1、 灵活的接入认证方式
2、 轻松的运营管理
3、 灵活开放的计费策略
4、 超高的网络安全管理
5、 超强的用户接入控制与IP地址管理
6、 超强的用户接入控制与IP地址管理
 
神州数码网络接入管理器

灵活的接入认证方式

  神州数码可运营校园网解决方案可提供PPPoE、DHCP+Web、802.1X、专线固定IP 地址接入等多种接入和认证方式。面对校园网中教学区群体、学生宿舍区群体和教职工家属区群体等不同用户群体的不同使用需求,可以综合采用上述四种不同的接入方式。例如:在教学区建议使用专线固定IP 地址接入方式,因为这部分应用主要是行政、教学或者科研之用。在学生宿舍区和教职工家属区建议使用PPPoE 、DHCP+Web或者802.1x 认证接入方式。

轻松的运营管理

  在神州数码可运营校园网解决方案中采用了神州数码DCBI-2000 Radius认证计费管理系统。该系统具有良好的用户界面、高效可靠的性能。采用标准的Radius协议,通过与神州数码网络有限公司的DCBA系列接入管理器、DCS系列交换机,以及其它支持Radius协议的设备相结合,能够实现灵活的用户认证、管理和计费。后台可支持Oracle,MS SQL Server等多种数据库。

  用户管理可以实现用户开户、停机、删户、预付时长用户发卡、用户资料查询和修改、用户密码修改、用户上网记录、缴费帐单查询。

  帐目管理可以实现对用户缴月费、对预付时长预付流量用户充值、用户批量缴费、按运营商要求格式导出帐单等功能。

  计费管理不仅可以直接使用系统提供的包月、计时长、计流量、实时扣费、卡业务等计费原型,网络管理员同时可以自定义计费策略。比如设置优惠时段,哪些服务收费,哪些服务免费,对不同的用户可采用不同的计费策略和资费标准。还可以定制用户服务,如上下行带宽等。

  用户上网统计和分析功能,比如按上网时间段、上网次数、每次上网时长或者累计时长、流量来统计和分析用户上网行为,一定程度上协助网络管理员更好地定制计费和优惠策略。

  同时系统还提供了用户自助WEB服务,用户可以WEB访问的形式修改用户密码、查询上网记录、查询帐单。在很大程度上方便了用户。
 
  无论是PPPOE的接入方式还是WEB 的接入认证方式,用户认证通过后,访问的第一个WEB页面可被重定向到运营商指定的 Portal页面;同时WEB 的接入认证方式支持VLAN PORTAL功能,可按用户所处不同的VLAN范围导向不同的认证页面;学校或院系可以利用初始界面与用户交流帐务通知、校内业务活动、品牌宣传等信息。可以增强服务的迅捷性。

灵活开放的计费策略

  由于校园网用户是多层次的,因此校园网的计费有其特殊性:
  ① 不同用户,如学生、教师,可能的计费策略不同。
  ②数据业务具有多样性的特点,因此所有通信包括校内互通以及访问INTERNET均进行统一收费的策略将大大降低校园网的内在价值;同时,作为教育部门ISP的中国教育科研网进行的是国内国外的分开计费,学校也必须对用户进行相应的计费方法。

  神州数码可运营校园网解决方案提供了灵活开放的计费策略:包月、时长或有限时长包月(比如60小时包月超出部分2元/小时)、流量或有限流量包月(比如1000M包月超出部分0.1元/M)、预付时长、预付流量。网络员可以自定义计费策略。比如设置优惠时段,哪些服务收费,哪些服务免费,对不同的用户可采用不同的计费策略和资费标准。同时与神州数码接入管理器或支持802.1x交换机配合,能够做到内外网的分开计费、国内外网站分开计费。完全能够满足校园网的计费需求。

  以下为校园网计费模型的分析:

  学生宿舍:学生宿舍典型特征是一个终端即计算机可能被好几个人拥有,多个学生通过同一个终端在不同时段访问INTERNET。按照传统基于用户位置(二层以太网交换机端口)或者目前宽带比较流行的包月制的方式都没有办法区分使用同一个终端的不同用户访问INTERNET的费用;另外包月制的方式只能对宿舍包月,无法对每个学生包月。

