錦州聯(lián)通分布式認證集中計費系統(tǒng)解決方案
2008/12/09
遼寧聯(lián)通數據業(yè)務近年來增長比較迅速,在業(yè)務收入中所占的比重不斷增加,各地市針對數據業(yè)務的快速增長興建了IP城域網�。作為遼寧的重鎮(zhèn)����,錦州聯(lián)通在大客戶接入以及寬帶小區(qū)建設上取得了不錯的成績����。當IP城域網建成后�,網絡運營的重點從傳輸帶寬、轉發(fā)速度轉移到對加強網絡可控性上來��,能實現對用戶的精確控制和對網絡資源的有效管理��。
方案特點:
1. 分布式認證��、集中計費體系
在城域網的核心節(jié)點下可放置多臺接入服務器��,單臺R4000接入服務器可同時為多個小區(qū)的用戶提供接入服務,提供多種認證方式(包括WEB認證��、PPPoe認證��、802.1x認證)從而形成以點帶面的應用格局���?紤]到最大程度上保證用戶的使用習慣和減小網絡維護工作量等因素,全部使用基于IE瀏覽器的Web認證方式���,配合城域網的Radius服務器能為用戶提供分布式的認證控制和集中的計費功能���。
2. 強大的用戶控制功能
由于濫用多線程的FTP工具或黑客軟件,將會耗盡網絡設備的Session��,容易造成其他用戶不能正常使用網絡的情況�����,所以實現對用戶精確控制是保障網絡可用性的一種很有效的方式�����。對于采用固定IP地址的大客戶,通常是直接上聯(lián)到R4000的端口��。對于這類用戶可采取基于端口的速率限定��,帶寬范圍可從64K-100M��,速率最小顆粒度為64K�。對于采用動態(tài)IP地址的寬帶小區(qū)用戶,可利用R4000接入服務器和Radius擴展協(xié)議配合��,實現用戶帳號和對應帶寬的綁定�����,帶寬范圍可從64K-100M�����,速率最小顆粒度為64K�。
另外R4000接入服務器可以對每個端口的Session或每用戶帳號的平均Session進行限定�����,為每個用戶限定一個合理的Session數��,防止惡意搶占帶寬,從而保證每個用戶的使用網絡的質量�。
3. 防止非法盜用
為了防止非法用戶盜接交換機端口上網,傳統(tǒng)的方法是在樓道中使用可遠程網管的二層樓道交換機�,實現對用戶主機的MAC地址和交換機物理端口的綁定。
利用R4000接入服務器配合Radius服務器可實現兩種綁定形式:
A:用戶帳號與MAC地址的綁定
B:用戶帳號與IP地址的綁定
與傳統(tǒng)的方法相比�,不需要在樓道使用成本比較高的可網管型交換機,能有效降低網絡建設初期的的投入成本;可遠程或者在本地對R4000接入服務器和Radius進行配置�,不需要到每個樓道上對樓道交換機進行設置,提高了網絡維護效率�。
利用對每個用戶平均Session數的限制能有效的防范私建代理服務器,有效的保障了運營商的利益����。
4. 高速的NAT
網吧傳統(tǒng)解決方案中通常設立一臺PC作為代理服務器,所有的主機通過代理服務器上網�����。由于代理上網的工作是由代理服務軟件完成�����,所以NAT轉換的效率比較低�、允許上網的用戶數量不能太多,在上網高峰期用戶普遍反映上網速度慢����、網絡穩(wěn)定性難以保障���。
R4000接入服務器采用高性能的NP處理器,由硬件來實現NAT的功能��,并且可利用內置的ACL為網吧內部用戶提供安全保障���,完全不用擔心病毒��、黑客攻擊等不可預知的因素的影響��。由傳統(tǒng)的代理服務器改成以R4000接入路由器作為網關的模式后���,即使上行帶寬并沒有增加但網吧內用戶反映上網反映速度明顯變快了,允許網吧那上網的用戶數量基本沒有限制�,網絡運行更為穩(wěn)定。
此城域網結構清晰���,由核心層的三層交換機只負責數據的快速轉發(fā),對業(yè)務匯聚和用戶的認證控制任務全部由接入服務器R4000來完成����。要求接入服務器支持多種認證手段、加強對各類用戶實現不同級別的控制、為用戶的訪問提供安全保障措施�、結合Radius系統(tǒng)提供多種計費功能。
賽迪網中國信息化(industry.ccidnet.com)
相關鏈接: