《Drcom宽带接入认证计费系统技术建议书.doc》由会员分享,可在线阅读,更多相关《Drcom宽带接入认证计费系统技术建议书.doc(56页珍藏版)》请在三一办公上搜索。
1、Drcom宽带接入认证计费系统技术建议书目 录1前言52公司介绍53总体方案建议73.1方案目标73.2系统与网络设计原则73.3实施方案93.3.1方案说明93.3.2网络拓扑103.3.3与Windows AD(Active Directory)服务器实现账号同步113.3.4办公网内用户的接入计费建议123.3.5针对企业员工访问记录133.3.6针对防私接代理:143.3.7针对企业内P2P应用下载143.3.8用户在线监控管理153.3.9认证方式分析173.3.10用户授权193.3.11用户实时控制213.3.12安全和高可用性设计233.3.13设备的详细配置,计算方案及依据2
2、73.3.14产品清单与相关设备的详细配置273.4具体实施步骤323.4.1项目组织323.4.2项目实施原则323.4.3实施阶段334DR.COM 2133 B-RAS设备说明354.2产品简介354.3连接示意图394.4设备规格及性能说明395场地及环境准备要求425.2常规要求425.3机房电源、地线及同步要求425.4设备场地、通信425.5机房环境436供货、安装、测试及验收446.2供货446.3安装,测试及验收448.2.1项目安装448.2.2 测试及验收457技术承诺与补充说明488技术服务、支持、保修499用户培训539.2培训目的539.3培训方法549.4培训时间
3、549.5培训地点549.6培训人数549.7培训日期549.8培训内容54附:行业成功案例541 前言随着Internet技术的迅猛发展和企业信息系统应用的普及,企业网内的办公用户对宽带上网都提出了强烈的需求。大型企业通信部门不但要为企业内部提供快速、方便的宽带上网业务和信息服务,还需要对不同的企业网用户实现不同的管理策略,以保证业务发展和员工工作效率不受宽带上网影响。但是,针对日益复杂的网络环境和需求,网络管理者也会遇到层出不穷的问题:针对办公网络,网络管理者需要面对:如何防范IP地址冲突?保证网络用户正常上网?如何规范办公网络的上网行为?比如上班时间浏览无关网站,使用QQ等。如何区别不同
4、单位的不同网络应用,进而确定不同的控制策略。针对住宅网络,运营的概念更明确,网络运营者关心的是其他的一些问题:如何保证有效的认证,让合法的网络用户享受网络服务?如何提供不同的计费策略满足不同的用户群体?如包月,流量等。如何防止用户私设代理,保证网络投资?用户的规模在不断的扩张中,如何保证网络的平滑过渡?诸如此类的,可以看到专网存在很多的特殊网络应用,所以要求了专网宽带运营解决方案必须具备强大的控制能力的同时,具备很大的灵活性。2 公司介绍城市热点有限公司是下属多家同为“城市热点”的公司的统称,包括“北京城市热点资讯有限公司”和“北京城市热点软件有限公司”,前身为“广州创意电脑开发中心”,成立于
5、1995年12月,到98年3月成立“广州城市热点资讯有限公司”,2000年,总部搬迁到北京。是集“软件、硬件、服务和运营”四位一体的创新型高科技IT公司。1998年,互联网处于发展的初期,城市热点并没有跟随汹涌的建立网站热潮,而是坚信“互联网需要盈利,盈利需要收费,收费需要计费”的这条简单而朴实的判断,以宽带计费作为切入点,专注于宽带互联网络的“管理、认证、授权、计费和监控”产品的设计、开发和生产。经历8年的不懈努力,为180多家有线电视台宽带网、70多家电信运营商、200多家高校、300多家酒店、60多家小区和商业大厦、2000多家大中型企业事业单位、100多家政府部门等提供了完善的宽带运营
6、产品和解决方案,成为了国内宽带计费的第一品牌。面对全球化激烈的竞争,城市热点成功地找到了中国IT企业竞争的法宝和核心竞争力“产品创新性”和“服务本地化”。拥有自主产权DrOS的网络操作系统,自98年起开始研制,性能屡创新高,达到了国际先进水平。根据中国的宽带市场的特点,创新了很多新的产品和标准,“计费网关”是城市热点最早提出,从一个不被认同的概念变成了一个标准的网络名词。“即插即用”和“防代理”技术进一步发扬光大,使城市热点成为行业的领跑者。为了第一时间给客户提供最优质的服务,在北京、广州、上海、成都建立平台,在多个城市建立办事处,提供电信级的服务支持和专家级的运营指导,开拓了中国宽带运营商参
