一、前言

随着Internet的迅速发展和普及，网络已成为现代人工作、学习、生活和娱乐中越来越重要的工具和载体。宽带城域网不断涌现，许多大中型企业、大中小学校里已经或即将投入资金建造自己的区域网络，并接入Internet。网络延伸到的每个角落，无论是办公室、机房，还是家庭，人们都可以通过网络方便快捷地上网、游戏娱乐、即时沟通、查阅资料等等。
这无疑为人们学习和生活带来了极大的好处，但与此同时，建设通讯线路、购买通讯设备、聘用运营维护人员来运营网络是需要大量的资金的投入，而这些投入最终是需要一套稳定可靠、切实有效的计费收费软件来回收成本，同时期望通过计费的手段以使网络更合理、更有效的使用，最大程度上节省带宽资源，达到网络的使用最优化。
采用合理的计费管理系统是保障网络正常稳定运营的关键。
本方案结合中海油提供的需求文档以及双方的沟通交流，同时参照我们以往的客户实际运营经验书写而成，不祥之处有待补充。

二、需求说明

2．1 现状网络结构图

 

2．2 现状说明

1、整套网络以港湾和华为的DSL产品为主,设备型号有港湾hammer1000、华为MA5100、Cisco3550等；
 
2、网络分布范围比较广，结合基地的地理区域特点，DSL网络共分为第一生活区、第二生活区、第三生活区、第五生活区共计四个接点；
 
3、用户以PPPoE的访问方式访问internet，分为动态地址用户、静态地址用户；用户的终端modem品牌有华为、港湾、大亚、华硕等；
 
4、租用ISP的链路接入internet，基地没有建认证计费系统，所有帐号和地址由ISP提供；帐号的变更和注销也由ISP操作；
 
5、基地DSL网只向用户汇聚设备接入；用户之间以VLAN隔离，VLAN号也由ISP提供，共计有10个VLAN号；
 
6、中海油湛江基地约有3万职工家属；目前，湛江基地共计有近3000个拨号用户，用户数量仍在持续增加。

2．3 需求说明

为了能够合理、高效建设DSL接入网、“以网养网”、实现投资设备的价值最大化，拟在湛江基地DSL网络内自建认证、计费系统；系统的需求如下：
1、能够满足日常的DSL网络运营需求。详细的需求和系统功能由系统供应商推荐；
 
2、公网地址和路由由ISP提供，湛江基地拟长期租用ISP的公网地址。认证计费系统能够同时为不同性质的用户（不同性质的用户是指获得不同ISP地址的用户）提供认证和计费功能；
 
3、湛江基地的接入服务器采用华为MA5200，认证计费系统能够与之良好兼容，确保客户利益不损失；
 
4、在方案中，希望系统供应商能够详细说明其系统能为湛江基地DSL网的运营提供功能和特点细节；
 
5、系统具有良好的管理界面、可扩展性、易升级；
 
6、不同于传统的ISP服务商，作为中海油集团内部的DSL服务商，系统厂家提供的认证计费系统能够适合企业网的特点和特色；
 
7、本次接入认证计费系统不考虑这3000用户，只考虑新装机用户，但是方案中考虑可以平滑切割这3000用户到本系统上来。

三、现状和需求分析

3．1 网络接入模型

根据双方的沟通，四个接入小区全部为二层DSL接入网络，汇接到各自的小区中心机房，再通过交换机接入到一区的核心机房，统一汇接到ISP接入设备上，由ISP的认证计费中心进行统一认证和计费。
启用新的接入系统和计费系统后，核心机房放置2台套华为的MA5200系列宽带接入服务器BAS。每个客户机器进行PPPOE呼叫，终结到核心机房的华为MA5200上，MA5200接收客户机的用户名和密码后，向认证计费中心发起身份认证请求，身份认证通过后MA5200方可允许客户机的网络会话建立，客户机的网络包透过网通的线路接入到internet上。
新的接入系统是一个标准的、典型的二层接入网络，接入方式采用成熟稳定的PPPOE方式，认证计费方式采用电信业标准的radius计费协议，建成后用户的开户、计费、查账、统计、注销全部在本地认证计费系统中完成，ISP只负责internet链路即可。
 

