腾创宽带认证计费管理 系统(TBMS)白皮书
北京腾创世纪科技有限责任公司
BEIJING TENTROM CENTURY SCIENCE & TECHNOLOGY CO.,LTD. 本文档及其所含信息为机密材料 并且由北京腾创世纪科技有限责任公司(TENTROM)拥有 本文档中的任何部分都不得以任何手段任何形式进行复制与传播 未经 TENTROM 书面授权,不得将材料泄露给第三方 Copyright ? 2010 TENTROM 版权
保留所有的权利
1
目
录
一、前言 ................................................................................................................... 3 二、运营网络的特点和面临的问题 ......................................................................... 4 三、腾创宽带认证计费管理系统产品介绍 ............................................................. 5
3.1 腾创 BRAS 认证计费管理网关介绍................................................................................. 6 3.2 腾创 TBMS 认证计费管理系统......................................................................................... 8 3.2.1 Radius Server 系统............................................................................................ 8 3.2.2 计费管理监控系统............................................................................................... 9 3.2.3 用户自服务系统................................................................................................. 11 3.3 腾创 Client 客户端软件................................................................................................ 11 3.4 腾创 PPPOE 客户端软件................................................................................................. 12 3.5 腾创 LRMS 日志记录管理系统........................................................................................ 13
四、腾创 TBMS 认证计费管理系统应用方案 ......................................................... 13
4.1 4.2 4.3 4.4 4.5 4.6 4.7 典型案例一:中国移动镇江分公司............................................................................. 13 典型案例二:济南广电................................................................................................. 14 典型案例三:中国民航中南空管局............................................................................. 15 典型案例四:贵州大学................................................................................................. 16 典型案例五:广东盈信................................................................................................. 17 典型案例六:天津师范大学......................................................................................... 18 典型案例七:广东移动广州分公司............................................................................. 19
2
一、前言
近年来宽带网络一直保持着高速度的发展, 年 3 月 14 日中国互联网信息中心数据 08 显示,2007 年底中国互联网的用户总数达到 2.1 亿,中国互联网用户的数量上已经超过美 国,跃居世界首位。Internet 网络技术在各行各业的应用,不仅仅改变了人类的生活方式, 也大大提高了人类生产活动的效率,因此也被称为人类社会的“第三次工业革命” 。 随着我国 08 年底电信行业重组以及 3G 牌照的发放,各大运营商都可以全业务全方位 运营。未来的几年内,对运营商和设备供应商带来新的机遇和挑战。腾创公司同样关注着宽 带网络的发展,紧跟着宽带运营的需求,在与各宽带运营商、新兴城域网运营商、校园网、 大中型企业和政府等企事业单位合作过程中, 腾创公司认识到, 要想让客户更好的运营网络, 腾创公司产品应该提供高稳、高可靠和功能丰富的产品,并具备良好的服务体系,为大客户 提供完整的解决方案, 并建议开发宽带增值服务以找寻更多赢利点, 达到企业和客户的共赢 和发展。 近年来消耗带宽的新技术(如 BT、迅雷等 P2P 软件)的使用和快速传播,使有限的出 口带宽受到极大压力;同时,私接代理、计算机蠕虫、病毒泛滥(特别是 ARP 病毒) 、网络 攻击行为时有发生,已经为校园网络的运营带来了极大的威胁,使网管人员头痛不已;认证 计费管理系统的计费策略、优惠方式单一,无法适应客户的多样化需求。另外,近年来经常 有人从事网络赌博、 散播不法言论, 公安机关需要网络管理部门提供相关的日志信息进行调 查,没有完善的日志系统也成为管理人员的一个心病。 在宽带网络建设的初期,腾创公司己经注意到大规模粗放的经营方式必然被细分客户、 服务取胜的经营思路所替代。在腾创公司创立之初,就将认证、计费系统的开发作为整个公 司产品的核心, 不断根据市场需求的变化进行改进和优化。 经过 9 年的现场应用和持续开发, 腾创公司的计费管理系统已经成为了专业的、高度成熟稳定的系统,并在 2002 年 2 月获得 广东省软件著作权登记,04 年 10 月获得北京软件注册权登记。 腾创公司针对目前运营商网络中存在的问题以及用户共性需求, 整合了多年在电信级运 营商网络、新兴城域网运营商、校园网、企业专网以及大型社区网开发认证计费管理系统的 经验以及结合了近 2000 家客户实践应用 V 1.0 和 2.0 系统的基础上,2009 年隆重推出了专 业针对运营商、大型企业的通用认证计费管理解决方案 TBMS V3.0 认证计费管理运营系统, 并随着用户的需求不断的完善。 这套解决方案整合了腾创公司在宽带接入服务器、 认证计费
3
系统、日志系统、客户端软件开发等方面的积累,能够更加全面、灵活的适应运营网络环境 的要求,为广大客户商打造一个标准健壮、安全稳定、可扩容、可控制、可管理和可运营的 健康网络环境。
二、运营网络的特点和面临的问题
