三种认证计费系统对比资料
认证计费系统
认证计费系统宽带计费系统是指对宽带上网用户进行计费管理的系统。
它的基本核心由前端用户认证、后台计费结算、数据库管理等部分组成,星锋航用户认证计费网关实现了大规模多系统业务、多种网络用户接入、认证、计费、多出口路径的网络流量负载均衡、TCP并发连接数控制、帐号用户的带宽管理分配、数据包过滤、控制网络资源滥用和防止网络病毒等功能。
一、主要功能:1、用户管理通过标准RADIUS协议,支持PPPOE以及802.1X等多种认证方式支持用户MAC地址等硬件信息的绑定认证开设不同权限的管理员,不同的管理员设定不同权限修改客户密码设置客户类型(设定不同的产品)设置客户最大使用金额实时显示用户在线的状态用户暂停开通功能实时中断用户连接,踢用户下线消息记录功能,包括用户上下线记录、用户登录记录、管理员登录记录、充值、修改用户记录等统计分析功能,包括在线用户信息、用户分布情况、业务开通情况、用户欠费信息等用户的批量开户功能对所有的用户信息,可以导出,或导入,格式为excel格式录入客户信息时,在一个页面录入多个字段,并可导入导出。
客户到期自动停止帐号使用到期前十五天,页面提醒管理员网络管理功能通过标准RADIUS接口,为支持RADIUS功能的网络设备,进行身份验证通过802.1X接口,为支持RADIUS功能的网络设备,进行身份验证为用户指定IP地址,为用户限定带宽用户在线监控、带宽监控、实时监控用户的流量限定一个帐号一个用户在线强制中断个别用户的使用定义用户名时,定义带宽(即交互式定义带宽)通过用户客户端弹出广告(需与星锋航网关配合)用户访问受限制或无效的站点时,自动转到指定页面(需与星锋航网关配合)。
通过API接口,定期同步用户帐号到PPPOE服务器,(需其他网关设备配合)项目图表分析功能2、网络记录用户访问日志和查询用户登录日志和查询记录某一个用户的上网记录。
实时查看当前某一个用户的在线情况。
实时查看当前某一用户的上传下载流量情况。
宽带认证计费系统方案
北京易讯正通宽带认证计费系统方案1 项目介绍贵单位现已经安装宽带设备,但现在对安装用户采用简单的包月计费方式,关于宽带业务的管理系统还不够完善,因此需要引进设备加强管理。
1.1 需求分析根据实际情况,首先要实现两个方面功能,一个是除了包月外,还需要实现包时长、按照时间、流量计费等更丰富的资费策略,另外一个是为了方便宽带业务管理。
易讯正通公司提供了两套满足不同适用需求的产品:宽带认证计费系统和宽带业务管理。
1.2 网络方案宽带认证接入设备1宽带认证计费服务器WEB 服务器DSLAM DSLAM 交换机局域网用户局域网用户宽带认证计费管理系统网络拓扑图北京易讯正通网络通信技术公司宽带管理系统(WEB 方式)路由器ChinaNet宽带认证接入设备2DSLAM防火墙程控计费系统网卡1网卡2转换接口Consel 口汇聚交换机1.3 组网方案说明宽带认证接入设备都支持Radius 协议,所有经过认证接入设备上宽带的用户只要在BAS 设备上的进行相应的系统参数设置,就可以让宽带用户必须经过身份认证后才能上网。
用户上网的计算机需要安装PPPoE 认证客户端软件,需要跟每个用户分配帐号和密码(帐号可以与电话号码一致,如果没有安装固定电话的用户,帐号单独生成),用户密码可以登录到自助的WEB 页面中修改。
一台宽带认证计费系统可以同时支持多台(不限制)宽带认证接入设备进行认证。
对预付费用户而言,当结余金额不够时,用户不能上网;对后付费用户而言,当用户欠费日期超过设定期限时,用户不能上网。
另外,还有部分局域网用户,这部分不需要经过认证就可以上网。
对该部分用而言,如果用户欠费,我们可以通过Consel 口用Telnet 向汇聚交换机发送指令,实现关闭上网端口和恢复端口的功能。
只要服务器硬盘空间够,可以保存至少2-3年的历史数据。
1.4 已经对接成功的认证接入设备华为MA5200华为MA5300华为MA5600港湾Hammer10000港湾Hammer2024华为3COM设备中兴BAS设备思科BAS设备贝尔BAS设备UT斯达康BAS设备安藤BAS设备中太数据BAS设备1.5 业务数据同步在一台安装了双网卡的计算机上运行业务数据同步软件,交互以下数据:1、将在程控计费系统中受理的所有宽带业务数据同步更新到宽带认证计费系统;2、将在程控计费系统中缴费的纪录更新到宽带认证计费系统;3、将宽带认证计费系统中已经欠费的用户导出到程控计费系统;4、将宽带认证计费系统中上网详单、汇总数据导入到程控计费系统;5、用户档案同步;其他数据同步。
交换机AAA详解
交换机AAA详解1概述1.1AAAAAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作⽤如下:●认证:验证⽤户是否可以获得⽹络访问权。
●授权:授权⽤户可以使⽤哪些服务。
●计费:记录⽤户使⽤⽹络资源的情况⽤户可以只使⽤AAA提供的⼀种或两种安全服务。
例如,公司仅仅想让员⼯在访问某些特定资源的时候进⾏⾝份认证,那么⽹络管理员只要配置认证服务器即可。
但是若希望对员⼯使⽤⽹络的情况进⾏记录,那么还需要配置计费服务器。
如上所述,AAA是⼀种管理框架,它提供了授权部分⽤户去访问特定资源,同时可以记录这些⽤户操作⾏为的⼀种安全机制,因其具有良好的可扩展性,并且容易实现⽤户信息的集中管理⽽被⼴泛使⽤。
AAA可以通过多种协议来实现。
在实际应⽤中,最常使⽤RADIUS协议(UDP)和TACACS协议(TCP),华为和Cisco⼜有⾃⾝的协议:HWTACACS(华为)和TACACS+(Cisco)。
1)终端访问控制器的访问控制系统(TACACS)TACACS是⼀个远程认证协议,⽤作与认证服务器进⾏通信,通常使⽤在UNIX ⽹络中。
TACACS允许远程访问服务于认证服务通信,为了决定⽤户是否允许访问⽹络。
Unix后台是TACACSD,运⾏在49端⼝上,使⽤TCP。
2)TACACS+:TACACS+是为路由、⽹络访问服务和其它⽹络计算设备提供访问控制的协议,使⽤⼀个以上的中⼼服务器。
它使⽤TCP,提供单独认证、鉴权和审计服务,端⼝是49。
3)RADIUS:远程认证拨号⽤户服务是⼀个AAA应⽤协议,例如:⽹络认证或IP移动性。
后续章节中,我们会看到更多的RADIUS详情。
4)DIAMETERDiameter是计划替代RADIUS的⼀种协议。
2原理描述2.1基本构架AAA是采⽤“客户端/服务器”(C/S)结构,其中AAA客户端(也称⽹络接⼊服务器——NAS)就是使能了AAA功能的⽹络设备(可以是⽹络中任意⼀台设备,不⼀定是接⼊设备,⽽且可以在⽹络中多个设备上使能),⽽AAA服务器就是专门⽤来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提供了对应服务器功能的⽹络设备上配置)如图2-1所⽰。
三体系认证收费标准
三体系认证收费标准在当前的市场经济环境下,企业对产品质量和管理体系的认证越来越重视。
三体系认证,即质量管理体系认证、环境管理体系认证和职业健康安全管理体系认证,是企业展示其产品质量和管理水平的重要手段。
因此,三体系认证收费标准成为了企业关注的焦点之一。
首先,质量管理体系认证的收费标准是企业关注的重点之一。
质量管理体系认证是指企业为了提高产品质量和管理水平,通过第三方机构对其质量管理体系进行认证。
根据不同的认证机构和认证范围,质量管理体系认证的收费标准也会有所不同。
一般来说,质量管理体系认证的收费标准包括初审费、认证费、监督审核费和再认证费等。
这些费用的多少取决于企业的规模、行业、认证机构的声誉和认证范围等因素。
其次,环境管理体系认证的收费标准也备受关注。
环境管理体系认证是指企业为了提高环境保护意识,通过第三方机构对其环境管理体系进行认证。
环境管理体系认证的收费标准也因认证机构、认证范围和企业规模等因素而有所不同。
一般来说,环境管理体系认证的收费标准包括初审费、认证费、监督审核费和再认证费等。
企业在选择认证机构和进行环境管理体系认证时,需要对收费标准有清晰的了解和预算。
最后,职业健康安全管理体系认证的收费标准也是企业关注的焦点。
职业健康安全管理体系认证是指企业为了保障员工的职业健康和安全,通过第三方机构对其职业健康安全管理体系进行认证。
同样,职业健康安全管理体系认证的收费标准也因认证机构、认证范围和企业规模等因素而有所不同。
企业在选择认证机构和进行职业健康安全管理体系认证时,也需要对收费标准有清晰的了解和预算。
综上所述,三体系认证的收费标准是企业进行认证前需要认真考虑和了解的重要内容。
企业需要根据自身的实际情况,选择合适的认证机构和认证范围,对收费标准有清晰的了解和预算,以便顺利进行认证工作。
同时,认证机构也应当公开透明地公布收费标准,为企业提供真实有效的服务,推动企业提升产品质量和管理水平,实现可持续发展的目标。
中国高校知名认证计费系统对比分析
只支持IP和MAC的绑定
支持
支持限制用户使用静态IP或者是动态获取的方式登录,支持对于日/周/节假日进行用户时间控制,或按照时间段进行控制
支持
支持
支持
解决学生不同时段上网控制的问题
支持根据用户的IP、准入控制网关IP进行区域的划分,控制用户可以在哪些指定的区域上网
不详
不详
支持
微信认证
支持通过订阅号、服务号实现微信连WiFi认证上网
不详
不详
支持
缴费管理
支持互联网在线缴费功能,支持与第三方在线支付系统对接平台;互联网在线充值功能能够兼容主流支付平台,如支付宝、网银等
支持
支持
支持
传统的缴费,老师需要花精力收费,学生缴费受时间和区域以及支付系统的限制非常不方便。互联网在线充值功能可以让学生随时随地缴费,避免圈存机受地区和开放时间的限制,避免营业厅充值排队问题;互联网在线充值灵活且符合学生使用习惯。
软件架构
系统支持基于B/S方式进行操作管理端和用户自助端
支持
支持
支持
便于管理人员的管理以及学生的自助服务
身份认证
支持基于客户端的有线和无线接入方式
支持
支持
支持
为保证安全,对用户更严格的控制
支持基于Web的有线和无线接入方式
支持
支持
支持
部分区域能方便的接入,能比较方便的认证
支持基于VPN接入方式的认证管理
支持
支持
支持
根据要求设定用户自助服务的选项,简化管理工作
可扩展微信端自助
支持进行用户姓名修改、手机绑定、邮箱绑定,查看账户余额、当前套餐、变更套餐;
BAS例子
² ² ²
9
1.2. 系统结构
本系统的核心部分-RADIUS 认证/计费服务器通过 RADIUS 协议与宽带接入服务器/三 层交换机接口,为旁路型宽带计费体系结构。
1.3. 3A 认证原理
宽带用户 3A 接入控制的实现过程如下: 用户端设备-->BAS(AAA Client)-->AAA Server(Radius) --> Billing System
2
™北京泰思达网络通信技术有限公司 版权所有©
1.3.2. 用户授权(Authorization )
² ² ² 支持自动掉线(Session-Timeout) 支持闲置掉线(Idle-Timeout) 可定制第三方厂商的 VSA 授权
3Leabharlann ™北京泰思达网络通信技术有限公司 版权所有©
² 支持按时长、流量计费(例如: n 元/小时)
4
™北京泰思达网络通信技术有限公司 版权所有©
² ²
支持时长、流量套餐计费(例如:100 小时优惠卡) 支持包月套餐、包月封顶计费 例如:1、不足 40 小时 2 元/小时,40-80 小时 1.5 元/小时,超过 80 小时 1 元/小时 2、不足 100 小时 2 元/小时,超过 100 小时 200 元封顶
1
™北京泰思达网络通信技术有限公司 版权所有©
当宽带用户需要上网时,将账号/密码发送给 NAS/BAS,通知 NAS/BAS 需要认证, NAS/BAS 于是向认证服务器发送认证请求包(封装成 Radius 包),认证服务器将认证结果 (access/reject)返回给 NAS/BAS。若认证通过(access),则宽带用户可以上网,认证服务 器同时开始记录上线时间, 用户下线时, 认证服务器记录下线时间和流量------同时这些信 息记录到数据库中,便于统计、管理;否则 NAS/BAS 控制宽带用户不能上网。 一般来讲,从 BAS 到 AAA Server 之间的实现方法都是大同小异,通常采用 RADIUS 协议,而 AAA Server 和 Billing 系统一般采用集中建制,以支持用户漫游和减少建制成本。 而目前最困扰运营商的是如何有效实现从用户端设备到 BAS 之间的有效连接, 目前主要的实 现方式有:PPPOE、Web 和 802.1x
PPPOE和WEB+DHCP两种宽带认证方式的比较
PPPOE和WEB+DHCP两种宽带认证方式的比较
由于宽带网络和传统电信网络存在着本质区别,所以产生了多种用户的认证方式。
而在各宽带运营商中,主要采用PPPOE和WEB+DHCP两种用户认证方式。
但是这两种方式也存在较大不同的特点,以下将这两种认证方式的特点做个归类,从多个角度对这两种认证方式进行比较,希望能给运营商在建设宽带网络时,决定采用何种认证计费提供有价值的参考。
总结:PPPOE和WEB+DHCP两种认证方式各有优缺点,基于PPPOE的认证方式,可管理性强,计费准确,代价就是PPP本身限制了网络环境以及组播业务的开展。
而Web方式的认证,对网络环境不会造成任何影响,但在整个网络的用户可管理性、异常情况下计费准确度等方面都存在一定问题。
根据以上多个角度的对比,运营上课根据自身的业务运营特点,采用相应的认证方式。
(认证计费信息可参考/)。
三大主流IaaS云服务计费方式对比
次阅读【已有条评论】发表评论来源:中国感谢刘文君地提供收藏到我地网摘个人收集整理勿做商业用途云计算地安全和管理问题是众所周知地,除此之外,关于云服务地计费也是一个不小地挑战.云服务供应商们总是喜欢吹嘘说他们地服务使用起来有多么地简单,实际上,广大经理们都已发现云计算服务地计费并不简单.云服务地计费是基于许多因素地,从所需地存储空间,到所使用地时间周期,再到每个月地流量分配,等等这些因素都可能成为计费参考.实际上还不止这些,一些云服务供应商还会基于之内地一些隐性条款来收费.为了弄明白一项云计算服务地总费用,用户需要了解供应商账单上地每一项服务要素,以及其计费方式.例如,供应商是基于流量、存储空间、服务器运行时间来计费,还是将这些因素综合考虑来收费?服务地计费项目另一个决定服务真正费用地关键因素是所需地服务类型.对于一些企业而言,所谓地云服务可能只是服务器托管、专用服务器租赁,或是将应用运行在云中.而对于其它一些企业而言,云服务可能就是基于云地数据备份、业务持续性地维持,或是基本地存储托管.对于广大用户而言,要弄明白云计算服务最简单地方式就是将注意力放在最主要地服务项目上.大多数云服务供应商都会将它们地服务分为三个基本类型:云中服务器、云存储、云工作站和云应用.每一项服务都有其自己地计费方式.云中地服务器主要分为两种形式:虚拟服务器和物理服务器.换句话说,你既可以在虚拟服务器(与其他人共享物理硬件)上购买使用时间,也可以在专用服务器(你是该服务器唯一地租户)上购买使用时间.表所示地就是云服务地计费方式:、、:三大主流云服务计费方式对比整张图片实际上就是在对比不同云服务供应商地服务价格和计费方式.图中列出地每个供应商都会对一些额外地服务和功能征收额外地费用.此外,每项服务地价格也会随着协议长短、总地带宽需求或者所需存储规模地大小而有所变化.在许多情况下,用户是可以和供应商进行讨价还价地.不同地供应商不同地服务类型并不是说所有地云服务供应商都是一样地,如果你仔细观察一下供应商之间地区别以及他们各自处理用户需求地方式,就会发现这种差别是很明显地.为了给大家做一个对比,我们挑选了最为知名地三家云架构供应商:* 将负载均衡服务放在其服务器产品当中,而且不收取额外地费用,此外,他们还免费提供地存储空间;* 使用地是一种完全不同地计费机制,随着使用量地增长,他们会降低每十亿字节带宽地费用.此外,该公司还在一些虚拟服务器上提供免费地备份服务;* 地大多数服务随着使用量地增加都提供打折优惠,但是对于存储服务地启用和终止都会收取一定费用.如果你考虑一下最为简单地云存储服务概念,就会很明显地发现这几种计费方式及供应商业务地区别.再次强调一下,这张图只是对比不同供应商地计费方式.像其它云服务一样,云存储服务地价格也会受到协议时间长短、总地带宽需求或是说所需存储容量大小地影响.此外,这些服务地价格也有足够地讨价还价地空间.、、:三大主流云服务计费方式对比* 对于使用其服务器托管服务地用户,最初提供地免费存储空间,而且他们只为服务器托管用户提供云存储服务.独具特色地是,随着用户所购买地存储容量地增加,地服务可以提供打折优惠.地云存储服务是以一种定量地方式提供,目前为止还不提供用于启动或停止其它命令地服务应用程序接口.* 试图让它地存储服务计费方式变得尽可能地简单化.他们对于云存储服务地采购提供按比例增减地模式,随着总量地增加,服务地单价也会有所下降.此外,如果文件地大小超过,他们不会收取存取费用.* 对于已删除数据不进行收费,根据所需存储总量地增加还会提供一定折扣.对于那些试图将价格稳定下来地公司,他们提供定价合同.对于一些规模较大地文件传输公司,他们建议使用其输入和输出服务,这样可以节省成本.理想地讲,云计算服务地计费模式应该和选择所需地存储功能和服务器计算资源没什么差别.而事实上,大多数经理都发现这种理想很难实现.他们必须仔细去考虑一些“隐性成本”,或是计费标准地变化,从而确定某项服务地真正费用.更大地挑战来自于一些“非技术”地因素,用户必须考虑到那些独立于谈判条款之外或是隐藏于协议之中因素.解决这一问题地技巧就是用清晰而又精确地语言将每个合同期内每项服务地总费用写在纸上,这样才能明白真正地总预算金额.个人收集整理勿做商业用途。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宽带认证计费系统介绍
1.1认证的主要方式
在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种:
●PPPOE(包括PPPOA、PPTP等)
●Portal认证
●802.1x认证
由于以上几种方式各有各的优缺点、在实际的使用场合业有很大的区别,以下将逐个介绍这三种认证计费系统。
1.1.1 PPPOE计费认证
近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。
✧PPPoE (PPP over Ethernet) 的工作原理
现代访问技术面临几个相互矛盾的目标:既要求通过一个远程客户端实现多用户的连接,又要求提供类似于PPP的访问控制和计费。
PPPOE解决了这个矛盾。
通过他每个用户都可以有其自己的PPP stack、Access Control、Billing、Type of Service。
它是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。
Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到
点的连接信息;PPP会话阶段执行标准的PPP过程。
一个典型的Discovery阶段包括以下4个步骤:
(1)主机首先主动发送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的
TAG,以表明主机所要求提供的服务。
(2)接入服务器收到包后如果可以提供主机要求
0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1
以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)
会话ID(Session ID)长度(Length)
净荷(Payload)
(3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR
中必须声明向接入服务器请求的服务种类。
(4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID,启动PPP
状态机以准备开始PPP会话,并发送一个会话确认包PADS。
主机收到PADS后,双方进入PPP会话阶段。
在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,Session ID必须是Discovery阶段所分配的值。
PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。
PADT包是会话中止包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。
PPPoE的特点
PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输。
✧PPPOE具有如下优点:
(1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或
流量的统计,计费方式灵活方便。
(2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备
就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。
✧PPPOE还具有以下缺点:
(1)需要专门购置PPPOE接入设备-BAS设备(认证计费网关),BAS设备作为A TM为核心技术的认证计费设备,主要用在A TM网与IP网的网关处,该接入设备通常比较昂贵。
(2)由于PPP协议需要被再次封装到以太网帧中,所以封装效率稍低。
1.1.2 Portal认证
●认证步骤:
(1)用户主机上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址。
(2)BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问Portal server和一些内部服务器,个别外部服务器如DNS)