  校园上网卡可以较好地解决这个问题,卡号方式等于是一个预付费的方式。上网卡的主要特点可归纳为:

  √ 实现对同一物理位置和接口,不同用户的计费管理,最适合学生宿舍等公共场所;
  √ 实现用户全网的漫游的可能性,学生拥有上网卡可以在校内任一台计算机终端使用;
  √ 根据用户使用网络的实际情况进行计费;
  √ 储值卡方式上网,不存在欠费等问题,费用管理简单,运营风险小。

  上网卡上的用户名、密码已经存放在校园网计费中心的Radius Server的认证数据库中,通过DCBI-2000 认证计费管理系统的web服务功能,学生可以自行修改自己的上网密码。每次上网结束后,DCBI-2000 认证计费管理系统立即扣除相应费用;同时每次用户上线时,DCBI-2000 认证计费管理系统根据费率计算用户上网的剩余上网时长,当用户剩余时长达到后,将对用户进行自动拆线。费率可以根据学校的实际情况进行调整。

  教工家属区可采用以下计费策略:包月计费、时长或有限时长包月计费(比如60小时包月超出部分2元/小时)、流量或有限流量包月计费(比如1000M包月超出部分0.1元/M)。具体的计费策略可以按照实际情况制定。由于教工家属区与学生宿舍有着不同的特征,在教工家属区,各用户的计算机终端完全被自己拥有,为了防止帐号被盗用,可以采用用户帐号与MAC地址、VLAN号以及IP地址绑定的方式保障用户帐号的安全性。

  同时校内互访可以设为免费,访问INTERNET收费。

  各个学校可以根据需求灵活地设定合适的计费模型。

超高的网络安全管理

  由于校园网络连接园区内部所有用户,安全管理十分重要。神州数码“安全、智能、可运营”的校园网解决方案,通过以下网络安全管理,为校园网提供了高度的网络安全保障。

√ 校园网vlan设计

  vlan设计在校园网中起到举足轻重的作用,传统校园网的设计思路是按照地理位置来划分vlan,这并非一个好的设计方法:因为地理位置相近的用户不一定有资源共享的需求。vlan设计的总体指导原则为提高校园网的效率以及网络安全性:若相互间通信最多的用户群处于同一个vlan下,一方面可以保证通信最多的用户之间使用二层交换协议,而性质不同的用户之间,通信量较少,采用三层交换协议,无疑提高了网络的效率;通信最多的用户群体一般属于相同性质用户如同一个班级的学生或者同一个部门的教师等,相互之间有信任关系,网络的安全性能同样会提高。

  学生宿舍区vlan设计 按照上述原则,学生宿舍最好以班级或者专业划分vlan;
  教工家属区vlan设计 教工家属区属于完全的商业应用,不同家庭的用户之间几乎不需要通信,建议每个家庭处于单独的vlan。

√ NAT地址转换

  通过内置的网络地址转换(NAT)功能,用户被分配私有IP地址,而私有IP地址对INTERNET是隐蔽的,INTERNET上的用户几乎无法攻击校园网内部用户。同时也解决了公用IP地址资源匮乏的问题。

√ 校园网上网控制

  通过ACL功能可以对不健康网站或者政治反动网站以及校内关键资源如财务系统信息的过滤等。
  可以根据学校的管理要求,对学生上网时间、时段进行严格管理。比如对DCBA-2000P设置。可限制学生在2:00~5:00上网。

√ 严格的telnet/enable/snmp的访问权限可以保证校园网络设备的高度安全

√ 提供有效的防范措施针对PPPoE协议、DHCP SERVER、WEB SERVER的DoS攻击;

√ 校园网用户上网记录或日志管理

  网络管理员通过DCBI-2000认证计费系统可查看用户上网详细记录。包括用户IP地址、MAC地址、VLAN ID、上网时间、流量信息、接入服务器IP、端口等。通过对上网记录的分析,能够及时发现异常用户。
超强的用户接入控制与IP地址管理