运营网络有不同的特性,其复杂性、可管理性和可运营性根据采用的网络技术和用户群 体的不同,有较大的差异。 在宽带网络运营和管理的过程中,普遍出现的问题有: l 用户普遍使用代理,造成管理困难和费用流失。网络代理的使用,一直是运营商最 难解决的问题,直接造成了网络带宽的损失和费用的流失。如何有效的控制代理的 使用,已经成为宽带网络运营的新课题。 l 计费策略的单一,阻碍了运营商的业务推广。传统的包月、包年计费策略无法满足 客户多样的需求。开展时长、流量、内外网分层计费,缴费充值优惠活动,多种多 样的计费策略任意组合,满足不同用户群体的需要,吸引更多的客户。 l 用户网络行为不规范,无法控制,无法进行有效的记录。盗用 IP 地址,修改 MAC 地址,用户名和密码的丢失,合法网络用户无法登陆网络,网络管理者如何解决? 谁在访问非法网站?谁在使用 P2P 软件, 电驴, 恶意占用带宽?一旦有相关的非 BT 法网络行为被相关部门获得,如何提交有效的网络访问记录?宽带网络的管理者必 须对于网络上各种不规范行为进行足够的重视。 l 有限的带宽下, 无法区分对应用层业务区分。 有限的带宽资源下, P2P 软件耗尽, 被 带宽占满,导致其他用户的正常业务无法使用。根据应用层进行带宽控制的机制是 定义若干常用业务,如 web,邮件,ftp 等为主流业务,该主流业务以外的上层应用 为非主流应用,仅分配总带宽中部分带宽用于非主流业务。 l 带宽分配不合理,不能体现出差别服务。以太网对用户进行无差别服务,在带宽的 分配上采用抢先式策略,没有有效的控制服务策略。在网络出口资源还不是无限制 提供的环境下,这种特性给网络运营带来风险,不能保证高端用户的优先使用,无 法为网络的增值提供基础的保证。 l 设备陈旧,业务发展缓慢,管理方式落后。网络基础建设投资早,硬件设备更新换
4
代很快, 旧设备无法满足现在高速带宽的需求, 形成瓶颈。 业务的发展的日新月异, 设备无法满足新业务的需要。用户管理方式采用简单的手工记账,手工插拔用户线 路,用户管理方式落后。 l 网络结构集中,造成单点故障系统,需要设备分布式部署。建设初期,用户数量较 少,采用单台设备可以满足用户的需求;随着用户的增加,单台设备无法满足用户 的并发容量,增加设备设备,集中认证计费,分布式部署。 l 网络扩容,如何兼容新旧设备,保护网络投资。宽带网络的发展,势必带动运营商 的发展,在度过生存期进入发展期,所有的网络运营商都会面临网络扩容的问题。 如何保护原来的投入,同时兼顾新技术的应用,又不影响用户的使用,都是运营商 在选取设备时必须考虑的问题。 l 网络安全问题严重影响到网络的正常使用。由于用户群体的差别性较大,如何防止 病毒的泛滥导致网络崩溃,如何防止恶意对网络资源的抢占,如何保证正常用户的 权益不受侵害。都是宽带运营商所必须面临的问题。 l 系统间相互独立的系统,数据无法共享。随着业务的开展,需要 BOSS 系统和宽带 认证计费系统对接,以及宽带计费实现银行代扣等业务对接,实现系统的智能化和 一体化。
三、腾创宽带认证计费管理系统产品介绍
腾创 TBMS(TC Billing Mangerment System,以下简称 TBMS)宽带认证计费管理系统 是腾创公司根据当前宽带运营发展的方向和需求,总结了多年的计费、认证开发经验,提炼 出来的一整套宽带运营解决方案。 TBMS 系统中包括如下的产品: l l l l 腾创宽带接入服务器(简称 BRAS) 腾创 TBMS 认证计费管理平台 腾创 Client 客户端软件 腾创 LRMS 日志记录管理系统
腾创宽带网认证计费管理系统具备优秀的扩展性,可以单独配合第三方的宽带接入服务 器或者认证计费管理系统使用,采用腾创整套方案使用,效果最优。
5
3.1 腾创 BRAS 认证计费管理网关介绍
腾创 TBMS 认证计费管理系统中的腾创 BRAS 有多种型 号规格, 支持 PPPoE 认证、 认证+客户端认证方式, WEB WLAN 接入认证方式、 并同时支持 WEB+客户端和 PPPoE 认证, 单 台达到真正支持 16000 并发。 BRAS 设别是接入层的控制设备,TBMS 认证计费管理系统的 BRAS 设备经过 10 年多的运 营使用, 经受了各种复杂和恶劣网络环境的考验, 成为目前国内同行业最为稳定、 最高性能、 最高安全性、最可信赖及最高性价比的网关设备之一。 同时,腾创公司是 IANA 协会正式会员,腾创的企业代号:24061,BRAS 的 Radius 私有 属性都放在 26 属性中,这样可以顺利与其它厂家的 Radius Server 对接,符合国际标准。 特性描述: 接入认证方式: l l l l 网络特性: l l l l l l l l l l l l 支持静态路由,源地址路由,支持 RIP、OSPF 透传 单台设备同时支持 PPPoE,WEB+客户端等接入认证方式 支持 IPv4 和 IPv6 多出口路由支持,可以同时接入不同的 ISP 网络 支持 NAT、NAPT 100M 线速转发,1000M 在 128 字节以上达到线速 每秒钟能够处理百万以上数据包 支持设备冗余备份和负载均衡,支持双电源 NAT 后认证计费及控制,实现对 NAT 后用户真正的控制管理及计费 支持 WEB 页面网管,支持 SNMP V1&V2, SNMP Trap,MIBII 等标准网管软 件管理。 内置 DHCP Server,也可以实现 DHCP Relay 支持组播代理、DVMRP 组播路由协议 PPPoE 认证方式 WEB 认证方式 客户端认证方式 WLAN 接入认证
安全控制特性: l l l l l 非法用户不能上网,用户认证后才能正常访问网络 支持直通用户带宽控制及计费 可以限制用户同时使用的 TCP 连接数 控制用户的上网速率,限制使用的上下行带宽 限制用户使用 P2P 工具下载
6
l l l l l l l
支持 ACL 访问控制列表,可实现 IP、ICMP、TCP/UDP 的包过滤规则,禁止 用户访问非法网站,同时也可防止病毒泛滥,堵塞出口带宽 有效防范 DHCP Decline 等攻击及 80 TCP/IP 的 DOS 攻击 QoS 控制,根据访问内容进行优先排序 支持强制用户下线,如果与 IDS 设备配合,可以实现连动 支持多级管理权限 对 Telnet 访问权限进行控制 支持用户上网日志信息采集及分发
对计费的支持: l l l l l l l 管理特性: l l l l l 用户认证通过后首页重定向 支持 Telnet 远程管理、提供 RS232 CLI(串口)配置 TFTP 版本升级 配置文件上传、下载 支持多种启动方式 内置 Radius Client,与 Radius Server 进行通信配合 收集用户上网的流量和时长,提供原始计费清单,据此可以实现各种已知 的计费方式 支持主备 Radius,可以复制计费信息到备用计费服务器 区分用户访问流量,实现国内外流量的区别计费 控制用户可使用的流量和时间,实现实时计费,欠费断网 使用 Keep-alive 机制,避免用户非正常断线造成的计费错误 可以定义免费访问地址列表
支持的网络协议: Standard IEEE 802 RFC791 RFC792 RFC793 RFC1812 RFC1492 RFC2057 RFC2865 RFC2866 RFC1155 RFC1156 RFC1157 Subject 802.3,802.3U,802.1Q Internet Protocol Internet Control Message Protocol Transmission Control Protocol Requirements for IP Version 4 Routers An Access Control Protocol Source Directed Access Control on the Internet Remote Authentication Dial In User Service (RADIUS) RADIUS Accounting Structure and identification of management information for TCP/IP-BRASed internets Management Information BRASe for network management of TCP/IP-BRASed internets Simple Network Management Protocol (SNMP)
7
RFC1213
Management Information BRASe for Network Management of TCP/IP-BRASed internets:MIB-II
腾创 BRAS 能够解决运营网络面临的安全、计费采集、出口控制等诸多关键问题,并且 具备很好的扩展性,可以和任何标准的 Radius 服务器对接,胜任不同的组网方式。 在整个 TBMS 系统的解决方案中,推荐使用腾创公司自有的接入设备,同时不排斥其他 的接入设备。以 Radius 认证计费为基础,运营网络建设可以选择不同厂家的设备,很好的 保护运营网络的可扩展性,节省网络建设和未来发展的成本,降低未来扩容的技术风险。
3.2 腾创 TBMS 认证计费管理系统
