《上海嘉定无线城市技术建议书.doc》由会员分享,可在线阅读,更多相关《上海嘉定无线城市技术建议书.doc(45页珍藏版)》请在三一办公上搜索。
1、上海嘉定无线城市接入认证计费系统技术建议书北京城市热点资讯有限公司2008年2月联系人: 庄毅部门: 电话:13981753734E-mail: zhuangyiHTTP: 目 录1.项目概述42.解决方案43.方案目标44.系统与网络设计原则55.方案描述65.1.系统概述65.2.组网与系统结构75.3.业务处理架构85.4.预付费方式实现105.5.登陆认证流程135.6.运营建议146.后台系统组成及高可用设计167.DR.COM 2133 RADIUS SERVER产品介绍193.DR.COM AC在WLAN系统中的接口213.1.物理接口213.2.提供与RADIUS服务器的接口2
2、13.3.DR.COM AC的容量223.4.DR.COM AC的管理223.5.DR.COM AC硬件224.DR.COM AC功能234.1.零配置接入244.2.可实现不同区域不同的门户Portal页,实现增值服务244.3.灵活的计费策略254.4.支持多种网络协议254.5.动态主机配置协议(DHCP) 服务器264.6.支持DHCP Proxy功能264.7.NAT/PAT274.8.支持VPN透传274.9.支持VLAN终结与透传284.10.建立接入控制列表284.11.同一AC下用户隔离284.12.提供Portal功能,支持国际漫游WISPr规范284.13.访问记录采集2
3、94.14.提供带宽控制294.15.P2P应用带宽控制294.16.RADIUS Proxy304.17.802.1x 认证支持304.18.基础防火墙304.19.支持轻量目录访问协议(LDAP)314.20.备份和恢复数据318.DR.COM BILLINGWARE产品介绍329.运营平台系统总体设计329.1.业务逻辑329.2.系统框架339.3.模块结构3510.设备配置清单与建议配置3610.1.硬件规格3610.2.硬件配置3710.3.软件配置3911.场地及环境准备要求4111.1.常规要求4111.2.机房电源、地线及同步要求4111.3.设备场地、通信4111.4.机房
4、环境4212.技术承诺与补充说明4313.技术服务、支持、保修441. 项目概述 “嘉定新城上海市无线城市示范城区”正式揭牌,作为上海市“十一五”期间重点建设的三大新城之一,嘉定新城将建设成我国大陆首个具备综合信息化支撑能力的“无线城市”。“无线城市,无限精彩”是上海市嘉定区“无线城市”项目的理念,也是继F1赛事之后嘉定打出的又一张响亮的名片。嘉定区政府的计划是,今年实现嘉定老城区和新城中心区部分重点区域的覆盖,到2009年底实现扩展至嘉定区468平方公里全覆盖。按照“无线城市”的建设规划,嘉定新城将采用无线宽带网络进行新城城区全覆盖,以无所不在的综合无线信息网络平台支撑公共安全、城市管理、应
5、急联动、公共服务、商务旅游、生活学习等信息化应用。整个“无线城市”将分期建设。在建设初期,首先在新城内的东云街、总部园区等地点先期进行无线网络的建设,提供无线免费上网服务以及诸多便民服务,如设立信息查询亭、娱乐信息传播平台等。建设中期的目标主要是无线覆盖城区伊宁路、经六路等主干路段和居民社区等,开始建立起智能交通网络、公共安全网络和应急联动网络,做到为大部分的市民提供各种无线网络免费服务与增值服务。在建设后期,将优化中心区城市网络,完善公共安全、应急联动和智能交通网络,逐步引导公众依托“无线城市”更为高效地工作、高质量地健康生活。 2. 解决方案3. 方案目标无线接入控制器(AC)、认证计费系
6、统、PORTAL平台等,做为无线城域网运营系统最主要的部分,是无线城域网建成后能否成功运营的关键,运营系统平台设计需要具备先进性、高可靠性、扩展性,达到“可管理、可运营”的要求,同时系统更需要具有前瞻性,在可预计的将来,系统能够提供灵活有效的各种运营模式,为无线城域网持续业务发展和盈利极为重要城市热点自2002年起,一直关注着无线网络,是中国网通最大的AC设备供应商,06年获得中国移动的入网选型并正式参与河北移动Wi-Fi网络的建设,中标2008北京奥运无线城域网项目,同时参与了刚果全国无线网络的运营建设,在酒店、校园和企业的无线网有丰富的运营管理经验,对Wi-Fi网络的运营有深刻的理解。本方