7、与酒店和高校运营的独特市场,赢得了市场,也赢得了国内外知名企业的尊重与合作。经过十年的努力,城市热点已经走向成熟,具有完整的质量保障体系、管理体系、品牌战略、销售体系和服务体系,逐渐形成了“责任,创新,专注,共赢”的企业文化,员工超过100名,年产值超过2800万,获得“国家级火炬计划项目证书”和“电子信息产业发展基金”等多项国家级的荣誉。3 总体方案建议3.1 方案目标本方案目标是,使用北京城市热点资讯有限公司的宽带接入管理计费系统,在企业网建立一个宽带接入的用户接入,验证,控制平台,城市热点将发挥8年来在宽带计费管理行业的专业和经验,为用户提供功能完善、可靠和高性能的,真正适合企业的宽带接
8、入管理计费解决方案,产品具有高通用性和高扩展性,可满足企业在不同阶段扩展需求。本技术建议书是根据企业网宽带计费系统需求而写,在本技术建议书中,从企业网宽带认证管理的特点,技术实现的可行性,以及项目实施计划,对企业网宽带计费项目的可行性进行了综合的论证。3.2 系统与网络设计原则 标准化和易扩展性系统结构的设计严格依据国际标准,技术和产品的标准化结构便于设备后期的可连续性升级。 实用性根据现在的需求和可以预见的需求增长情况设计网络,避免追求高档和不必要的技术花费的巨大代价。 高可靠性高可用性是整个系统的重点,宽带接入认证计费系统在设计上,需要从接入到数据存储各个系统节点均充分考虑到高可用性,使系
9、统整体结构上不存在单点故障,关键业务和存储服务器节点均采用集群或冗余解决方案。 网络业务的适应性适应多业务发展需求,提供灵活多样的控制策略,可根据用户的具体需求提供高质量的数据业务运营平台 。 易管理和便于维护系统平台有良好的人机对话界面,分类详细,设置简单,同时具有设备的运行监控界面,便于网络管理员的管理、监控和维护。 网络安全性系统应提供严密的身份验证、访问控制、历史审计等措施,数据库采用集群或双机热备方式,以保证在出现灾难时能够快速的恢复到24小时以前的数据状态。整体系统具有严格的访问控制机制,可有效控制非法访问者通过网络对外部资源的访问;同时对数据库采取网络隔离,保证了系统数据库的安全
10、。 网络路由协议的开放性宽带接入认证计费系统需具有很好的可扩展性,其网络额外开销不能很大,而且支持国际标准协议,保证不同设备间的互通性。3.3 实施方案3.3.1 方案说明本方案中将通过部署Dr.COM 2133 宽带接入认证计费系统,实现企业的集中接入认证和集中监控管理计费。该系统包含硬件和软件平台两部分组成,硬件是Dr.COM 2133 B-RAS宽带接入认证计费服务器,软件平台是Dr.COM Billingware宽带计费系统。Dr.COM 2133 B-RAS接入服务器的位置串接在核心交换机和防火墙之间,负责对所有用户的接入、认证、计费和控制,以及数据采集。本方案中的Dr.COM 21
11、33 B-RAS接入服务器的端口为千兆电口型号。Dr.COM Billingware宽带计费管理系统运行在MS SQL2000数据库的环境中,系统实现网络监控、策略设置、账号管理、统计输出报表、访问记录采集等业务功能。整个宽带计费系统主要由MS SQL2000数据库服务器、运行Dr.COM Billingware各软件模块的应用服务器组成,计费系统将部署在网管中心内,建议将网管中心所在网段与Dr.COM 2133 B-RAS的网管断口划在同一VLAN下,以保证管理专网与外网、用户网实现物理隔离。Dr.COM Billingware宽带计费管理系统可以通过与企业网的Windows Active
