MydBAS,是一款寬頻接入認證產品,可以解決用戶身份認證、頻寬控制、多IP服務的管理與計費等問題。
基本介紹
- 中文名:MydBAS
- 概述:多IP服務的管理與計費等問題
- 套用:於廣電、電信、小區、大廈
- 微型組網模型:適用於500用戶以內的組網結構
簡介,微型組網模型,中小型組網模型,中大型組網模型,1產品型號,網路接口說明,外部接入方式,內部接入方式,多VLAN TRUNK支持或混合VLAN支持,鏈路集合,雙WAN口支持,背板交換頻寬和包轉發率,PPPoE接入認證,二層DHCP Web Portal接入認證,三層Web Portal接入認證,多VLAN地址池策略認證,多地址池進行NAT轉換,DHCP地址分配,任意IP接入,多地址池分配方案,多業務選擇,MAC地址認證,支持Radius協定,擴展Radius協定,頻寬控制,流量控制,時間控制,時長控制,強制下線功能,增強病毒防範和惡意攻擊,增加防止DDOS攻擊和防止代理功能,可以分配固定IP位址,系統運行狀態,PPPoE Server配置,配合Mydradius進行頻寬控制,分散式接入和集中認證布置,Mydradius集中認證,MydBAS的分散式接入,MydBAS的IP位址分配,網路終端的隔離,MydBAS多路接入,MydBAS多業務選擇,
簡介
一、MydBAS產品概述接入認證計費系統對寬頻IP網路的運營來說是致關重要的。隨著運營的深入,對接入認證計費系統重要性的理解會越來越深。一套好的接入認證計費系統能夠解決寬頻IP網路運營所面臨的:用戶身份認證、頻寬控制、多IP服務的管理與計費等問題,並支持多種計費策略。
作為一套理想的運營計費支撐平台,它可以被套用於廣電、電信、小區、大廈、酒店、學校、企業的寬頻IP網路當中,為這些運營單位提供成熟的寬頻計費基礎平台。
二、MydBAS產品典型組網圖
微型組網模型
適用於500用戶以內的組網結構,採用單台MydBAS接入設備。適用於機場、咖啡廳、小型公寓等小規模網路
中小型組網模型
適用於2000用戶以內的組網結構,採用單台接入設備。
中大型組網模型
適用於3000以上用戶以內的組網結構,採用多台堆疊接入設備。
三、MydBAS標準硬體參數
1產品型號
MydBAS 1000 ,MydBAS 2000 ,MydBAS 4000 ,
網路接口說明
4個以太口,分成WAN出口、LAN入口、WLAN無線接入口、BILL計費口。WAN出口連線外部網路,LAN入口連線內部需要認證計費管理機器,WLAN無線接入口可以對接無線AP,BILL計費口與Radius計費系統相連。
1000並發以內的均採用百兆接口,1000並發以上均採用千兆電口,可以選配4至8個光口。
外部接入方式
外部網路獲取通過以太口連線,支持協定方式為PPPOE(可以掛接ADSLMODEM)、以太LAN。
內部接入方式
內部接入通過以太口連線,支持協定方式為PPPoE、二層DHCP WEBPortal方式、三層網WEBPortal方式、DHCP接入,接入客戶機器可以通過以太交換機器掛接上來,也可以通過無線AP掛接上來。
多VLAN TRUNK支持或混合VLAN支持
LAN口與WLAN口支持VLAN TRUNK,可以與二層交換機的VLAN TRUNK口直接對接,從而實現對多個VLAN網路的接入和控制。
鏈路集合
Mydbas支持鏈路集合功能,當WAN口或者LAN口頻寬不夠用時,可以將WAN口與WLAN口集合成一條集合鏈路,提供帶外接入頻寬。
雙WAN口支持
Mydbas支持多條運營商線路接入,比如可以同時接入網通或者電信線路,從而實現頻寬自動分流。
背板交換頻寬和包轉發率
Mydbas 2000標準配置是4個千兆電口,背板交換頻寬8GB,包轉發率為7Mpps,Mydbas 4000標準配置是4個千兆電口和4個光口,背板交換頻寬為16GB,包轉發率為15Mpps。
四、MydBAS功能簡介MydBAS支持多種方式進行接入認證,一種為PPPoE撥號接入、一種為二層DHCPWEB Portal方式,還有一種是是三層網路的WEBPortal方式。
PPPoE接入認證
MydBAS接入管理伺服器可以通過PPPoE撥號方式認證,當用戶向MydBAS發起連線請求時,MydBAS將驗證信息傳到用戶業務管理系統Mydradius(認證計費系統),用戶業務管理系統進行處理,驗證用戶,並對用戶進行授權;驗證通過,即MydBAS子系統通過授權結果,決定如何為用戶服務,生成服務策略信息;分配資源(IP位址、頻寬、策略路由等等)給用戶。PPP隧道打開之後,用戶將可以直接訪問外部網路。
MydBAS支持本地用戶認證,可直接在設備上配置本地用戶名、密碼、上行頻寬、下行頻寬、到期時間,針對少量用戶可以直接在設備上即可完成用戶的控制功能,如果需要完整的計費清算系統,建議您採用我們的寬頻接入認證計費系統Mydradius。