腾创 TBMS 认证计费管理平台是基于标准的 Radius Server 的认证、计费、管理、监控 系统,系统本着操作简单、使用方便、功能完善及遵循国际标准的原则进行设计,为宽带网 络的运营提供了友好的管理手段,同时,该系统是目前国内唯一能够真正支持主流 802.1X 交换机厂商的计费系统, 这种支持是构建在与各个交换机厂商战略合作基础上, 双方共同为 认证、计费、管理控制的 radius 属性进行定义、修改和对接,并拥有大量的实际应用案例。 腾创 BillingWare 系统分为三大部分: l l l Radius Server 计费管理监控系统 用户自服务系统
3.2.1 Radius Server 系统
腾创的 Radius Server 实现了标准的 Radius 协议,同时支持 802.1X 的 EAP 扩展认证, 能够支持各种标准 Radius 认证设备,支持多种标准 Radius 接入认证计费方式(例如:VPN、 窄带 ADSL 等) 也可以配合主流交换机厂商 AP 及 802.1X 认证设备使用。 。 目前已经支持的交 换机厂商有:Cisco Linksys、Dlink、Netgear、HP、Extreme、Alcater、港湾、神州数码、 锐捷和清华比威等。 为了更好的与国际企业合作,腾创公司已经申请加入了国际 IANA 协会,获得了批准, 并正式成为了 IANA 协会会员,腾创的企业代号:24061,我们的 Radius 私有属性都可以放 在 26 属性中, 可以通过检索 https://www.doczj.com/doc/ea9822103.html,/assignments/enterprise-numbers 查询。 Radius Server 是腾创 BillingWare 的重要组成部分,实现了标准协议中的认证
8
(Authentication ) 、授权(Authority)和计费(Accounting) ,并且针对宽带运营网络的 应用需求,定制了适合运营所需要的功能。 Radius 实现的认证和授权功能主要有: l l l l l l l l l l l 支持 PostGre 免费数据库和 ORACLE 数据库接口,以数据库作为用户数据的 存储介质 根据用户状态进行认证,非正常用户不能通过认证 对用户进行时段控制 读取用户的带宽控制数据,控制用户可用的带宽 控制用户帐号同时使用个数 根据接入设备传送的用户信息,把用户的帐号和 IP 地址、MAC 地址、接入 设备 IP、接入设备端口、VLAN ID 进行认证绑定 动态修改用户的绑定元素 修改用户使用状态和统计信息 读取用户的认证信息(是否防代理、是否控制 P2P 下载等) ,下传到 Client 进行控制 检查用户的客户端版本号,并根据运营需要强制用户升级 发送广播通知信息到用户端
Radius 实现的计费功能主要有: l l l l l 根据用户剩余金额,计算用户可用业务数量(流量、时长) ,并下传到接入 设备进行控制 接收接入设备传送的计费信息,生成原始计费清单 计算用户每次上网的费用,实现实时用户计费 管理在线表,维护用户的在线信息 检查用户的信用额度,停用超额用户
腾创 BillingWare 的 Radius Server 具有高效、稳定、可靠及极强的扩展性和兼容性, 解决了宽带运营网络中存在的认证和计费困难的问题。
3.2.2 计费管理监控系统
腾创 TBMS 的计费管理监控系统采用稳定高效的操作系统--Linux,结合 Apache 和 JSP 进行实现,可以支持 PostGre 免费数据库和 ORACLE 数据库,最多可支持 100 万开户用户, 适合各种规模的宽带网络运营。 从功能上划分,该系统可以分为:用户管理、收费管理、报表查询、卡类管理、系统设 置、系统管理、机房管理几个模块。 用户管理 用户管理实现对用户基本资料的管理。 在此模块中实现了对用户资料的登记、修改和注销。登记用户资料可以有几种方式:单
9
个开户、批量开户。用户也可以自行注册资料,在管理员进行确认后,转为正式用户。 可以对在线用户进行管理,包括强制下线、发送即时消息等,同时对用户的认证返回消 息进行管理。 收费管理 收费管理模块完成对用户的销帐、缴费、充值等帐务方面的操作。 根据用户的计费方式不同, 可以进行充值或者销帐, 后付费用户也可以预缴一定的费用, 在生成帐单后直接进行销帐。 提供中间格式的帐单文件,可以与银行进行划帐托收。 报表查询 报表查询模块对各种用户和帐务数据进行查询和统计。 系统提供了丰富的报表内容,可以组合不同的条件进行查询和统计,包括清单、帐单、 缴费等查询报表,以及工作报表、业务报表等统计报表。 查询和统计的结果都可以直接导出为文本或者 Excel 格式的文件。 卡类管理 卡分为充值卡和上网卡。 充值卡只能用于充值, 上网卡可以上网也可以进行充值, 采用预付费方式, 在使用完后, 用户可以购买对应的卡进行续费使用。 卡管理模块中包括的内容有卡的生成、下载、查询。 系统设置 在系统模块中,实现对系统级的数据进行管理。 主要内容有:计费策略和充值费率的管理、Radius 服务的管理、接入设备的管理、时 段的管理以及系统全局参数的配置等。 系统可以支持不同厂家的接入设备, 定义好接入设备的原型, 根据不同的原型可以增加 不同的设备。 此模块中,很多数据都关系到系统全局运营,在更改后,需要重新启动后台服务,以让 配置生效。 系统管理 系统管理模块实现对系统管理员的管理,同时对数据库进行管理。 可以备份数据库、恢复数据到指定的备份、删除过期的多余数据。管理员需要定期操作 系统管理的部分功能,保持数据库的稳定和高效运行。
10
机房管理 机房管理是针对不需要认证的用户进行计费。 计费是根据用户的 IP 作为区分的标准,根据制定的策略计算费用。每个机房用户的帐 号可以是一段 IP,也可以是一个单独的 IP。 计算的费用结果可以查询,并且导出,作为缴费的依据。
3.2.3 用户自服务系统
用户可随时访问自助服务系统,管理和维护自己的资料和信息,主要完成密码管理、帐 单查询、费用充值、清单查询等用户自助功能。 自助服务系统的使用,一方面可以方便用户随时查看自己使用网络的情况和费用状态, 另一方面,可以采用发卡的形式,让用户自助充值,减少运营商的运营成本,方便用户随时 进行充值续费。
3.3 腾创 Client 客户端软件
腾创 Client 客户端软件可以配合腾创 BRAS 使用, 也可以和 802.1x 交换机及 AP 配合使 用。 客户端直接面向用户,是用户登录和访问网络的窗口。TBMS 系统的腾创 Client 客户端 软件针对宽带运营网络的需求进行设计,主要功能特性如下: l 采集客户端机器信息(例如 IP 地址、MAC 地址等) ,在认证时传送到接入设备,配 合后台认证系统实现各种组合绑定。 l 和国内知名网络杀毒软件厂商 360 深度合作, 提供个人防火墙、 入侵检测和用户操 作系统漏洞检查 l l l l l l l 检测非法下载工具,防止用户使用 P2P 软件(如 BT 和电驴等) 。 防止非法使用代理和其他工具,能够防止目前已知的各种代理方式。 和国内知名网络安全厂商 360 深度合作,提供个人防火墙和入侵检测。 接收后台系统发送的消息、通知及广告内容等。 与接入设备保持连接,确保用户正常在线使用。 支持 802.1x 认证,可以配合 802.1x 交换机及 AP 组网。 检测网络是否连通、检查网络质量。
11
l l l l l
自动版本检查及自动下载升级。 支持对用户认证失败和下线提示信息反馈功能。 通过客户端访问自助服务系统。 认证完成,自动定向到 Portal 页面,URL 由 Radius 统一下发。 支持 Windows 各操作系统(95、98、ME、2000、2003 、XP、NT)及 Linux 等。
作为网络运营管理的最前端,腾创 Client 客户端软件完美的解决了运营网络中代理和 下载工具使用的问题,同时,腾创 Client 客户端软件具备极好的兼容性,可以配合不同厂 家的 802.1x 交换机及 AP 进行使用,给运营商提供了更多的扩展选择。 TBMS 系统的腾创 Client 客户端软件立足于管理和拨号集成的设计理念, 在完成用户身 份认证的同时,也可以给用户提供系统检查、网络检测的工具,方便用户的使用。
3.4 腾创 PPPOE 客户端软件
客户端直接面向用户,是用户登录和访问网络的窗口。TBMS 系统的腾创 PPPOE 客户端 软件针对宽带运营网络的需求进行设计,主要功能特性如下: l 采集客户端机器信息(例如 IP 地址、MAC 地址等) ,在认证时传送到接入设备,配 合后台认证系统实现各种组合绑定。 l 和国内知名网络杀毒软件厂商 360 深度合作, 提供个人防火墙、 入侵检测和用户操 作系统漏洞检查 l l l l l l l l l l l 检测非法下载工具,防止用户使用 P2P 软件(如 BT 和电驴等) 。 防止非法使用代理和其他工具,能够防止目前已知的各种代理方式。 和国内知名网络安全厂商 360 深度合作,提供个人防火墙和入侵检测。 接收后台系统发送的消息、通知及广告内容等。 与接入设备保持连接,确保用户正常在线使用。 检测网络是否连通、检查网络质量。 自动版本检查及自动下载升级。 支持对用户认证失败和下线提示信息反馈功能。 通过客户端访问自助服务系统。 认证完成,自动定向到 Portal 页面,URL 由 Radius 统一下发。 支持 Windows 各操作系统(2000、2003 、Win XP、Vista 32 Win7 32)等。