(3) Portal server 向用户提供认证界面。
在该页面中,用户输入账号和口令,并单击“log in”按钮。
(4)该按钮启动portal server上的JAVA程序,该程序将用户信息(IP地址,账号和口令)送给网络中心设备BAS。
(5)BAS利用IP地址将到用户的二层地址、物理端口号(如vlan ID,ADSL PVC ID,PPP
session ID).利用这些信息,对用户的合法性进行检查。
便于以后的合法性检查。
(6)Radius Server返回认证结果给网络设备。
(7)认证通过后,修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
(8)用户离开网络前,连接到portal server 上,单击“断开网络”按钮,系统停止计费,删除标记的ACL和转发信息,限制用户不能访问外部网络。
(9)在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断开,直接关机等。
该认证方式用户操作简单,不需要专门安装客户端,只要装有浏览器即可。
但也有以下缺点:
(1)未认证用户就通过DHCP Server获IP地址造成整个网络的IP地址浪费及网络安全性差。
(2)所有的认证都必须到7层上才能完成,使整个网络的效率低下。
1.1.3 80
2.1x认证
工作流程
(1)用户主机通过802.1x的客户端软件发出802.1x请求;
(2)设备上的802.1x server端接受到请求后,提取出其中的EAP报文,交给Radius client模块封装后,发到radius server。
(3)Radius Server返回认证结果给设备;
(4)设备把认证结果通过EAPOL协议通知用户,并记录相关用户信息;
(5)用户侧的客户端软件收到认证通过结果后,发出DHCP请求;
(6)设备收到DHCP请求后,检查是否转发请求,如果符合转发条件,则由DHCPRELAY 模块向制定的DHCP Server发送;
(7)DHCP Server响应DHCP请求;
(8)设备收到响应,转发给用户主机。
同时,设备记录下用户的VLAN,MAC,IP等,为用户构建转发信息表;
(9)设备根据Radius server 的认证结果,动态建立基于用户源IP的ACL。
以控制用户的访问权限;
(10)设备检测到用户的上网流量,向Radius server 发送计费开始的消息包。
(11)用户主机会发出DHCP Release包。
该包到达设备,网络设备删除用户的ACL,删除用户的转发信息。
设备将向Radius server 发一个终止计费的消息包,该
包同时也包含了用户的流量。
计费结束。
(12)用户主机死机或异常情况下,用户主机未发出DHCP Release 包。
网络设备上增加ARP方式的主动握手检查,若一段时间内,未检测到用户流量或用户主机
已经不在线,则将断开网络,向Radius server发一个终止计费的消息包,该
包同时也包含了用户的流量。
计费结束。
优点:
(1)认证和管理分开,提高了网络的运行效率;
(2)不使用BAS设备,减少了网络运营商的成本投入;
(3)透传二层业务,方便今后业务的拓展。
(4)标准协议,网络的安全性比较好,维护费用少。
1.1.3 三种认证方式的比较
通过以上的分析,PPPOE和WEB认证这种方式,不是传输效率低下,维护困难,就是业务扩展有问题,或者网络的建设成本比较高等缺点,只有802.1x的认证方式无论在接入成本和管理难易上,还是在今后网络业务的扩展能力上,都具有相当的优越性。
1.1.4 总结
建立完善的用户安全管理控制系统,在新一代宽带IP城域网提供信令与交换分离的网络认证体系。
非常有利于构建宽带网络的认证模式,可以随意扩展接入网。
●支持业界最新的安全接入控制协议802.1x,通过将用户账号,MAC地址与端口的捆
绑实现高效的用户控制能力,能根据不同的网络服务获得相应的权限,与RADIUS server紧密配合,确保只有合法用户才能使用网络资源。
●支持IEEE802.1Q VLAN,通过为每个用户组分配一个独立的VLAN,将用户业务限制
在指定的VLAN中,不同VLAN在二层交换中不能相互通信,在不同工作组间提供安
全隔离,支持基于端口,协议类型,MACA地址,IP子网定义VLAN.
●支持端口锁定技术,限制每端口用户的接入数量。