深澜软件手册1

1/43 Srun3000安全认证网络管理计费系统解决方案指南(802.1x)系统版本号rc10.32/43 背景及需求分析高等教育发展到现今，校园网络的应用已经获得了长足的发展。随着网络应用的深入，宽带接入互联网显现了很多亟待解决的管理问题。学校迫切需要对于上网用户进行必要的管理。特别是随着服务水平的提高和服务内容的增加，高校早已把学生纳入服务的主要对象。对于学生们的上网服务保障，上网行为的管理以及更合理的分配网络资源等需求日益提上日程。随着高校上网用户数量的增加，校园网早已不再是一个小的局域网，而更象是一个区网甚至于市级网的级别。同时校园网还有其自身的特点，l面向的用户相对单一化，集中化，大部分是在校大学生；l上网时段集中，高校学生的作息时间基本固定，学生的除了上网络课的应用，大部分上网集中在课休时间，校园网高峰时对于网络设备的要求很高，特别是入网认证效率方面；l用户对于网络的应用需求多样，高校用户大部分是二十多岁的青年，新事物的接受能力强，对于网络中的时时翻新的应用，有很强的尝试愿望；l学校管理部门应国家安全部门的有关要求，也要对于学生的上网行为，即要保证应用，又要进行必要的管理，防止非法、反动、不健康等言论内容的传播，所以只能疏堵结合。因此很多高校提出了对入网认证，上网行为管理，日志记录，收费等更高的具体需求。3/43 高性能的安全认证网络管理计费系统SRUN3000产品概述Srun3000安全认证网络管理计费系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的第三代网络安全运营管理系统。Srun3000是一套基于标准的RADIUS协议开发的宽带认证计费管理系统。它不仅支持PPPOE和网关的认证计费方式，还支持所有的802.1X接入控制技术，与其他厂商支持相应标准的产品兼容，支持华为、Juniper、中兴等厂商的BRAS设备，也支持D‐Link、思科、H3C、华为、3Com、LINKSYS、中兴、锐捷网络、惠普、神州数码、北电网络、Juniper等厂商的交换机，并能够提供更加丰富的功能。Srun3000安全认证网络管理计费系统在“高性能、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。Srun3000在硬件设备有限投入下提供最安全、最稳定的部署解决方案，同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，以好用、易用为原则，B/S架构访问形式的友好界面，为用户提供贴心的使用形式。4/43 主要组成部分n用户认证系统:采用标准RadiusServer，完成用户认证、授权和计费信息采集功能。n管理系统:对RadiusServer进行配置,管理NAS，制定全局策略（如计费策略、区域策略等）。n操作员管理系统：提供用户管理、缴费、计费策略定制、统计等功能。n用户自助管理系统:提供用户自助明细查询、修改密码及卡充值功能。n面向用户的安全认证系统：n支持PAP,CHAP,EAP,PEAP等认证协议，n支持基于网络实名制策略，对用户的网络行为进行全方位的管理、控制、记录和监察n产品应用到多家运营商和世行项目n精细的用户计费控制n基于用户策略的实时计费控制，支持多种付款方式n支持全WEB管理n完善的老旧认证系统的兼容技术,实现从旧系统到新系统的平滑过渡使用认证页面镜像技术，支持老旧认证计费系统中的用户名和密码无缝导出，完全解决在系统切割过程中最棘手的一个困难。在2009年北京理工大学校园网认证计费项目中,平滑迁移亿邮计费网关数据n良好的稳定性,高度的安全可靠性及高扩展性支持数据库服务器内部镜像技术，外部双机技术实现单机认证、双机备份，多机组网5/43 系统结构图6/43 Srun3000安全认证网络管理计费系统特点Srun3000安全认证网络管理计费系统作为电信级的数据接入业务的综合认证与计费及其管理系统，在设计与开发时将充分考虑性能方面的要求，从而提供良好的性能。