12、Directory Server对接与用户资料数据同步,实现宽带认证和企业域账号统一认证和计费,大大减少企业对用户账号的维护工作量,使日常管理更加简化和有效。具体功能的实现下文将详细描述。3.3.2 网络拓扑说明:根据企业网的规模,以及以后的扩展,本项目建议书采用集中接入认证与计费,统一管理的方案,集中接入指接入服务器部署在各个汇聚层的汇聚点,即在网络出口安装宽带接入服务器,由宽带接入服务器对所有用户进行身份认证、接入控制、实时计费、数据采集,并将账单和访问日志等传送至综合业务系统。统一管理指在中心机房就可以进行全部的管理,包括:网络设备管理;用户管理;经营策略管理;账务管理;安全管理;数据分
13、析。提供完整的用户资料分析,使用习惯分析,运营统计等详细分析报表。 3.3.3 与Windows AD(Active Directory)服务器实现账号同步目前很多企业主要使用的是类似基于ISA 2000代理服务器之类的LDAP服务器来实现用户接入认证办公网和互联网,在部署了宽带认证计费系统后,仍然需要使用WINDOWS AD服务器来实现接入办公网的认证,因此需要宽带认证计费系统与WINDOWS AD服务器实现账号同步,以减少企业网网管对用户账号的维护工作量,提高工作效率。Dr.COM 2133 B-RAS可以实现WINDOWS AD服务器的用户数据同步,使Dr.COM Billingware
14、系统能够对WINDOWS AD账号进行认证和计费。其工作机制是:1. 在用户电脑上安装Dr.COM客户端,在Dr.COM客户端上输入用户的域账号向Dr.COM 2133 B-RAS登录2. Dr.COM 2133 B-RAS向WINDOWS ACTIVE DIRECTORY查询账号是否存在,如果存在则在Dr.COM 2133 B-RAS建立该账号。如果不存在则拒绝用户的登录。3. Dr.COM Billingware系统定期同步WINDOWS ACTIVE DIRECTORY上的LDAP数据,检查数据库上的账户是否存在于WINDOWS ACTIVE DIRECTORY上,不存在就会进行销户;如
15、果有新增用户,则自动将新增的用户账号和密码到Dr.COM 2133 B-RAS中。通过以上过程,能保证Dr.COM 2133 B-RAS和WINDOWS AD服务器上的账号资料保证一致。3.3.4 办公网内用户的接入计费建议根据用户提出的需求和电话与用户的沟通,了解到办公网内有3种类型的用户。直通用户、固定办公用户、移动办公用户。直通用户:即直接上网,没有认证,Dr.COM 2133 B-RAS也不会对这类型的用户进行任何的控制、管理、计费。也无法记录这类型用户的访问记录。专线用户:开户的时候设置账号标志为专线,绑定一个IP地址,用户在上网的时候只要设置对应IP地址即可上网,无需认证。但是结算
16、的时候是按账号来统计该用户的使用情况。普通用户:上网需要输入账号和密码认证。固定办公用户/移动办公用户:用户要求固定办公用户不需要认证即可上网,移动办公用户需要认证才能上网。这里我们可以分以下几种情况来分析。1. 办公人员既有固定台式电脑也有手提电脑的情况。和用户沟通了解到,固定台式电脑的IP是采用DHCP方式分配的,同时在DHCP上设置了固定台式电脑的MAC和分配到的IP进行了绑定。也就是说,固定台式电脑的分配到的IP永远是固定一个。如果该员工使用手提电脑移动办公,需求上要求需要认证才能上网,那么手提电脑的MAC在DHCP服务器上需要做不绑定IP的设置,这样手提拿到的是动态分配的IP。账号的
17、分配上固定台式电脑我们就设置专线账号。移动办公的电脑我们就设置普通账号。如果要统计这个员工总的上网流量,得把这2个账号所产生的流量相加即可。2. 办公人员只有手提的情况。固定办公和移动办公都使用手提,这样的员工肯定在DHCP服务器上做了电脑MAC和分配到的IP进行了绑定设置。我们只需要给这样的用户分配一个专线账号。统计流量只要统计这一个专线账号产生的流量即可。3. 只有台式电脑没有手提电脑,移动办公需要借用别人手提电脑的员工。台式电脑肯定在DHCP服务器上做了电脑MAC和分配到的IP进行了绑定设置。要借用别人手提电脑移动办公的员工,可以给这样的员工每人分配一个移动办公上网账号,要使用的时候用自
