您的位置:360文档中心› 基于RADIUS的校园网络认证计费系统的设计

基于RADIUS的校园网络认证计费系统的设计

合集下载

基于802.1x的校园网用户身份认证设计与实现

基于802.1x的校园网用户身份认证设计与实现

基于802.1x的校园网用户身份认证设计与实现吴贤平【摘要】当前我国高校校园网事业飞速发展,但随着用户数的急剧增加和业务样式的增多,校园网的安全问题也日益突出.本文针对标准的802.1x协议在实际应用中存在不足,提出了适合于校园网身份管理系统中的用户身份认证切实可行的协议改进方法.提出了校园网认证系统的整体框架,为建造安全可靠的校园网提供了新的思路和方法.【期刊名称】《制造业自动化》【年(卷),期】2012(034)009【总页数】3页(P47-49)【关键词】802.1x认证;PPPoE认证;Radius认证;认证系统;校园网【作者】吴贤平【作者单位】温州大学,温州325035【正文语种】中文【中图分类】TP390 引言由于传统认证(Authentication,又称鉴别)方式对校园网中用户数据包繁琐的处理造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。

IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而成为当前校园网选型的一个热点。

1 IEEE802.1x技术简介1.1 IEEE802.1x协议的工作机制802.1 x作为一个认证协议,在实现的过程中有很多重要的工作机制[1,2](如图1所示)。

图1 IEEE 802.1x协议的工作机制认证的发起可以由用户主动发起,也可以由认证系统发起。

当认证系统探测到未经过认证的用户使用网络,就会主动发起认证;用户端则可以通过客户端软件向认证系统发送EAPOL-Start报文发起认证。

1.2 IEEE802.1x协议的体系结构图2 802.1x协议的体系结构IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。

高校宽带认证计费解决方案

高校宽带认证计费解决方案

高校宽带认证计费解决方案一、前言校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。

随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。

各个学校根据自身特点,选择一套合理、有效的认证计费系统是十分有必要的。

中国的高校信息化建设经过从无到有的多年发展,许多高校正在或已经完成了校园网的建设,并经过一段时间的运行,校园网已为教育的信息化做出了贡献。

以太技术在校园网接入层的普遍采用,相对来讲,由于以太技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。

针对不同的校园规模,针对不同的用户群体,校园网的问题和需求在不断的变化,星峰航提出一套具备校园网运营特点,针对校园网的独特用户群体,特殊网络结构的方案是校园网认证计费解决方案的发展方向。

技术日新月异,很多国内外领先的网络厂商大都提出了校园网可运营的理念,以适应现代校园网“以网养网”的需求。

为了能够在现有各种宽带接入网络上为用户提供统一、灵活、规范的宽带社区平台,社区网络中心需要对各种宽带接入技术进行严格的认证、选择,为建立“可管理”的网络打好基础。

在当前宽带技术的发展领域中,PPPoE、WEB、Client认证作为主流的宽带接入技术受到了快速的发展。

二、校园网的特点以及所面临的问题校园网是一个功能复杂的网络,与其他的网络相比有其独特的一面:教育网和Internet 混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。

而且,校园网用户是一群最有活力的用户群体:掌握新技术最快、最会使用新技术、最有挑战欲望。

同时,以太网技术在校园网接入层被普遍采用,相对来讲,以太网技术不是一个具有严格管理能力的组网技术,这决定了校园网的安全性较低。

当这些因素碰到一起的时候,校园网遇到比较突出的如下几个问题:⏹网络Interet出口拥塞,需要对出口带宽进行有效管理。

校园网Internet出口带宽有限,高校学生无限制的使用出口带宽或者使用P2P工具进行下载,首先造成出口拥塞,出口的拥塞接着造成更多用户加入带宽的争抢,致使出口更加拥塞,这必将导致通信掉包严重,大量出现重复发送数据包,进一步拥塞整个网络,其最终结果就是整个网络出现拥塞,所有用户不能正常上网。

RG—SAM系统在高校校园网中的应用及常见问题处理

RG—SAM系统在高校校园网中的应用及常见问题处理

RG—SAM系统在高校校园网中的应用及常见问题处理作者:董珺祝瑞玲来源:《中国科技博览》2013年第09期[摘要]山东传媒职业学院从2008年建成校园网络开始就一直使用RG-SAM系统进行校园网络的接入管理、计费管理和安全管理,收到非常好的管理效果,成功实现“以网养网”的管理模式。

