园网独立开户,开户后将两个帐号进行关联,到达两套帐号但使用时只记忆校园网帐号即可且不影响运营商生成标准账务>系统容量目前XX学院总用户数为4万左右,系统终期容量按10万户计算本次统一认证计费系统改造将部署满足4万用户的授权,后期可根据实际开户用户数量的增加用户授权>带宽套餐选择策略用户可根据需要选择不同宽带套餐,如2M、3M、4M、8M、10M(运营商需提供各带宽的具体上下行带宽),当用户接入校园网后认证计费系统将根据运营商提供的用户套餐信息为不同的用户限制不同网络带宽,实现差异化的校园网运营方案
1.3方案价值该方案是专门为运营商和校方共同运营同一网络而设计的,设计的宗旨是使运营商和校方双方投入最少的资源和工作量进行运营,且满足双方不同的需求总体方案设计如下列图所示方案兼顾了运营商开户和收费的权利,以及校方参与监管的需求上网用户使运营商和校方共同拥有管理权,满足各自不同的需要运营商拥有开户和收费的权利同时,校方能够监控该网络、在必要时进行控制管理统一认证、统一管理,支持多运营商共同运营整合校园网,消除管理上的盲区同时,为智慧化校园的开展打下良好根底多运营商运营时,上网用户在任何区域上网,流量都将通过他所属运营商的出口进行发送搬迁宿舍、更换运营商都无需调整线路和更改网络配置上网用户能够获得一个校园网帐号畅行所有网络的良好体验只需一次认证,即可实现校内免费、校外收费的策略即使在欠费的情况下也能保障用户访问智慧化校园的各类资源的权利
1.4网络架构设计I校园网用户身份源宿舍区(运营商投资)及计费中心全网用户的监控中心在运营商侧或高校侧部署运营商版SAM分别与运营商BOSS、校园网SAM进行对接,实现学生开户的运营商帐号与校园网帐号关联统,为学校保存校园网运营管理权力;实现学校只认证校园网帐号关联运营商帐号的登录均转发至运营商BOSS进行认证计费和套餐策略下发,保障运营商自有的运营模式不受冲击部署流控设备ACE与SAM联动,实现基于用户的限速与基于用户的流量记录运营商可开通一系列固定带宽套餐,并为流量套餐采集流量数据部署出口设备RG-RSR7708-X与SAM联动,实现同一LAN或同一SSIDT多运营商帐号登录后出口流量的正确选路(电信帐号走电信出口,移动帐号走移动出口,校园网帐号走CERNET出口)在校园网内结合五位一体解决方案实现准入准出认证一体化、
802.lx和Web认证一体化、有线和无线认证管理一体化、IPv4和IPv6一体化、校内和校外一体化
1.5高校BOSS与运营商BOSS无缝对接RG-SAM
3.X运营商版实现了高校计费认证系统校园网SAM与运营商BOSS系统的无缝对接采用标准RadiusProxy与运营商BOSS进行对接,运营商无需进行二次开发,直接指向运营商版SAM的IP地址即可对接使用与其他采用第三方接口的开发方案比照,ICT高校运营解决方案对运营商来说具有零开发、易部署、稳定性高的优势•运营商版SAM概述锐捷网络RG-SAM
3.X运营商版本使运营商能和校方共同运营ICT建设的网络,能保障运营商持续拥有开户和收费的权利,同时校方能够对整个网络进行控制以及将ICT建设网络融合到校园网使上网用户能够获得一个校园网帐号畅行所有网络的良好体验RG-SAM
3.X运营商版本是构造运营商和高校共同运营系统的核心产品与RG-SAM
3.X标准版、企业版或者集群包协同工作能够非常灵活的支持共同运营的管理需求除了支持有线无线网络的统一认证支持
802.lx和web认证方式的灵活部署,也支持灵活的准入和准出部署例如,无需二次认证即可实现校内免费,internet收费的准入准出模式RG-SAM
3.x运营商版本支持与运营商(移动、联通、电信)认证计费系统的透明对接使运营商的认证计费系统作为最终的认证计费平台,确保运营商的放号、收费权利,还能支持运营商制定的多种计费策略,甚至是与语音、3G关联的计费业务同时校方在此平台上还可以对所有接入方式的认证、接入控制、计费、日志、上网用户消费情况进行监控在多家运营商共同运营的情况时,还可确保不同运营商的上网用户使用指定运营商的出口带宽以及运营商接入的平滑迁移和切换不仅可以保护校方的收益,还可以持续拥有对校园网战略资产的管理权•运营商版SAM特性与运营商认证计费系统的对接采用标准的Radius协议,无需进行二次开发即可快速的部署支持上网用户的统一帐号认证上网用户采用校园网帐号即可在运营商投资的网络、校园自有网络上进行认证不仅提升上网用户的认证体验,也为智慧化校园统一帐号的实现、全网用户上网监控奠定根底支持多业务统一认证,可以支持