18、己的账号密码上网。统计该员工使用流量专线账号+移动账号产生的流量相加即可。4. 新来的员工。新来的员工可能由于没有来的及给他们分配固定的IP,建议在DHCP服务器上有段地址是专门给新来的员工使用的,为了设备方便,可以是动态分配。然后给他们分配上网账号密码。统计流量只需要统计这个账号产生的流量即可。3.3.5 针对企业员工访问记录Dr.COM 计费网关在对于用户访问记录的记录方面是非常完善的。而且为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时,自动分配一个新的访问记录文件,可以通过写文件或者写数据库的形式保存访问记录,保证了访问记录的完整性和灵活性。Dr.COM 2133
19、B-RAS计费网关的存储过程是:用户登录认证成功后,访问网站,通过页面或者客户端注销后,产生登录记录和访问记录,2133 B-RAS计费网关把登录记录和访问记录存放到指定的Dr.COM数据库服务器中(2133 B-RAS计费网关支持双机热备份,数据库服务器可以采用双机热备份的形式,即多台数据库服务器互作备份),当主数据库服务器无法工作时,而且没有备份数据库服务器,这时,2133 B-RAS并不会把用户的登录记录和访问记录丢弃,而是把登录记录和访问记录存储到 CPU RAM (即内存)中,保证了用户数据的完整性。如果主数据库连接长时间得不到恢复,硬件将只存储最新的16000条登陆记录,32000
20、条访问记录。(如果用户每天访问记录特别大,通过增加内存即可,以上存储数据由内存大小决定)。访问日志是通过写文件的形式存储到数据库服务器硬盘里面的,存储时间的长短,取决于硬盘空间的大小。只要硬盘空间足够大,就可以存储相当的日志文件,并且保证数据不会丢失。在访问记录中您可以随时查询到:帐户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址等等。另外可根据需要增加所需字段,如用户操作系统标志、交换机标记、楼层标记等字段等。目前,公安和国家安全机关对访问记录的查询的需求是很大的,包括黑客攻击、反动言论的查询等,但访问记录的采集对嵌入网络出口的接入设备而言,是一
21、个负载很重的工作。Dr.COM 2133 B-RAS以其高性能高稳定性,在不影响正常接入认证计费功能的同时,能够采集用户访问的完整url记录,大大满足企业的需求。3.3.6 针对防私接代理Dr.COM 2033 BMG利用独有的客户端封装技术,使登录成功后的用户发出的TCP包都加上Dr.COM 验证封装,该封装只有2033 BMG才能解开,这样用户不能与代理服务器正常通讯,同时能防止非法用户盗用MAC和IP,因为非法用户发出的包没有验证封装。该技术相对于其他厂家基于流量、端口、多IP的方式防代理解决方案,更为有效和科学性,Dr.COM 封装技术能够有效同时解决单网卡代理、NAT宽带路由器、软件
22、NAT和代理服务器等其他厂商不能解决的代理方式,是目前国内最为有效的防代理解决方案。封装设置还可根据企业的实际情况,按组、按用户、按网段来灵活配置,使企业能够根据行政用户类型、上网区域的不同情况灵活配置,使网络资源能够得到最大程度的合理应用。启用封装设置后,对Dr.COM 2033 BMG性能少于1,不会对用户造成影响。3.3.7 针对企业内P2P应用下载BT、电驴等点对点传输应用是目前十分流行的应用,其同时产生的上下行流量日益占用越来越大的网络带宽,据城市热点在目前使用宽带接入的企业做的抽样调查,发现大部分用户的出口流量上下行流量达到一样,甚至很多上行流量比下行流量还大的情况,这就说明了BT
23、下载的流行所造成的结果,BT所带来的流量占用了高峰期带宽的一半以上,而BT下载大部分是用户娱乐的应用,保证带宽能被使用在合理的娱乐需求上,适度的限制BT流量对于每个企业都是个迫切的需求。鉴于BT等点对点应用在通讯协议和端口上都有很强的灵活性,除了借助极昂贵的交换机设备和复杂的策略设置,很少有有效控制的解决方法。Dr.COM 2133 B-RAS作为网关式的设备,嵌于网络出口,天然可监控用户的所有应用流,Dr.COM 2133 B-RAS利用这一独特位置再加上先进的监控技术,能够准确监控用户使用BT应用的行为(主要工作原理是监控用户BT数据包的特征),根据用户账号所属的BT应用策略,允许通过或丢
