Drcom宽带接入认证计费系统技术建议书.doc

2 DrcomDrcom 宽带接入认证计费系统宽带接入认证计费系统 技术建议书技术建议书 3 目 录 1 1前言前言5 2公司介绍公司介绍5 3总体方案建议总体方案建议7 3.1方案目标7 3.2系统与网络设计原则7 3.3实施方案9 3.3.1方案说明9 3.3.2网络拓扑10 3.3.3与Windows AD（Active Directory）服务器实现账号同步.11 3.3.4办公网内用户的接入计费建议12 3.3.5针对企业员工访问记录13 3.3.6针对防私接代理：14 3.3.7针对企业内P2P应用下载.14 3.3.8用户在线监控管理15 3.3.9认证方式分析17 3.3.10用户授权19 3.3.11用户实时控制21 3.3.12安全和高可用性设计23 3.3.13设备的详细配置，计算方案及依据27 3.3.14产品清单与相关设备的详细配置27 3.4具体实施步骤32 3.4.1项目组织32 3.4.2项目实施原则32 3.4.3实施阶段33 4DR.COM 2133 B-RAS 设备说明设备说明35 4.2产品简介35 4.3连接示意图39 4.4设备规格及性能说明39 5场地及环境准备要求场地及环境准备要求42 5.2常规要求42 5.3机房电源、地线及同步要求42 5.4设备场地、通信42 5.5机房环境43 6供货、安装、测试及验收供货、安装、测试及验收44 6.2供货44 6.3安装，测试及验收44 8.2.1项目安装.44 4 8.2.2 测试及验收45 7技术承诺与补充说明技术承诺与补充说明48 8技术服务、支持、保修技术服务、支持、保修49 9用户培训用户培训53 9.2培训目的53 9.3培训方法54 9.4培训时间54 9.5培训地点54 9.6培训人数54 9.7培训日期54 9.8培训内容54 附：行业成功案例附：行业成功案例54 5 1 1 前言前言 随着 Internet 技术的迅猛发展和企业信息系统应用的普及，企业网内的办 公用户对宽带上网都提出了强烈的需求。大型企业通信部门不但要为企业内部 提供快速、方便的宽带上网业务和信息服务，还需要对不同的企业网用户实现 不同的管理策略，以保证业务发展和员工工作效率不受宽带上网影响。 但是，针对日益复杂的网络环境和需求，网络管理者也会遇到层出不穷的 问题： 针对办公网络，网络管理者需要面对： 如何防范 IP 地址冲突？保证网络用户正常上网？ 如何规范办公网络的上网行为？比如上班时间浏览无关网站，使用 QQ 等。 如何区别不同单位的不同网络应用，进而确定不同的控制策略。 针对住宅网络，运营的概念更明确，网络运营者关心的是其他的一些问题： 如何保证有效的认证，让合法的网络用户享受网络服务？ 如何提供不同的计费策略满足不同的用户群体？如包月，流量等。 如何防止用户私设代理，保证网络投资？ 用户的规模在不断的扩张中，如何保证网络的平滑过渡？ 诸如此类的，可以看到专网存在很多的特殊网络应用，所以要求了专网宽 带运营解决方案必须具备强大的控制能力的同时，具备很大的灵活性。 2 公司介绍公司介绍 城市热点有限公司是下属多家同为“城市热点”的公司的统称，包括“北 6 京城市热点资讯有限公司”和“北京城市热点软件有限公司” ，前身为“广州创 意电脑开发中心” ，成立于 1995 年 12 月，到 98 年 3 月成立“广州城市热点资 讯有限公司” ，2000 年，总部搬迁到北京。是集“软件、硬件、服务和运营” 四位一体的创新型高科技 IT 公司。 1998 年，互联网处于发展的初期，城市热点并没有跟随汹涌的建立网站热 潮，而是坚信“互联网需要盈利，盈利需要收费，收费需要计费”的这条简单 而朴实的判断，以宽带计费作为切入点，专注于宽带互联网络的“管理、认证、 授权、计费和监控”产品的设计、开发和生产。经历 8 年的不懈努力，为 180 多家有线电视台宽带网、70 多家电信运营商、200 多家高校、300 多家酒店、 60 多家小区和商业大厦、2000 多家大中型企业事业单位、100 多家政府部门等 提供了完善的宽带运营产品和解决方案，成为了国内宽带计费的第一品牌。 面对全球化激烈的竞争，城市热点成功地找到了中国 IT 企业竞争的法宝 和核心竞争力“产品创新性”和“服务本地化” 。拥有自主产权 DrOS 的网 络操作系统，自 98 年起开始研制，性能屡创新高，达到了国际先进水平。