并总结出使用过程中的问题处理经验。

[关键词]校园网;RG-SAM;计费;部署;管理;问题;处理中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2013)09-0304-021.RG-SAM系统概述RG-SAM系统是一套基于标准的RADIUS协议开发的认证计费管理系统。

该系统在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理,和对外统一接口等。

大大降低了用户的投资成本,使得管理效率得到了很大的提升。

RG-SAM系统在“高安全、可运营、易管理”三个方面具有业内类似产品无可比拟的优势。

RG-SAM通过RG-AC集群部署方案,在有限的硬件设备投入下,提供最安全、最稳定的全面解决方案,同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案;另外,以好用、易用为原则,Web访问形式的友好界面,为用户提供贴心的使用形式。

RG-SAM系统追求的是为用户创造高稳定性、高性能的运营环境,实现用户入网即认证,帮助网络管理者以最小的投入开辟“以网养网”的运营之路。

(图1)2. RG-SAM部署方案当前,SAM系统在我院校园网的部署方案如下:(图2)2.1 网络拓扑结构RG-SAM支持标准的802.1X协议,可以与其他厂商支持相应标准的产品兼容,同时为了完全可以兼容其他厂商的交换机,锐捷开发了兼容性组件,配合锐捷的兼容性组件,可以实现802.1X协议方面的全功能支持,例如:发短消息,用户存活探测、防代理等。

以上这种拓扑方案具有以下优点:RG-AC高可用集群技术、统一运营,分区管理、随需定制的计费策略、全面优化的统计报表、管理精细化、必需入网即认证,注重安全、看重运营计费,需要合理化、差異化的运营策略、实现与数字化校园对接。

radius

radius
星锋航radius认证计费系统
1、多种计费方式,满足不同的运营模式
星锋航radius认证计费系统带有一个功能完善的计费引擎,可以对各种原始数据进行计费和清费处理,它包含时长、流量、优惠策略、多服务计费策略。
支持后付费、预付费、预支付卡、免费用户模型,支持三户模型计费。
网站/关键字过滤,过滤一些您不希望客户机看到或访问的站点, 如广告、含有病毒、暴力或色情等内容的网址。
连接数限制,避免应连接数过高造成的网络拥堵。
ACL访问控制,针对协议、端口、源目的IP或网段等, 设定合理的内网的访问控制规则。
IP/MAC绑定,防止局域网用户随意改变自己的 IP 地址来获得非法权限或导致 IP 冲突. 同时还可以减少局域网内的 ARP 广播流量。
按时间段控制,您可根据不同的时间段上网的特点来划分不同的规则。
4、星锋航radius更智能的流控
智能带宽保证,通过带宽保障技术设定应用的带宽使用量,让总带宽不被完全占满,为关键应用预留充足带宽,随时保障网络流畅不拥堵。
流量分配和控制,可基于用户/用户组、IP/IP组为其指定访问行为提供带宽分配和管理措施、使带宽资源得充分有效的利用。
星锋航radius认证计费系统基于分布式架构设计,可以随着业务发展需求动态调配服务器,把性能损耗大的功能模块单独部署从而提高系统的整体处理能力满足业务发展需求,保护用户原有投资。
单机支持350请求/秒,单机支持约3-5万并发用户在线。
系统自带双机冷备功能,主备系统自动数据同步,确保运营数据的安全性。
支持时长计费、流量计费种计费类型。
支持充值优惠、包年优惠、时长步步高计费、流量计费、流量计费、时长倒扣、月限制时长、月限制流量、月累计限制时长、月累计限制流量等多种优惠策略。

VoIP设备RADIUS计费服务器的设计与实现的开题报告

VoIP设备RADIUS计费服务器的设计与实现的开题报告

VoIP设备RADIUS计费服务器的设计与实现的开题报告一、选题背景与意义近年来,随着网络技术的不断发展,互联网电话(VoIP)技术逐渐成为一种受欢迎的通信方式。