12
作为网络运营管理的最前端, 腾创 PPPOE 客户端软件完美的解决了运营网络中代理和下 载工具使用的问题,同时,腾创 PPPOE 客户端软件具备极好的兼容性,给运营商提供了更多 的扩展选择。 TBMS 系统的腾创 PPPOE 客户端软件立足于管理和拨号集成的设计理念,在完成用户身 份认证的同时,也可以给用户提供系统检查、网络检测的工具,方便用户的使用。
3.5 腾创 LRMS 日志记录管理系统
腾创 LRMS 日志记录管理系统可以配合腾创 BRAS 使用,也可以配合腾创 Logs 使用。系 统可以记录 IP 地址、MAC 地址、用户具体访问时间、用户访问的目标地址及目的端口、用 户的源端口、使用的网络协议等,可以根据时间、IP 地址、MAC 地址及协议端口号等查询, 可以对应查到相应的实际用户,这些可以供给网络管理使用或提供给公安机关。
四、腾创 TBMS 认证计费管理系统应用方案
腾创 TBMS 认证计费管理系统是腾创公司专门针对传统运营商、 新兴城域网运营商、 校园 网、大中企事业单位和社区定制的全套解决系统,具备良好的兼容性,可以适用在不同环境 的网络中。
4.1 典型案例一:中国移动镇江分公司
特点:电信运营商行业,PPPoE 认证,第三方厂家硬件接入服务器
13
l l l l
采用腾创 TBMS 认证计费管理系统, 采用 7 台服务器, 实现认证计费管理系统主备方案, 应用业务和数据分离,WEB 自服务和系统管理分离,实现系统的高稳定性和高可靠性。 腾创 TBMS 认证计费管理系统成功对接华为 MA 5200 宽带接入服务器,实现腾创 TBMS 认证计费管理系统完美对接第三方宽带接入服务器。 5 万并发用户, 万注册用户, 10 大用户量高并发。 用户终端采用 PPPoE 的接入认证方式, 最大程度满足用户稳定接入,大大减少网络维护管理量。 青海油田和顺德广电 EPON,和华为 ME60 成功对接,顺德广电等。
4.2 典型案例二:济南广电
特点:广电行业,光纤和同轴电缆混合网络,网关连接 CMTS 设备,WEB+客户端认证 济南广电宽带网络建立于 1999 年,投资方为济南市广播电视局,注册资金 1.2 亿元 人民币。主要经营广电宽带综合业务网,为用户提供各类数据接入服务、Internet 服务和 信息服务及有线电视网络增值业务,拥有覆盖济南市各区县的 ATM 及 IP 两个骨干宽带网络 平台和新视听信息服务平台。济南广电宽带网成立至今,已经为济南市数百家单位、小区、 酒店提供了 Internet 接入及互联业务,涉及到党政、金融、财税、保险、信息产业等各行 各业和几万个家庭,成为济南市信息化建设的重要推动力量。 为了进一步提升济南广电的在宽带接入领域的独特优势,济南广电决定对城域网进行 大规模的改造,建设高效、稳定、可靠的城域网基础设施。本次城域网改造济南广电极为重 视, 经过长期的考察和市场调研, 济南广电决定采用腾创公司的广电宽带接入解决方案进行 项目实施。 济南广电宽带用户的业务开展采用了多样化的技术手段,对具有五类线的用户使用 FTTB+LAN 的方式进行宽带接入,对 HFC 网络的用户利用 Cable Modem 进行宽带接入。济南 广电采用了腾创公司提出的“分布接入,中心管理”的建设思路,在各区广电机房设置千兆 接口的 D_BrAS 设备和汇聚交换机 5052 进行连接, 而在具有 CMTS 终端的机房同样采用千兆 接口的 D_BrAS 设备进行连接,所有分机房的通过千兆光纤链路汇聚到中心机房的 8016 核 心交换机。同时在中心机房设立 WEB、FTP、Radius、VOD、DNS、Mail 等服务器,实现用户 管理和业务受理。 在本次项目实施中,腾创公司根据济南广电提出的“可运营,可管理”的网络建设要 求,和济南广电、银行等单位密切配合,出色的完成了济南广电的提出的个性化需求,为济 南广电建设高效、可靠的城域网做出了自己的贡献。 济南广电城域网的拓扑结构如下:
14
网 通 联 通
联 通
备 份 链 路 服 务 器 集 群 CMTS头 端 eFlow 6806 汇 聚 交 换 机 D_BrAS
eFlow
D_BrAS
核 心 交 换 8016
eFlow
D_BrAS 汇 聚 交 换 机 eFlow 汇 聚 交 换 机 D_BrAS CMTS头 端
eFlow
D_BrAS
该方案具备如下的特点: l 腾创公司的 BRAS 宽带接入服务器全方位的安全防范措施,使病毒和网络攻击行 为被遏制到最小的范围内,通过与其它厂家设备的共同配合为济南广电城域网安 全运行提供了强有力的技术保障。 l 腾创公司的 TBMS 管理平台为济南广电提供了全新的业务受理平台,用户管理、 设备管理、帐务管理、数据库管理、计费策略管理、日志管理被融入统一的管理 平台。通过管理角色的定制,为济南广电打造了一流的网上业务平台,用户可以 方便的进行网上缴费、银行转帐、费用查询等功能。 l 腾创公司丰富的计费策略定制,为济南广电提供了包月、包时长、包流量、包时 长封顶、包流量封顶、时长卡、流量卡、充值卡等几十种计费策略,多样化的计 费策略为济南广电在激烈的市场竞争中制定各种市场营销计划提供了先进的管 理平台。 l 腾创公司的广电解决方案,为济南广电开展宽带接入、专线接入、各类增值业务 建立了一流的基础平台,使得济南广电和广大 ICP 开展全方位的业务合作具备了 良好的条件。 l 腾创公司提供的解决方案充分考虑了未来几年广电业务的飞速发展,系统设计先 进、可靠、可平滑升级,体现了经济、实用、高效的设计原则,保证了济南广电 未来的业务发展需求。 l
4.3 典型案例三:中国民航中南空管局
特点:政府企事业单位,PPPoE 接入认证 中国民航中南管理局空中交通管理局由中南局航行、 通信、 气象与中南局航管中心合并 而成, 是民航管理局的所属的事业单位。 中南空管局的网络中心主要负责空管局下属的社区
15
网络和办公网络的管理和运营, 属于典型的企业专网的网络结构。 网络出口分别由电信和网 通提供,接入方式属于光纤接入和ADSL接入并存,使用两台腾创D_BRAS作为核心接入网关, 实现以太网用户的接入和认证管理, 使用一台腾创PPPoE BRAS实现ADSL用户的接入和认证管 理, 提供后台主备TBMS实现统一管理, 同时提供腾创日志管理系统对于用户的网络行为进行 记录。目前,整体网络接入用户数大约为 4000 户,对于社区网络的用户实现认证、计费和 管理策略,对于办公网的用户实现宽带接入,不做进一步控制。自 2004 年 12 月工程实施完 毕,使用情况良好。 中南空管局的网络拓扑图结构如下:
电信 网通
天网防火墙
安腾日志系统
安腾GBMS
安腾BRAS
华为5300
该方案具备如下特点: l 腾创公司TBMS系统针对企业专网的不同接入方式提供统一平台上集中认证, 保证了 网络的运营的合理规划性和一致性 l 腾创公司提供丰富的计费策略对于不同群体的网络需求进行区分, 实现了包括后付 费,预付费和卡用户、移动用户的多种策略,同时根据实际用户需求实现了端口月租 费,固定IP附加费,分配带宽附加费等具备特色的一揽子方案 l 腾创 TBMS提供备份和冗余方案,为网络的安全性提供进一步的保证 l 腾创公司提供日志管理系统,对于网络用户的日常行为进行记录,保证了网络数据 保存的安全性和时效性
4.4 典型案例四:贵州大学
特点:教育行业,PPPoE 接入认证
16
l l l l l
5 台 PPPoE BRAS 分布式接入,2 万并发用户;2 套后台系统采用主备方式,7 万注册用 户。 计费方式采用普通 30 元包月。 实现 PPPoE 下防代理功能。 5 台 PPPoE BRAS 同时做日志采集功能。 用户账号和密码统一采用学校邮箱账号和密码
相同案例 兰州大学
4.5 典型案例五:广东盈信
特点:新型大型城域网运营商,PPPoE 接入认证
17
北京,广州和深圳三地,5 万并发用户,10 万注册用户,其中广州 3 万并发,6 万开户。 采用四台 PPPoE BRAS 和一台 WEB BRAS 做认证,同时采用两台 log BRAS 用来采集日志。 认证方式采用 PPPoE 和客户端/web 页面共存。 采用多种计费方式如包月/包半年/包年/包天等。 解决了带宽,ARP 等问题。 和盈信自有 BOSS 业务支撑系统对接,实现从用户开户,到安装实施到收费管理等业务 支撑。 相同案例 中海电信
u u u u u u
4.6 典型案例六:天津师范大学
特点:教育行业,客户端和 802.1x 结合二次认证
