清华大学校园网计费

清华大学校园网计费

1.清华大学校园网计费 篇一

(1)设计出适合高校的校园网身份认证系统,在全院范围内推行校园网实名制认证。

(2)根据现有网络设备,对用户上网带宽做到基于IP地址限速。

(3)针对用户所使用的计算机现状,进行IP地址、MAC地址、Port号绑定,对于能够固定使用人的计算机做到用户名绑定。

(4)在身份认证系统中增加计费模块,在保证校园网资源合理利用的前提下满足广大师生工作学习外的上网需求。

1 设计思路

(1)购置新设备

目前高校普遍拥有大量网络交换机,但这些交换机由于购置较早大部分均不支持802.1X协议认证功能。众多高校校园网建设资金都较为紧张,在不增加过多投入的前提下如何合理利用原有网络设备进行校园网分期改造已成了较多高校的首选。对于资金保证充裕的高校,可直接全面实行校园网身份认证系统。对于资金有限的高校,可将整个校园网区域划分为认证区与非认证区。办公室、多媒体教室、学生宿舍等可设置为认证区,学生机房、电子阅览室等可设置为非认证区。将支持802.1X协议认证的交换机放在认证区,把原先购置的不支持802.1X协议认证的交换机放在非认证区,从而保证资源的合理利用。

(2)IP地址分配

IP地址的分配与管理一直是众多高校网络中心管理人员最为头疼的事情,此次系统设计采用DHCP服务器,对校园网终端用户自动分配IP地址。这样可有效减少IP地址冲突,避免了计算机操作水平较低用户在网络信息设置上的误操作。DHCP服务器可以通过IP地址与MAC地址的绑定解决某些认证服务器不能实现地址绑定的问题。

(3)Radius服务器选定

此次方案设计选择了机遇Radius协议的AAA认证服务器,配备相应的HTTP服务、My SQL数据库系统。当校园网用户过多时,可专门设置一台专用数据库服务器[1]。

(4)客户端选择

目前基于802.1X协议认证的客户端有很多,例如锐捷、H3C等,可以根据高校采用的交换机品牌来选择客户端,也可以选择使用Windows XP系统所自带的认证客户端。

(5)认证计费系统

在系统设计的最后一项,需要一套完整的认证计费系统,可以提供校园网认证、计费、管理功能。

2 总体框架

2.1 系统认证与计费流程

如图1所示,这7步认证计费流程分别为:

(1)需要上网的校园网终端用户开启客户端认证软件,使用EAP协议发送EAPOL-Start请求,接入交换机收到请求后回送客户端要求发送身份标识。客户端再次响应,发送终端用户输入信息。接入交换机将这些身份标识信息打包后向Radius服务器发送认证请求。

(2)Radius服务器收到请求后,进行用户身份认证,并将认证结果回送给接入交换机。

(3)Radius服务器认证通过后,打开接入交换机受控端口,用户即可通过该端口通信。

(4)终端用户通过接入服务器向DHCP服务器发送地址分配请求。

(5)接入交换机负责将用户的DHCP广播帧转发给DHCP服务器。

(6)DHCP服务器为终端客户分配IP地址后,发送开始计费信息给Radius服务器。

(7)终端用户断网时,由认证客户端关闭802.1X连接,由接入交换机向服务器发送Logoff信息,并且关闭已打开的对应通信端口,计费服务器收到停止计费信息后停止计费[2]。

2.2 系统软件结构

(1)终端计算机用户使用客户端发起认证后,交换机将用户认证信息发送给Radius服务器。通过用户身份认证模块的验证后,由交换机打开对应的受控端口,用户利用该端口上网。

(2)交换机将用户上网时间信息同步传送给Radius计费服务器。由于此次设计上网计费按照时间、流量、包月进行统计,所以先由上网计费策略模块确定用户计费形式,然后由计费判断统计模块判断用户此次上网是否欠费,最后进行计费统计。当用户账户欠费时,计费判断统计模块将发送信息给Radius服务器,由服务器发送断开信息至交换机,断开用户网络[3]。

