PPPOE认证计费

高校宽带认证计费解决方案一、前言校园网是学校和外界交流的重要平台，也是展现学校面貌的重要舞台。

随着学校硬件设备的不断健全，用户的复杂性及多样性，对网络提出了安全认证的需求，网络需要运营，因此也有了计费收费的需要。

各个学校根据自身特点，选择一套合理、有效的认证计费系统是十分有必要的。

中国的高校信息化建设经过从无到有的多年发展，许多高校正在或已经完成了校园网的建设，并经过一段时间的运行，校园网已为教育的信息化做出了贡献。

以太技术在校园网接入层的普遍采用，相对来讲，由于以太技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。

针对不同的校园规模，针对不同的用户群体，校园网的问题和需求在不断的变化，星峰航提出一套具备校园网运营特点，针对校园网的独特用户群体，特殊网络结构的方案是校园网认证计费解决方案的发展方向。

技术日新月异，很多国内外领先的网络厂商大都提出了校园网可运营的理念，以适应现代校园网“以网养网”的需求。

为了能够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台，社区网络中心需要对各种宽带接入技术进行严格的认证、选择，为建立“可管理”的网络打好基础。

在当前宽带技术的发展领域中，PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。

二、校园网的特点以及所面临的问题校园网是一个功能复杂的网络，与其他的网络相比有其独特的一面：教育网和Internet 混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。

而且，校园网用户是一群最有活力的用户群体：掌握新技术最快、最会使用新技术、最有挑战欲望。

同时，以太网技术在校园网接入层被普遍采用，相对来讲，以太网技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。

当这些因素碰到一起的时候，校园网遇到比较突出的如下几个问题：⏹网络Interet出口拥塞，需要对出口带宽进行有效管理。

校园网Internet出口带宽有限，高校学生无限制的使用出口带宽或者使用P2P工具进行下载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。

网星/网月系列路由器PPPOE服务配置使用说明服务管理（1）操作状态：启用或者禁用PPPOE服务。

（2）起始IP地址：设置PPPOE服务IP地址池内的起始IP地址。

（不能设置成跟路由器内网地址相同网段的IP地址）（3）总地址数：设置IP地址池内的地址总数。

（4）主DNS服务器：设置用户首选DNS服务器地址。

（5）备用DNS服务器：设置用户备用DNS服务器地址。

（6）密码验证方式：设置拨号用户的密码验证方式，可以设置为AUTO、PAP、CHAP。

（7）非拨号用户：可以设置全部允许通过、全部禁止通过、只允许指定IP通过三种状态。

说明：当设置全部允许通过后，内网配置固定IP和自动获取IP的用户可以正常联网。

当设置全部禁止通过后，内网中不使用PPPOE拨号的用户将无法联网。

当设置为只允许指定IP通过后，只有指定的IP地址才能够不使用PPPOE拨号认证联网，不在指定范围内的IP必须拨号才能联网。

例如下图：只有IP地址为192.168.1.66和地址段192.168.1.100 – 192.168.1.110的用户才能够不用PPPOE拨号就可以联网。

（可以通过点击添加地址段功能来添加新的主机）（8）系统最大会话数：设置PPPOE服务最多可以拨入多少用户。

例如系统最大会话数设置300，那么该服务只允许拨入300个账号，超过部分的用户在拨号时将提示错误信息。

用户管理对使用PPPOE服务的用户账号进行管理。

可以通过点击（添加）按钮来添加新的用户。

（1）用户名：设置用户上网认证使用的用户名。

（2）密码：设置用户的认证密码。

（3）帐号共享：设置是否允许多用户使用同一账号进行上网。

说明：启用后，可以设置共享用户的个数，设置成功后该账号就可以分配给多人同时使用。

（4）绑定MAC：当选择自动绑定后，用户首次认证后会自动绑定用户的MAC地址。

不选择自动绑定，如果需要绑定用户MAC地址，则要手动输入用户的MAC地址。

（5）分配IP：给用户分配指定的IP地址。

校园网认证计费解决方案1. 校园网认证计费需求分析校园网建设已经有十多年历史了，多数学校校园网建设已经形成规模，但校园网运营状况不是很理想。

很多学校的校园网，都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象，网管中心忙于应付网络突发故障。

加上几年院校合并，几张校园网拼成一张校园网，导致很多院校的校园网运行不稳用户身份认证和计费困难。

目前校园网认证计费存在：多厂家交换机，统一认证计费存在技术困难；认证计费不精确，不能按精确流量计费。

校园网迫切的需要一套精准的计费系统，可运营易管理的网络。

2. 技术方案2.1 组网方案校园网包括的信息点数量较多，采用核心、接入二层的扁平化网络层次，出口防火墙与核心交换机之间部署BRAS设备，实现所有上网用户的接入认证。