根据 中国的宽带市场的特点，创新了很多新的产品和标准， “计费网关”是城市热点 最早提出，从一个不被认同的概念变成了一个标准的网络名词。 “即插即用”和 “防代理”技术进一步发扬光大，使城市热点成为行业的领跑者。为了第一时 间给客户提供最优质的服务，在北京、广州、上海、成都建立平台，在多个城 市建立办事处，提供电信级的服务支持和专家级的运营指导，开拓了中国宽带 运营商参与酒店和高校运营的独特市场，赢得了市场，也赢得了国内外知名企 业的尊重与合作。 经过十年的努力，城市热点已经走向成熟，具有完整的质量保障体系、管 理体系、品牌战略、销售体系和服务体系，逐渐形成了“责任，创新，专注， 共赢”的企业文化，员工超过 100 名，年产值超过 2800 万，获得“国家级火炬 计划项目证书”和“电子信息产业发展基金”等多项国家级的荣誉。 7 3 总体方案建议总体方案建议 3.1 方案目标方案目标 本方案目标是，使用北京城市热点资讯有限公司的宽带接入管理计费系统， 在企业网建立一个宽带接入的用户接入，验证，控制平台，城市热点将发挥 8 年来在宽带计费管理行业的专业和经验，为用户提供功能完善、可靠和高性能 的，真正适合企业的宽带接入管理计费解决方案，产品具有高通用性和高扩展 性，可满足企业在不同阶段扩展需求。 本技术建议书是根据企业网宽带计费系统需求而写，在本技术建议书中， 从企业网宽带认证管理的特点，技术实现的可行性，以及项目实施计划，对企 业网宽带计费项目的可行性进行了综合的论证。 3.2 系统与网络设计原则系统与网络设计原则 标准化和易扩展性标准化和易扩展性 系统结构的设计严格依据国际标准，技术和产品的标准化结构便于设备后 期的可连续性升级。 实用性实用性 根据现在的需求和可以预见的需求增长情况设计网络，避免追求高档和不 必要的技术花费的巨大代价。 高可靠性高可靠性 高可用性是整个系统的重点，宽带接入认证计费系统在设计上，需要 从接入到数据存储各个系统节点均充分考虑到高可用性，使系统整体结构 上不存在单点故障，关键业务和存储服务器节点均采用集群或冗余解决方 案。 网络业务的适应性网络业务的适应性 适应多业务发展需求，提供灵活多样的控制策略，可根据用户的具体需求 提供高质量的数据业务运营平台 。 8 易管理和便于维护易管理和便于维护 系统平台有良好的人机对话界面，分类详细，设置简单，同时具有设备的 运行监控界面，便于网络管理员的管理、监控和维护。 网络安全性网络安全性 系统应提供严密的身份验证、访问控制、历史审计等措施，数据库采用集 群或双机热备方式，以保证在出现灾难时能够快速的恢复到 24 小时以前的数据 状态。 整体系统具有严格的访问控制机制，可有效控制非法访问者通过网络对外 部资源的访问；同时对数据库采取网络隔离，保证了系统数据库的安全。 网络路由协议的开放性网络路由协议的开放性 宽带接入认证计费系统需具有很好的可扩展性，其网络额外开销不能很大， 而且支持国际标准协议，保证不同设备间的互通性。 9 3.3 实施方案实施方案 3.3.1方案说明方案说明 本方案中将通过部署 Dr.COM 2133 宽带接入认证计费系统，实现企业的集 中接入认证和集中监控管理计费。该系统包含硬件和软件平台两部分组成，硬 件是 Dr.COM 2133 B-RAS 宽带接入认证计费服务器，软件平台是 Dr.COM Billingware 宽带计费系统。 Dr.COM 2133 B-RAS 接入服务器的位置串接在核心交换机和防火墙之间， 负责对所有用户的接入、认证、计费和控制，以及数据采集。本方案中的 Dr.COM 2133 B-RAS 接入服务器的端口为千兆电口型号。 Dr.COM Billingware 宽带计费管理系统运行在 MS SQL2000 数据库的环境 中，系统实现网络监控、策略设置、账号管理、统计输出报表、访问记录采集 等业务功能。整个宽带计费系统主要由 MS SQL2000 数据库服务器、运行 Dr.COM Billingware 各软件模块的应用服务器组成，计费系统将部署在网管中 心内，建议将网管中心所在网段与 Dr.COM 2133 B-RAS 的网管断口划在同一 VLAN 下，以保证管理专网与外网、用户网实现物理隔离。 Dr.COM Billingware 宽带计费管理系统可以通过与企业网的 Windows Active Directory Server 对接与用户资料数据同步，实现宽带认证和企业域账号 统一认证和计费，大大减少企业对用户账号的维护工作量，使日常管理更加简 化和有效。