随着越来越多的用户使用VoIP服务,VoIP设备的计费功能也越来越重要。

计费服务器通常使用RADIUS协议进行用户认证和计费。

因此,本论文旨在设计和实现一种VoIP设备RADIUS计费服务器。

二、文献综述RADIUS是一种远程认证拨号用户服务协议,用于在Internet服务提供商(ISP)网络中提供认证、授权和计费。

它通常用于拨号用户、虚拟专用网(VPN)用户和无线接入用户的认证和计费。

RADIUS协议使用UDP协议进行通信,并采用客户端-服务器体系结构。

RADIUS协议由Internet Engineering Task Force(IETF)组织维护,并已成为广泛使用的协议。

VoIP设备的计费通常使用RADIUS协议与计费服务器进行通信。

计费服务器负责管理用户的帐户信息和计费信息。

当用户使用VoIP服务时,VoIP设备会向RADIUS 计费服务器发送认证请求。

计费服务器会验证用户帐户信息,并根据用户的使用情况计费。

计费服务器还负责记录用户的计费信息,并向用户发送账单。

三、研究目标本论文的主要目标是设计和实现一个VoIP设备RADIUS计费服务器。

具体目标如下:1.设计并实现基于RADIUS协议的认证和计费功能;2.实现用户帐户管理功能,包括账户创建、删除和修改等;3.实现用户计费信息管理功能,包括计费策略设置和账单发送等;4.实现计费数据分析和报告生成功能;5.测试和评估所设计和实现的VoIP设备RADIUS计费服务器的性能和可靠性。

四、研究方法为了实现上述目标,将采取以下步骤:1.研究RADIUS协议的原理和设计;2.设计VoIP设备RADIUS计费服务器的系统架构;3.实现认证和计费功能,包括用户帐户管理和计费信息管理;4.实现计费数据分析功能,包括数据分析和报告生成;5.测试和评估所设计和实现的VoIP设备RADIUS计费服务器的性能和可靠性。

安全RADIUS认证、授权、计费系统的构建

安全RADIUS认证、授权、计费系统的构建
( brpc eu t ne, tmai co lNotwetr oyeh ia Unv rt, ’n70 7 ) CyesaeS cryCetrAuo t S h o, r i c h s nP lt nc l ies yXi 0 2 e c i a 1
[ bt c]Arm tacsd ln s . ri (A IS at nct nat rao d con ss micnt c dT o r l e e A s at o es i es v e R DU )u etao,u oi t n n cutyt sut .w o e e r r e e c ai u re c h i i h zi a a e so r e p b msm g
用 户上 网记 录 ( 文本形式)整 理输 入的。此外,为 了便于一
般的操作人员管理数据库 , 系统提供了数据库前台管理信息
系统 ( n gme tnoma o ytm, S ,提供 了各种灵 Ma ae n fr t nS s MI) I i e
1 A IS D U 系统的构建 R
1 . 1熏统倚介 基于 R DI S的认证、 A U 授权与计费系统模型如图 1 所示 。 R D US 基 于 客 户 机 一 务 器 模 型 , 采 用 质 询 一 应 AI 服 响
维普资讯
期 第 3 卷 第 9 2
V l 2 o3 _。


算 机 工 程
20 年 5月 06
M ay 2 0 0 6


Co p t rEn i e r n m u e gn e i g
安全技术 ・
 ̄ l 1 l_ 2(o) _4 一 文 标 码l Im q, o卜 3 8o 0 0 4 l o 4 2 61 l_ 2 献 识 A

中南大学计算机专业毕业设计题目

计算机科学与技术专业毕业设计题目序号内容1标题:电子与信息工程系网站设计及建设(2人)目的:系网站的更新内容:前台系统的设计与美化,主要包括系情介绍、组织机构、教学工作、师资队伍、科研开发、人才培养、学学生工作、党建工作、教工之家、社考等内容,后台的设计,主要是前台显示的管理设计。

采用JSP+SQL参考资料:1、JavaBeans 2.0 程序设计;2、JSP交互网站实务经典2标题:面向主题的搜索引擎的设计与实现(2人)目的:采用人工分类以及特征值提取等策略,提高搜索引擎的时效性及准确性.内容:面向主题搜索引擎的具体实现,主要包括主题关键字库的建立(不同用户分别录入)、web页面关键字的检索提取,搜索算法的优化等。

本系统采用B/S架构,前台开发工具为ASP或JSP,数据库采用SQL Server。

参考资料:1、Teff Heaton《网络机器人Teva编程指南》机械工业出版社;2、魏应彬,周星,康耀红《网页设计与Web数据库发布技术》,清华大学出版社。

3 标题:基于vega技术的地下虚拟现实系统研究与实现(3人)目的:模拟仿真地下管网铺设内容:通过3dmax或creator等工具软件,建立地下管网模型,使用vega作为驱动,最终借助vc++6.0实现地下管网的模拟仿真。