3．2 接入物理区域

DSL网络分布范围比较广，根据基地的地理区域特点，DSL网络分布第一生活区、第二生活区、第三生活区、第五生活区共计四个接点；每个生活区通过二层交换网络汇接到核心机房，组成一个大的二层LAN。客户机上接各种品牌的DSL MODEM，包括华为、港湾、大亚、华硕等，这些MODEM接入到港湾hammer1000、华为MA5100、Cisco3550等设备上，根据目前已经成功接入用户和稳定运转的角度来说，最后一公里接入不是问题。

3．3 客户使用流程

客户申请宽带接入业务后，由通信公司登记用户的身份信息，确认无误后，到认证计费管理系统的后台开通其接入的帐号和密码，工程人员上门安装DSL的线路和MODEM，并进行认证接入开通测试。
DSL用户通过DSL MODEM物理接通到DSL接入设备上，通过PPPOE拨号终端进行PPPOE呼叫到MA5200 BAS上，MA5200终结PPPOE协议，接收客户机输入的用户名和密码，经过认证计费系统认证授权通过后，客户机和MA5200在二层LAN上建立PPP会话隧道，在隧道建立开始和结束时刻MA5200会向认证计费系统发送计费开始和计费终结包，计费系统根据设置的计费规则来进行计费和扣费操作，完成用户一次上网会话的完整计费流程。
MA5200在建立完客户机的PPPOE会话隧道后，用户即可以透过MA5200进行访问internet，同时MA5200开始统计会话的流量和时长信息。

3．4 认证计费模型

MA5200接收客户机的PPPOE呼叫时，按照radius协议向认证计费系统传送用户名、密码，认证计费系统根据预先设置好的规则验证用户名和密码信息，验证成功后向MA5200发送授权信息（包括最大时长授权、最大流量授权、静态地址授权等等），验证失败发送失败通告。
当MA5200接收验证失败信息通告后，关闭PPPOE隧道，终结会话；当MA5200接收到验证成功的授权后，分配相关网络资源给该会话，同时发送通知给客户机，PPPOE隧道建立成功。然后MA5200发送用户上线通知包（包括用户名、会话ID、BAS地址、用户IP等等信息）到认证计费系统，计费系统开始计费，MA5200同时启动会话流量、时长统计和控制，MA5200可配置启动会话心跳（alive）功能，实时记录用户当前的统计状态。
MA5200接收到客户机的PPPOE客户端终止PPPOE隧道，或者MA5200自动检测到会话终止时，会向认证计费系统发送下线通知包（包括用户名、会话ID、BAS地址、用户IP、上行流量、下行流量、会话时长、掉线原因等等信息），计费系统根据这些信息并结合预先设定好的计费规则来进行计费和扣费操作。

3．4 接入网络安全

二层以太网络是一个广播类型的网络，极容易造成网络广播风暴。通过VLAN隔离用户或者用户群，可以有效防止二层网络风暴，MA5200可以划分不同地址池策略方案，配置为每个用户分配一个VLAN号，从而用户与用户间互相不可直接访问。
接入网络安全另外一个特点就是用户的访问安全性，公安机关由于安全的因素有可能需要追踪本地接入用户的接入行为。比如用户什么时间上的网，当时分配的地址是多少，在线时间是多长，用户详细身份是什么等等，这些可以通过radius计费系统来查询到。从某中角度来说，计费系统同时也是一个良好的用户上网行为的记录系统。
更详细的访问记录，比如用户什么时间访问到什么网址，张贴了什么内容到BBS上，或者浏览了那些不健康或者非法的网站，这些是属于内容控制范畴，有两种方式可以实现。一种由MA5200设备记录的SYSLOG来分析，还有一种方式是通过核心交换机的端口镜像旁路抓包方式来记录并分析，这两种方式都存在大数据量的问题，以及影响核心接入设备和核心交换设备的性能问题，建议是二期来考虑这个问题。