具体功能的实现下文将详细描述。 10 3.3.2网络拓扑网络拓扑 说明：根据企业网的规模，以及以后的扩展，本项目建议书采用集中接入 认证与计费，统一管理的方案，集中接入指接入服务器部署在各个汇聚层的汇 聚点，即在网络出口安装宽带接入服务器，由宽带接入服务器对所有用户进行 身份认证、接入控制、实时计费、数据采集，并将账单和访问日志等传送至综 合业务系统。统一管理指在中心机房就可以进行全部的管理，包括：网络设备 管理；用户管理；经营策略管理；账务管理；安全管理；数据分析。提供完整 的用户资料分析，使用习惯分析，运营统计等详细分析报表。 11 3.3.3与与 Windows AD（Active Directory）服务器实现账）服务器实现账 号同步号同步 目前很多企业 主要使用的是 类似基于 ISA 2000 代理服务器 之类的 LDAP 服务器 来实现用户接入认证办公网和互联网，在部署了宽带认证计 费系统后，仍然需要使用WINDOWS AD 服务器来实现接入办公网的认证， 因此需要宽带认证计费系统与WINDOWS AD 服务器实现账号同步，以减 少企业网 网管对用户账号的维护工作量，提高工作效率。 Dr.COM 2133 B-RAS 可以实现 WINDOWS AD 服务器的用户数据同步， 使 Dr.COM Billingware 系统能够对 WINDOWS AD 账号进行认证和计费。 其工作机制是： 1.在用户电脑上安装 Dr.COM 客户端，在 Dr.COM 客户端上输入 用户的域账号向 Dr.COM 2133 B-RAS 登录 2.Dr.COM 2133 B-RAS 向 WINDOWS ACTIVE DIRECTORY 查询 账号是否存在，如果存在则在Dr.COM 2133 B-RAS 建立该账号。 如果不存在则拒绝用户的登录。 3.Dr.COM Billingware 系统定期 同步 WINDOWS ACTIVE DIRECTORY 上的 LDAP 数据，检查数据库上的 账户是否存在 于 WINDOWS ACTIVE DIRECTORY 上，不存在就会进行销户 ； 如果有新增用户，则自动将新增的 用户账号和密码到 Dr.COM 2133 B-RAS 中。 通过以上过程，能保证Dr.COM 2133 B-RAS 和 WINDOWS AD 服务 器上的账号 资料保证一致。 12 3.3.4办公网内用户的接入计费建议办公网内用户的接入计费建议 根据用户提出的需求和电话与用户的沟通，了解到办公网内有 3 种类型的 用户。直通用户、固定办公用户、移动办公用户。 直通用户：即直接上网，没有认证，Dr.COM 2133 B-RAS 也不会对这类型 的用户进行任何的控制、管理、计费。也无法记录这类型用户的访问记录。 专线用户：开户的时候设置账号标志为专线，绑定一个 IP 地址，用户在上 网的时候只要设置对应 IP 地址即可上网，无需认证。但是结算的时候是按账号 来统计该用户的使用情况。 普通用户：上网需要输入账号和密码认证。 固定办公用户/移动办公用户：用户要求固定办公用户不需要认证即可上网， 移动办公用户需要认证才能上网。这里我们可以分以下几种情况来分析。 1. 办公人员既有固定台式电脑也有手提电脑的情况。和用户沟通了解到， 固定台式电脑的 IP 是采用 DHCP 方式分配的，同时在 DHCP 上设置了固定台 式电脑的 MAC 和分配到的 IP 进行了绑定。也就是说，固定台式电脑的分配到 的 IP 永远是固定一个。如果该员工使用手提电脑移动办公，需求上要求需要认 证才能上网，那么手提电脑的 MAC 在 DHCP 服务器上需要做不绑定 IP 的设置， 这样手提拿到的是动态分配的 IP。账号的分配上固定台式电脑我们就设置专线 账号。移动办公的电脑我们就设置普通账号。如果要统计这个员工总的上网流 量，得把这 2 个账号所产生的流量相加即可。 2. 办公人员只有手提的情况。固定办公和移动办公都使用手提，这样的员 工肯定在 DHCP 服务器上做了电脑 MAC 和分配到的 IP 进行了绑定设置。我们 只需要给这样的用户分配一个专线账号。统计流量只要统计这一个专线账号产 生的流量即可。 3. 只有台式电脑没有手提电脑，移动办公需要借用别人手提电脑的员工。 台式电脑肯定在 DHCP 服务器上做了电脑 MAC 和分配到的 IP 进行了绑定设置。 