1 前言
青海石油管理局是一个拥有庞大管理组织机构、14000名员工的大型企业。为实现信息化管理和生产生活一体化的网络建设,企业构建了一个包括办公区和家属区的网络。但是,如此复杂、庞大的网络在使用、管理上存在很多问题:
在办公区域:
§ 无法监督员工在上班时间是否专时专用,不自觉的员工可能在上班时间聊天、看VOD
§ 个别人利用网络散布不良信息,在企业内部造成不良影响
§ 不能很好的阻止外部非法用户访问企业内部网络、获取资源,因此威胁到企业的信息安全
在家属区:
§ 只有简单的包月收费方式
§ IP盗用、帐号共享等情况时有发生
§ 由于IP盗用等导致资费纠纷
§ 家属区使用代理功能上网,使资金流失
2 需求分析
为了解决企业网络建设过程中遇到的问题,真正做到网络的有偿使用,青海石油管理局网络管理中心希望能够有一套完整的认证计费系统,通过认证计费系统实现网络使用的规范化,解决困扰企业网络建设中存在的各种不良现象。
归纳青海石油管理局的需求,我们把目前网络建设迫切解决的问题定位在以下几个方面:
² 实现认证上网;用户通过用户名帐号的认证方式控制网络,只有企业网络管理部门分配的合法帐号才能够使用网络资源。
² 帐号的安全性;能够有足够的安全机制保证帐号的安全性。
² 日志记录;能够记录用户的上网记录。
² 限制使用网络代理;能够禁止私自开设代理或者NAT服务器,主要针对企业中一些人员只交纳一台计算机的费用,却通过代理服务器或工NAT服务使内部多台计算机使用网络资源。
² 支持多种计费政策,以满足不同客户的需求。
² 强大的用户管理功能,可以减轻网管人员的工作难度。
² 支持多种多样的审计功能,当发生纠纷时可以依次为证。
3 解决方案
3.1 方案描述
通过对青海石油管理局需求的研究和分析,西安信利公司根据学校面临的具体问题,提出了以下解决方案:
图2、 方案抽象图
在用户接入层部署港湾的“FlexHammer16i”,FlexHammer16i智能多层交换机支持802.1x控制协议,配合RADIUS Server,保证只有通过认证的合法用户才能使用网络资源。
在企业的网络中心部署西安信利的认证计费系统“蓝信宽带计费系统”,蓝信宽带计费系统具有标准RADIUS、支持802.1X的蓝信宽带计费系统认证服务器与港湾接入交换机配合,实现用户认证后上网、记帐和强大的网络管理功能。
上图就是一个认证的流程,用户输入合法的帐号和密码向交换机发出认证信息,交换机的端口根据客户端的MAC地址区别对待不同的客户机。在没有完成认证以前,端口关闭拥有该MAC地址客户端的通信,用户不能享用任何网络资源。用户的认证信息到达接入交换机后,交换机向认证服务器发出验证信息,认证服务器判断用户是否合法,如果合法则发出认证通过的信息给交换机,交换机的端口就对该MAC地址出于打开状态,用户可以访问网络资源,如果用户信息没有通过验证,认证服务器向交换机发出拒绝信息,交换机拒绝用户认证请求,并把认证服务器返回的拒绝理由输入到客户端认证程序上;用户完成认证上网后,交换机回计费服务器发送记账开始的报文,此时计费服务器开始对帐号进行计费,在本案例中,认证和计费部署在同一台服务器上。