二層DHCP Web Portal接入認證
MydBAS接入管理伺服器可以通過二層的WebPortal強制門戶方式認證,用戶通過DHCP分配到IP和網關,當用戶通過瀏覽器訪問網路時,MydBAS針對沒有認證的用戶會彈出認證視窗,提示用戶輸入用戶名和密碼,MydBAS將驗證信息傳送到用戶業務管理系統Mydradius(認證計費系統),對用戶業務管理系統進行處理,驗證用戶,並對用戶授權;驗證通過,MydBAS子系統會通過授權結果,決定怎樣為用戶服務,生成服務策略信息;同時將用戶IP控制放開,用戶將可以直接訪問外部網路。
MydBAS支持本地用戶的認證,可直接在設備上配置本地的用戶名、密碼、上行頻寬、下行頻寬、到期時間,針對少量用戶還可以直接在設備上即可完成用戶的控制功能,如果需要完整計費清算系統,建議採用我們的寬頻接入認證計費系統Mydradius。
三層Web Portal接入認證
MydBAS接入管理伺服器可以通過三層的WebPortal強制門戶方式認證,當用戶通過瀏覽器訪問網路的時候,MydBAS針對沒有認證的用戶則會彈出認證視窗,提示用戶輸入用戶名及密碼,MydBAS將驗證信息傳送到用戶業務管理系統Mydradius即(認證計費系統),然後用戶業務管理系統進行處理,驗證用戶,並對用戶授權;驗證通過,MydBAS子系統通過授權結果,決定如何為用戶服務,生成服務策略信息;同時將用戶的IP控制放開,用戶將可以直接訪問外部網路。
MydBAS支持本地用戶認證,即可直接在設備上配置本地用戶名、上行頻寬、下行頻寬、密碼、到期時間,並針對少量用戶可以直接在設備上即可完成用戶的控制功能,如果需要完整的計費清算系統,建議採用我們的寬頻接入認證計費系統Mydradius。
多VLAN地址池策略認證
MydBAS可以支持多達256個VLAN的接入,針對每個VLAN可以獨立劃分地址池,用戶通過PPPoE或者Web Portal撥號上來後,自動分配到本VLAN地址池中的地址,每個VLAN的用戶互不影響,針對複雜的城域環網有良好的支持。
多地址池進行NAT轉換
MydBAS可以定義多達256個公網地址進行NAT轉換,每個公網地址可以接入到6萬左右的NAT會話,從而為高密度接入提供上百萬的NAT會話支持。
DHCP地址分配
系統內置DHCP伺服器,可以自動為每個接入客戶機器分配IP,每個客戶機器設定為自動獲取IP方式即可,MydBAS支持多大256個VLAN同時啟動DHCP地址分配功能,為高密度接入提供DHCP地址支持。
任意IP接入
系統可以配置成允許任意IP方式接入到MydBAS上,用戶不需要修改IP的任何配置即可通過MydBAS的認證系統接入到網路上。
多地址池分配方案
MydBAS支持多地址池分配,對每個地址池可以分配是否認證或者是否免認證,當設定為免認證地址池時,該地址池的所有的IP不需要認證,直接接入。
多業務選擇
MydBAS支持多業務選擇功能,用戶通過Web Portal認證成功之後,可以選擇接入的業務類型,比如可以訪問公司專網或者網際網路,用戶只需要點一下頁面上的業務選擇按鈕,MydBAS自動切換該接入用戶的業務類型,重新分配該用戶的網路接入策略。
MAC地址認證
MydBAS支持MAC地址限制認證,系統可以配置MAC地址允許或者拒絕接入到網路,管理員可以預先在管理系統設定各MAC地址對應的IP位址、上行頻寬、下行頻寬、是否允許接入(可以按照時間段等各種認證策略進行限制),該MAC認證通過後方可以接入到網路,否則分配不到IP,獲取不到網路資源,一旦MAC認證通過,則自動接入到網路,對用戶完全透明,用戶感覺不到認證存在。
支持Radius協定
系統按照標準radius協定來對接入用戶進行認證和計費,按照radius輪尋算法最大支持3台進行輪尋。可配合Mydradius實現整套寬頻認證計費的系統運營。
擴展Radius協定
MydBAS除支持自定義的radius VSA屬性外,同時兼容支持華為MA5200系列頻寬控制屬性,使用MA5200計費控制軟體的用戶無需做任何修改,即可完成對MydBAS的頻寬進行控制。
頻寬控制
流量控制
MydBAS支持流量倒扣功能,允許radius server對認證過的用戶回傳一個最大流量限制,當超過這個流量時,自動強制下線。
時間控制
MydBAS支持時間控制,允許radius server對認證過的用戶回傳下線時刻,當超過這個時刻時,自動強制下線。
時長控制
MydBAS支持時長(Session-Timeout)控制,允許radius server對認證過的用戶回傳最大上線時長,當超過這個時長時,自動強制下線。
強制下線功能
MydBAS支持RFC 3567強制下線標準。
增強病毒防範和惡意攻擊
系統禁止大量的常見病毒、蠕蟲、衝擊波連線埠,保證網路的安全。