要借用别人手提电脑移动办公的员工，可以给这样的员工每人分配一个移动办 公上网账号，要使用的时候用自己的账号密码上网。统计该员工使用流量专线 账号+移动账号产生的流量相加即可。 4. 新来的员工。新来的员工可能由于没有来的及给他们分配固定的 IP，建 13 议在 DHCP 服务器上有段地址是专门给新来的员工使用的，为了设备方便，可 以是动态分配。然后给他们分配上网账号密码。统计流量只需要统计这个账号 产生的流量即可。 3.3.5针对企业员工访问记录针对企业员工访问记录 Dr.COM 计费网关在对于用户访问记录的记录方面是非常完善的。而且为 访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时， 自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访 问记录，保证了访问记录的完整性和灵活性。 Dr.COM 2133 B-RAS 计费网关的存储过程是：用户登录认证成功后，访问 网站，通过页面或者客户端注销后，产生登录记录和访问记录，2133 B-RAS 计 费网关把登录记录和访问记录存放到指定的 Dr.COM 数据库服务器中（2133 B- RAS 计费网关支持双机热备份，数据库服务器可以采用双机热备份的形式，即 多台数据库服务器互作备份） ，当主数据库服务器无法工作时，而且没有备份数 据库服务器，这时，2133 B-RAS 并不会把用户的登录记录和访问记录丢弃，而 是把登录记录和访问记录存储到 CPU RAM （即内存）中，保证了用户数据的 完整性。如果主数据库连接长时间得不到恢复，硬件将只存储最新的 16000 条 登陆记录，32000 条访问记录。 （如果用户每天访问记录特别大，通过增加内存 即可，以上存储数据由内存大小决定） 。 访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间 的长短，取决于硬盘空间的大小。只要硬盘空间足够大，就可以存储相当的日 志文件，并且保证数据不会丢失。 在访问记录中您可以随时查询到：帐户名、登陆访问时间、当前在线人数、 总使用时间、登陆的目标网站地址、目标 IP、源 IP、MAC 地址等等。另外可 根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段 等。 目前,公安和国家安全机关对访问记录的查询的需求是很大的，包括黑客攻 击、反动言论的查询等，但访问记录的采集对嵌入网络出口的接入设备而言， 14 是一个负载很重的工作。Dr.COM 2133 B-RAS 以其高性能高稳定性，在不影响 正常接入认证计费功能的同时，能够采集用户访问的完整 url 记录，大大满足 企业的需求。 3.3.6针对防私接代理针对防私接代理 Dr.COM 2033 BMG 利用独有的客户端封装技术，使登录成功后的用户 发出的 TCP 包都加上 Dr.COM 验证封装，该封装只有 2033 BMG 才能解开， 这样用户不能与代理服务器正常通讯，同时能防止非法用户盗用 MAC 和 IP， 因为非法用户发出的包没有验证封装。该技术相对于其他厂家基于流量、端口、 多 IP 的方式防代理解决方案，更为有效和科学性，Dr.COM 封装技术能够有效 同时解决单网卡代理、NAT 宽带路由器、软件 NAT 和代理服务器等其他厂商 不能解决的代理方式，是目前国内最为有效的防代理解决方案。 封装设置还可根据企业的实际情况，按组、按用户、按网段来灵活配置， 使企业能够根据行政用户类型、上网区域的不同情况灵活配置，使网络资源能 够得到最大程度的合理应用。 启用封装设置后，对 Dr.COM 2033 BMG 性能少于 1，不会对用户造成 影响。 3.3.7针对企业内针对企业内 P2P 应用下载应用下载 BT、电驴等点对点传输应用是目前十分流行的应用，其同时产生的上下行 流量日益占用越来越大的网络带宽，据城市热点在目前使用宽带接入的企业做 的抽样调查，发现大部分用户的出口流量上下行流量达到一样，甚至很多上行 流量比下行流量还大的情况，这就说明了 BT 下载的流行所造成的结果，BT 所 带来的流量占用了高峰期带宽的一半以上，而 BT 下载大部分是用户娱乐的应 用，保证带宽能被使用在合理的娱乐需求上，适度的限制 BT 流量对于每个企 业都是个迫切的需求。 