7、案目标是,使用北京城市热点资讯有限公司的无线运营系统产品,在运营商建立一个宽带无线接入的用户接入,验证,计费和业务管理平台,城市热点将发挥8年来在宽带计费管理行业的专业和经验,为用户提供功能完善、可靠和高性能的,真正适合机场无线宽带接入管理计费解决方案,产品具有高通用性和高扩展性,可满足运营商无线宽带计费管理在不同阶段扩展需求。4. 系统与网络设计原则 标准化和易扩展性系统结构的设计严格依据国际标准,技术和产品的标准化结构便于设备后期的可连续性升级。 实用性根据现在的需求和可以预见的需求增长情况设计网络,避免追求高档和不必要的技术花费的巨大代价。 高可靠性高可用性是整个系统的重点,宽带接入认证
8、计费系统在设计上,需要从接入到数据存储各个系统节点均充分考虑到高可用性,使系统整体结构上不存在单点故障,关键业务和存储服务器节点均采用集群或冗余解决方案。 网络业务的适应性适应多业务发展需求,提供灵活多样的控制策略,可根据用户的具体需求提供高质量的数据业务运营平台 。 易管理和便于维护系统平台有良好的人机对话界面,分类详细,设置简单,同时具有设备的运行监控界面,便于网络管理员的管理、监控和维护。 网络安全性系统应提供严密的身份验证、访问控制、历史审计等措施,数据库采用集群或双机热备方式,以保证在出现灾难时能够快速的恢复到24小时以前的数据状态。整体系统具有严格的访问控制机制,可有效控制非法访问
9、者通过网络对外部资源的访问;同时对数据库采取网络隔离,保证了系统数据库的安全。 网络路由协议的开放性宽带接入认证计费系统需具有很好的可扩展性,其网络额外开销不能很大,而且支持国际标准协议,保证不同设备间的互通性。5. 方案描述5.1. 系统概述Dr.COM无线网络运营计费管理平台(Wi-Fi MA3 M & Operation Platform)是城市热点在无线产品总称,包括以下系统:硬件:Dr.COM 2033 AC 访问控制服务器 软件:Dr.COM RADIUS 认证计费服务器Dr.COM Billingware :计费运营支撑平台Dr.COM 2033 AC Portal Server
10、 :AC集中式门户服务器5.2. 组网与系统结构InternetRouter流量监控和业务管理系统Dr.COM 2033 AC(1+1冗余备份)如上图,Dr.COM 2033 AC采用双机热备方式串接在核心交换机和出口路由中间,负责对所接入的WLAN用户访问互联网的接入、认证、计费和控制,以及数据采集。Dr.COM RADIUS服务器、Dr.COM Billingware、Dr.COM AC Portal服务器等软件服务器群部署在运营商数据中心,系统实现网络监控、策略设置、账号管理、统计输出报表、访问记录存储等业务功能。各部分的主要作用说明如下:n Dr.COM RADIUS服务器该系统处理无
11、线用户提交的身份认证请求,可以基于账号特征转发到相应的漫游移动运营商或驻地运营商,也可独立对本地账号进行认证和计费,本地认证模式下,账号系统最大支持20万规模。n 网络管理该系统对各Dr.COM AC的设备提供设备管理、配置管理、安全管理等功能;n Dr.COM Portal服务器 Portal服务器将具备根据用户名后缀选择采用PAP或CHAP认证方式,推送认证页面及用户使用状态页面,接收WLAN用户的认证信息,向AC发起用户认证请求,以及用户下线通知。实现国内外移动运营商和灵活的页面定制、业务集中管理。n Dr.COM 2033 AC(Access Control)Dr.COM 无线接入控制
12、器),是一种专用的无线局域网的访问控制服务器(WLAN AC),安装在网络的出口,负责用户的认证和授权,数据采集、实时控制和执行各种网络管理策略。Dr.COM Billingware认证计费管理系统,包含以下主要功能:n 用户管理该系统对公共无线网络账号进行统一管理,包括用户组、用户授权设置、计费策略、用户账号管理等;n 业务管理该系统主要处理公共无线网络账号的业务办理、变更、续费、退户业务等,相当于营业厅的作用;n 计费管理该系统对所有无线用户账号,包括本地账号、漫游移动运营商账号的上网话单进行集中管理,包括生成用户账单、各商户(如学校、公共区域、移动运营商)间的对帐、分成结算等。5.3.