参考资料:Vega、3dmax、creator、Vc++6.0等。

4标题:企业信息管理系统(2人)目的:随着计算机技术的飞速发展,计算机在企业单位管理中应用的普及,管理信息系统的开发在强调管理、强调信息的现代社会中也显得越来越重要。

因此,利用计算机支持单位高效率地完成人事管理的日常事务,是适应现代企业单位制度要求、推动企业单位人事管理走向科学化、规范化的必要条件。

内容:本系统具有数据管理和企业事务管理功能。

使用该系统,可以方便地进行新进企业员工的编制,考勤的自动化以及对员工培训的管理。

快捷地查询公司员工的情况,方便企业高层领导对本企业人力资源的现状有个比较全面的认识,也方便他们的管理和人员调动,可辅助企业领导决策科学化,从而大大减少了工作量,提高了工作效率。

基于RADIUS认证的校园网VPN实施

基于RADIUS认证的校园网VPN实施
黄辉
【期刊名称】《《中国教育信息化·高教职教》》
【年(卷),期】2006(000)006
【摘要】伴随校园信息化的发展,校园网资源共享不仅仅局限在校园内部,而是扩大到整个Internet,如何保证校园网资源被合理有效的访问,如何保证数据的安全传输,如何对使用者进行统一身份认证,本文就此提出了一种解决方案。

【总页数】2页(P37-38)
【作者】黄辉
【作者单位】江西财经大学现代教育技术中心
【正文语种】中文
【中图分类】TP3
【相关文献】
1.基于双网关+RADIUS认证的远程访问VPN设计与实现 [J], 赵宏;王灵霞
2.基于Radius和802.1x的校园网认证计费体系研究与设计 [J], 马菲
3.基于RADIUS的校园网络认证计费系统的设计 [J], 田野;张智勇;张远平
4.基于RADIUS认证的校园网VPN实施 [J], 黄辉
5.基于软件Freeradius实现校园网认证系统的研究 [J], 黄旭彬
因版权原因,仅展示原文概要,查看原文内容请购买。

802.1x+RADIUS认证计费技术原理及配置


PPP帧格式
• 一个典型的PPP协议的帧格式
Flag Address Control Protocol Information
•protocol域表明协议类型为C227(PPP EAP) 时,在PPP数据链路层帧的Information域中 封装且仅封装PPP EAP数据包
EAP报文格式
Code
• IEEE 802.1x标准定义了一种基于“客户端——服务器”(ClientServer)模式实现了限制未认证用户对网络的访问。客户端要访 问网络必须先通过认证服务器的认证。在客户端通过认证之前, 只有EAPOL报文(Extensible Authentication Protocol over LAN) 可以在网络上通行。在认证成功之后,通常的数据流便可在网络 上通行。
控制方式
网络性能 组播支持 VLAN要求 客户端软件 对设备要求 安全性
数据认证统一
差 差 无 需要 集中的BAS设备 差
数据认证统一
差 好 多 不需要 集中BAS设备 差
数据认证分离
好 好 无 需要 接入层交换机 高
议程
• 认证计费原理及技术(AAA、Radius) • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
802.1X典型应用(一)
802.1X典型应用(二)
议程
• 认证计费原理及技术(AAA、Radius) • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
锐捷网络的安全认证计费产品
• Radius Server – RG-Radius、RG-SAM • NAS(Radius Client) – 锐捷全系列安全交换机、路由器、防火墙 • 接入用户 – 802.1x的认证客户端软件STAR Supplicant(分SuA普 通安装版本和SuB免安装版本)

应用Tek RADIUS零成本构建网络设备统一认证系统


设 备I 、登 录 时 间 、下 线时 间 、在 线 时长 ,便 于 P 追 踪 和 审 查 ,实现 安 全 的可 审 计 眭。
网 络设 备 的 认证 策 略 采 用 “ 先RADI 后 US L c1 o a”的 方 式 ,即 当RADI ] 常工 作 时 ,首 US]  ̄
供 一定的 日志记录 ,但是 日志的类型 和数量有
目 T k AD US 一认 证 系 eR I 统 统 部 署 和配 置
3 1 安 装 环 境 . 使 用 W i d wssv 2)3 务 n o e ( 服 e r 0
器 , 安 装 前 先 禁 用 W i d wS 带 的 n o 自
户权 限 :级别 艮 少使 用 ,只 支持 ak b、
32 T k . e RADI US初 始 化 设 置
在 Te R ADI S 功 连 接 S L k U 成 0 sr e数 据 库 并 创 建 完 相 应 表 之 后 完 成 ev r 以下 操 作 。
商 代 号 , 最 高 字 节 为 0 其 余 3 t , BY e
的 编 码 见 R F 1 0 。 如 思 科 公 司 的 C 70
品 可 以设 置 分 级 的权 限 级 别 ,但 是 这 些 权 限 级 别 的 设 置 分 散 在 各 台 设 备 上 ,没 有 集 中 的 管 理 手段 。 在 审 计 方 面 ,网 络 设 备 的b fe 虽 然 能 提 u fr
在 审 计方 面 ,要 求 能记 录对 用 户账 号登 录的
标 准 R AD I 协 议 不 支 持 授 US
权 功 能 。给 用 户分 配 登 录 的1 v l 权 e e
限 是 通 过 RADI 标 准 属 性 2 下 的 Us 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于RADIUS的校园网络认证计费系统的设计摘要:论文主要介绍了在FreeBSD环境下,客户端采用PPPoE的接入方式,基于RADIUS的校园网络认证计费管理系统的设计。