本架构模型如图：1）核心层在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。

鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性极高。

现在的硬件加速系统具备以线速提供复杂业务的潜能。

建议在网络核心采用“越简单越好”的方法。

最低的核心配置可降低配置复杂性，从而减少出现运行错误的几率。

核心层用于承担校园网各分布区域的子网互连。

核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。

基于以上的基本数据流量模型分析，采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。

2）接入层主要承担各信息点的接入。

接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。

接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。

为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻性，接入层交换机采用具备ACL功能的智能二层交换机，并且通过千兆链路和汇聚层交换机互通。

北京易讯正通宽带认证计费系统方案1 项目介绍贵单位现已经安装宽带设备，但现在对安装用户采用简单的包月计费方式，关于宽带业务的管理系统还不够完善，因此需要引进设备加强管理。

1.1 需求分析根据实际情况，首先要实现两个方面功能，一个是除了包月外，还需要实现包时长、按照时间、流量计费等更丰富的资费策略，另外一个是为了方便宽带业务管理。

易讯正通公司提供了两套满足不同适用需求的产品：宽带认证计费系统和宽带业务管理。

1.2 网络方案宽带认证接入设备1宽带认证计费服务器WEB 服务器DSLAM DSLAM 交换机局域网用户局域网用户宽带认证计费管理系统网络拓扑图北京易讯正通网络通信技术公司宽带管理系统(WEB 方式)路由器ChinaNet宽带认证接入设备2DSLAM防火墙程控计费系统网卡1网卡2转换接口Consel 口汇聚交换机1.3 组网方案说明宽带认证接入设备都支持Radius 协议，所有经过认证接入设备上宽带的用户只要在BAS 设备上的进行相应的系统参数设置，就可以让宽带用户必须经过身份认证后才能上网。

用户上网的计算机需要安装PPPoE 认证客户端软件，需要跟每个用户分配帐号和密码（帐号可以与电话号码一致，如果没有安装固定电话的用户，帐号单独生成），用户密码可以登录到自助的WEB 页面中修改。

一台宽带认证计费系统可以同时支持多台（不限制）宽带认证接入设备进行认证。

对预付费用户而言，当结余金额不够时，用户不能上网；对后付费用户而言，当用户欠费日期超过设定期限时，用户不能上网。

另外，还有部分局域网用户，这部分不需要经过认证就可以上网。

对该部分用而言，如果用户欠费，我们可以通过Consel 口用Telnet 向汇聚交换机发送指令，实现关闭上网端口和恢复端口的功能。

只要服务器硬盘空间够，可以保存至少2-3年的历史数据。

1.4 已经对接成功的认证接入设备华为MA5200华为MA5300华为MA5600港湾Hammer10000港湾Hammer2024华为3COM设备中兴BAS设备思科BAS设备贝尔BAS设备UT斯达康BAS设备安藤BAS设备中太数据BAS设备1.5 业务数据同步在一台安装了双网卡的计算机上运行业务数据同步软件，交互以下数据：1、将在程控计费系统中受理的所有宽带业务数据同步更新到宽带认证计费系统；2、将在程控计费系统中缴费的纪录更新到宽带认证计费系统；3、将宽带认证计费系统中已经欠费的用户导出到程控计费系统；4、将宽带认证计费系统中上网详单、汇总数据导入到程控计费系统；5、用户档案同步；其他数据同步。

宽带认证计费系统介绍1.1认证的主要方式在宽带接入中，按用户与网络设备之间的通信方式，可将认证分为以下三种：●PPPOE（包括PPPOA、PPTP等）●Portal认证●802.1x认证由于以上几种方式各有各的优缺点、在实际的使用场合业有很大的区别，以下将逐个介绍这三种认证计费系统。

1.1.1 PPPOE计费认证近年来，网络数据业务发展迅速，宽带用户呈爆炸式的增长，运营商在采用xDSL，LAN，HFC，无线等多种接入方式的同时，为了构建一个可运营、可管理、可盈利的宽带网络，十分关心如何有效地完成用户的管理，PPPoE就是随之出现的多种认证技术中的一种。

✧PPPoE (PPP over Ethernet) 的工作原理现代访问技术面临几个相互矛盾的目标：既要求通过一个远程客户端实现多用户的连接，又要求提供类似于PPP的访问控制和计费。