13、业务处理架构Dr.COM 无线网认证计费系统的业务处理架构主要分为三个层次,以北电MESH网为例,如下图:n 无线链路接入层:由部署在各热点区域的北电无线AP组成,北电无线AP提供802.1x认证协议,用户使用操作系统的自带的802.1x客户端发出认证请求,北电无线AP将认证请求转发至Dr.COM RAIUS服务器。n 安全控制层:由若干台北电无线网关(WG7250)、AP GATEWAY、Dr.COM 2033 AC组成,北电WG7250、AP GATEWAY实现用户AP间漫游、动态地址分配,Dr.COM 2033 AC负责将用户重定向到Portal认证页面,同时将认证请求转发至Dr.COM
14、 RADIUS服务器。 Dr.COM 2033 AC另一个重要作用是用户上网行为控制和管理,包括访问记录采集、P2P应用控制、访问控制。n 认证计费控制层:由运营商无线网管理中心的Dr.COM RADIUS服务器、各类认证服务器,以及后台相关计费管理系统组成,还包括与移动运营商、一卡通系统、预付卡系统等的接口。整个认证计费控制层,将Dr.COM 2033 AC转发的用户认证请求,根据其用户账号的后缀,转发到相应的认证服务器进行验证,并将返回的结果返回给无线接入点或无线网关,无线接入点或无线网关根据返回的结果控制是否允许用户访问网络。对于WEB登录方式的用户,WEB Portal服务器将根据用户
15、名后缀选择采用PAP或CHAP认证方式,推送相应的认证页面及用户使用状态页面,接收WLAN用户的认证信息,向2033 AC发起用户认证请求,以及用户下线通知。用户的原始话单,由Dr.COM 2033 AC传送给运营商无线网管理中心的Dr.COM RADIUS服务器和相应的计费服务器同时保存,以便需要时核对账单,或商户间对帐结算。运营商无线网管理中心的Dr.COM RADIUS服务器和Dr.COM Billingware系统的关键业务模块均采用高可用设计,主要包括:RADIUS服务器采用一主一备方式部署,数据库服务器采用双机热备,数据存储采用磁盘阵列等。5.4. 预付费方式实现在公共区域WLAN
16、运营中,典型的计费策略是采用预付费方式,计时或计流量,Dr.COM AC可以采用RADIUS方式和本地方式实现预付费,RADIUS方式适合与第三方RADIUS服务器计费时采用(如移动运营商BOSS系统);本地方式,即采用Dr.COM AC与Dr.COM Billingware计费支撑平台共同工作时采用。本地方式可以提供比RADIUS方式更灵活的预付费策略,如预付费账号用物理时钟来作为有效期,而非用户使用时长。典型使用环境为大型展会、机场等公共区域,用户购买2小时有效期的卡后,一旦账号登录激活后,账号的有效期自动开始倒计时,无论用户中途有无使用,2小时到后,账号自动失效。RADIUS方式下的预付
17、费的实现,主要是由ISP后台计费系统将用户余额换算为最大可使用时间,再由RADIUS记账服务器通过RADIUS的扩展属性Session-Timeout(RFC2866)传给Dr.COM AC,由Dr.COM AC控制当次用户最大接入时间,Dr.COM AC以1ms为间隔检测用户使用时长,如果用户使用时长达到最大可用时间,则实时将用户的连接终止;如果当次用户没有达到最大可用时间,则RADIUS服务器将Dr.COM AC上传的RADIUS计账包中的使用时长乘以费率生成账单,并在用户余额中减去该次费用,重现更新最大使用时长,以便给下次用户登录使用。实现流程如下图:USERDr.COM ACRADIU
18、S ServerAccess Request1.Login username/pass2.3.将用户余额转换成最大可用时长Access Accept4.Accounting Request/startAccounting Response/start Session-Timeout最大可用时间5.6.登录成功,通过AC访问互联网7.检测用户到达最大可用时间Accounting Request/stop8.9.Accounting Response/stop10.11.终止用户访问连接5.5. 登陆认证流程 用户登录过程认证过程流程说明如下:u 用户打开IE,访问某个网站,发起HTTP请求。u