18
l l l l
发挥 802.1x 技术的基于端口技术的长处,又采用 BRAS 技术的成熟和灵活性 在接入层采用 802.1x 认证方式,用户如需要访问内网,只需要经过接入层的 802.1x 认证。 在外网出口采用 BRAS 网关认证,用户如需要访问外网,再次通过外网认证即可。 两次认证在一个客户端上同时实现,最大程度减少学生的认证的麻烦。
4.7 典型案例七:广东移动广州分公司
特点:传统运营商,WLAN 接入认证,大学城、社区和大型会议中心接入
19
l l
l
l l l l
白云国际会议中心是广州市重点工程, 由省市政府及越秀集团共同投资约 40 亿元兴建, 是集会议、展览、酒店、演出、宴会、写字楼于一体的大型综合性会议中心。 广州大学城是国家一流的大学园区,华南地区高级人才培养、科学研究和交流的中心, 学、 产一体化发展的城市新区, 研、 2007 年大学城全部建成后总规划人口预计将达到 35 万人,相当于一座中小城市。 本项目采用了 3 台华为 5200 BRAS 和腾创 3 台 Web BRAS,分别放置在西德胜、经典居 和清河东机房,每个热点均通过两路传输到达核心网机房,一路主用一路备用,后台采 用主备腾创 TBMS 管理平台。大大提高系统的可靠行和安全性; 会议中心采用WEB认证方式,提高了移动宾客的易用性; 大学城师生用户采用腾创专用客户端,提高了系统的安全性; 腾创后台计费系统支持手机卡开户和充值。减轻了营业厅的负担又方便了广大用户。 专业的用户服务,提供重要会议现场技术保障服务。
20
北京世恒达广电网络资源管理系统简介 随着计算机应用技术的飞速发展,以及有线电视业务量的不断增加,广电网络改造逐步完成,一种对用户及网络设备进行全面科学管理的要求也就越来越强。各网络公司的用户数从原有的几千户发展到几万户,有的从几万发展到现在的几十万户,网络上开展的业务也由原来单一的模拟电视业务发展为现在的宽带上网、数据广播、视频点播等多种增值业务并存。在当前形势下,靠传统的数据库系统和图纸对有线电视用户与网络资源进行管理,难度越来越大,远不能满足目前应用和今后发展的需要,更满足不了以最低成本不断发展新用户、服务老用户的宗旨。 目前,主要表现为以下几个方面的问题: 1、缺乏统一、规范的网络资源信息描述与存储,资源信息没有完整统一的定义; 2、网络资源信息分散,大量与地理信息有关的管道、缆线、设备等的维护资料、数据均以卡片或图纸的方式分散在不同部门和个人手中,缺乏有效、一致的维护管理; 3、对网络资源使用状况缺乏有效的监控、校核机制和统一的调度流程控制。 地理信息系统作为一种强有力的计算机管理手段,在我国从80年代开始发展到今天,已经逐步成熟,并应用到各个领域。在地理信息系统中,由于网络拓扑图的末端连接着用户,它的中间节点为设备,这样对用户收费、用户报装、用户投诉、欠费催交、故障分析、物质管理、网络设计及评价、工程预算等,就能做到可视化管理。所以,从某种意义上来说,一个完整的地理信息系统就是一个广电网络的综合管理系统。 世恒达广电网络资源管理系统为企业带来的价值: 建立完整统一的网络资源信息模型,根据不同资源的特性,形成清晰的网络资源(能力)信息库,并以此统一的网络资源信息库作为支持运行维护、营业和服务、辅助决策、资产管理的依据,动态地进行资源数据的管理。 1、全面完整的广电网络设施数据、直观的全貌; 2、迅捷直观的查询(直接图面显示设备的具体地点或具体设备的资源状况); 3、全面的网络资源统计和规划。 基于对现有资源现状的相关分析和处理,可对不同业务部门提供以下支持: 1、营业和服务部门:提高服务质量、降低服务成本 (1)获取服务需求后能够快速响应、提高效率 ——故障分析和响应处理、新装机用户的线路资源调配定位和工作调度 (2)充分利用现有线路资源 ——结合用户区域的发展预测,合理分配相关线路资源;根据网络的
网络课堂系统建设方案 1系统设计理念 随着信息化的不断发展,开放式、自由式的信息化教育教学方式逐渐兴起,成为辅助课堂教学的重要手段。MOOC,即大型开放式网络课堂的成功,为教师在线教学、学生在线学习提供支持。 本系统基于上述先进理念进行建设,着眼教师,着重于网络课堂系统的薄弱环节即课件制作方面进行平台化产品建设。平台建设将充分吸取成熟互联网服务平台功能的人性化设计,并结合移动终端的便捷性。在课堂教学的基础上为教师在线教学、教师成长提供易用性工具服务,为学生课外学习提供便利平台服务。
2 系统业务框架 学习社区 教学处 教师 PAD PHONE PC 网络课堂系统贯穿教学的各个层面因此涉及学生、教师、教学处及校领导四个角色。借助PC 、PHONE 、PAD 等各类移动终端,学生主要通过学习社区进行自助学习;教师借助课程云中心中课程制作功能进行网络课程制作及发布;教学处及校领导角色借助课程云中心中课程管理及支撑云中心实现基础支撑功能的维护和完善,并对课程进行整体管理维护。 为了更好的利用原有系统资源,本次项目奖考虑整合三方面的资源内容: 第一、基础系统将整合CMIS 学生数据及教师基础数据,同时,将考虑到手 写设备的深度整合; 第二、将结合学校现有的私有资源(如:电子博物馆、区级资源平台、校级 资源平台等)进行资源采集整合; 第三、将结合学校实际需要整合互联网资源,如:百度搜索、维基百科、同
方知网等。 3主要功能说明 3.1学习社区 主要借助SNS业务平台架构,通过个人学习空间、兴趣组交互空间等平台功能,学生能够在一系列学习支撑工具的协助下便捷地进行在线课程学习。有效培养学生自助学习的积极性。 学习社区包括移动端和PC端两种模式,具体形式如下: PC端形式: 主要包括定制课程、课程分享、问题、笔记等基本功能,学生基于以动态提醒为核心的社区平台,可以在线自由定制课程,并围绕课程学习开展相关的工作。 学生在社区中不但可以看到相关教师的课程发布动态信息,也可以看到相关同学的学习动态。同时,课程学习过程中的问题答疑、课程分享、笔记记录等都将以动态的形式进行页面呈现。
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题 很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ? 基于安全准入技术的入网规范管理产品 ? 基于非法外联接入的入网规范管理系统 ? 基于可信域认证的内网管理系统 ? 计算机终端接入内外网的身份认证系统 ? 软件及硬件单独或相互联动的多重管理方式 接入 身份验证 合法 安全合规性检查 合规 分配权限入网 是 是拒绝接入否修复 否
计费认证系统技术指标要求 商品名称:宽带认证计费系统 参考品牌:城市热点 型号:2166BRAS-800G-FW 数量:1台 服务:提供三年的售后服务 备注:1)支持4000的账号注册,800同时在线,含2个千兆口,一个百兆网管口。 2)系统须具有合公安部销售许可证,满足网监关于60天日志查询要求。 3)提供多种的计费策略,可按时长,流量,包月等方式。 3)可根据需求进行定制化修改。 4)所提供的认证网关产品需具备工信部入网许可证,性能可靠稳定。 5)需提供三年原厂售后服务并提供原厂售后服务承诺函。
提供三年原厂保修和原厂售后服务承诺函,7*24小时技术支持,出现问题2个小时到达现场,4小时解决问题,24小时内免费提供备用机。 一、结款: 先收取货物、发票、电子验收单及合同,设备经验收合格,登记我单位固定资产后3个月后以支票或电汇方式支付全额货款。 二、售后服务: 由供货商提供上门服务。保修期满免人工费,仅支付零配件费。3年免费原厂保修服务。接报修电话后当天响应并提出解决方案。保修期内,如发生故障,接报修后至少在2小时内电话响应,4小时内到现场进行维修,由供货商到医院上门维修或取件送修,医院不承担交通、人工等任何费用。 其余请遵循政府采购投标时厂家承诺标准。 其他:报价时请注明设备保修期,报价为最终成交价,无其他额外费用。 报价须知:提供产品应当是未经拆封、全新的原装正品。报价总额应包括运输、安装调试以及上门培训服务等费用。本产品须是城市热点有限公司原厂发货的正品行货新品;投标商提供的产品,在原厂的销售记录中最终用户须是中国医学科学院阜外心血管病医院;投标商必须在用户规定的时间内,免费将产品送到用户指定的地点并安装调试;要求设备原厂订货直接发到阜外医院;产品安装及维护需要原厂认证工程师。 中央政府采购信息类产品协议供货商,需要上传原厂保修及服务承诺函。
题目:宽带网络资源管理系统专业: 学生姓名: 班级学号: 指导教师: 指导单位: 日期:2010年11月日至 2011年6月6日