关键字: FREEBSD;PPPoE;RADIUS;认证;计费Design of Authentication and Charging System in Campus Network Based on RADIUSAbstract: It was presented how to design a management system under FreeBSD. The system can be used in campus network to authenticate and charge the client through PPPoE based on RADIUS.Keywords: FreeBSD; PPPoE; RADIUS; authentication; charge目前,在校园网中对所属用户进行认证、授权、计费等管理是非常必要的。

传统的基于IP地址、用户名的计费方式在网络高速发展的今天已经不能满足网络管理上的要求。

本文阐述的这个解决方案,系统运行在FreeBSD 环境下,结合PPPoE和RADIUS的特性,支持多种认证信息,提供包月、计时等计费策略,同时内置了批量卡的生成、管理功能,并且能对用户连接数和带宽进行控制,实现强大的管理功能和用户自助管理功能。

1、系统运行环境介绍我们选用高性能、高稳定性的操作系统FreeBSD为系统运行的基本环境,是因为FreeBSD是完全基于4.4BSD 发展而来的,由一个核心开发小组掌握其发展方向,依靠全世界的自愿开发者来补充和完善它的特性,使得其每一个发行版本运行更加稳定、性能更加优化、更加符合用户的需求[1]。

2、 PPPoE简介PPPoE是以太网点对点通信协议(Point to Point Protocol over Ethernet)的简称。

在以太网上要建立一个PPP连接,每个PPP的会话都必须知道远端的以太网地址,并且要建立一个唯一的会话id,PPPoE就包含了可以实现这些功能的discovery协议。

PPPoE包括两个不同的阶段,我们这里称之为discovery阶段和“会话”阶段。

当一个主机要发起一个PPPoE会话时,它必须首先执行一个discovery的操作,用来确定远端的以太网MAC 地址和建立PPPoE的会话ID。

根据PPP对于点对点关系的定义,discovery是客户/服务器的关系,在discovery 的过程中,一个主机,也就是客户端,去发现访问集中器,也就是我们discovery过程中的服务器。

通常在网络上不止一个这样的服务器能够提供主机建立PPP连接,所以discovery阶段允许主机发现所有的访问集中器并选择出一个,当discovery这个过程成功完成之后,主机和被选择的访问集中器就都会获得用于在以太网上建立点对点连接所需要的信息。

当一个PPP会话建立之后,主机和访问集中器就必须为PPP的虚拟接口分配资源[2]。

3、 FreeBSD中PPPoE与RADIUS的配置我们假设系统中装有两块INTEL网卡,那么在系统中这两块网卡的标识分别为fxp0和fxp1。

编辑/etc/ppp/ppp.conf这个文件。

其中有几个重要的参数设置如下:set device PPPoE:fxp0: // 设置PPP的设备set dns 202.197.120.2 // 设置域名服务器set ifaddr 10.0.0.1 10.0.0.2-10.0.0.255 //设置动态分配IP地址的范围accept dns //允许客户端建立PPP连接时从服务器获取DNS信息PPPoE服务器的配置还只是使得建立PPP连接成为可能,而要对接入的用户进行管理的话,我们还得引入RADIUS。

