锦州联通分布式认证集中计费系统解决方案_移动_计费

锦州联通分布式认证集中计费系统解决方案

2008/12/09

　　辽宁联通数据业务近年来增长比较迅速，在业务收入中所占的比重不断增加，各地市针对数据业务的快速增长兴建了IP城域网。作为辽宁的重镇，锦州联通在大客户接入以及宽带小区建设上取得了不错的成绩。当IP城域网建成后，网络运营的重点从传输带宽、转发速度转移到对加强网络可控性上来，能实现对用户的精确控制和对网络资源的有效管理。

　　方案特点：

　　1. 分布式认证、集中计费体系

　　在城域网的核心节点下可放置多台接入服务器，单台R4000接入服务器可同时为多个小区的用户提供接入服务，提供多种认证方式(包括WEB认证、PPPoe认证、802.1x认证)从而形成以点带面的应用格局。考虑到最大程度上保证用户的使用习惯和减小网络维护工作量等因素，全部使用基于IE浏览器的Web认证方式，配合城域网的Radius服务器能为用户提供分布式的认证控制和集中的计费功能。

　　2. 强大的用户控制功能

　　由于滥用多线程的FTP工具或黑客软件，将会耗尽网络设备的Session，容易造成其他用户不能正常使用网络的情况，所以实现对用户精确控制是保障网络可用性的一种很有效的方式。对于采用固定IP地址的大客户，通常是直接上联到R4000的端口。对于这类用户可采取基于端口的速率限定，带宽范围可从64K-100M，速率最小颗粒度为64K。对于采用动态IP地址的宽带小区用户，可利用R4000接入服务器和Radius扩展协议配合，实现用户帐号和对应带宽的绑定，带宽范围可从64K-100M，速率最小颗粒度为64K。

　　另外R4000接入服务器可以对每个端口的Session或每用户帐号的平均Session进行限定，为每个用户限定一个合理的Session数，防止恶意抢占带宽，从而保证每个用户的使用网络的质量。

　　3. 防止非法盗用

　　为了防止非法用户盗接交换机端口上网，传统的方法是在楼道中使用可远程网管的二层楼道交换机，实现对用户主机的MAC地址和交换机物理端口的绑定。

　　利用R4000接入服务器配合Radius服务器可实现两种绑定形式：

　　A：用户帐号与MAC地址的绑定

　　B：用户帐号与IP地址的绑定

　　与传统的方法相比，不需要在楼道使用成本比较高的可网管型交换机，能有效降低网络建设初期的的投入成本;可远程或者在本地对R4000接入服务器和Radius进行配置，不需要到每个楼道上对楼道交换机进行设置，提高了网络维护效率。

　　利用对每个用户平均Session数的限制能有效的防范私建代理服务器，有效的保障了运营商的利益。

　　4. 高速的NAT

　　网吧传统解决方案中通常设立一台PC作为代理服务器，所有的主机通过代理服务器上网。由于代理上网的工作是由代理服务软件完成，所以NAT转换的效率比较低、允许上网的用户数量不能太多，在上网高峰期用户普遍反映上网速度慢、网络稳定性难以保障。

　　R4000接入服务器采用高性能的NP处理器，由硬件来实现NAT的功能，并且可利用内置的ACL为网吧内部用户提供安全保障，完全不用担心病毒、黑客攻击等不可预知的因素的影响。由传统的代理服务器改成以R4000接入路由器作为网关的模式后，即使上行带宽并没有增加但网吧内用户反映上网反映速度明显变快了，允许网吧那上网的用户数量基本没有限制，网络运行更为稳定。
　　

　　此城域网结构清晰，由核心层的三层交换机只负责数据的快速转发，对业务汇聚和用户的认证控制任务全部由接入服务器R4000来完成。要求接入服务器支持多种认证手段、加强对各类用户实现不同级别的控制、为用户的访问提供安全保障措施、结合Radius系统提供多种计费功能。

赛迪网中国信息化(industry.ccidnet.com)