在认证方面，系统在提供完整而复杂的认证功能时，仍然能够提供优良的认证性能，能够满足数据接入服务运营商的大用户量、认证需求多的业务情况。在计费方面，系统支持时段费率及多种优惠，为数据接入服务运营商的经营策略进行了强有力的支持，同时也提供了良好的计费性能，为正常的业务生产提供有力保证。在系统管理方面，系统提供友好的Web界面，并且大多数操作能够在1秒钟之内完成，能够保证正常的业务生产。Srun3000处理的是电信级的业务，业务情况是：用户数量大、清单量大、经营策略多、系统使用人员较多。为了不影响业务运转，保障系统正常运行与正常的生产，Srun3000与其它厂家之间具备高性能、可伸缩性、可扩展性、安全性、可靠性、易管理性等优势。高性能作为校园网用户，由于万兆网络、双千兆接入、IPv6等新技术的应用，并具有用户量大、业务众多、数据流量巨大等特点，往往要求认证计费系统必须具有非常高的性能。Srun3000在设计中充分考虑到性能上的要求，使用内存优化技术，采用复杂的多线程、分布式等设计技术；采用优化的数据库结构、算法设计，提高系统运算速度，可以达到1220次/秒的Radius认证性能，用户上网认证时间不超过0.5S，卡批处理10万/5分钟。Srun3000内置优化搜索引擎，管理员只需要通过搜索引擎就可以管理一切和用户相关的信息，内置搜索引擎查询效率十分优秀，120万条上网明细查询，只需要5秒。7/43 可伸缩性系统设计采用了多体系模块化设计，管理功能模块既可以分散部署，也可以集中部署，根据可靠性、安全性、预算，学校可以很灵活的进行部署，并具有完善的无缝结合功能，即可以将RadiusServer、数据库、用户自助服务系统、策略管理平台融合在一台服务器上，也可以将RadiusServer、数据库、用户自助服务系统、策略管理平台分别部署在不同的服务器上。Srun3000采用标准的Radius协议进行设计，支持所有的RADIUSRFC's(rfc1157rfc1227rfc1448rfc1901rfc1905rfc2243rfc2289rfc2433rfc2548rfc2607rfc2618rfc2619rfc2620rfc2621rfc2716rfc2759rfc2809rfc2865rfc2866rfc2867rfc2868rfc2869rfc2882rfc2924rfc3162rfc3575rfc3576rfc3579rfc3580rfc3748rfc4372rfc4675rfc4679rfc4818rfc4849rfc5080.)支持PAP,CHAP,MS‐CHAP,MS‐CHAPv2,SIPDigest、PEAP、EAP‐MD5,LEAP,TLS,TTLS,PEAP‐GTC,&PEAP‐MSCHAPv2.EAP‐SIMandEAP‐AKAoptional.等协议，而且还支持其它多种接入认证模式：WEB、DHCP+、VLANID、802.1x，专用客户端等，支持无线网络的统一认证。支持目前主流BRAS厂家:Juniper、华为、中兴、北电网络、Redback、HP支持目前主流802.1x交换机厂商：D‐Link、思科、H3C、华为、3Com、LINKSYS、中兴、锐捷网络、惠普、神州数码、北电网络、Juniper可扩展性系统以统一的用户数据库为中心、模块化的设计结构使系统能够通过可编程接口，实现对已知或未来新业务的支持，如：VOD、远程教育、远程医疗等。具有完善的系统迁移解决方案，保证现有系统能够平滑地过渡到新的、改进的系统，支持多种用户类型，并支持新用户类型的扩展，如A类帐号用户：不能访问国外站点；B类帐号用户：能够访问国外站点；单独E‐mail用户；单独应用服务用户；专线用户；集团用户等，能够提供不同的管理计费8/43 方式，支持多种付费方式。提供了针对时间，流量，包月，包天，时间段等多种管理和计费方式，支持多种付费方式：现金付费、银行代缴、邮政储蓄、卡支付、网上支付。可靠性整个系统是稳定的，不会随着用户数的增加而导致整个系统的性能急剧下降，从而影响系统的稳定使用。