802.1X、VPN接入、Web准入、网关准出、无线接入等多种接入方式,使同一个用户可以通过不同的效劳接入,保证管理运营能基于效劳类型进行精细化管理支持统一管理,可对校园内的运营商帐号进行接入控制管理,如接入时段管理、在线信息查询、上网情况统计等等使校园网的标准和策略同样适用于运营商投资的网络做到统一管理、消除管理上的盲区支持统一运营,引入多家运营商时,可在同一根底网络平台上进行多家运营商的运营如上网用户使用校园网帐号可全网认证,平滑切换运营商而无需更改网络配置和接入线路全面支持运营商的各种计费策略,甚至是关联语音、3G上网业务的套餐在校方能对全网的运营进行管理的同时,运营商能持续保有开户和收费的权利通过可定制的、精确的认证失败提示信息,使校方和运营商的分工界面清晰,确保用户在报修时准确的拨打报修防止上网用户不清楚故障受理的主体而误拨校方技术支持,减少不必要的纠纷和工作量提供各个运营商的开户、销户、在线用户报表,通过此报表能准确把握运营趋势支持入网即收费、校内免费internet收费、不同地区不同计费、有线无线不同计费、出网才收费的各种运营模式支持包月、包天、时长、流量等不同的计费策略精细平安的权限和组管理,保证管理员权限的同时,提供了灵活的权限定制方式,可实现分级管理,权限细化到第三级菜单强大的日志功能,可记录和查询认证日志、系统日志、管理员操作日志、用户WEB自助效劳日志、账单效劳器日志等,实现事后的审计;并且其内网日志可以通过和RG-APM产品的对接实现基于用户的NAT日志、URL日志的统一分析和查询用户WEB自助效劳功能,用户可通过WEB自助效劳页面,进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值配合RG-ACE支持针对基于用户身份的网关流量(国际国内上下行)计费,方便实施对P2P流量的管理;同时,还可以进行基于用户的应用访问控制,以及带宽管理丰富的二次开发接口,方便与一~通等业务系统的集成支持LDAP协议,方便实施用户身份信息的统一集中管理在兼容性方面,支持友商的交换机,实现全面的认证、接入控制、计费、报表和日志等功能有效满足用户的业务需求,如客户端登录有弹出指定Url、用户名强制下线、批量导入修改、批量导入缴费、导入查询等独有的智能维护功能,对数据库文件、运行环境进行监控和自动维护,减少手工操作工作量,确保系统的稳定运行
1.6客户端防代理防逃费在终端安装
802.lx客户端,通过检测终端的数据流和应用程序等行为特征判断终端是否使用了代理实施逃费动作检测到终端有代理逃费行为后,
802.lx客户端会主动将终端用户踢下线,并通知计费认证SAM效劳器下线原因
1.7本地号段绑定运营商的号能够实现全国漫游功能,带来的问题是在学校使用的号很可能是其他区域的账号,运营商在投资建设网络之后所放账号以及费用信息却全部到了其他区域运营商处,无法保证本地运营商投资网络的收益以及考核指标,很多地区运营商都提出了这个问题,但运营商自身的AAA系统是无法限制用户账号的使用的由运营商提供本地需要限定的号段范围,将运营商号段范围添加到SAM后台,在绑定校园账号和运营商账号时,SAM首先会判断一次所绑定的账号是否在运营商提供号段内,如果在,那么允许绑定并提示绑定成功,假设没有在运营商提供的号段内,那么给出相应提示并绑定失败,无法正常使用网络
1.8“校内免费、校外收费•包月套餐的实现包月套餐账户只需选择外网一次登录,无需手动切换内网、外网登录的时长和流量对其包月资费不产生影响•包流量套餐的实现包流量套餐账户选择外网一次登录,无需手动切换内网、外网登录的时长对其包月资费不产生影响其通过外网产生的流量由SAM从ACE获取之后,按照与运营商的接口约定,每隔固定时长进行一次同步(注意,终端的后台应用产生的背景流量如不加控制会比拟客观)•包时长套餐的实现包时长套餐账户选择外网登录,那么运营商BOSS开始记录账户的使用时长,直到退出由于当前所有终端操作系统都有一定的后台应用产生背景流量,所以按外网数据报文发送时间触发时长记录变得不太现实,建议该类套餐用户使用客户端或web端提供的内外网切换按钮进行手动快速切换