24、弃该账号的BT数据包。这样就能灵活控制用户是否允许使用BT等下载工具。而且Dr.COM 2133 B-RAS可以根据账号,并且结合时间策略来控制用户的P2P应用带宽,比如,小区用户在晚上的P2P带宽可以大些,白天工作时间P2P带宽小些,这样在允许用户使用BT的情况下,Dr.COM 2133 B-RAS也可以采用限制用户账号的上下行流量和TCP/IP连接数来缓解BT对网络造成的网络压力。3.3.8 用户在线监控管理Dr.COM Billingware宽带计费系统提供完整的在线用户监控子系统,能够实时监控用户的上网状态,包括当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、
25、源IP、源MAC等详细信息(如下图)。Dr.COM 用户在线监控管理系统可以与CISCO IDS进行接口,将CISCO IDS采集的检测信息与Dr.COM 2133 B-RAS的用户账号进行实时映射,向网管提供完整的用户上网实时行为信息,对于非法用户,可在Dr.COM 用户在线监控管理系统对用户进行强制离线和消息发布等功能,使企业网管能够迅速找到定位问题源头并能实时对用户进行控制,使网络管理更加具有时效性、操作性和精确性。Dr.COM 用户在线监控管理系统的其他功能还包括: 查看在线用户 可手动强制在线用户离线 向在线用户发送消息 查看用户的使用记录 查看入侵告警消息记录 统计在线人数、TCP
26、连接、UDP连接曲线、流量曲线 访问记录查询3.3.9 认证方式分析没有身份验证的计费结果是不能令人信服的。基于网管的计费-利用Dr.COM 2133 B-RAS同时支持以下认证方式:1. WEB方式2. 专用客户端方式(使用Dr.COM 专用客户端软件)3. 802.1x4. PPPoE(此时接入服务器与用户终端需为二层交换网络)5. PPTPDr.COM 2133 B-RAS基于以上认证方式,能够提供强大的功能,满足城域网宽带可管理、可运营的需求,以上认证方式的分别具有其特点:1. WEB登陆方式,其优点是方便接入,无需安装客户端;缺点是,无断线检测机制,计费精度低;,安全性差,容易被截取
27、账号密码(可通过专门的SSL服务器实现加密解决,但维护成本高);无法实现防私接代理保证用户2. Dr.COM 专用客户端软件,提供特有的防代理功能,利用数据包验证封装技术,使用户登陆成功后,过滤掉代理请求,使用户不能通过代理进行访问外网,大大保证用户接入的合法性,保护企业的投资与利益(Dr.COM 2133 B-RAS可灵活的针对组别设置哪些用户可以使用代理,哪些用户不可以);Dr.COM客户端成熟可靠,已在市场成熟应用超过5年,在超过2百个运营商用户和上百个高校用户成熟应用,终端用户超过百万。Dr.COM专用客户端软件的其他特点:n 可防用户单IP方式代理;n 可实现认证后分配IP功能,可有
28、效防止网内用户私设DHCP服务器干扰合法用户上网(需要网络设备配合);n 结合认证系统策略,可控制哪些用户可通过NAT设备(常见的宽带路由器)登录;n 可定时或实时发布系统信息广播、催费通知、显示用户时间流量等;n 储值卡用户可显示剩余余额;n 支持限制登陆尝试次数,并可设置隔离时间,用于防止轮询方式破解密码;n 可透过三层;n 可透过三层绑定MAC;n 可实现指定DHCP服务器获取IP,防止内网用户私设误设DHCP服务器的干扰;n 针对连接进行认证;n 协议本身有完备机制保证链路状态的检测;n 账号密码加密;n 可防盗IP、MAC访问互联网;n 兼容Linux系统;3. PPPoE认证方式,
29、其优点是可认证协议成熟,用户易接受;断网检测机制完善;账号密码加密;其认证后分配IP的特点可以有利于企业对用户IP分配的控制,并防止干扰。缺点是:PPPoE接入服务器与用户端需二层交换网络,对网络条件要求高;客户端无法实现企业的个性化服务,不能防代理。 Dr.COM 2133 B-RAS可作为PPPoE接入服务器,最大支持8000个PPPoE用户并发。根据企业网的网络结构,以及基于可运营、可管理的需求,我公司建议企业网采用使用WINDOWS AD账号加Dr.COM客户端方式,利用Dr.COM客户端方式的功能特点,为企业提供最有效的用户接入控制和维护便利性。Dr.COM 2133 B-RAS支持
