陕西某学院点对互联网专线接入与认证方案_xx学院网络建设方案

陕西某学院点对互联网专线接入与认证方案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“xx学院网络建设方案”。

陕西联通集团客户响应中心

内部公开 注意保密

陕西XX学院点对互联网专线

接入与认证解决方案

陕西联通集团客户响应中心

2009年11月

陕西联通集团客户响应中心

一． 客户情况与业务需求

陕西XX大学现有两个校区，总面积2003亩，其中西安校区占地面积1590亩，是学校的主校区，用于本科生和研究生教育；咸阳校区占地面积413亩，用于高等职业技术教育与继续教育；目前西安校区约有学生3000人左右。

根据客户现场调研结果，确认客户校园网组网结构如下：

ChinaNetEDU电信AAA系统H3C 8512校园服务器组H3C 8512学生区说明：客户校园网目前直接接入教育网，中国电信在客户内网为学生区提供PPPoE互联网接入（按流量计费）。

学校网络部负责人陈老师明确客户业务需求如下： 1.西安校区需以光纤方式接入联通China169

陕西联通集团客户响应中心

2.不能对校园网当前组网结构进行任何变更

3.学校出于网络安全考虑对学生上网终端固定了IP地址，应尽量避免采用DHCP技术。

4.中国联通新增网络接入服务不会导致中国电信现有网络接入服务失败或受到明显干扰

5.学生计算机能够自由选择中国联通或中国电信的网络接入服务（如两者客户端拨号程序冲突，学校可负责解决）6.学生计算机拨入China169后不影响对校园服务器组的访问

7.学生计算机之间的互访不会因拨入China169而受到影响（非必须实现）我公司客户经理要求如下： 1.客户端接入能够防止私接 2.客户端接入能够防代理

二． 网络接入方案

1.陕西XX大学客户本次有租用互联网专线的需求，但没有接入到东五路、西高新等骨干节点的特殊要求，并且今后没有双路由保护和其它SDH专线需求。2.组网示意图如下：

陕西联通集团客户响应中心

 建议直接通过“光纤＋光模块”的方式接入就近市话端局的IP节点，而不必经过MSTP网络来承载，避免占用不必要的网络资源。

可为客户提供以下业务种类及速率  以太网专线  N×10M ～ 100M 缺点：光纤单链路接入光缆终端无保护，没有安全保障。三． 现网认证技术分析

1.省内Radius平台下的集中认证（PPPoE方式）

在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台，由省内Radius平台完成学生账号的鉴权，授权和计费。该方案技术成熟，运行稳定。目前Radius能够通过用户登陆唯一性限制实现防私接。防代理可通过城域网业务监控网关实现。组网方式如下图：

陕西联通集团客户响应中心

China169省内RADIUS平台EDUChinaNetBAS立PP2层Po通E认道证实现电信AAA系统H3C 8512校园服务器组H3C 8512建学生计算机学生区

但由于客户校园网内同时存在中国电信的BAS，两台BAS在同一网内会出现客户网络认证不稳定的现象。下图对这种双BAS的冲突方式进行了简化以便说明问题：

BAS ABAS B响应交换机响应广播计算机

上网计算机拨号后首先发起PPPoE广播，本次广播与用户的拨号软件没有任何关系同时也不携带用户名等认证信息，网络上的两台BAS会同时对广播响应，响应速度快的BAS会首先与拨号计算机建立连接。两台BAS的响应速度受网络速度、设备利用率等因素限制。这样带来的结果是拨号计算机连续碰到691错误，直到正确的BAS响应。所以省内Radius平台下的集中认证方式不能满足客户对于网络接入方式的需求。

陕西联通集团客户响应中心

2.省内Radius平台下的集中认证（L2TP-VPN方式）在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台，学生上网计算机安装H3C公司的专用拨号软件，两者之间使用L2TP协议建立VPN隧道完成三层设备的传统，省内Radius平台负责完成学生账号的鉴权，授权和计费。Radius通过用户登陆唯一性限制实现防私接。防代理由H3C专用拨号软件完成。