摘要 随着互联网在中国迅猛的发展,特别是互联网技术的告诉发展,网络正在走进千家万户。发达的信息通信干线将告诉宽带网络送到每一个社区,而社区的局域网又将告诉宽带网络送到了每一个家庭。在此形式下,以服务用户为核心的社区网络正在兴起。 同普遍意义上的网络管理一样,虽然宽带接入的网络管理的网络结构相对简单,但同样面对分布式、异构的网络环境。给出了宽带网络资源管理系统的框架并且通过对比传统的网络管理软件,提出了本系统的设计目标,即分布对象、分层设计、跨平台性和可扩展性。 AAA管理是网络管理的重要模块。所谓的AAA就是:认证(Authentication)即验证用户的身份;授权(Authorization)即依据认证结果开放网络服务给用户;记账(Accounting)即记录用户对各种网络服务的用量,并提供给计费系统。宽带网络管理不仅需要提供最基本的宽带接入服务,而且还需要提供内容丰富的增值服务,如视频点播、远程教育等;另外还需要提供灵活的计费方式,如包月、按流量、按时间等,以及灵活的计费策略,如节假日优惠,分时段优惠等,这些都是AAA管理需要管理的范畴。 根据HFC网络特点阐述了其AAA的实现机制,并且阐述了通用对象请求代理体系结构在网络资源管理系统中的地位,以及详细分析了AAA的整体框架和实现。 关键词:网络管理;计费管理;AAA;CORBA;宽带接入;网管
ABSTRACT This paper based on the project that supported by the funds of Beijing Science and Technology Committee.The project is a broadband community network management based on HFC.This paper first introduces some related market and technology backgrounds,and makes a conclusion that there is seldom the netword management sortware with its own reserved copyright now in China. Although the community netword structure is compatatively simple,as a common netword management,community netword management also fronted distributed,beterogeneous network environment.This paper persents the system farmeword of our community netword management and then bring forwards design goals of our system;distributed objects,hierarchical design,platform independent and extendsible. AAA Management is one of the important functions of network management.It is also the key that the ISP withdraws the investments.The community network management provides not only the access service of the broad band , but also the additional services such as VOD,remote education.Besides,it should provide flexible accountion ways,such as accountion by month,by traffic,or by time.It also provides flexble accountion policy,such as making a discount on holiday,or in period of time.What are talked above are all in the scope of AAA Management. The implement of AAA Management is depended on AAA. AAA is the abbreviation of authentication,authorization and accounting.Authentication can be known as the identification of the user;the mean of Authorization is the permission of the network services to the user by the result of Authentication;Also,Accountion can paly as the recording role for the quantity of the user spending on the network services. In this paper,we expatiate on the mechanism of the implement of AAA by the peculiarities of the sructure of HFC, and analyze the use of CORBA in the AAA Management.Moreover,we are able to provide design model of AAA Management. Keywords: Network management;Accounting manage;CORBA;AAA;broadband access
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网;
XXXX学院网络统一身份认证计费管理系 统建设方案 2016年03月 目录 一.计费系统设计规划 (2) 二.方案建设目标 (2) 三.总体方案 (3) 1.方案设计 (3) A.方案(串连网关方式) (3) B.方案(旁路方式+BRAS,BRAS产品) (4) 四.认证计费管理系统与统一用户管理系统的融合 (8) 4.1统一用户管理系统的融合 (8) 4.2一卡通系统的融合 (9) 4.3用户门户系统的融合 (9) 五.认证计费管理系统功能介绍 (9) 六.用户案例 (14) 6.1清华大学案例介绍 (14) 6.2成功案例-部分高校 (16) 6.3系统稳定运行用户证明 (16) 七.实施方案 (16)
7.1实施前准备工作 (16) 7.2认证计费系统安装 (16) 7.3实施割接前测试工作 (16) 7.4实施中割接、割接后测试工作 (17) 一.计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量,同时也必须能满足复杂的接入模式,多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下,设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求,同时还需要满足无线和有线认证的融合统一认证管理模式;目前学校已经使用一卡通系统,安全认证计费管理系统必须和一卡通系统实现对接,能支持未来的数字化校园,能够融合到统一身份认证平台。 有线网和无线网是实现账户统一,避免一个用户需要多账户登录有线网和无线网的情况,并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接,实现用户账号的同步关联。 二.方案建设目标 针对目前学校对于用户认证计费系统的需求,通过安全认证网络管理计费系统,搭建一套包括用户接入、认证、计费及用户管理的综合平台,为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解
网络准入控制解决方案 ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡: 基础架构生成shaping infrastructure ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。 观测obsevation ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。 评估与管理evaluation & management ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。 方案特色及优势 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