30、多种认证方式同时混合使用,也可对用户设置强制使用客户端方式或WEB方式。Dr.COM 2133 B-RAS系统既可在用户开户时实施静态的绑定,也可在用户登录时实施动态的绑定(如MAC、IP)。静态绑定适合于需要对用户作较多限制的场合,动态绑定给予用户较大的自由度,用户账户可在网内漫游。3.3.10 用户授权带宽授权传统企业运营商的TDM机制可以很精确地给用户分配网络第二层的带宽(Bandwidth),使得它可以采取基于带宽(包月或辅以流量)的收费模式。受传统企业运营商的影响,许多用户已习惯于这种消费模式。宽带网络的第二层普遍(至少在用户端)采用以太网技术,以太网(Ethernet)是一种抢占式
31、的带宽共享机制,尽管交换和VLAN技术可以在局部部分地解决带宽共享的问题,但在交换机的主干和VLAN TRUNK上仍是一种尽力转发的机制,做不到像TDM那样严格的配比。Ethernet在带宽控制上的缺陷并不影响它作为首选被运用于宽带网络中。因为在网络的第二层保证带宽,只是一个必要但不充分的条件。正如我们可以建一条很宽的马路,但并不能保证整条路上有多大的车流和每部车有多大的车速一样。Ethernet只是增加了带宽控制的难度,其实只要能在网络第二层预留足够大的带宽,精确的带宽分配可以交给网络的更高层去解决。实际上从用户到服务之间端到端的带宽分配是一个复杂的服务质量控制(QoS)问题,它需要从网络的
32、应用层到物理层,以及流经的每一个网络设备的共同参与和协调才能实现,任何一台设备是无法单独完成端到端的质量控制的,计费系统也是如此。假如要在宽带网络里实施基于带宽的收费标准,我们确有必要对带宽进行限制,一方面防止过分和恶意的资源占用;另一方面,当一个服务可提供的总带宽和总用户数确定的时候,带宽限制就成了带宽分配。Dr.COM利用IP第四层技术实现带宽(准确地说是IP Traffic)的限制。它可对每个用户进行精确的带宽限制。服务授权除了Internet访问服务,宽带网络上还包含实时股市、多媒体教学、VOD点播等充分发挥宽带带宽优势的IP服务;以及能充分发挥宽带网络地缘优势的局部范围的电子商务服务
33、。Dr.COM 2133计费系统为ISP、ICP和用户打造了一个三赢的统一认证计费平台。在这一平台上,用户只要一次认证,就可以定制网上各种服务。2133对用户的计费分两部:1 定制服务包月将所有的服务以菜单形式在线提供给用户,根据用户的选择进行计费,并控制用户只能访问选定的服务。2 按访问目标地址计费Dr.COM 可将提供服务的IP地址规划为不同的服务,每个服务可设置不同QOS服务级别,每个服务级别又可设置不同的收费,比如设置VOD服务,VOD服务下按带宽分别设置64KB、512KB的服务级别,64KB的服务级别按每月60元收取,512KB的服务级别则按每月100元收取,用户开户时可同时选择多
34、种服务,也可只选一种服务。功能授权对用户的使用时段,星期,TCP端口,过滤表进行授权。3.3.11 用户实时控制目标地址实时控制根据用户访问的目标IP地址进行监控,可以设定用户只可访问或不可访问的IP地址,网站,用户只可以访问指定的范围的目标地址;目标端口实时控制对用户可以设置TCP端口限制,用户只可以使用指定目标端口;Dr.COM 2133 B-RAS接入服务器还可设置基于TCP、ICMP、UDP端口进行基于目标地址、源地址的控制,以防止网络病毒或黑客攻击,提高网络整体的安全性。使用时段实时控制可以设定用户每天使用时段和使用日期;使用时间和流量的实时控制对用户累计使用的时间流量进行实时监控,
35、如果用户使用超过预先设定的流量和时间限制,则会自动切断用户连接;也可以对用户的储值,信用额度进行限制,超过也会自动停机;带宽实时控制控制用户的各种域内服务和互联网接入的带宽在预先设定的最大值范围之内,防止个别用户占用过多带宽;费率实时控制根据时段,节假日,星期提供不同的费率优惠,也可以根据用户的目标地址不同使用不同的费率收费。其他功能1) 完整的用户资料,营运资料的统计分析报表,包括:n 用户资料报表(用户个人资料的查询和统计)n 用户使用纪录统计(登录纪录查询,访问纪录)n 使用习惯分析(按使用时间段、流量段、登录时间段、在线时间段统计人数,访问量最大的前30个网站)2) 对目的IP可以分成