19、AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。u Portal服务器向WLAN用户终端推送WEB认证页面。u 用户在认证页面上选择所属域名,填入用户名、密码等信息,提交到Portal服务器。u Portal服务器接收到用户信息,通过加密方式向AC发送。u AC收到Portal发来的信息后,给Portal一个返回信息。 u AC将用户信息一起送到RADIUS Server,由RADIUS 服务器进行认证。u RADIUS 服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到AC。(如果成功,携带协商参数,以及用户的相关业务属性给用户授权。)u AC返回认
20、证结果给Portal服务器。(以及相关业务属性。)u Portal服务器收到认证结果后,给AC一个回应。u Portal服务器根据认证结果,推送认证结果页面,如果成功,推送用户相应的Portal页面给用户。u 认证如果成功,AC发起计费开始请求给计费服务器。u RADIUS 计费服务器回应计费开始请求报文。用户上线完毕,开始上网。5.6. 运营建议n 认证方式公共区域WLAN用户最大的一个特点是流动性强,使用时间短(一般几个小时左右),方便接入是最大一个需求,WEB认证方式是最佳的选择,而且WEB认证方式能够实现跨平台,可以在各种类型Wi-Fi终端上使用。Dr.COM 2033 AC支持标准的
21、中国移动和中国网通WEB、SIM认证协议,以及802.1x/EAP 认证协议。n 运营模式公共区域WLAN用户可以分为两种:一种是移动运营商WLAN用户,其身份验证使用手机号码;另外一种是使用其他Wi-Fi终端,如笔记本电脑、Wi-Fi手机、游戏机等,需要在有Wi-Fi覆盖的公共场所临时上网(如机场、体育场馆、酒店、展馆等等)。对于移动运营商WLAN用户,Dr.COM 无线认证计费系统可实现移动运营商WLAN账号漫游认证计费,和驻地或国外漫游运营商实现统一认证计费,其工作原理是通过Dr.COM AC的RADIUS Proxy,基于用户手机号码范围或WLAN账号的特征,将认证计费包转发到指定的运
22、营商认证平台实现认证计费。广州号码深圳号码深圳移动Radius Server广州移动Radius ServerWAN广州号码gmcc深圳号码SIM而对于公共场所临时WLAN用户,建议采用销售储值卡的方式,实现预付费购买时间,储值卡根据不同的面值设置不同的有效期,比如50元1小时、80元2小时等,有效期即可设置为物理时钟,也可为累计使用时间值,如果设置为前者,则是一次性使用方式,而后者则可以用户累计使用,这个可以根据机场的需要而设定。销售储值卡方式的好处是,一是简便办理手续,二是减少服务点的人员和设备投入本和维护成本,三是对销售网点可以更加广泛,可以在便利店、候机大厅等各类场所都可以销售,无需专
23、业人员,客户服务可集成到如移动10086,电信10000等运营商统一客服呼叫中心。对于没有无线移动终端的旅客,可以在公共热点区域提供有台式PC的网吧或商务中心上网,在网吧和商务中心可以安装Dr.COM Billingware的操作终端模块,实现账号开户结账,打印账单发票等功能。n 使用流程实例用户在无线移动终端上,打开浏览器访问互联网,由于没有认证,Dr.COM 2033 AC会在用户浏览器上自动弹出机场的门户网页,网页上用各国语言描述上网须知,储值卡的销售地点、资费政策。用户在指定地点购买了储值卡,如80元有效期2小时,用户刮开储值卡,获得账号密码,在浏览器输入账号密码后,登录成功后,自动重