中心机房及网络系统建设方案
目录 第一章机房及网络系统建设的必要性 (3) 第二章项目内容 (5) 2.1、XXX人民政府信息办中心机房建设 (5) 2.1.1、总述 (6) 2.1.2、内容及要求 (6) 2.1.3、机房装修 (6) 2.2、网络系统建设 (12) 2.2.1、总述 (12) 第三章投资概算....................................................................................... 错误!未定义书签。第四章工程招标事项................................................................................. 错误!未定义书签。
第一章机房及网络系统建设的必要性 机房是信息化、语音系统承载和运行的最基本环境,承担着信息网络、信息系统的运行以及各种系统连通、汇
聚、贯穿的重要责任;网络设备是各网络系统最基本的组成部分。因此,机房及网络系统建设具有十分重要的现实意义。 随着市行政中心的建成,网络接入单位和人员将成倍增加,对网络安全和质量也提出了更高的要求,现有网络设备、安全设备和机房已无法满足行政中心网络系统运行的需要。本着既整合资源、节约成本,又考虑网络系统和各信息系统的安全性、先进性、前瞻性和可扩展性的原则。
第二章项目内容 行政中心不仅是党政办公中心,而且还将成为第一个信息化综合数据中心,因此,合理的信息化设计和建设是信息化办承接的重点工作之一。为了实现高效、稳定、可靠的信息化应用平台,中心机房建设和网络系统建设是信息化办的工作重点。 2.1、信息办中心机房建设
网络准入控制系统(ASM入网规范管理系统)特点概述 ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM入网规范的功能特点主要有以下几点: 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。 3、安检策略丰富完善 ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。这就使用户能够快速进行安全规范应用。 4、安全定位灵活多样 ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。可以进一步向下细化定位,直至每台终端设备。也可以通过终端设备向上检索,找到其连接的网络设备。终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。可以从宏观和微观两方面进行考量。 5、安全功能持续扩展 ASM6000提供了弹性化的系统设计。支持多种扩展模块进行热插拔。用户可以根据自身管理需要选择。同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。 6、弹性化(可选)客户端 ASM6000提供客户端弹性化,以满足不同用户的需求。支持的种类包括:零客户端、自消融客户端、完全客户端。甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。 7、支持分布式部署 ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的
智能箱管理系统白皮书 2016年
目录 1.系统介绍 (1) 2 系统组网介绍 (1) 2.1 智能设备箱PCB控制板与上位机通讯原理 (1) 2.2 智能设备箱与后台管理平台组网方式 (2) 3.前端智能设备箱介绍 (2) 4 智能设备箱管理系统组成 (4) 5. 智能设备箱管理系统功能介绍 (5) 5.1 平台首页概览 (5) 5.2 智能箱配置管理 (6) 5.3 智能箱设备巡检管理 (6) 5.4 智能箱监测查询 (7) 5.5 系统日志管理 (7) 6.系统运行环境与接口 (7)
1.系单元动设节省2 系 2.1 系统介绍 智能箱管元运行情况设备巡检相省人力成本智能监控箱(1)智能(2)实时(3)及时(4)极大(5)大大(6)远程(7)多重(8)自动系统组网介 智能设备箱管理系统提况进行检测;结合,并可本,提高工作箱的优点:能控制、远程时反映整个系时对发生故障大提高整个监大减轻监控系程重启:可以重防雷措施,动重合:提供介绍 箱PCB 控制图1 智能提供对智能箱可以分级可以与运维平作效率,保 程集中管理系统中摄像障的设备进监控系统中系统的运行以远程操控,防雷模块供一种防护措制板与上位能箱PCB 控制 1 / 9 箱进行配置、分区进行平台进行无保障监控前端理。 像机设备的运进行检修。 中摄像机的在行维护成本,控设备,提供块状态可知,措施和自动位机通讯原理 制板与上位机置、管理、控行管理;可以无缝对接。系端监控设备运行情况。在线率。 ,保障平安供一种解决,提高系统动故障恢复理 机通讯原理图控制及维护以实时上传系统提供远程备正常运行。 安城市的建设决故障的手段统的可靠性的方法,减图 护;可以对系传告警信息与程监控和管。 设与发展。段。 。 减少人工参与 系统与主管理, 与。
网络系统建设方案(内部区域网和Internet,包括宽带上网计费系统) 1、设计原则 酒店的计算机网络系统,不但使酒店内的办公人员能享有其应有的信息资源(包括数据,文本,语音,图像,视频),而且使入住酒店的旅客能够享有相应的资源。同时要保证系统数据的安全性与完整性,完成网上浏览、查询、订房、交易等功能,网络系统不仅能让用户高速接入Internet,而且为其它的企业或个人提供拨入本信息网的能力。信息网的设计应考虑到安全性、可靠性和扩展性等要求。 酒店计算机网络系统应采用先进的计算机和网络技术,构建一个高效的、安全可靠的、具备良好的扩充性能和易于管理的企业级酒店综合应用信息系统,使整个计算机业务处理系统达到高度的信息、资源共享,促进内部管理和风险决策科学化,从而大大提高工作效率,提高经营效益和整体管理水平。为此,我们必须考虑以下的设计准则: (1)提供高性能的计算机网络系统,不仅能够完成满足目
前应用对性能的要求,同时也为将来提供足够宽的性能空间。 (2)提供高可靠集成环境,不仅保证数据中心服务器和数据的高可靠运转,同时保证主干从链路到设备的可靠联接。(3)具备高度集成能力和广泛扩展能力的计算机结构以便将来的发展要求。 (4)应提供很强的Internet电子商务服务,这样可提高酒店的服务水平,使酒店职员和广大用户在任何时候和任何地点都可通过互联网登录到酒店的网络系统查询相关信息资源。(5)具有很强的安全保护能力,从而有效地保护系统资源。(6)应提供非常易于管理的计算机网络系统环境,很强的、简单、灵活、实用、统一的管理功能,从而确保系统能持续、可靠、有条不紊地运行。 (7)总体结构基于流行的Internet/Intranet技术和设计思想。 (8)满足今后视频点播等多媒体应用的需要。 2、网络系统基本技术要求
科技开创蓝海专业成就卓越 蓝海卓越认证计费系统 功能说明 星锐蓝海网络科技有限公司
目录 1.标准RADIUS功能 (3) 2.华为BRAS设备RADIUS扩展 (4) 3.蓝海卓越BRAS设备RADIUS支持 (4) 4.认证控制功能 (5) 5.系统主控功能 (6) 6.系统管理功能 (7) 7.查询统计功能 (8) 8.营业受理功能 (9) 9.BOSS接口功能 (11)
蓝海卓越认证计费系统功能说明 一、标准RADIUS功能 第1功能Authentication报文:支持标准RADIUS认证报文分析功能,BRAS发起Authentication请求报文到AAA系统认证鉴权。 第2功能Authentication PAP认证:支持标准RADIUS认证报文中采用PAP密码认证方式,BRAS发起Authentication请求报文到AAA系统认证鉴权 第3功能Authentication CHAP认证:支持标准RADIUS认证报文中采用CHAP密码认证方式,BRAS发起Authentication请求报文到AAA系统认证鉴权 第4功能Authentication授权:在接收BRAS Authentication请求报文之后,RADIUS Server 根据用户信息资源,对用户授权信息进行封装,通过Authentication响应报文把 用户带宽限制、最大时长、IP等信息授权到BRAS。 第5功能Accounting-On报文:支持标准RADIUS计费报文分析功能,BRAS发起Accounting-On报文,通知RADIUS该BRAS启动成功,开始计费。 第6功能Accounting-Off报文:支持标准RADIUS计费报文分析功能,BRAS发起Accounting-Off报文,通知RADIUS该BRAS结束计费,在线用户统一下线, BRAS进入维护或切换状态。 第7功能Accounting-Start报文:支持标准RADIUS计费报文分析功能,BRAS发起Accounting-Start报文,通知用户计费开始。 第8功能Accounting-Interium-Update报文:支持标准RADIUS计费报文分析功能,BRAS发起Accounting-Start报文,通知用户计费更新。