PPPOE解决了这个矛盾。

通过他每个用户都可以有其自己的PPP stack、Access Control、Billing、Type of Service。

它是在以太网上建立PPP连接，由于以太网技术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。

PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。

Discovery阶段是一个无状态的阶段，该阶段主要是选择接入服务器，确定所要建立的PPP会话标识符Session ID，同时获得对方点到点的连接信息；PPP会话阶段执行标准的PPP过程。

一个典型的Discovery阶段包括以下4个步骤：(1)主机首先主动发送广播包PADI寻找接入服务器，PADI必须至少包含一个服务名称类型的TAG，以表明主机所要求提供的服务。

(2)接入服务器收到包后如果可以提供主机要求0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)会话ID(Session ID)长度(Length)净荷(Payload)(3)主机在回应PADO的接入服务器中选择一个合适的，并发送PADR告知接入服务器，PADR中必须声明向接入服务器请求的服务种类。

PPPOE和WEB+DHCP两种宽带认证方式的比较
由于宽带网络和传统电信网络存在着本质区别，所以产生了多种用户的认证方式。

而在各宽带运营商中，主要采用PPPOE和WEB+DHCP两种用户认证方式。

但是这两种方式也存在较大不同的特点，以下将这两种认证方式的特点做个归类，从多个角度对这两种认证方式进行比较，希望能给运营商在建设宽带网络时，决定采用何种认证计费提供有价值的参考。

总结：PPPOE和WEB+DHCP两种认证方式各有优缺点，基于PPPOE的认证方式，可管理性强，计费准确，代价就是PPP本身限制了网络环境以及组播业务的开展。

而Web方式的认证，对网络环境不会造成任何影响，但在整个网络的用户可管理性、异常情况下计费准确度等方面都存在一定问题。

根据以上多个角度的对比，运营上课根据自身的业务运营特点，采用相应的认证方式。

（认证计费信息可参考/）。

ROS的PPPOE服务如何与蓝海卓越计费系统对接现在随着小区宽带运营市场的进一步发展，不少小区宽带的运营商为了降低成本，采用了收费或免费的ROS软路由做为小区的拨号服务器，进行宽带小区运营，但在实际的使用过程中，存在着以下问题：1、配置相对麻烦：相对于国内的使用者来说，ROS的配置是全英文的界面，相对比较麻烦，需要较为熟悉ROS系统的技术人员进行配置，如果配置不好，将会导致使用效果不理想。

2、帐号管理不方便：现在小区基本上都是采用PPPOE拨号模式进行运营，这就存在一个帐号管理的问题，ROS本身支持帐号的录入和管理，但一是功能简单，二是管理起来较为麻烦。

3、技术人员私开黑户：由于开户是在ROS本身上实现，而ROS又需要较为专业的技术人员进行管理，因此在一个较大的公司，管理多个项目的时候，就可能存在技术人员私下给用户开户，导致公司损失及信誉下降。

4、营帐管理困难：采用ROS开户，只能进行简单的用户名、密码、带宽等管理，对于用户信息、收支情况等都只能依靠手工做帐，这就存在管理困难，容易出现管理漏洞。

5、技术交接问题：一个技术人员的意外离职，会导致整个网络在一段时间内无人维护，这样把网络安全维系在一个或几个技术人员手中的做法，不利于公司稳定发展。

针对以上的种种情况，国内著名的宽带运营解决方案提供商蓝海卓越，推出了全中文的，基于WEB的计费管理系统，适合与ROS配套进行小区宽带项目的计费管理，全套系统基于稳定的UNIX平台，采用大型数据库MYSQL，支持千万条以上的记录，是为小区宽带运营商量身打造的优秀计费平台。

我们以蓝海卓越的小区计费管理平台为例，来说明如何与ROS 进行对接管理：说明：本方法测试环境采用ROS3.30和ROS 5.0版本，其余版本理论上应当通用。

一、ROS端配置方法：1.使用ROS的WINBOX，配置ROS的内外网IP地址（此项如不会，请自行参考网络上其他文档）2.配置RADIUS服务：如下图所示3.选中配好的RADIUS服务，点击 INCOMING，配置NAS端口，此端口是为配合蓝海卓越的计费系统，进行用户停机用的，此端口通常填写3799或1700。

PPPOE、Web+Portal、802.1x三种认证方式一览引言认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

三种方式有其产生的背景原因和技术特点，以下对这三种主要认证技术作一个简要的分析：技术分析1．PPPOE1998年后期问世的以太网上点对点协议（PPP over Ethernet）技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。

主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。

它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。

通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。