24、定向到一个登录成功页或者机场的网站,也可以是一个机场的广告页面,机场可以通过广告页面实现增值服务。用户购买的储值卡从登录开始,有效期自动开始倒数,不管用户有没使用,有效期到期后,自动终止上网服务,需要再购买一个上网储值卡。6. 后台系统组成及高可用设计如上图:Dr.COM 2133 RADIUS认证计费系统由Dr.COM 2133 RADIUS Server和Dr.COM Billingware运营系统组成,Dr.COM Billingware包含的业务模块和运行环境包括:1) ORACLE(9i / 8i)数据库服务器,用于存储系统所有业务数据和配置参数;2) 守护进程服务器,用于数据库服务
25、器与Dr.COM 2033 AC进行数据交换与数据更新;3) Dr.COM Billingware应用服务器,用于运行Dr.COM Billingware计费系统的软件模块,执行用户管理、策略设置、设备管理、统计查询分析等功能;4) Portal 服务器,用于与AC共同推送Portal页面,并负责Portal页面的日常维护和配置。以上是Dr.COM 2133 RADIUS认证计费系统的关键业务系统,其中Dr.COM 2033 AC部署在IP城域网的汇聚层,其他系统服务器则部署在区电信数据中心。系统的高可用性是围绕以上各系统模块进行设计。系统的高可用性包括以下几方面:1. RADIUS服务器群的
26、高可用性本方案采用由2台Dr.COM 2133 RADIUS SERVER组成一主一备的RADIUS服务器群,在其中一台RADIUS服务器停止工作时,RADIUS接入服务器能够自动寻找备用的RADIUS服务器继续工作。目前市面上的各种类型的接入服务器,均支持主备RADIUS认证和记账服务器的设置2. RADIUS服务器自身的高可用性在本系统中,Dr.COM 2133 RADIUS SERVER与后台数据库的数据同步,是通过守护进程服务器实现的。Dr.COM 2133 RADIUS SERVER设备本身装有大容量的FLASH ROM,Dr.COM 2133 RADIUS SERVER本身能保存用
27、户话单和用户资料,在与后台(即守护进程服务器)中断后,在能保证用户正常的认证的同时,Dr.COM 2133 RADIUS SERVER自身能保存一定数量的用户的话单,直至守护进程服务器恢复。另外,Dr.COM 2133 RADIUS SERVER硬件本身还具有双电源冗余,提高硬件本身在电源方面的高可用性。3. 守护进程服务器的高可用性根据以上第二点,如果守护进程服务器中断时间太长,还是会造成一定量的数据丢失,所以本系统在结构上设计了双守护进程服务器热备的功能。与主备RADIUS服务器群的功能一样,Dr.COM 2133 RADIUS SERVER会自动寻找可以正常工作的守护进程服务器,即使其中
28、一台守护进程服务器停止工作,也不会影响系统整体的工作状态,数据保证能够与后台同步。4. 数据库服务器与数据存储的高可用性数据库和数据库服务器的高可用性,建议采用数据库服务器双机热备磁盘阵列的方案。在这个热备方案里,主备数据库服务器相当于只是操作系统而已,数据存储在独立的磁盘阵列柜上,主服务器如果出问题的话,不会影响磁盘阵列柜内的数据,然后手动切换到备用服务器上,在这个过程中守护进程的中断不会影响用户的正常使用,或造成数据丢失。5. Portal服务器的高可用性设计采用LVS集群对Portal服务器集群进行高可用设计,使用LVS集群可以获得很好的扩展能力。使用LVS的DR或TUN方式都可以最多支
29、持100个服务节点,并且负载调度器不会成为系统的瓶颈。因为服务器上的网页有部分使用静态网页,所以,在web服务上使用ApacheTomcat的方式,动态网页交给Tomcat处理,静态网页由Apache处理来提高处理的效率。7. Dr.COM 2133 RADIUS SERVER产品介绍Dr.COM 2133 RADIUS SERVER 宽带接入服务器是一种专用的以太网宽带接入的智能认证设备,部署在接入层,会聚层和核心层的出口,支持分布式接入,适用于城域网,大型小区的宽带运营,负责用户的认证,授权和计费,数据采集、实时控制和执行各种网络和计费策略,采用Dr.COM自主开发的网络操作系统,并将数据