在系统设计时对于影响稳定性的模块将充分考虑稳定性要求，增强系统的稳定性，保障系统的稳定运行。系统采用可以采用双机热备或者主备方案，即使一台机出现故障无法使用，另一台机可以立即将运行在出现故障的机器上的任务接过来继续运行。通过提供功能备份，防止服务中断，如可以支持多个网络管理计费服务器。当一台服务器中断服务时，用户可通过其他备份服务器认证。同时备份服务器将用户访问纪录传送到用户数据服务器中。提供关键数据备份机制，支持数据库镜像技术，支持异地备份技术，可以提供高能性系统集群和系统备份解决方案。在处理、传输大容量数据时，采取检错、压缩、加密等措施，以确保数据的准确性，提高系统效率。系统软件对异常情况有预设的处理机制，出现异常情况时可以立即进行处理，不会使系统瘫痪。将预付费用户与其它用户统一进行管理，以提高系统的可靠性。安全性内置安全设置，对关键数据采取访问权限限制，在策略管理模块和用户自助模块中，采用SSL技术，以保障系统信息的安全。采用角色管理技术，每一个系统操作人员都有自己的密码，属于某一角色从而具有不同的权限。这一功能保证只有被授权人员才能使用有关的管理模块。认证、计费模块处于系统后台，需要具有操作系统的用户和密码才能启动。支持用户信息的绑定，提高用户使用的安全性。系统的每一个模块都处于密码保护之下，保证整个系统的安全。9/43 易管理性系统的大多数功能模块可以进行参数设置，特别是费率和优惠规则可以进行灵活设置。支持灵活的帐务周期，最小的周期为1天。采用优化的数据库结构、算法设计，提高系统运算速度，提供全中文界面及帮助信息。系统提供WEB管理界面，操作符合计算机软件一般的使用规则，易于操作人员使用。为管理员提供基于B/S模式的操作界面，方便、灵活、功能全面，使网络管理员在任何地方任何时间都可以方便查询、统计、打印业务报表，快速、专业、灵活的管理整个网络。　用户使用基于B/S模式，提供基于IE的用户查询、更改密码和中文帮助信息，内嵌中英文版本功能列表序号功能功能描述1多种接入模式支持桥接、路由、nat地址转换等接入方式，支持集中式或分布式系统结构。支持多路由出口接入Internet，支持目标地址路由、策略路由，接入模式可以是网关方式，也可以是网桥模式。2全面的包过滤和状态检测全面的包过滤和状态检测防火墙。系统采用防火墙级的安全内核,可以根据协议,源地址,目的地址,端口,tcp选项等进行包过滤,支持tcp,udp,icmp等协议的状态检测,可阻挡目前各种流行的攻击方式。内核专有优化算法，突破传统包过滤状态防火墙用户认证效率。3多出口支持支持多出口的环境，支持3个出口（电信、网通、教育网）以上10/43 4源地址转化支持支持源地址（池）转换(SNAT俗称nat地址转化)、目的地址池转换(DNAT,也称地址映射).目的端口转化（也称端口映射）。5P2P控制对BT、电驴等P2P软件的控制6灵活的带宽控制带宽控制，可以根据用户帐户、用户组,IP地址等分配用户网络上下行带宽。7完善的计费功能支持各种计费,支持包月或者按照时间,流量等多种计费方式,支持费用封顶,最低消费等,可以自定义公式进行计费；支持先交费后使用，同时也支持先使用后交费。8防代理功能智能代理监控，可以智能的判断用户使用代理的情况，对于大量用户使用同一帐号通过代理上网的行为，可智能查封、解除查封该类用户。9内容智能过滤可以对网站地址，网页内容进行智能过滤。10日志控制支持全面的用户访问日志记录功能,监控网内用户上网行为，以备进行日志查询。支持任意长时间的日志记录,适合记录大量的日志。11实时监控功能可以实时查看当前在线的用户,以及用户当前的动作等功能,可以查看系统状态如cpu,内存占用,资源占用,网络状态如:实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能。12用户认证功能同时支持web、客户端的认证，丰富用户认证习惯选择，对于不同的用户支持不同的认证方式。可以采取ip+mac+账号