该方式能够满足业务需求，且与电信的AAA系统不会互相干扰。但存在如下问题：

1.需要为现有的BAS增加LNS单板；

2.华为与华为3Com公司之间已无产业链关系，需要与H3C采购相关软件和维保；

3.全省Radius系统从未测试和应用过L2TP-VPN方式下的鉴权，授权和计费。

陕西联通集团客户响应中心

China169省内RADIUS平台EDUChinaNet路由可达BAS建立电信AAA系统VPN通道实现H3C 8512校园服务器组H3C 8512学生计算机安装H3C专用拨号软件学生区

3.城市热点的本地认证方式

在客户校园网核心H3C 8512至China169之间增加Dr.com 2133一台，负责完成用户的认证和授权；城市热点Dr.COM Billingware平台负责完成学生账号的管理、开通和策略配置。可以在Dr.COM Billingware平台配置用户登陆唯一性策略实现防私接。防代理由学生上网计算机安装的城市热点拨号软件完成。组网方式如下图：

陕西联通集团客户响应中心

China169城市热点Dr.COM BillingwareDr.com 2133EDUChinaNet建立电信AAA系统H3C 8512VPN通道校园服务器组H3C 8512学生计算机安装城市热点专用拨号程序学生区

四． 认证建议方案

建议采用城市热点认证方式。下对城市热点各部分的功能进行说明。

1.城市热点支持的认证方式

Dr.COM 2133 B-RAS同时支持以下认证方式： 1）WEB方式

2）专用客户端方式（使用Dr.COM 专用客户端软件）3）802.1x 4）PPPoE（此时接入服务器与用户终端需为二层交换网络）根据业务需求，建议采用专用客户端方式。2.城市热点各部分的功能

Dr.COM 2133采用的是硬件认证计费方式，用户账号资料以及各种用户策略全部内置在Dr.COM 2133 FLASH ROM中，当

陕西联通集团客户响应中心

用户发出认证请求，由Dr.COM 2133 作认证终结，账号认证和鉴权直接在Dr.COM 2133 本地完成。

Dr.COM Billingware宽带计费运营平台主要作为用户管理、策略配置和数据库管理的后台，所有策略配置、用户管理均先在ORACLE数据库完成后，再通过守护进程实时同步到Dr.COM 2133 内。当Dr.COM Billingware宽带计费运营平台与Dr.COM 2133中断通信，不会影响到Dr.COM 2133 中已存在用户的接入、认证和计费。但没有完成同步的新用户将无法认证。

Dr.COM专用客户端软件提供防代理功能，利用数据包验证封装技术，使用户登陆成功后，过滤掉代理请求。该客户端能够实现以下功能：

• 可防用户单IP方式代理；

• 可定时或实时发布系统信息广播、催费通知、显示用户时间流量等；

• 储值卡用户可显示剩余余额； • 可透过三层； • 可透过三层绑定MAC； • 针对连接进行认证； • 账号密码加密；

• 可防盗IP、MAC访问互联网；

• 静态绑定网关MAC地址，起到防止ARP干扰的作用；

陕西联通集团客户响应中心

• 兼容Linux系统； 3.网络部署要求

1）需要新增Dr.COM 2133一台

2）校园网内需要部署一台以上的专用的用户业务受理终端，用于学生办理宽带业务。

3）需要为新增用户提供Dr.COM专用客户端软件 4.用户需求满足

城市热点工程师反馈该平台能够满足客户与客户经理提出的主要业务需求。需求中“学生计算机之间的互访不会因拨入China169而受到影响”无法满足。5.缺点

1）该系统与省内Radius系统未能融合 2）需要在客户网内部署专用的业务受理终端

五． 测试方案

1.上网终端认证完成后对China169和校园服务器组的并发访问测试 测试方法：

上网终端完成网络认证前能够对校园服务器组提供的网络服务正常访问，上网终端完成网络认证后对China169和校园服务器组提供的网络服务皆能正常访问则并发访问要求满足，反之为不满足。