3．5 二种接入方式

根据目前现状，客户机的接入分成两种方式：ISP方式的PPPOE接入和MA5200方式的PPPOE接入。
目前接入的3000用户使用10个VLAN来接入到ISP的网络上，可以在MA5200上设置针对这10个VLAN用户不经过认证，直接透过MA5200到ISP的接入网络上进行PPPOE认证并终结。新接入的用户重新设定新的VLAN号，这些新的用户是直接进行PPPOE终结到MA5200上，由本地认证计费中心进行认证并计费清算。
因为涉及到两个不同的接入认证计费中心，用户名和密码以及管理界面都是不同，给管理造成复杂，建议在后续过程中逐步切换到本地MA5200接入网络上，由本地认证计费中心统一认证和计费。ISP只提供接入链路即可。

四、解决方案

根据以上的分析并结合实际的需求，我们提出以下组网方案供选择。

4．1 网络组网

1、两台MA5200组成核心接入系统，按照负载进行分别分担四个小区的接入用户。
2、在紧急情况下，当一台MA5200不可用时，可挂接到另外一台MA5200上，MA5200上有最大并发量的限制，具体看采购的MA5200系列支持多大的并发。
3、每个小区的汇接交换下面可以挂接无线AP，在一些网络不方便铺设的地方，可以采用无线接入方式纳入到MA5200控制范围内。
4、认证计费中心设计上放置两台服务器，一台为主服务器，一台为备用服务器，同一时刻只有一台机器工作启动，当主服务器不可用时，备用服务器可以启用。按照实际的运营经验，单台服务器完全可以承受3－5万宽带用户的认证和计费需求。
5、认证计费的管理、客户查询系统可以和认证计费合并在一台机器上，建议是可以独立采用一台普通服务器即可。
 
 

4．2 启用多出口链路

可以接多个出口链路，避免单点链路失败导致整个网络无法上internet，多出口路由的选择可以由CISCO 3550进行动态选择，对MA5200以下DSLAN接入用户完全透明。

4．3 启用MA5200的多策略管理

MA5200上配置多个策略域，可以针对不同的用户采用不同的认证和授权机制。比如对原来的3000用户，配置一个授权策略，允许其不需要认证即可接入（注：已有的3000用户不在MA5200上认证，直接透传到ISP的接入设备上进行认证和协议终结），对新开的用户，配置另外一个授权策略，允许其认证授权后方可以接入到网络。

4．4 启用MA5200的带宽管理

MA5200可以针对每个策略来授权用户PPPOE隧道的使用上行带宽和下行带宽，通过带宽的控制，从而保证每个用户的上网速度，不会因为单个用户的访问流量大，而影响所有的上网用户。
带宽管理从一定程度上可以防止客户机架设proxy，MA5200目前还无法完全禁止proxy。从实际客户的运营情况来看，企事业网内部禁止使用proxy的实例还是很少。
网络带宽成本和硬件设备成本在逐年下降，运营商的接入成本和客户端硬件成本也逐年下降，单位成本不高的情况下再花大力量去防止proxy，完全没有必要。

4．5 启用MA5200的隔离管理

本次项目是一个典型的二层接入网络，在每个交换设备上可以设置VLAN来控制二层网络的广播风暴，但是同一个VLAN内的用户还是存在广播和相互访问的可能（注：目前的网络结构不知道是否已经做到每个终端隔离情况），可以在MA5200上设置每个PPPOE隧道完全隔离，相互间不可以通讯。

4．6 启用防病毒策略

网络运营一个重要点在于对用户机器的数据包进行控制，用户接入规模越大，网络的使用不可预知性越强。客户机中病毒或者疯狂的向外发送大量的数据包，会导致每个节点交换机异常繁忙，从而影响通过该交换出去的其它用户数据包的正常穿越。所以在每个汇接交换机上应该做好禁止多个病毒或者木马的数据包的交换。MA5200上同样要做好这些防病毒策略。

4．7 启用认证计费系统的多种认证机制

客户机身份认证时，MA5200只负责将用户信息（用户名和密码）以及会话信息（网关地址、用户IP地址、用户MAC地址等等）传送到认证计费系统，认证计费系统要根据预先设置好的认证机制，结合传送上来的信息来验证每个用户的身份。