36、1000段,每段地址有100级不同的收费优惠设置。3) 提供用户的登录纪录和访问纪录,登录纪录包括:用户账号,登录时间,离线时间,实际使用时间,流量,IP地址等参数,高级版本可以提供各个端口(指定32个)的流量累计;访问纪录包括用户访问的每个网站的纪录,包括:用户账号,网站,连接时间。这些纪录可以提供查询接口和导出到Microsoft ACCESS数据格式,并支持定制打印格式;4) 可以监控出口上行流量,下行流量,在线用户数量,查询出口的累计流量和每个用户的累计流量。5) 对超过限量的用户可以实施不同的控制策略。6) 在操作员,统计员都可以很方便查到用户的资料。7) 可以设置用户可以使用的端口
37、(指定32个自定义的端口),目标地址或网站和每日上网时段(每天4段自定义时段)。8) 可以实现分布式监控,对大型(并发用户多、IP服务类型多、网络结构复杂)的网络,可将多个Dr.COM 2133 B-RAS并行或分布式地布置在用户汇接点或服务集群前,并通过独立的网管网络与同一套Dr.COM Billingware集成在一起。3.3.12 安全和高可用性设计高可用性是整个系统的重点,Dr.COM 宽带接入认证计费系统在设计上,就从接入到数据存储各个系统节点均充分考虑到高可用性,使系统整体结构上不存在单点故障,关键业务和存储服务器节点均采用集群或冗余解决方案。系统结构与网管中心系统组成Dr.COM
38、 2133 宽带接入认证计费系统由Dr.COM 2133 B-RAS宽带接入服务器和Dr.COM Billingware宽带计费系统组成,Dr.COM Billingware包含的业务模块和运行环境包括:1) MS SQL2000(标准版)数据库服务器,用于宽带运营中的业务数据,一般建议采用集群方式部署,以提高安全性和可靠性;2) Dr.COM Billingware应用服务器,用于运行网管、策略设置、统计输出、账号管理等模块,至少需一台。3) 用户自服务(WEB)服务器,供用户在线查询或自服务的服务器系统;4) 访问记录服务器,用于记录用户上网访问记录的服务器;5) 用户在线监控服务器,专门
39、用于实时监控用户在线使用情况的服务器,可以与其他Dr.COM Billingware软件模块运行在同一台PC。Dr.COM 2133 B-RAS的高可用性Dr.COM 2133 B-RAS负责用户的接入、认证、计费控制的主要设备,是整个系统中最重要的部分,其高可用性通过以下两方面实现:n 与后台服务器互为冗余在本系统中,Dr.COM 2133 B-RAS与后台数据库的数据同步与更新,是通过Dr.COM Billingware宽带计费系统中的数据库刷新程序完成的。Dr.COM 2133 B-RAS设备本身配有大容量的FLASH ROM,Dr.COM 2133 B-RAS本身能保存用户话单和用户资
40、料,在与后台(数据库刷新程序)中断后,Dr.COM 2133 B-RAS仍然能对中断前已经开通的用户提供完整的接入、认证、计费和控制功能,中断的过程中,对于正在正常使用的用户不产生任何影响。在能保证用户正常使用的同时,Dr.COM 2133 B-RAS自身能保存一定数量的用户的话单和访问记录,直至守护进程服务器恢复。数据库服务器与数据存储的高可用性数据库存储和数据库服务器的高可用性,建议采用MS SQL2000数据库服务器双机热备磁盘阵列的方案。MS SQL2000数据库服务器则建议采用集群方式,两台服务器上均配置双机热备份软件,一旦任何系统应用出现故障,该应用系统会迅速切换到其他服务器上运行
41、。数据存储建议使用RAID5磁盘阵列。访问记录服务器高可用性在宽带运营系统中,用户访问记录是作为国家强制运营商必须提供的数据,所以访问记录服务器同样被视为关键业务系统,为了保证访问记录的能够被连续记录,访问记录服务器也需实行双机热备。访问记录是由Dr.COM 2133 B-RAS采集的,采集后临时存储在Dr.COM 2133 B-RAS的RAM中(Dr.COM 2133 B-RAS能够存储32k条访问记录),然后再由专用的Dr.COM 访问记录服务器模块传至存储介质进行存储。访问记录服务器可以配置成一主一备方式,当一台访问记录服务器停止工作后,Dr.COM 2133 B-RAS会自动将访问记录