(3)当用户主动退出网络连接或由于服务器等其他外界因素断开网络时,计费判断统计模块将此次用户上网费用及时间信息发送数据库记录。

(4)系统提供了用户自助查询服务,用户可查询账户余额、上网计费方式、上网时间记录等信息。

由于高校校园网用户主要为教职工与学生,他们在上网时各自的需求不同。通过调查分析大致上将校园网用户分为3类。一类普通用户,他们主要通过网络进行新闻流量、信息查阅、电子邮件收发等工作,上网时间不长且流量较少。二类用户每天上网时间较长,流量极大。三类用户上网时间不固定。这三类用户采用一种计费策略将有失公平,因此在认证计费系统的设计上开发了3种计费策略。按照这三类用户分别采用按流量、包月、按时间计费。

2.3 系统子模块结构

由图3所示,校园网认证计费系统包含5个子模块,下面对它们的功能进行简单分析。

(1)身份认证子模块

提供校园网终端计算机用户的身份认证。

(2)上网计费子模块

包含计费策略的选择、上网费用的数据库录入、用户是否欠费的判断等。

(3)系统管理子模块

新用户的开通、老用户的注销、用户信息的修改与维护。

(4)财务管理子模块

用户充值、出账/合账、用户账单查询与打印。

(5)自助服务子模块

为用户提供Web方式的余额查询、上网时间日志查询、个人信息修改等服务。

3 系统平台设计

3.1 Radius服务器

关于服务器操作系统的选择,当前市场上普遍采用Windows 2003 Server、Unix、Linux这3种操作系统。出于成本及安全性因素考虑,此次认证系统服务器选择了Linux操作系统,版本为RedHat Linux 7.2。

认证服务器系统选择了基于Radius协议的自由软件FreeRadius作为认证系统,该软件目前已经开发了多个版本,此次认证系统设计选择了FreeRadius2.1.9版本。在用户管理上选择了MYSQL数据库对各种用户信息进行管理。在HTTP服务器和DHCP服务器的选择上,此次设计选择RedHat Linux7.2自带的服务[4]。

3.2 交换机选型

目前国内销售的交换机品种众多,几大生产厂商例如思科、华为、H3C、锐捷、神州数码等都有支持802.1X协议的接入层主流交换机。在这里推荐几个具体的接入型智能交换机型号,以便各高校网络中心管理人员选择。

思科的WS-C2960-24TT-L,华为的Quidway S3328TP-SI(AC),H3C的S3100-26TP-SI,锐捷的RG-S2026G,神州数码的DCS-1024GS等型号交换机均可配置在接入层部署802.1X协议认证方案。这些交换机接口数基本为24-28个,价格在3000-4000元。

由于部署802.1X协议认证是通过端口进行,在通过咨询H3C,锐捷等设备厂家工程师后,确定接入层交换机每个端口最高安排200个网络终端进行认证,但在实际操作时为避免网络阻塞现象发生,接入层交换机的每个端口通过普通交换机连接的网络终端数一般不超过50个[5]。

4 系统数据库

对于目前的校园网来说,控制用户上网的主要设备就是交换机,因此认证计费数据均可从交换机上获得。在校园网认证计费系统的设计中,数据库采用了MY SQL。数据的采集可通过Radius协议直接把接入交换机上的数据读入认证计费服务器中。数据库设计中使用了4个表,分别为User(用户信息)表、Policy(计费策略)表、Cost(上网费用表)、Info(上网信息)表。这4个表与认证、计费子模块的隶属关系如图4所示。

随着以太网技术的发展,高校内各种以太网业务迅速增多。在局域网中重要的一部分校园网的管理中,各种有线+无线的接入认证技术方面的研究已经成为了网络接入研究的大方向。802.1X协议认证技术为校园网提供了一种基于交换机端口认证,认证流与数据流分离的灵活接入控制管理手段。

但就802.1X协议认证技术来说,完全依靠它去实现校园网终端用户的管理及校园网安全并不现实。只有依靠多项技术与之进行有机结合,才能构建一个和谐的校园网络环境。

参考文献

[1]B.Aboba,L.Blunk,J.Vollbreeht,et al.Extensible AuthenticationProtocol(EAP),Network Working Group,RFC3748,June2004.

[2]陈诺亚,刘海鹏,荆金华,张根度.因特网AAA服务需求与Diameter协议.计算机工程,2003,29(7):137-139.

[3]孟小华.RADIUS服务器性能测试软件的设计与实现.微型机与应用,2004,(6):12-17.

[4]黄永锋,王滨.Radius在802.lx中的应用.计算工程与设计,2006,(3):798-801.