增加防止DDOS攻擊和防止代理功能
系統實時統計某個IP的TCP並發會話數,當超過閥值的時候自動關閉該IP位址一段時間,超過這個時間段後重新打開。
可以分配固定IP位址
可以根據radius協定返回的Framed-IP來設定客戶端的IP位址,重新實現專線功能。
五、MydBAS截圖
系統運行狀態
顯示系統的運行狀態,顯示版本、線上用戶數量、運行時間、CPU和磁碟占用情況等。
PPPoE Server配置
啟動PPPoE Server服務的配置。
配合Mydradius進行頻寬控制
六、與Mydradius配合解決方案
分散式接入和集中認證布置
在每個接入點都放置MydBAS接入設備,總部放置Mydradius認證計費控制中心,Mydradius通過控制每個點的MydBAS接入設備,從而控制MydBAS下所有的網路終端。
Mydradius負責用戶資料、許可權、計費的控制,MydBAS負責用戶的網路資源(IP位址分配、路由策略、頻寬控制等等)。
Mydradius集中認證
Mydradius是一套標準的Radius Server,同時它支持擴展的VSA屬性對不同廠家的設備進行支持。
通過Mydradius的管理界面,管理人員可以對受控上網終端進行分配認證帳號和密碼、該帳號的頻寬、鎖定該帳號的上網許可權、授權該帳號所在的接入的MydBAS設備,該帳號的上線時間範圍、同時登入限制等等,同時可以查看帳號的認證上線時間、時長、流量、接入點、接入終端的MAC地址、掉線原因等等參數。相關Mydradius的功能請參見《Mydradius功能說明手冊》。
MydBAS支持radius協定,可以作為radiusclient與Mydradiusserver進行精密配合,達到控制每個上網終端的精細控制。
MydBAS的分散式接入
網路終端需要獲取網路時,打開瀏覽器,比如IE,輸入網址,當該終端的數據包達到MydBAS時,MydBAS自動檢測該終端是否已經通過認證,如果已經通過認證,直接放行該IP包達到下一跳路由;如果沒有通過認證,則直接推送該請求到本地的認證門戶頁面,用戶瀏覽器上顯示的將是認證門戶頁面提示登入的視窗。用戶輸入用戶名和密碼後,該請求提交到認證門戶頁面後,認證門戶把用戶名和密碼傳送給MydBAS,MydBAS封裝成radius client認證包,傳送到總部的Mydradius上進行認證,Mydradius根據各種限制條件進行檢測,當認證失敗時,MydBAS直接提示認證錯誤信息到認證門戶,認證門戶把錯誤頁面推送到用戶瀏覽器上;當認證成功時,MydBAS創建該用戶的會話session,分配相關的路由、頻寬策略,同時把認證成功的信息返回給認證門戶,認證門戶提示該信息到用戶瀏覽器上。一旦用戶認證通過後,MydBAS則直接對該用戶的數據包放行,傳送到下一跳路由。
MydBAS的IP位址分配
MydBAS支持兩種地址分配方式,一種為DHCP自動分配,一種是任意IP位址,兩種可以任意選擇一種,推薦使用DHCP分配方式。
DHCP地址分配網路終端插上網線後,自動傳送DHCPclient請求,MydBAS收到該請求後,回響DHCP地址分配包,網路終端收取該包後,自動設定機器的IP位址、網關、DNS、MTU等等參數。網路終端分配到地址後可以直接和MydBAS相通,但是因為沒有認證,所以還無法訪問MydBAS以外的網路,只有認證通過後,才能訪問MydBAS以外的網路。
網路終端的隔離
每個營業點的終端間是可以相互訪問的,而且掛在同一個MydBAS接入設備下的多個營業點之間也是可以相關訪問的,這樣就不可避免造成非安全的因素。
可以在MydBAS接入點下營業點匯集交換層上做VLAN劃分,針對每個物理連線埠進行隔離,從而實現每個營業點之間相互不可訪問。
更詳細的可以實現營業點內部的交換機也做VLAN劃分,從而可以控制每個網路終端的嚴格隔離。
MydBAS多路接入
MydBAS可以掛接多個出口,進行動態路由分配,自動選擇路由或者用用戶通過多業務選擇進行選擇制定路由來進行相關的路由分配。
本需求中MydBAS可以配置兩個出口網卡,一個連線到Internet,一個連線到業務專網,MydBAS可進行動態選擇挑選路由策略。
MydBAS多業務選擇
在認證的成功頁面地方,有一個多業務選擇視窗,根據業務的配置類型,用戶可以通過點擊來選擇不通的接入方式,本需求將設定為2個,一個為Internet(預設),一個為業務專網,用戶點選業務專網時,MydBAS將自動切換該認證過的終端網路到業務專網所在的路由上。認證終端不需要掉線或者二次認證。
Mydradius認證計費中心針對多業務選擇將對每次的業務的選擇都產生一條計費話單,每個業務的計費策略將不一樣。
七、備註MydBAS和Mydradius均為北京迪威達康科技公司產品,相關資料非經授權請務轉載。