30、传送到后台进行处理,配合Dr.COM 的计费软件,共同组成Dr.COM宽带计费管理平台。Dr.COM 2133 RADIUS SERVER 宽带接入服务器支持线速的1000Base-Tx的L3 层交换,支持L2 L7 层的流分类,在流分类的基础上可以进行基于用户的ACL 和QOS 方面的多种操作,执行各种类型的实时计费控制策略,单台支持16000个用户帐号,最大型号支持8000个用户同时在线。支持负载均衡,双机热备份,可靠性非常高。典型成功案例:湖北十堰广电宽带城域网,三万用户规模,华为MA5200做为BAS,PPPoE认证。产品用途城域网;大型社区;大学;产品特点适应宽带计费实时处理和控制要
31、求,线速的100Base-Tx 的L3 层交换,实现的现有多种宽带计费策略,并具备基于服务的收费策略。适用于100万用户以内大用户城域网的计费需求,配合Dr.COM的不同计费软件,具有很强的实用性。支持协议IEEE 802.1d IEEE 802.3 IEEE 802.3u IEEE 802.3x IEEE 802.3zIEEE 802.1Q IEEE 802.1P IPV4 (RFC1492) TCP (RFC 793) UDP (RFC 768) ICMP (RFC 792) ARP (RFC 826)TELNET(RFC 854)RIP1 IGMPRADIUS (RFC 2865,RFC
32、 2866)端口配置2 1000Base-Tx RJ45 接口模块传输距离100m100Base-Tx RJ45 网管口1 RS-232 Console转发能力2/3层 100M-100M 64字节 100%128 字节 100%512 字节 100%1240 字节 100%1518 字节 100%2/3层 1000M-1000M 64字节 39%128 字节 68%512 字节 100%1240 字节 100%1518 字节 100%3. Dr.COM AC在WLAN系统中的接口3.1. 物理接口Dr.COM AC在整个系统中分别有三个物理接口,一个是与无线局域网的接口,一个是与上端的IP网
33、的接口,一个是网络管理端口。另外还有一个RS-232的Console口。Dr.COM AC有百兆型号和千兆型号两种,百兆型号的上下联端口均是2个 10/100Base-Tx RJ45端口,千兆型号的上下联端口则可以是电口、多模光口(SX)、单模光口(LX)选择。以上两种型号的网络管理端口均为100Base-Tx RJ45端口。Dr.COM AC提供Console接口,通过这个接口可以对AC进行配置管理。3.2. 提供与RADIUS服务器的接口在DR.COM AC中,提供了与RADIUS服务器的接口,通过与RADIUS服务器的接口可以实现用户的认证与计费功能。3.3. DR.COM AC的容量D
34、r.COM AC如果不考虑用户带宽,单机最大支持并发用户数为8000,接入的AP数不受限制。Dr.COM AC百兆型号背板带宽为1.1G,包处理能力为431034pks/sec。千兆型号背板带宽为4.3G,包处理能力为1302084 pks/sec。各大小字节的转发率见下表:转发能力(均为全双工状态下)2/3层 100M-100M 1000M-1000M 64 字节 100% 43%128 字节 100% 64%256 字节 100% 86%512 字节 100% 100%1040 字节 100% 100%1280 字节 100% 100%1518 字节 100% 100%3.4. DR.CO