鉴于 BT 等点对点应用在通讯协议和端口上都有很强的灵活性，除了借助 极昂贵的交换机设备和复杂的策略设置，很少有有效控制的解决方法。Dr.COM 2133 B-RAS 作为网关式的设备，嵌于网络出口，天然可监控用户的所有应用流， 15 Dr.COM 2133 B-RAS 利用这一独特位置再加上先进的监控技术，能够准确监控 用户使用 BT 应用的行为（主要工作原理是监控用户 BT 数据包的特征） ，根据 用户账号所属的 BT 应用策略，允许通过或丢弃该账号的 BT 数据包。这样就能 灵活控制用户是否允许使用 BT 等下载工具。而且 Dr.COM 2133 B-RAS 可以根 据账号，并且结合时间策略来控制用户的 P2P 应用带宽，比如，小区用户在晚 上的 P2P 带宽可以大些，白天工作时间 P2P 带宽小些，这样 在允许用户使用 BT 的情况下，Dr.COM 2133 B-RAS 也可以采用限制用户 账号的上下行流量和 TCP/IP 连接数来缓解 BT 对网络造成的网络压力。 3.3.8用户在线监控管理用户在线监控管理 Dr.COM Billingware 宽带计费系统提供完整的在线用户监控子系统，能够 实时监控用户的上网状态，包括当日和当月上网时长、当日和当月上下行流量、 接收和发送的包数、TCP 连接数、源 IP、源 MAC 等详细信息（如下图）。 16 Dr.COM 用户在线监控管理系统可以与 CISCO IDS 进行接口,将 CISCO IDS 采集的检测信息与 Dr.COM 2133 B-RAS 的用户账号进行实时映射，向网管提供 完整的用户上网实时行为信息，对于非法用户，可在 Dr.COM 用户在线监控管 理系统对用户进行强制离线和消息发布等功能，使企业网管能够迅速找到定位 问题源头并能实时对用户进行控制，使网络管理更加具有时效性、操作性和精 确性。 Dr.COM 用户在线监控管理系统的其他功能还包括： 查看在线用户 可手动强制在线用户离线 向在线用户发送消息 查看用户的使用记录 查看入侵告警消息记录 统计在线人数、TCP 连接、UDP 连接曲线、流量曲线 访问记录查询 3.3.9认证方式分析认证方式分析 用户登录过程 查询用户过程 确认用户过程 用户授权过程 监控用户过程 终止授权过程 用户注销过程 保存用户连接纪录过程数数据据库库 保存用户访问纪录过程 用用户户 17 没有身份验证的计费结果是不能令人信服的。基于网管的计费-利用 Dr.COM 2133 B-RAS 同时支持以下认证方式： 1. WEB 方式 2. 专用客户端方式（使用 Dr.COM 专用客户端软件） 3. 802.1x 4. PPPoE（此时接入服务器与用户终端需为二层交换网络） 5. PPTP Dr.COM 2133 B-RAS 基于以上认证方式，能够提供强大的功能，满足城 域网宽带可管理、可运营的需求，以上认证方式的分别具有其特点： 1.WEB 登陆方式，其优点是方便接入，无需安装客户端；缺点是，无断线检 测机制，计费精度低；，安全性差，容易被截取账号密码（可通过专门的 SSL 服务器实现加密解决，但维护成本高） ；无法实现防私接代理保证用户 2.Dr.COM 专用客户端软件，提供特有的防代理功能，利用数据包验证封装 技术，使用户登陆成功后，过滤掉代理请求，使用户不能通过代理进行访 问外网，大大保证用户接入的合法性，保护企业的投资与利益（Dr.COM 2133 B-RAS 可灵活的针对组别设置哪些用户可以使用代理，哪些用户不可 以） ； Dr.COM 客户端成熟可靠，已在市场成熟应用超过 5 年，在超过 2 百个运 营商用户和上百个高校用户成熟应用，终端用户超过百万。 Dr.COM 专用客户端软件的其他特点： 可防用户单 IP 方式代理； 可实现认证后分配 IP 功能，可有效防止网内用户私设 DHCP 服务器 干扰合法用户上网（需要网络设备配合） ； 结合认证系统策略，可控制哪些用户可通过 NAT 设备（常见的宽带 路由器）登录； 18 可定时或实时发布系统信息广播、催费通知、显示用户时间流量等； 储值卡用户可显示剩余余额； 支持限制登陆尝试次数，并可设置隔离时间，用于防止轮询方式破解 密码； 可透过三层； 可透过三层绑定 MAC； 可实现指定 DHCP 服务器获取 IP，防止内网用户私设误设 DHCP 服 务器的干扰； 针对连接进行认证； 协议本身有完备机制保证链路状态的检测； 账号密码加密； 可防盗 IP、MAC 访问互联网； 兼容 Linux 系统； 3.PPPoE 认证方式，其优点是可认证协议成熟，用户易接受；断网检测机制 完善；账号密码加密；其认证后分配 IP 的特点可以有利于企业对用户 IP 分 配的控制，并防止干扰。