42、切换至备用访问记录服务器记录。由于有Dr.COM 2133 B-RAS做临时存储,所以在切换过程中不会造成记录丢失。对于访问记录存储的高可用,建议采用一台Sun StorEdge 3511光纤通道阵列,该阵列直接与两台访问记录服务器连接。网络安全及防病毒为了保护Dr.COM 2133宽带接入认证运营系统的服务器网络免受外网的侵扰,保护整个系统数据稳定安全的运行不受外网的侵袭,在不影响实用的前提下最大程度的保证数据的可用性和机密性,需要对网络进入口进行访问控制和安全监测,具体实现措施为安装防火墙和网络入侵监测仪器。管理专网内机房内建议配置一台服务器或利用一台现有的服务器作为防病毒管理中心,安装防
43、病毒中心服务器软件,并定期及时更新病毒特征库,同时在Dr.COM 宽带运营系统各关键服务器上安装防病毒客户端软件,定期进行查毒扫描并从中心服务器及时更新病毒特征库,这作为第一级的病毒网络防治措施。另外,在各客户端安装防病毒客户端软件,定期自动进行查毒扫描并从中心防病毒服务器上更新病毒特征库,这作为第二级的病毒网络防治措施。以上网络病毒防治措施都须在不影响系统正常应用下强制进行,另外,各关键服务器上除Dr.COM应用服务外的端口均须屏蔽,以减少被网络病毒攻击的可能性。3.3.13 设备的详细配置,计算方案及依据3.3.14 产品清单与相关设备的详细配置软件配置清单序号软件名称数量(套)品牌说明1
44、微软SQL 20001微软MS SQL 2000 for Windows 企业版(正式)(企业提供)2服务器操作系统1微软Windows 2000 AD server(SP4)(企业提供)3Dr.COM BillingWare1Dr.COM具体软件清单见下表(城市热点提供)4防火墙(建议)1瑞星正式版(企业提供)5杀毒软件(建议)1诺顿正式版(企业提供)Dr.COM Billingware宽带接入认证计费系统软件模块清单:序号软件名称说明1数据库刷新程序用于Dr.COM 2133 B-RAS 与数据库的更新与同步2服务器管理工具用于Dr.COM 2133 B-RAS网络设置、设备监控、计费和控
45、制策略、设备各种参数设置3操作控制台用于日常用户业务办理、账号管理4统计报表用于业务运营数据统计分析,报表输出5自服务WEB系统用于用户网上在线查询业务办理6访问记录服务器用于访问记录的存储与维护7用户在线监控系统用于实时监控用户在线情况硬件配置清单序号硬件名称品牌硬件配置数量(台)说明1MS SQL2000数据库服务器Dell主用建议:型号:PowerEdgeTM 830操作系统:Windows 2000 Server处理器:奔腾4处理器 3.6G X 2内存:2GB内部存储容量:SCSI 120GB或以上备用建议:和主用完全相同一台主、备(企业提供)3Dr.COM Billingware服
46、务器DELL型号:PowerEdgeTM SC430操作系统:Windows 2000 Server处理器:奔腾4处理器 3.6G内存:1GB,最大可扩展至12GB内部存储容量:60GB或以上一台(企业提供)4Web服务器Dell型号:PowerEdgeTM SC430操作系统:Windows 2000 Server处理器:奔腾4处理器 2.6G内存:1GB,最大可扩展至12GB内部存储容量:60GB或以上一台用于运行Dr.COM 用户自服务系统(企业提供)5访问记录服务器Dell型号:PowerEdgeTM SC430操作系统:Windows 2000 Server处理器:奔腾4处理器 2.6G内存:1GB,最大可扩展至12GB内部存储容量:60GB或以上一台主、备(企业提供)6磁盘阵列(建议)IBMIBM TotalStorage DS400用于保存访问记录(企业提供)7操作终端PCDell建议:型号:WINDOWS平台各种机型操作系统:Windows操作系统处理器:P3 800或