信利蓝信铜川矿务局网络认证解决方案-计费系统解决方案.doc
信利蓝信铜川矿务局网络认证解决方案 -计费系统解决方案 前言 铜川矿务局宽带网络是由西安劳特公司负责建设,本方案主要根据劳特公司工程人员对于客户需求的描述提出的解决方案。 需求分析 将铜川矿务局的网络结构结合需求抽象成现有模型,从系统工程的角度多层次、多方面、系统的分析铜川矿务局的网络的需求,它们分别处于网络中的不同连接点, 客户的需求着重点主要在上网权限的限制上,可以从以下几方面进行描述 : 网络访问控制 ;根据认证用户的不同,赋予不同的上网权限 ;比如有的用户可以有观看视频,有的用户只能上网,有的帐号仅仅只能上网浏览消息。对上网使用的帐号的使用范围进行限制,并进一步加户帐号的安全性。 此项功能是客户需求的重点,客户想借此项需求的实现,对整个矿务局的上网情况进行限制,规范上网秩序,根据业务和实际需要控制网络权限,使整个网络有计划有秩序的应用,避免网络对正常工作的不良影响。 日志分析 ;通过日志系统能够做到对用户上网情况的记录,通过日志分析能够准确反映用户的上网情况,做到有据可查。 需求的实现 网络拓扑 如上图中结构,在北电核心设备 PASSPORT8606 上部署蓝信 AC1100,所有上公网的流量都经过蓝信 AC,这样,由蓝信 AC 实现网络的访问控制。 1、 经过蓝信 AC 访问公网需要先完成身份认证。 2、 蓝信 AC 根据认证用户身份的不同,赋予不同的上网权限。蓝信 AC 将网络划分为 4 个范围,国际、国内、免费和不可访问四种类型,其中每个范围的站点和 IP 根据用户对于网络的权限划分进行定义。 3、 蓝信 AC 有防火墙的功能,能过根据用户的需求定义网络的访问规则,并将每条规则和认证关联起来。 4、 用户的管理通过蓝信 AAA 完成。 例如 :如果我们把 www.sun.com 定义为国外, www.sina.com.cn 定义国内, 用户名为 test 的用户,上网权限有国内,那么通过 test 认证后就不能访问该 www.sun.com 站点,而可以访问 www.sina.com.cn 。 用户名 test2 的用户,上网权限为国际,那么通过 test2 认证后就可以访问这两个站点。 在进一步加强规则限制,就可以限 制到端口。 参考点 B 的实现 蓝信 AC 访问控制模块对任何用户访问都进行详细日志记录,日志记录每五分钟导入数据库备查询,蓝信 AC