35、M AC的管理在Dr.COM AC本地端,DR.COM AC可以使用本身提供的串口或以太网端口进行软件包的安装和状态监控,管理;在远端,可以使用SNMP协议利用现有以太网络实现对Dr.COM AC进行集中监控和管理,同时,Dr.COM AC也可以使用Telnet管理。产品还提供集中式网管系统,可集中配置和管理多台Dr.COM AC,同时作为Dr.COM AC的配置备份服务器。3.5. DR.COM AC硬件下图是DR.COM AC的外观:系统组成 图表 14. Dr.COM AC功能本章简要概述了DR.COM AC的功能要求,这些功能包括: 支持多种协议 动态主机配置协议(DHCP) 服务器
36、支持DHCP Proxy功能 提供NAT/PAT功能 支持VPN透传 支持VLAN终结与透传 提供接入控制列表支持对用户的MAC地址,IP地址,端口号等方面的控制 同一AC下用户隔离 SKYPE、VOIP应该的授权与计费 提供Portal功能,支持认证页面的推送 访问记录采集 带宽控制 P2P应用带宽控制 RADIUS Proxy的功能 802.1x认证支持 基础防火墙 RADIUS服务 支持轻量目录访问协议(LDAP) 提供带宽控制 基础防火墙 备份和恢复数据4.1. 零配置接入在公共区域里使用无线的用户,其特点是流动性强,使用时间短、终端类型多样化,Dr.COM 2033 AC可实现零配置
37、接入,用户无需更改他们的默认网络设置,e-mail 配置,或浏览器和代理服务器配置,并可实现VPN的透传。4.2. 可实现不同区域不同的门户Portal页,实现增值服务Dr.COM 集中式的AC Portal服务器,可以实现在认证之前,根据用户所在无线网络的属性弹出不同的登录页,登录成功后,可以根据用户的属性弹出不同的欢迎页面。用户无线网络属性可以是基于源IP,或者是所在VLAN,Dr.COM 2033 AC基于以上信息,就可以知道用户是在机场大堂,还是在体育场馆,这样可根据不同的位置弹出不同的服务页面,在服务页面即可提供个性化的信息服务,也可作为其他商家的广告平台,实现增值服务。基于用户源I
38、P或VLAN的Portal重定向:IPORTALServerAccess ControllerVLAN 2VLAN 3PORTALServerAccess Controller交换机APAPAPAP提供完善的用户访问纪录和实时的用户在线状态管理Dr.COM 2033 AC能够提供完善的用户使用监控功能,如用户访问记录、登录记录,包括用户上网的账号、源IP、访问的目标IP和端口、访问的URL等等,足以满足公安、安全机关查询。同时能有效监控用户的在线状态,可实时查询在线用户的流量、时长、TCP/UDP链接数,上下行发包数量等等。4.3. 灵活的计费策略Dr.COM 2033 AC支持多种计费策略,
39、包天,包月,包小时,按时长和流量计费等,即支持先付费模式,也支持后付费模式,以及信用额模式,Dr.COM 2033 AC能够实时监控用户的使用情况,能够将费用与上网控制实时联系,消费到指定限额实时终止上网服务。从而为机场提供丰富灵活的计费策略,以满足各种类型用户的需要。4.4. 支持多种网络协议Dr.COM AC支持多种协议包括网络协议IEEE 802.3协议;还能够支持RADIUS(RFC2865、RFC2866、RFC2869)和FTP协议;能够支持与各种网管接口相关的SNMP、TELNET、HTTP协议;并且能够升级支持L2TP和IPSec协议。SNMP网络管理协议几乎是TCP/IP 网
40、络独有的网络管理协议。SNMP 提供了一种监视和控制网络设备以及管理网络的配置、统计信息收集、性能和安全的手段。通过SNMP可以实现WLAN网络的监视,设备管理,以及设备软件升级。通过SNMP可以实现WLAN系统的远程监视。4.5. 动态主机配置协议(DHCP) 服务器动态主机配置协议(DHCP) 使DR.COM AC可以自动指定支持DHCP 的客户计算机的网络配置信息(例如IP 地址、域名、DNS 服务、子网掩码和网关),包括Macintosh 和Windows 桌面计算机。Dr.COM AC管理员可以在Dr.COM AC上启用DHCP 功能,以便Dr.COM AC可以自动分配您的桌面计算机