同样,也是在/etc/ppp/ppp。

conf文件中,加上下面的配置:set radius /etc/radius。

conf // 使用RADIUS服务器,其配置文件位置在etc/radius。

conf 然后编辑/etc/radius/conf,auth 127.0.0.1:1812 hnsd 5 2acct 127.0.0.1:1813 hnsd为了更加全面的对用户进行管理,需要的参数除了用户名、密码等以外,还需要获取用户计算机的MAC地址,而默认的PPP是不支持MAC地址的,所以还要对/usr/src/usr.sbin/ppp/radius.c作修改:diff radius.c radius.c.old 输出为:729d728< char *mac_addr;870,876d868< if ((mac_addr = getenv("HISMACADDR")) !=0)< if (rad_put_string(r->cx.rad, RAD_CALLING_STATION_ID, mac_addr ) !=0)< {< log_Printf(LogERROR, "rad_put: %s\n", rad_strerror(r->cx.rad));< return;< }<906d897< char *mac_addr;913a905>974,980d965< if ((mac_addr = getenv("HISMACADDR")) != 0)< if (rad_put_string(r->cx.rad, RAD_CALLING_STATION_ID, mac_addr) !=0 )< {< log_Printf(LogERROR, "rad_put: %s\n", rad_strerror(r->cx.rad));< rad_close(r->cx.rad);< return;< }在/etc/rc.conf中加入如下配置,使系统在启动时能够自动运行pppoedppp_enable="YES" ppp_nat="YES" ppp_mode="auto"pppoed_provider="default" pppoed_interface="fxp0"系统中,fxp0为运行PPPoE的设备,用于接入待管理的计算机,fxp1为整个系统的出口,通过防火墙的设置,使其成为一个接入控制设备,如下图所示。

图1 系统结构示意图防火墙规则添加:/sbin/ipfw –f flush/sbin/ipfw add divert natd all from any to any via fxp1/sbin/ipfw add pass all from any to any00001 divert 8668 tcp from any to any via fxp100001 divert 8668 udp from any to any via fxp100004 allow ip from 192.168.0.1 to any via fxp000004 allow ip from 202.197.120.45 to any via fxp100004 allow ip from any to 192.168.0.1 via fxp000010 allow ip from 10.0.0.0/8 to any00010 pipe 10 ip from any to 10.0.0.0/8 limit dst-addr 2060100 allow tcp from any to any established65535 deny ip from any to any4、管理系统功能介绍数据库结构如图2(a)所示, admin为系统管理员信息,cardinfo为卡的属性,groupinfo为组的属性,radacct 为系统内所有的记帐信息,radcheck为用户所需认证的信息,radgroupcheck为用户继承组的属性所需要认证的信息,usergroup为用户与组的对应关系,userinfo则为系统内用于存档的用户详细信息。

系统提供了两种计费策略:包时和包月。

系统内置了随机生成卡的功能模块,采用包时计费方式的用户都是使用卡号和密码认证接入服务器上网的,在系统中首先定义一个组,属性为限时n小时,然后使用系统内置的“生成批量卡用户”的功能生成一批卡,修改这一批卡的所属组,这样这批卡就继承了所属组的属性,增加了认证信息。

采用包月计费方式的用户,用户名和密码是基本的认证信息,还可以对该用户的物理位置、有效期限等信息进行附加认证。

用户通过PPPoE连接服务器,每次成功连接之前都是根据数据库中表radcheck里的记录进行认证的。

radcheck表的字段包括记录号(id)、用户名(username)、项目(Attribute)、值(Value)等,每个用户对应至少一条记录,其中Attribute字段可以有如下的值:User-Password(用户密码)、Expiration(过期时间)、CallingStationId(MAC地址)等,另外,在radgroupcheck表中,还有TotalTimeLimit(卡用户的上网时间限制)和Expiration(用户所继承组的过期时间)等字段。

用户认证信息包括用户名、密码,包月用户需要另外认证MAC地址(在表中的字段为CallingStationId)和过期时间(Expiration),包时用户还需要认证剩余时间(total-time-limit)。

退出服务器操作完成后,都会传递一条记帐信息给系统,记录在radacct中。

在radacct表中,记录了每个用户每次的登录信息,包括用户名(UserName)、上线时间(AcctStratTime)。

下线时间(AcctStopTime)、连接时间(AcctSessionTime)、本次连接流入字节数(AcctInputOctets)、本次连接流出字节数(AcctOutputOctets)、登录位置(CallingStationId)、从系统获取的IP地址(FramedIPAddress)等。

(a) (b)图2 系统数据库基本结构与管理界面如图2(b)所示,管理系统提供了用户管理、组管理、卡用户管理和查看实时在线用户等功能模块,图中显示的是实时在线的用户列表,通过WEB界面能够非常方便的对系统进行管理。

相关文档
最新文档