2.账号唯一性测试

陕西联通集团客户响应中心

测试方法：

（1）选择校园网内接入层(限学生区)任意个接入点接入测试终端；

（2）测试终端A完成网络认证，并保持接入状态不中断；（3）测试终端B至Z使用用同样的用户名/密码启动网络认证。

结果：测试终端B至Z如不能完成网络认证则判定认证系统满足账号唯一性要求，反之为不满足。3.防代理测试（1）路由器的测试

组网方式：路由器作为上网终端完成网络接入认证，同时作为测试终端的网关提供包转发。

校园网路由器测试终端测试终端

测试方法：路由器作为上网终端完成网络接入认证后，任一测试终端如不能访问访问China169，则判定防代理成功；反之，则失败。测试终端与路由器之间通过无线或有线连接方式对测试结果没有影响。（2）双网卡代理服务器的测试

陕西联通集团客户响应中心

组网方式：代理服务器安装双网卡，NC/1接入校园网，NC/2连接测试终端。连接方式见下图：

校园网NC/1NC/2代理服务器测试终端

测试方法：代理服务器启用PPPoE连接，如果测试终端不能够够访问China169，则判定防代理成功；反之，则失败。

4.单网卡自动网关探测代理方式的测试

组网方式：二层交换机接入校园网，代理服务器和测试终端与交换机连接，如下图：

校园网交换机代理服务器测试终端

测试方法：代理服务器启用PPPoE连接，测试终端启用Windows自动网关探测功能，如果测试终端不能够访问China169，则判定防代理成功；反之，则失败。

六． 后继建议

1.建议根据2008年4月30综合部会议纪要【2008】17期中城市热点的维护界面划分，征求支撑部门的意见，明确用户开通和账单获取问题。

陕西联通集团客户响应中心

2.由于Dr.COM 2133 和Dr.COM Billingware均支持标准和扩展的RADIUS协议（RFC2865、2866），故建议未来分离两者，使Dr.COM 2133作为省内RADIUS认证计费平台的接入服务器。从而充分利用和城市热点客户端的强大功能和省内Radius系统的安全性和唯一性。

3.营业系统增加相关接口，实现城市热点的联机指令功能。4.维护部门和支撑部门对VPN方式下的Radius鉴权，授权和计费进行测试，并启用相关功能。

5.逐步启用Radius系统的代理商功能，以满足部分客户群体的业务需求。

点思考对民事诉讼中认证问题的几

对民事诉讼中认证问题的几点思考严潇君《最高人民法院关于民事诉讼证据的若干规定》第六十三条规定：“人民法院应当以证据能够证明的案件事实为依据依法作出裁判”。从而确立......

SKEY认证方案的分析与改进

S/KEY认证方案的分析与改进殷松瑜， 徐炜民（上海大学 计算机工程学院，上海 200072 ）摘 要：本文提出的改进S/KEY身份认证协议，使用随机数与机密信息进行异或运算，屏蔽重要信息防止机......

校团委学生办公室对各学院日常工作考核方案与流程

校团委学生办公室对各学院日常工作考评方案与流程一.考评内容：1.会议签到情况：(1) 团委各部门会议签到（各部门部长负责）；(2) 学生副书记会议签到（校团委学生工作办公室主任负责）；(3)......

数学与统计学院迎新方案

周口师范学院数学与统计学院二 零 * * 级 新 生 接 待 方 案 **年数学与统计学院迎新生策划书活动目的:在**级新生即将来临之际，根据学校关于迎新工作的相关要求，为切实落实我......

国际标准职业经理人资质评估与认证方案

高端职业经理人资质评估与认证职业经理人资质评估认证方案“国际标准高端职业经理人资质评估与认证”是专门针对全球企业经营管理类人力资源专业进行职业素养和实践能力的审......