缺点是：PPPoE 接入服务器与用户端需二层交换 网络，对网络条件要求高；客户端无法实现企业的个性化服务，不能防代 理。 Dr.COM 2133 B-RAS 可作为 PPPoE 接入服务器，最大支持 8000 个 PPPoE 用户并发。 根据企业网的网络结构，以及基于可运营、可管理的需求，我公司建议企 业网采用使用 WINDOWS AD 账号加 Dr.COM 客户端方式，利用 Dr.COM 客户 端方式的功能特点，为企业提供最有效的用户接入控制和维护便利性。 Dr.COM 2133 B-RAS 支持多种认证方式同时混合使用，也可对用户设置 强制使用客户端方式或 WEB 方式。 Dr.COM 2133 B-RAS 系统既可在用户开户时实施静态的绑定，也可在用 户登录时实施动态的绑定（如 MAC、IP） 。静态绑定适合于需要对用户作较多 限制的场合，动态绑定给予用户较大的自由度，用户账户可在网内漫游。 19 3.3.10用户授权用户授权 带宽授权带宽授权 传统企业运营商的 TDM 机制可以很精确地给用户分配网络第二层的带宽 （Bandwidth） ，使得它可以采取基于带宽（包月或辅以流量）的收费模式。受 传统企业运营商的影响，许多用户已习惯于这种消费模式。 宽带网络的第二层普遍（至少在用户端）采用以太网技术，以太网 （Ethernet）是一种抢占式的带宽共享机制，尽管交换和 VLAN 技术可以在局 部部分地解决带宽共享的问题，但在交换机的主干和 VLAN TRUNK 上仍是一 种尽力转发的机制，做不到像 TDM 那样严格的配比。 Ethernet 在带宽控制上的缺陷并不影响它作为首选被运用于宽带网络中。 因为在网络的第二层保证带宽，只是一个必要但不充分的条件。正如我们可以 建一条很宽的马路，但并不能保证整条路上有多大的车流和每部车有多大的车 速一样。Ethernet 只是增加了带宽控制的难度，其实只要能在网络第二层预留 足够大的带宽，精确的带宽分配可以交给网络的更高层去解决。 实际上从用户到服务之间端到端的带宽分配是一个复杂的服务质量控制 （QoS）问题，它需要从网络的应用层到物理层，以及流经的每一个网络设备 的共同参与和协调才能实现，任何一台设备是无法单独完成端到端的质量控制 的，计费系统也是如此。 假如要在宽带网络里实施基于带宽的收费标准，我们确有必要对带宽进行 限制，一方面防止过分和恶意的资源占用；另一方面，当一个服务可提供的总 带宽和总用户数确定的时候，带宽限制就成了带宽分配。 Dr.COM 利用 IP 第四层技术实现带宽（准确地说是 IP Traffic）的限制。 它可对每个用户进行精确的带宽限制。 服务授权服务授权 除了 Internet 访问服务，宽带网络上还包含实时股市、多媒体教学、VOD 20 点播等充分发挥宽带带宽优势的 IP 服务；以及能充分发挥宽带网络地缘优势的 局部范围的电子商务服务。 Dr.COM 2133 计费系统为 ISP、ICP 和用户打造了一个三赢的统一认证计 费平台。在这一平台上，用户只要一次认证，就可以定制网上各种服务。2133 对用户的计费分两部： 1 定制服务包月 将所有的服务以菜单形式在线提供给用户，根据用户的选择进行计费，并 控制用户只能访问选定的服务。 2 按访问目标地址计费 Dr.COM 可将提供服务的 IP 地址规划为不同的服务，每个服务可设置不 同 QOS 服务级别，每个服务级别又可设置不同的收费，比如设置 VOD 服务， VOD 服务下按带宽分别设置 64KB、512KB 的服务级别，64KB 的服务级别按 每月 60 元收取，512KB 的服务级别则按每月 100 元收取，用户开户时可同时 选择多种服务，也可只选一种服务。 功能授权功能授权 对用户的使用时段，星期，TCP 端口，过滤表进行授权。 3.3.11用户实时控制用户实时控制 目标地址实时控制目标地址实时控制 根据用户访问的目标 IP 地址进行监控，可以设定用户只可访问或不可访 问的 IP 地址，网站，用户只可以访问指定的范围的目标地址； 目标端口实时控制目标端口实时控制 对用户可以设置 TCP 端口限制，用户只可以使用指定目标端口； 21 Dr.COM 2133 B-RAS 接入服务器还可设置基于 TCP、ICMP、UDP 端口进 行基于目标地址、源地址的控制，以防止网络病毒或黑客攻击，提高网络整体 的安全性。 