中心机房及网络系统建 设方案 目录 第一章机房及网络系统建设的必要性................................ 第二章项目内容........................................... 、XXX人民政府信息办中心机房建设................................ 、总述 、内容及要求 .......................................... 、机房装修 ............................................ 、网络系统建设 .......................................... 、总述 第三章投资概算........................................... 第四章工程招标事项......................................... 第一章机房及网络系统建设的必要性 机房是信息化、语音系统承载和运行的最基本环境,承担着信息网络、信息系统的运行以及各种系统连通、汇聚、贯穿的重要责任;网络设备是各网络系统最基本的组成部分。因此,机房及网络系统建设具有十分重要的现实意义。 随着市行政中心的建成,网络接入单位和人员将成倍增加,对网络安全和质量也提出了更高的要求,现有网络设备、安全设备和机房已无法满足行政中心网络系统运行的需要。本着既整合资源、节约成本,又考虑网络系统和各信息系统的安全性、先进性、前瞻性和可扩展性的原则。
第二章项目内容 行政中心不仅是党政办公中心,而且还将成为第一个信息化综合数据中心,因此,合理的信息化设计和建设是信息化办承接的重点工作之一。为了实现高效、稳定、可靠的信息化应用平台,中心机房建设和网络系统建设是信息化办的工作重点。 、信息办中心机房建设 、总述 行政中心机房是行政中心的信息化、语音系统承载和运行的最基本的环境,是信息化建设的前提条件,实现信息存储交换和设备运行支撑承载。机房承担着信息网络、信息系统的运行,实现全市各种系统连通、汇聚、贯穿的重要作用,因此,机房建设具有重要的意义,良好的机房环境不仅能够保障设备的稳定运行,而且能够延长设备的使用寿命,降低故障率的发生。 、内容及要求 中心机房总面积为12米X米,机房净高米。机房工程整体构成包括以下几个方面的内容:机房装修、电气系统、空调及新风系统、门禁系统、监控系统、防雷接地系统、消防系统、漏水检测系统。 、机房装修 1) 吊顶 一次吊顶采用石膏板顶,二次吊顶采用微孔铝板吊顶,装修后吊顶以上空间要留有》300mm间距,吊顶上空必须做防尘处理,涂刷不易脱落的防尘漆。 2) 地面 地面铺设抗静电活动地板,要求具有抗静电性能好、强度高、耐磨、耐酸、耐碱、
准入控制解决方案 山东华软金盾软件股份有限公司 二零一六年十月
目录 一、行业背景 (2) 二、需求分析 (2) 1. 终端入网缺少身份认证 (2) 2. 服务器的准入保护 (3) 3. 网络访问管理粗放 (3) 4. 终端远程维护 (3) 三、解决方案 (3) 1. 入网身份认证 (3) 2. 入网准入控制 (4) 3. 网络可访范围划域控制 (4) 4. 全面运维管理 (5) 四、方案价值 (5)
一、行业背景 近年来,随着信息化网络的不断建设,各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设,信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用,如何保障项目资料的安全妥善保存,如何打造一个合法合规的高效、安全的网络使用环境,是对医院行业信息安全领域提出的新课题。随着信息化的不断发展,入网随意、各种文件发送手段层出不穷,医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题,如何有效解决数据泄密问题成为业内亟需解决问题。 二、需求分析 1.终端入网缺少身份认证 现阶段大多数医院业务网络搭建已相对完善,各种业务服务器能够在网内高效稳定的运行,但是,网络的建设一直重视的是对业务系统的建设及外网黑客的攻击防护,对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内,网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证,但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的,医院网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。
1.1Mydradius 无线网络认证计费管理系统 1.1.1前言 Mydradius无线宽带上网认证计费管理系统是一套专业的无线宽带计费系统 webPortal方式认证 Web Portal通过启动一个Web页面输入用户名/密码,实现身份认证。Web认证目前已经成为无线网络平台的认证计费标准方式,通过Web页面,实现对用户是否有使用网络权限的认证。Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。 真正的实现“即插即用” Mydradius无线宽带计费系统具有独特的“即插即用”功能,读者只要在图书馆利用自带的手提电脑或者租用无线设备实现上网,为读者提供了最大的便利。 进行统一计费、统一结算 读者来到图书馆得到一个独立的账号和密码,通过 WEB 认证在图书馆的任意地点登录互联网,费用统一计入这一账号中,读者离开时可以与其他消费一起结算,并打出账单,此时该账号密码作废,不影响下次入住读者的利益。 有效的上网管理 Mydradius无线宽带计费系统管理功能对读者的上网时长、时段、流量、带宽等实施组合限制,不仅可以保障读者上网资源,同时也为图书馆的管理者解决了后顾之忧。同时通过对一些非法的 IP 地址过滤功能宏观的控制整个网络的访问目标地址,并可以实时的掌握网络运行情况,随时查看相关信息。 保证内部网络安全性 Mydradius无线宽带计费系统拥有 NAT 网络地址转换技术,相当于防火墙的强大功能,将内部网络与 internet 之间、图书馆内网之间实现隔离,保障了网络的安全。
1.1.2产品组成 1 网络计费网关 网络计费网关是安装在一台专用的高性能的服务器上,有四个1000兆的以太网接口,运行网络计费网关程序,实现对每个接入点进行接入认证控制,对认证成功的接入点实现网络全线速转发。 2、宽带计费管理软件 Mydradius无线宽带计费管理软件是专业宽带计费管理软件,由多个功能模块组成:认证计帐、实时计费、用户管理、帐务管理、客户帐单查询、系统管理、管理员管理。
广电GIS资源管理系统 已成功的研发出具有自主知识产权的GIS网络资源管理系统,并已经在重庆有线成功上线使用,同时获得国家2009年创新基金扶持。同时公司的核心软件GIS-Makingsoft已取得国家颁发的软件著作权登记,已开始大规模向全国推广。该软件下的分支软件-广电版在全国处于前三甲。 GISMakingsoft? 网络资源管理系统主要包括的功能模块简述如下: 1)基础地图维护子系统:主要完成支撑广电网络资源数据的基础地理信息的管理,包括建立电子地图、提取有关地理拓扑关系信息、更新电子地图等。 2)空间资源管理:在建立了基础地理信息的基础上,按专业分层管理。例如:设备是按照区域、分前端、机房逐层管理;管线资源是按照区域、分前端等逐层管理。 3)机房设备子系统:机房设备资源管理功能管理的对象是广电网络中机房中的设备,并建立设备之间的连接拓扑关系。设备管理功能配合用简便的表格输入和图形化的显示方式,且每种设备均可采用规范、快速的模板方式进行入库。 4)管道/杆路资源管理:系统基于GIS平台,利用信息可视化技术,再现管道网网络资源地理空间分布及物理连接。管道网络资源设施包括:管道段、人/手井、杆路、电杆等,这些设施组成一个复杂的网状结构的广电管道网,用于承载光缆网、电缆网。对这些资源设施的管理,系统除了管理其属性信息外,还可实现其位置信息及连接关系的管理功能。 5)光缆网络资源管理:在管理光缆网设施(光缆、光缆段、接续盒等)属性信息的基础上,基于GIS平台,对光缆网设施的实际地理分布、地理空间上的物理连接关系进行管理。 6)电缆干线/楼栋分配网管理:设计人员使用此模块可方便地实现对楼栋布线的原理图及路由图的设计和资料录入,可在分配图中方便地添加各种设备及同轴电缆,并进行连接设置。