1.9业务效果在完成锐捷网络统一认证方案后,认证计费等运营业务将达成下文描述的效果这些主要的业务包含开户,由运营商负责开户,帐号信息保存在运营商AAA系统缴费,由运营商负责收费认证,用户是否合法是否能通过认证,最终取决于运营商AAA系统的处理结果计费,由于收费业务是依据运营商系统完成,因此,将由运营商系统完成计费,生成各类所需报表和账务流水接入控制,对于帐号的接入方式、地点、时间、带宽控制可由运营商和校方根据协商结果进行控制账务,在运营商系统上生成相应的账务信息还有常见的其他运营功能,如下•用户密码修改•用户停机•用户复机•用户销户•分权限管理•自助权限•用户上网时长报表•上网人数报表•运营商开户曲线图开户数•运营商销户曲线图销户数开户方案一运营商和校园网使用一套帐号该帐号由运营商开户也能在校园网内使用;方案二运营商和校园网使用各自的帐号运营商和校园网独立开户,开户后将两个帐号进行关联,到达两套帐号但使用时只记忆校园网帐号即可且不影响运营商生成标准账务这里主要对方案二进行描述方案二,系统中参与认证、计费的用户有两类一种是校园网自有用户,一种是办理了运营商宽带业务的校园网用户校园网自有用户在SAM上开户和管理,以SAM为准,与运营商无关运营商宽带业务的校园网用户在运营商系统上开户保存,并通过运营商营业厅营业员将此帐号关联到校园网帐号,或者上网用户在自助效劳系统上自行关联校园网帐号该类型的帐号状态信息以运营商系统为准开户校园网帐号帐号关联校园网帐号与运营商帐号绑定上网用户现在校园网SAM进行开户,此帐号主要是用于智慧化校园统一认证用当其有访问internet需求时,需要前往运营商营业厅申请运营商帐号具备此两个帐号后,可由营业厅工作人员将两个帐号进行绑定或者上网用户通过SAM网上营业厅进行绑定帐号的绑定是为了实现一次认证,无需两次拨号提高用户的上网认证体验同时,为智慧化校园的统一认证提供根底条件缴费运营商开展的上网用户缴费可以通过网上银行、充值卡、营业厅完成这局部费用信息进入运营商计费系统作为后续扣费等业务的依据认证运营商开展的校园网用户认证此类用户的认证先由SAM受理然后使用代理协议,透明转发至运营商的AAA系统进行验证并根据运营商AAA系统反应的结果断定是否对用户提供接入效劳认证成功后翻开该用户端口,用户可以访问校园网及interneto认证失败,用户端口保持关闭,不能访问任何网络该方案支持两种认证模式,纯准入模式、准入准出模式可根据实际情况进行选择配置具体实现方法是采用RadiusProxy协议该协议的工作原理如To校园网自有用户认证直接SAM本地认证,认证成功后翻开该用户端口,用户可以访问校园网及internet与运营商无关计费运营商宽带业务的校园网用户在在运营商BOSS系统计费在计费策略上采用包月、计时、或全部采用,但主要是包年、包月也可采用不同带宽不同计费的策略比方2M每月XX元,4M每月XX元也支持关联语音、增值效劳的计费策略,如下3G融合套餐2G融合套餐具体实现方法是将上网用户的计费请求报文透明转发至运营商计费系统由运营商系统进行计费如下列图所示SAM在收到用户的计费信息后,会将其帐号转换成运营商帐号,并将该请求转发运营商计费系统不同带宽不同计费策略的实现方法如下,在网络出口部署ACE网关,当用户认证通过后,SAM根据用户的计费套餐,将其带宽属性发送至ACE由ACE实现带宽的控制上炒RG-SAM校园网自有用户认证纯SAM管理,只在SAM上认证计费接入控制可通过SAM部署各种接入控制接入控制根本信息用户信息校验网络使用控制公用效劳用户行为控制客户端版本管理无线接入属性系统默认接入控制描述比方控制同一帐号同时在线的数量,通过该控制可有效防止同一帐号多点同时登录也可以调整此参数,为有多个上网终端的用户提供精细的上网效劳还可实现灵活的用户信息校验,可校验的信息有IP、MAC、NASIP、NAS端口等确保用户帐号上网的平安通过对接入地点、接入时段的管理,便于将学校的上网管理制度、宿舍管理制度落地实现方法如下,当认证成功后SAM会将管理员配置的接入控制信息进行下发和实施协调接入认证设备实现控制二/接入控制届性账务应各运营商总公司要求,此类工程需要提供详细的账务流水和相关账务信息因此,计费业务最终是由运营商计费系统承当,账务流水、相关信息将由运营商系统记录平安SAM效劳器在将Radius报文转发至运营商AAA系统时,尽管采用的是标准协议我们也加强了平安方面的功能可对非法的认证报文、洪范认证、攻击进行过滤确保运营商AAA收到的认证和计费报文是准确和平安的另外,系统也可对不同业务的人员进行权限分级管理如下列图:*权限名|账务管理员全部展开I全部折,口全送系统管理$-□平安管理亩匚]用户管理亩…口接入控制管理亩口计墨管理亩0账务管理运维管理.由…口卡业务*接入控制名default*允许重复登录次数(~9次)表示不限制1可同步记账更新间隔0用户上线时显示计蚩策略信息13用户上线时显示接入控制名回用户上线时显示账户信息网关接入限制□不允许通对网关流里效劳器策划的网关设备零要部署在穿透模式下)。