认证计费解决方案

安捷信武汉办网络产品部改造总体思路把认证计费系统统一，有线无线一体化管理，简化网络结构，简化维护管理。消除接入汇聚的二层环网。升级网络带宽，校园网全万兆演进。全网IPv4/V6双栈部署。为减少终端维护工作量，认证方式将不采用原有的802.1x模式，而采用PPPoE和Portal认证的混合模式，建议学生宿舍区、家属区采用PPPoE接入模式；教学实验、办公区以及WLAN采用IPoE(MAC+Portal)模式。两种模式可灵活选择，也可同时在统一接入地点共存。改造过程平滑过渡，用户无感知。改造后的网络拓扑示意核心层采用两台ME60-X8高性能大容量BRAS，为全校无线和有线用户提供统一用户接入与核心路由转发。整个网络使用一套深澜认证计费系统，与ME60对接，把认证计费模式统一起来。结束原来网络中多套认证计费系统并存的现状，简化管理。核心交换机上行链路采用10GE冗余，两台ME60之间部署双机热备功能，使用VRRP实现快速切换，提高可靠性。本方案对接入层交换机基本无要求，开放性高，可利旧原有交换机，但是从安全考虑，尽可能在接入交换机部署Pvlan或端口隔离，阻止接入层二层直接互通。PPPoE认证计费方式讨论办公区，学生区，家属区采用PPPOE认证模式。每用户每VLAN或每楼栋每VLAN模式。对比原802.1X认证计费模式，改造后有如下优点。所有接入终端，都和网关建立点对点Session连接。认证通过后才能获得IP地址。PPPOE不存在ARP机制，减少了网络中的ARP问题。交换机完全作为二层透传和端口收敛来用。无特殊需求，无需绑定任何厂家，只要支持交换机基本功能即可。每用户每VLAN，完全解决了广播风暴和环网问题。所有流量经过ME60，管理点集中化。可以控制每用户流量带宽及用户业务优先级。计费策略多样化（包月、按流量、按时长等多种策略组合）认证客户端为操作系统自带或绿色软件客户端。无程序兼容问题。天然具备IPV6业务演进能力。IPoE认证计费方式讨论办公区建议采用IPOE和PPPoE混合认证模式，每部门每VLAN或每院系每VLAN。无线接入采用IPoE认证模式。IPoE对比原Potal认证模式，改造后有如下优点：控制粒度可以精细到用户级，可以统计用户流量，控制用户带宽，控制用所户访问资源等。采用先MAC后Portal的认证方式，只需一次认证通过，下线后在后台记录其MAC地址，下次认证无需再在portal页面输入用户名密码，可实现无线终端的无感知认证。每部门划分一个VLAN，广播域控制在部门内。三层网关起在ME60上，所有跨三层访问经过ME60。跨三层业务既做到准入，又做到准出。计费策略多样化（包月、按流量、按时长等多种策略组合）办公区服务器和用户终端并存方案(认证方案)

BRAS

ME60汇聚交换机（可选）接入交换机普通用户终端服务器终端需求场景：在一些院系存在一些服务器是静态分配的IP地址对外开放，这些服务器是不需要认证的，而且他们跟本院系普通用户终端公用一个交换机同一个VLAN，无法用位置信息区分，因此需要既保证普通用户通过PPPoE或IPoE上线，还要保证服务器终端不用认证并使用固定IP，同时还要保证数据安全，防止地址被仿冒；解决方案：接入交换机打VLAN标识位置信息，也可通过汇聚交换机打VLAN，在连接BRAS的相应子接口上起IPoE认证，同时在AAA认证服务器上输入服务器的MAC地址，在服务器网卡上电时会发起DHCP请求获取IP，DHCP

Server既可以直接起在BRAS上也可以通过relay方式起在第三方服务器上，在server上配置MAC与IP地址的绑定，会分配固定的IP给服务器，同时BRAS会把MAC和VLAN信息送到AAA上进行认证，认证通过以后该服务器将被当作特殊的用户来转发数据流量。对于其他普通用户，按照IPoE或PPPoE流程进行正常处理即可。如果中间有汇聚交换机，配置DHCP

Snooping，防止地址仿冒。此外，服务器终端也可进行PPPoE认证，通过AAA实现IP和MAC绑定；优缺点：该方案优点在于安全性高，并可实现统一管控，缺点在于要在后台配置MAC和IP的绑定，工作量较大。AAA认证计费系统办公区服务器和用户终端并存(静态IP方案)