4．7．1 用户名和密码CHAP验证

MA5200和认证计费系统之间的启用安全的CHAP认证机制，通过随机串来生成随机密码摘要在网络上传输，从而有效防止网络监听导致密码泄密。认证计费系统根据预先开设好的用户名和密码对该随机串进行正向运算并比较结果，进行校验。

4．7．2 MAC绑定认证

根据实际的运营实例来看，企业网络内部除了需要对用户和密码进行认证外，还需要绑定其它物理参数来唯一确认用户，绑定参数可以有多种，比如IP绑定、MAC地址绑定、DSLAN端口绑定等等。
1、 IP地址一般动态分配，静态维护IP地址工作量巨大，不可取。，动态分配的IP要实现绑定基本不太可能。
2、 MA5200可以识别华为DSLAN设备的接入槽位以及DSLAN物理端口，同时可以传送VLAN号上来，可以很好和华为本身的DSLAN设备配合，但是鉴于目前DSLAN设备型号众多，各硬件厂家的传送这些参数又不一致，所以根据槽位、DSLAN物理端口、以及VLAN号来绑定认证，也不太可取。
3、 推荐采用MAC绑定认证，因为整个网络是二层接入网络，MA5200从IP层上直接可以获取到客户机的MAC地址，在计费系统上可以查看上线用户属性，点绑定即可自动绑定到该MAC地址上。客户机的MAC存在可修改性，但是需要一定计算机知识的人才可以修改，从大范围上来说，采用MAC地址绑定是切实有效的。

4．7．3 唯一认证

企业网运营一般要求一个帐号同时只能一次登陆，认证计费系统可以设定一个帐号是一次登陆还是多次登陆，对公用帐号可以允许多人同时登陆在线。

4．7．4 最大在线时长Session-Timeout

用户认证通过后，可以根据金额或者包月过期情况返回本次会话最大的时长，到这个时长后MA5200会根据这个时长控制自动终止用户会话，防止用户过期使用系统。

4．7．5 强制下线功能

用户PPPOE会话建立后，管理员有时候由于各种原因要将用户强制下线，可以通过网管系统关闭物理端口，同时也可以通过计费系统发送下线指令强制已经在线用户自动掉线。

4．8启用认证计费系统的多种计费机制

目前宽带计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费，但是从实际运营情况来说，流量计费基本众多运营商废弃，转而采用时长和包月计费，包天计费也非常少，在酒店会用到包天这种方式。建议应用时长计费和包月计费两种模型来应用到本次项目中。

4．8．1 时长计费

时长计费是按照用户PPPOE会话的时长来计算金额的，时长计费是最直接、精确的计费方式，同时可以非常灵活的设置优惠措施，可以按日、周、月、时间范围来优惠。

4．8．2 包月计费

包月计费是目前众多宽带运营商应用最为广泛的计费方式，粗放的包月就直接是每月收取固定费用，精细的包月可以是包月上下限方式，比如99元包100小时，超过100小时按照2元/小时收取。
本系统还支持一种步步高方式的包月，比如99元包100小时，超过100小时按照2元/小时收取，超过200小时按照3元/小时收取，最高封顶150元等。

4．8．3 应用计费

系统预留应用计费接口，可以针对网络后续建设中的增值服务进行计费，比如网络电视、视频会议、IM即时沟通等等收费业务，针对每个服务预留服务代码，可以纳入到统一的计费管理平台上。

4．8．4 计费建议

建议采用精细的包月计费方式，使计费政策更贴近用户，实际运营证明，这种方式是被广大用户所接受。

4．9 启用认证计费系统的多种收费方式

收费是宽带运营商必须面临的问题，目前主要的收费方式是后收费、预收费、免费三种。作为一个商业运营的网络运营商，免费只能是针对内部职工或者商业合作用户，免费用户量比较少，更多的是收费用户。

4．9．1 后收费

后收费是针对长期使用的用户采用的一种计费方式，中电信和中网通都大型宽带运营商均采用这种模式，用户先使用，网络使用费随电话费用一并交纳，这种方式更多的是和电话帐单一并输入，需要宽带计费系统和电话收费系统做统一帐单接口，涉及到电话计费厂商和宽带计费厂商的系统接口问题。本系统提供开放的API，可以允许电话计费厂商获取某个帐号某个月的帐单情况。