  在校园网中一般采用LAN的接入方式,因此校园网的运营不可避免会存在IP地址管理的问题。由于学生所住房间经常调整,通常每学年就要移动一次;许多合法的IP地址在用户结束使用后仍没有收回,造成IP地址的浪费。另外在校园网经常出现IP地址盗用或冲突的问题。用户恶意更改IP地址,在实际的运营中轻者导致其他用户上不了网,重者则导致整个网络陷入瘫痪(比如用户的IP地址设成网关地址),严重的影响运营的质量;有的运营商采用IP地址和MAC地址绑定的功能,但由于一方面不能有效地解决IP地址冲突问题,同时增大了交换机的成本投入,而且工程的实施又极其繁琐,所以也很不理想。

  神州数码校园网解决方案中可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID、DHCP SERVER等多元素的任意绑定,能够很好的解决IP地址的管理问题,同时提供强大而灵活的用户接入控制功能。

  方式一:用户帐号/密码的验证,只有通过验证的用户才能访问网络,保证正常开户的用户才能接入。

  方式二:用户帐号、密码、IP地址的绑定,可解决IP地址静态分配环境下的IP地址冲突问题。

  方式三:用户帐号、密码、MAC地址的绑定,可保证用户帐号不被盗用。

  方式四:在802.1x认证中,交换机端口与MAC地址的绑定,可对认证者进行过滤。

  方式五:用户帐号、密码、VLAN号、MAC地址的绑定,能够为用户做更精准的身份认证。比如教师家属区和学生宿舍区的用户通常使用不同资费标准和策略,那么如何禁止这两个区域用户账号的混用呢?如果教师和学生在不同的VLAN内,只要在用户认证时,同时认证用户的VLAN ID就可以做到教师的帐户只能在教师宿舍区使用,学生的帐号只能在学生宿舍区使用。

  神州数码校园网解决方案在IP地址管理上可以做到:

  (1)针对静态IP地址分配的情况,做到:

  认证前用户将静态分配方式改为动态、认证过程中修改IP地址,用户认证不予通过;
  认证后修改IP地址,用户立即下线;

  (2)针对动态IP地址分配的情况,可以做到:

  认证前设定成静态,认证不予通过;
  认证通过后,由动态改为静态,用户立即下线;
  从其他或非法DHCP server获得地址,认证不予通过;

全面的网络资源盗用控制

  在校学生是一个经济弱势群体,而IP网络基于包交换,学生可以通过代理服务器方式盗用网络资源。要保证网络的正常运营,必须要解决用户盗用网络资源的问题。神州数码校园网解决方案能够全面有效的解决网络资源盗用的问题,有效地避免了运营网络出现收费盲点以及架设代理服务器造成的网络安全威胁。

  √ 带宽控制功能可以防止部分网络盗用的现象。

  √ 采用流量计费、包月+限制流量的计费策略。虽然有用户做代理,但对总的流量计费。保证运营商的利益不受损害。

  √ 若实行简单的包月制,通过Proxy Server,串联HUB等方式就会相当普遍,但采用时长预付费方式,在Proxy方式下,除非主从机器同时上网,否则从机单独上网时会将费用记录在主机上,由于这种情况存在,盗用的概率大大降低;

  √ 通过限制TCP/IP的Session,防止用户做代理。单个用户访问INTERNET的会话连接应该在一个固定的范围内,若某用户的会话连接数目超过一定阈值,可以认为该用户使用代理服务器的方式在盗用网络资源,接入管理器将向网管系统进行告警或拆线,从而最大限度地预防网络盗用;

  √ 通过802.1x客户端禁止用户做代理:如果在接入用户计算机上安装了两个以上的有效网络接口,并启动了Proxy软件、NAT服务、ICS服务和终端服务,则不允许用户进行拨号并弹出相关出错或警告信息,从而达到限制共享上网的目的。如果没有安装了两个以上的有效网络接口,或虽然安装了两个以上的有效网络接口但并未启动Proxy软件、NAT服务、ICS服务和终端服务,则用户仍可以正常拨号。
在802.1x认证中可以对同一个端口的MAC地址认证人数进行限制。