BRAS

ME60汇聚交换机接入交换机普通用户终端服务器终端需求场景：对于服务器终端数量较多,且变动较大的场景，配置MAC地址工作量较大，可采用在服务器上配置静态IP；解决方案：在BRAS和接入交换机之间插入三层汇聚交换机，采用二三层混跑模式。在下行口和上行口配置用户VLAN并配置vlanif作为服务器终端的网关发布路由，服务器静态配置局域网IP地址。对于二层拨号的用户终端，交换机透传到BRAS，对于三层交换的用户终端，汇聚交换机作为网关根据路由表在上行方向进入VlanIF，并在BRAS相应Vlan子接口上配置网络侧地址或三层专线，可正常进行转发，从安全考虑，在ME60的子接口上配置ACL，只允许配置的IP网段通过。优缺点：该方案优点在于后台不需要配置IP和MAC的绑定关系，节省了工作量，缺点是对该区域缺乏管控，特别是在于普通用户终端共享的情况下，无法保证IP地址不被冒用。AAA认证计费系统Vlan10（用户和服务器混合接入VLAN）Vlan10（用户二层透传）Vlan20（三层路由转发）办公区IT设备共享方案BRAS

ME60汇聚交换机接入交换机普通用户终端打印机/传真机需求场景：对于办公区的IT设备,例如打印机、传真机等设备，需要对本区域的终端互联并实现共享，同时对于外区域设备不可见；解决方案：认证方案：对于这些IT设备进行MAC接入认证，在后台输入MAC地址和VLAN，设备上电以后申请IP地址，如MAC匹配则认证通过并且下发策略，通过ACL限制只允许该区域所在的终端IP地址访问，或者只允许特定的用户访问。该方案的优点在于安全可控，而缺点在于配置工作量较大；局域网方案：在一个区域通过接入交换机或者汇聚交换机将终端放到一个VLAN下，由该区域用户自行规划IP地址并实现共享，该IP网段在BRAS上不被识别因此也不会发布到学校网络中去。用户如果需要上线则可以进行PPPoE拨号或者将网卡改成DHCP方式获取地址通过IPoE上线。该方案优点在于配置工作量小，符合办公区老师的平时办公习惯，缺点在于局域网缺乏隔离，存在原有的环网或ARP攻击，而且只能在小范围内共享，不能灵活进行配置。AAA认证计费系统校园业务专网方案数据中心核心BRAS

ME60-X8汇聚交换机利旧分布式BRAS

ME60-X3需求场景：校园内部存在许多专有业务系统，如一卡通系统、安防监控系统、多媒体系统等，这些系统需要专网承载，与普通接入用户隔离；解决方案：采用虚拟专网方案，对于三层路由的部分，使用MPLS

VPN，对于二层交换汇聚的部分，使用VLAN进行隔离，在BRAS上配置网络侧子接口并实能MPLS

VPN功能。在各个虚拟专网下由业务部门自行规划IP地址以及业务管理维护，如果需要互通的时候在核心路由器上通过VPN路由引入策略与公网路由进行互通。应用层IPv4和IPv6双栈认证-PPPoEIPv6使用PPPoE接入，PPP认证 ME60上，IPv4和IPv6都配置为PPP认证

客户端不区分V4和V6。认证通过，V4和V6均可以访问网络（V4和V6共用一个PPPSeesion） ME60向RadiusServer上送流量时，通过不同的属性区分，分别计费VlanQinQIPv6Radiusserver地址申请V6地址分配PPP认证认证通过进入认证后域认证通过网络访问网络访问V4流量，计费V6流量，不计费V6报文用户信息V4报文二层报文地址申请V4地址分配IPv4和IPv6双栈认证-IPoEIPv4和IPv6均采用IPoE接入，IPv4Web认证，IPv6不认证 ME60上，IPv4和IPv6都配置为Web认证，但v6从认证前域获取v6地址，前域未限制v6访问权限，所有v6可以正常访问网络 IPv4认证前无访问权限；由于PC的MAC相同，v6/v4认为是同一个用户（如果PC和BAS间有三层设备，relay时携带MAC信息） ME60向RadiusServer上送流量时，通过不同的属性区分，分别计费注：1、图中在BAS和PC间增加了三层设备，实际组网可以不存在2、采用IPoE方式接入时，可能存在用户异常掉线时的场景。对此场景，ME60设备本身存在默认探测功能，即默认连续发送5个ARP探测包，每个包间隔30s，即150s检测不到用户，将用户账号强制下线；VlanQinQIPv6Radiusserver认证通过V4网络访问V6网络访问V4流量，计费V6流量，不计费V6报文用户信息V4报文二层报文地址申请V6地址申请RelayWebserver地址分配认证通过Relay（携带PCMAC）V6地址分配已认证用户，无需再次Web认证计费灵活性针对账号有不同计费方式和费率比如有流量计费、时长计费、配额、包月等供老师、学生选择针对位置区域有不同计费比如同样账号，但是教师在家属区和教研室计费费率不同针对访问目的地有不同计费比如去往教育网、运营商有不同费率针对时段有不同计费比如夜间12:30-7:00是一个费率，白天是另一个费率针对时间分段式的计费比如前30个小时不计费，后按时间计费，达到费用上限后，后续又免费多对一的计费比如导师带的学生，统一计费在老师账号下一对多的计费比如一个学生学习，计费分摊到本院系和学科院系中与认证计费服务器配合，BRAS设备可实现多种灵活性计费，如下：Radius服务器BAS计费服务器账号+上下线时戳+上下行字节统计账号+用户组关联关系+时长+字节流量+计费方式灵活度靠Radius服务器和计费服务器来支撑只对满足条件（如目的地）的网络流量进行统计并输出，是BAS设备的需求校园网络防攻击部署建议L2汇聚交换机APRadius服务器WEB服务器计费服务器数据中心1、路由协议MD5认证2、CPCAR和攻击溯源3、URPF1、CPCAR和攻击溯源2、ARP防网关冲突、ARP防欺骗、ARP-Miss源抑制等3、DHCPSnooping绑定检查，信任检查，Request报文检查….1、端口限速、阻断2、MAC容量限制DHCPSnoopingMAC学习3、ARP严格学习，表项限制，