使用时段实时控制使用时段实时控制 可以设定用户每天使用时段和使用日期； 使用时间和流量的实时控制使用时间和流量的实时控制 对用户累计使用的时间流量进行实时监控，如果用户使用超过预先设定的 流量和时间限制，则会自动切断用户连接；也可以对用户的储值，信用额度进 行限制，超过也会自动停机； 带宽实时控制带宽实时控制 控制用户的各种域内服务和互联网接入的带宽在预先设定的最大值范围之 内，防止个别用户占用过多带宽； 费率实时控制费率实时控制 根据时段，节假日，星期提供不同的费率优惠，也可以根据用户的目标地 址不同使用不同的费率收费。 其他功能其他功能 1)完整的用户资料，营运资料的统计分析报表，包括： 用户资料报表（用户个人资料的查询和统计） 用户使用纪录统计（登录纪录查询，访问纪录） 使用习惯分析（按使用时间段、流量段、登录时间段、在线时间段统 22 计人数，访问量最大的前 30 个网站） 2)对目的 IP 可以分成 1000 段，每段地址有 100 级不同的收费优惠设置。 3)提供用户的登录纪录和访问纪录，登录纪录包括：用户账号，登录时 间，离线时间，实际使用时间，流量，IP 地址等参数，高级版本可以 提供各个端口（指定 32 个）的流量累计；访问纪录包括用户访问的每 个网站的纪录，包括：用户账号，网站，连接时间。这些纪录可以提 供查询接口和导出到 Microsoft ACCESS 数据格式，并支持定制打印格 式； 4)可以监控出口上行流量，下行流量，在线用户数量，查询出口的累计 流量和每个用户的累计流量。 5)对超过限量的用户可以实施不同的控制策略。 6)在操作员，统计员都可以很方便查到用户的资料。 7)可以设置用户可以使用的端口（指定 32 个自定义的端口） ，目标地址 或网站和每日上网时段（每天 4 段自定义时段） 。 8)可以实现分布式监控，对大型（并发用户多、IP 服务类型多、网络结 构复杂）的网络，可将多个 Dr.COM 2133 B-RAS 并行或分布式地布置 在用户汇接点或服务集群前，并通过独立的网管网络与同一套 Dr.COM Billingware 集成在一起。 3.3.12安全和高可用性设计安全和高可用性设计 高可用性是整个系统的重点，Dr.COM 宽带接入认证计费系统在设计 23 上，就从接入到数据存储各个系统节点均充分考虑到高可用性，使系统整 体结构上不存在单点故障，关键业务和存储服务器节点均采用集群或冗余 解决方案。 系统结构与网管中心系统组成系统结构与网管中心系统组成 Dr.COM 2133 宽带接入认证计费系统由 Dr.COM 2133 B-RAS 宽带接 入服务器和 Dr.COM Billingware 宽带计费系统组成，Dr.COM Billingware 包含的业务模块和运行环境包括： 1）MS SQL2000（标准版）数据库服务器，（标准版）数据库服务器，用于宽带运营中的业务 数据，一般建议采用集群方式部署，以提高安全性和可靠性； 2）Dr.COM Billingware 应用服务器，应用服务器，用于运行网管、策略设置、统 计输出、账号管理等模块，至少需一台。 3）用户自服务（用户自服务（WEB）服务器，）服务器，供用户在线查询或自服务的服务器 系统； 4）访问记录服务器，访问记录服务器，用于记录用户上网访问记录的服务器； 5）用户在线监控服务器，用户在线监控服务器，专门用于实时监控用户在线使用情况的服 务器，可以与其他 Dr.COM Billingware 软件模块运行在同一台 24 PC。 Dr.COM 2133 B-RAS 的高可用性的高可用性 Dr.COM 2133 B-RAS 负责用户的接入、认证、计费控制的主要设备， 是整个系统中最重要的部分，其高可用性通过以下两方面实现： 与后台服务器互为冗余与后台服务器互为冗余 在本系统中，Dr.COM 2133 B-RAS 与后台数据库的数据同步与更新， 是通过 Dr.COM Billingware 宽带计费系统中的数据库刷新程序完成的。 Dr.COM 2133 B-RAS 设备本身配有大容量的 FLASH ROM，Dr.COM 2133 B-RAS 本身能保存用户话单和用户资料，在与后台（数据库刷新程序）中 断后，Dr.COM 2133 B-RAS 仍然能对中断前已经开通的用户提供完整完整的 接入、认证、计费和控制功能，中断的过程中，对于正在正常使用的用户 不产生任何影响。 