4．9．2 预收费

预收费方式是用户先交费，然后使用，当费用不足时，自动停机！这种方式目前被广大专网运营商所采用，方式灵活，管理方便。宽带计费系统自成体系，不需要和电话计费合并输出计费帐单，不足之处是用户需要分开交纳电话和宽带计费费用。

4．9．3 收费建议

收费方式可根据实际情况来决定，两种方式均可，以方便用户最为最高准则。

4．10 启动认证计费系统的分级权限管理

计费系统的权限拆分的非常细致，可以自己定义角色来分配给不同的管理员，同时权限可以方便的授权或者回收。

4．10．1 权限管理

管理系统针对每个操作项目均可以管理到，提供提供功能权限管理界面，可以允许后续开发的管理模块自由挂接到系统中，纳入到统一的权限管理中。

4．10．2 角色管理

管理系统可以对权限进行分组，每个分组设定一个角色名称，每个角色的权限可以授权或者回收，每个角色可以有多个管理员。

4．10．3 管理员管理

管理员可以划分成超级管理员、帐务管理员、客户服务管理员、工程服务管理员等等。

4．10．4 操作日志

每个管理员的每一步关键的操作，系统均记录到日志系统中，允许超级管理员可以随时查看每个管理员的工作情况及其出现纠纷的时候，该由那个管理员负责。

4．11 管理系统的可拆装模块化设计

认证计费系统的管理系统采用模块化设计，根据功能的扩展可以通过插入功能模块即可实现平滑升级，系统开放管理系统的开发API，允许第三方按照API来编写模块挂接到管理系统中。
管理系统和查询系统全部基于JAVA SERVLET编写，可以通过更改模板HTML文件来切换页面的显示方式，而不需要修改业务程序。

4．12 认证计费系统的功能描述

认证计费系统详细的功能描述请参见《Wiradius功能说明手册.doc》,本次仅结合本项目进行一个描述。

4．12．1分布式体系结构

Wiradius可以进行分布式布置，单台机器承受用户在3－5万左右，随着用户规模扩大，可增加前台服务器来分担认证和计费的压力。采用Wiradius可以最大程度上保证系统平滑扩展到大容量用户规模。
随着用户规模的扩大，Wiradius可以实现一次布置，平滑升级效果。

4．12．2 稳定可靠的系统

系统基于Linux操作系统之上，采用最稳定的Oracle数据库作为后台数据运算核心，认证计费代码采用ANSI C高效代码编写而成，认证计费核心支持宽带、VOIP、内容计费支持，可以随时升级扩展成多业务计费平台。
Wiradius可以实现在电源、硬件、网络可靠的情况下，3年持续运转，正常工作，不给用户造成因认证计费系统导致用户全网中断。

4．12．3 可扩展功能全的管理系统

管理系统全部为模块化设计，显示页面采用HTML模板和标签，企业网页编辑人员均可对系统进行切换显示界面。
Wiradius可以被配置或者修改HTML模板来达到更换企业形象，丰富的标签机制保证不需要任何的程序开发。

4．12．4 丰富的业务功能

　　支持所有接入方式，基于时长、流量、包月、包天等进行实时计费；
　　灵活的费率策略和折扣定制功能，支持所有的计费方式；
　　支持多种付费类型：预付费、预付费卡、后付费、免费等；
　　支持多种认证方式：Raduis、Web、VLAN、PPPOE等；
　　具有强大的访问控制和系统管理功能：带宽控制、上网时间段/范围控制、在线用户/在线服务/访问记录实时监控等；
　　带宽控制可以精确到Kb，有效保证带宽的合理使用；
　　具有完善的帐务管理和报表统计功能。