41、所需的网络信息。Dr.COM AC还支持可设置一个VLAN ID下可分配的IP数量,可有效管理地址资源。支持指定二层VLAN 下分配指定IP地址段,这里的VLAN指基于802.1Q或ISL协议封装的VLAN ID,如酒店客房VLAN下用户获取192.168.0.0网段IP,在酒店大堂VLAN下获取172.16.0.0网段IP,使无线局域网在没有路由交换机的情况下,也能实现路由交换机的IP地址划分功能。Dr.COM AC还提供更完善的DHCP管理功能,如网内DHCP保留地址段、配置单个VLAN下可分配的IP数量、DHCP状态查看、DHCP中继、DHCP请求转发等。4.6. 支持DHCP Prox
42、y功能Dr.COM AC可作为DHCP Proxy (或 DHCP Agent)主机来接管客户的 DHCP 请求,然后将此请求传递给真正的 DHCP服务器,然后将伺服器的回复传给客户。可满足运营商集中部署DHCP服务器,和集中管理DHCP资源的需求。4.7. NAT/PATNAT称为网络地址转换。NAT功能是将内部自行定义的非法IP地址转换为Internet公网上可识别的合法IP地址,并且以此建立对应列表。NAT功能使得使用非注册IP 地址的专用IP 内部网能连接到Internet。NAT功能既是一种安全措施又是一种保存IP 地址的方法。在Dr.COM AC上, NAT功能作为连接两个网络的路
43、由器。NAT功能只通过一个IP地址将整个网络通往外界。由于在这一IP 地址后面将整个网络对外界隐藏,因此提供了附加的安全性。对于外出数据包, NAT功能将内部网络的专用IP 地址(不是全球唯一的IP地址)转换为辅助接口的合法地址,然后将数据包转发到因特网上。对于外来数据包, NAT功能进行相反的操作。辅助接口上的IP 伪装接收来自因特网的数据包,并将合法地址转换为内部网络上的专用IP 地址。PAT,即端口地址转换,通过PAT将用户的私有IP映射到公有端口上。通过PAT技术,用户只需向ISP申请一个合法IP,就可以满足所有的用户访问Internet。PAT可以支持同时连接64500个TCPIP、
44、UDPIP,但实际可以支持的工作站个数会少一些。Dr.COM AC当启用5个或5个以上外网地址映射,总共可支持25万个 TCP或UDP连接,最大支持128个外网地址映射。4.8. 支持VPN透传Dr.COM AC支持IPSec和PPTP/L2TP(pass-through)的VPN Passthrough,经过测试,支持对华为、CISCO、NETGEAR、Netscreen、Windows2003等多个厂家的VPN协议实现透传。4.9. 支持VLAN终结与透传Dr.COM AC最大支持4096个VLAN终结,并支持对802.1q或ISL协议的VLAN实现透传。4.10. 建立接入控制列表Dr.
45、COM AC在完成对用户的DHCP与NAT/PAT功能的同时对用户的MAC地址,IP地址,用户端口号等用户资源信息进行列表登记。通过这个列表DR.COM AC可以完成用户地址的转换,及用户信息的控制。4.11. 同一AC下用户隔离传统的WLAN类似于一个二层的局域网,可以直接在一个AP,或者多个AP之间无障碍的直接通讯,但对于移动运营商部署与投资的WLAN,内网直接的通讯有时会损害运营商的利益,比如占用信道,带宽等情况,所以在一个运营的WLAN里的两个终端直接通讯应能够受到授权与管理。Dr.COM AC可实现对在同一AC下的两个WLAN用户实现认证前隔离,认证后可根据运营商的需求,配置成隔离或非隔离状态。该功能实现的前提是,AP或无线交换机需将用户所有的包向上转发。4.12. 提供Portal功能,支持国际漫游WISPr规范Dr.COM AC在基于Web方式的认证时,能够支持认证页面的推送,为用户发送认证界面,在认证成功后能够强制推送具有个性化的第三方Portal系统页面。Dr.COM AC与Portal服务器之间的