在能保证用户正常使用的同时，Dr.COM 2133 B-RAS 自身能保存一 定数量的用户的话单和访问记录，直至守护进程服务器恢复。 数据库服务器与数据存储的高可用性数据库服务器与数据存储的高可用性 数据库存储和数据库服务器的高可用性，建议采用 MS SQL2000 数据 库服务器双机热备磁盘阵列的方案。 MS SQL2000 数据库服务器则建议采用集群方式，两台服务器上均配 置双机热备份软件,一旦任何系统应用出现故障,该应用系统会迅速切换到 其他服务器上运行。数据存储建议使用 RAID5 磁盘阵列。 访问记录服务器高可用性访问记录服务器高可用性 在宽带运营系统中，用户访问记录是作为国家强制运营商必须提供的 数据，所以访问记录服务器同样被视为关键业务系统，为了保证访问记录 25 的能够被连续记录，访问记录服务器也需实行双机热备。 访问记录是由 Dr.COM 2133 B-RAS 采集的，采集后临时存储在 Dr.COM 2133 B-RAS 的 RAM 中（Dr.COM 2133 B-RAS 能够存储 32k 条访问 记录） ，然后再由专用的 Dr.COM 访问记录服务器模块传至存储介质进行 存储。 访问记录服务器可以配置成一主一备方式，当一台访问记录服务器停 止工作后，Dr.COM 2133 B-RAS 会自动将访问记录切换至备用访问记录服 务器记录。由于有 Dr.COM 2133 B-RAS 做临时存储，所以在切换过程中不 会造成记录丢失。 对于访问记录存储的高可用，建议采用一台 Sun StorEdge 3511 光纤 通道阵列，该阵列直接与两台访问记录服务器连接。 网络安全及防病毒网络安全及防病毒 为了保护 Dr.COM 2133 宽带接入认证运营系统的服务器网络免受外网 的侵扰，保护整个系统数据稳定安全的运行不受外网的侵袭，在不影响实 用的前提下最大程度的保证数据的可用性和机密性，需要对网络进入口进 行访问控制和安全监测，具体实现措施为安装防火墙和网络入侵监测仪器。 管理专网内机房内建议配置一台服务器或利用一台现有的服务器作为 防病毒管理中心，安装防病毒中心服务器软件，并定期及时更新病毒特征 库，同时在 Dr.COM 宽带运营系统各关键服务器上安装防病毒客户端软件， 定期进行查毒扫描并从中心服务器及时更新病毒特征库，这作为第一级的 病毒网络防治措施。 另外，在各客户端安装防病毒客户端软件，定期自动进行查毒扫描并 从中心防病毒服务器上更新病毒特征库，这作为第二级的病毒网络防治措 施。以上网络病毒防治措施都须在不影响系统正常应用下强制进行，另外， 各关键服务器上除 Dr.COM 应用服务外的端口均须屏蔽，以减少被网络病 毒攻击的可能性。 26 3.3.13设备的详细配置，计算方案及依据设备的详细配置，计算方案及依据 3.3.14产品清单与相关设备的详细配置产品清单与相关设备的详细配置 软件配置清单软件配置清单 序号软件名称数量 （套） 品牌说明 1 微软 SQL 2000 1 微软MS SQL 2000 for Windows 企业版（正式） ( (企业提供企业提供) ) 2 服务器操作系统 1 微软Windows 2000 AD server（SP4） ( (企业提供企业提供) ) 3Dr.COM BillingWare 1Dr.COM 具体软件清单见下表 ( (城市热点提供城市热点提供) ) 4 防火墙（建议） 1 瑞星 正式版(企业提供企业提供) 5 杀毒软件（建议） 1 诺顿 正式版(企业提供企业提供) Dr.COM Billingware 宽带接入认证计费系统软件模块清单：宽带接入认证计费系统软件模块清单： 27 序号软件名称说明 1 数据库刷新程序用于 Dr.COM 2133 B-RAS 与数据库的更新与同步 2 服务器管理工具用于 Dr.COM 2133 B-RAS 网络设置、设备监控、计费和控 制策略、设备各种参数设置 3 操作控制台用于日常用户业务办理、账号管理 4 统计报表 用于业务运营数据统计分析，报表输出 5 自服务 WEB 系统 用于用户网上在线查询业务办理 6 访问记录服务器 用于访问记录的存储与维护 7 用户在线监控系统 用于实时监控用户在线情况 28 硬件硬件配置清单配置清单 序 号 硬件名称品牌硬件配置数量（台）说明 1 MS SQL2000 数据库 服务器 Dell 主用建议：主用建议： 型号：Power