4．12．5 系统的实时性

　　实时性包括实时计费、实时服务、实时自服务、实时访问控制和实时系统监控等五个部分。
　　实时计费：对于预付费业务（包括卡业务）的用户，能进行实时费用扣减和资源反算，并提供服务限制。对于超出阈值的用户可以实时断线；
　　实时服务：服务实时申请/撤销/暂停/恢复；用户在服务申请后立即能够使用，一旦被禁止又将立即无法访问；做到“即开即通、即禁即止”。对于可充值卡，能够做到随时缴款随时启用；
　　实时自服务：用户可以实时通过Web查询当前自己的帐户余额和服务使用记录，对帐户密码等信息的更改能够实时生效；
　　实时访问控制：当用户达到设定的限制或服务限额，系统将根据设置采取拒绝访问、催缴通知等措施；
实时系统监控：对异常情况进行实时告警。

4．12．6 数据库的备份恢复机制

数据的可靠性、安全性是计费系统的关键。我们在系统设计时通过以下措施实现高可靠性和高可用性，实现计费系统7X24小时不间断正确工作。
管理员可以随时通过管理系统备份数据库到操作台机器上，系统每天凌晨会做数据库的全备份。
往往企业在上计费系统时，会上双机系统，成本很高，达到的效果也不是很理想，我们建议采用单机系统，定期备份核心数据库，同时做一个备份机器以防止主服务器硬件异常能最快的速度恢复上去。
从实际的运营经验来看，单台服务器承受3－5万用户完全没有问题，只要机器硬件稳定可靠，最好定期备份，是最经济、可靠的方案。

4．12．7 认证计费系统的防攻击性

认证计费系统是整个宽带运营的核心，它一旦遭受攻击，将造成全网的认证延迟，甚至是全网中断，所以对计费系统的保护是良好运营的前提。
规划认证计费系统放置到MA5200同一个VLAN，对外不可见，在外部放置一个WWW查询服务器，允许客户机查询自己的上网记录情况，该WWW服务器只允许通过数据库连接端口访问认证计费中心，其它端口全部封闭。
认证计费核心服务器由内部操作控制台来控制，不对外开放远程控制权限，需要厂家支持的时候，可临时开放远程控制权限。

五、实施建议

根据Wiradius的功能列表，同时结合本次项目特色，做如下项目实施建议：

5．1 安全布置

认证计费核心和MA5200放置同一个VLAN，不允许外部访问，只接收前台WWW查询服务器的用户服务查询。

5．2 预留分布式

认证计费核心可随着用户增长，增加服务器即可实现平滑升级。

5．3 数据库硬件配置

采用硬件RAID5方式对数据库进行磁盘冗余，用户量规模扩大可采用磁盘阵列，增强系统的IO能力。

5．4 数据库备份和恢复

采用定期在线全数据库备份机制，保证系统的数据安全。5000用户规模的认证计费核心数据库一年的数据量大约是500M左右，备份和恢复时间大概是5－10分钟左右。

5．5 认证方式

采用安全的CHAP认证方式，对客户机采用自动绑定MAC地址功能，达到最大程度上限制一个帐号固定终端使用。

5．6 MA5200采用带宽控制和会话隔离

MA5200采用带宽控制保证客户机接入的网络速度，同时把每个PPPOE会话进行完全隔离，互相不能访问。

5．7 MA5200启动计费心跳功能

MA5200启动计费心跳功能，保证由于客户机异常关机、或者汇接交换异常时，最大程度上保证用户的计费数据正确。

5．8 计费方式

计费方式采用时长和包月两种机制，可实现步步高等精细计费，增强用户使用黏性。

5．9 收费方式

建议采用预收费方式，不交费或者欠费用户自动停机，达到预警时间内将自动发送提醒邮件到客户邮箱。

5．10 分角色管理

按照运营角色分成超级管理员、收费管理员、客户服务管理员、工程管理员等角色。实施对整个系统的管理。

5．11 统计报表

系统可出具用户清单、用户帐单、日报表、月报表、财务流水报表、历史上线报表、上线时刻走势图、时长消费走势图等等分析统计报表，以供业务统计分析。

5．12 数据输出

系统提供开放API，允许第三方软件开放商针对本系统开发，同时提供数据导出机制，导出到XLS文件中或者文本文件中，作为第三方的数据对接凭证。

5．13 其它功能

其它没有提及的功能，请参照《Wiradius功能说明.doc》手册！