报文源抑制，表项检查…4、TC保护，ROOT保护，

环路保护…宿舍楼1宿舍楼2AP教学楼1教学楼2攻击方式攻击子类防护措施流量攻击环路风暴端口限速

端口阻断僵尸网络MAC攻击虚假MACDHCPSnoopingMAC学习大量MACMAC容量限制ARP攻击缓冲区溢出ARP严格学习

ARP表项限制拒绝服务攻击ARP报文源抑制扫描攻击ARPMiss报文抑制地址欺骗ARP表项检查

网关冲突检查DHCP攻击中间人DHCPSnooping绑定检查仿冒者DHCPSnooping信任检查饿死攻击MAC限制CHADDR值攻击CHADDR检查仿冒续租报文Request检查拒绝服务攻击报文限速IP攻击源地址欺骗URPF路由协议攻击大量路由报文两级CPCARSTP协议攻击伪造报文TC保护伪造配置BPDU保护错误配置ROOT保护链路拥塞/故障环路保护针对不同层级设备面临的威胁，部署相应的防攻击手段全方位防护人为恶意攻击或者管理员误操作BRAS接入交换机校内WLAN覆盖方案

1）使用AP6010SN/DN完成教学楼、实验室、宿舍、公寓等室内WLAN覆盖；使用AP6510DN完成操场等室外场景覆盖；采用双频AP，适配校园高密无线接入的需求（室内AP尽可能接POE接入交换机直接供电）

2）统一AC部署和管理，方便校内跨AP漫游；在核心层ME60上旁挂AC6605，并实现N+1冗余备份。

3）ME60下增加热点交换机实现AP接入；AC与AP二层互联，以保证AP可以零配置使用； 4）无线用户的接入认证：终端采用IPoE方式接入认证，AC二层接入，AC下发业务VLAN到AP；无线终端和AC建立无线链路关联，链路关联不做认证；认证和计费都由BRAS完成。5）用户数据转发方式：集中转发（隧道转发）：用户数据封装在CAPWAP隧道中，AC下发业务VLAN到AP，因为AC会将用户VLAN切换成原始注册VLAN，此时用户漫游业务VLAN不变。本地转发：用户数据经接入交换机直接转发，无线AP基于SSID添加VLAN（一般可配置每层楼一个VLAN，如果接入接入交换机，也只是透传，不改变报文VLAN）;汇聚层需要考虑灵活QinQ来避免添加外层VLAN；此时ME60上支持用户变VLAN，以支持跨AP漫游

混合区域无线区域有线区域核心层AAA服务器汇聚层接入层新建热点接入交换机CernetAC6605如何做到平滑切换我们的切换改造不是一蹴而就的，而是分布实施，做到影响范围最小，用户无感知。改造初期，ME60可以采取旁挂方式，接在某核心交换机上。改造可以分布进行。例如：当前需要对Z-X-C720下挂用户改造，可以先把其下挂每个汇聚交换机进行改造。1、先把D6-5750×2用户地址收上来，在ME60建立地址池。2、在D6-5750×2上划分一个VLAN，该VLAN在ME60上终结。3、D6-5750×2下挂用户启用QinQ。改造后，

D6-5750×2下所有用户通过PPPOE方式在ME60接入，流量在ME60终结。整个过程网络其它部分无感知。总之思路就是把原来交换机业务慢慢捋出来，切到ME60上。ME60产品介绍特性ME60-X3ME60-X8ME60-X16交换容量1.08Tbps1.44Tbps2.56Tbps转发能力/槽40G200G200G槽位数3LPU,2MPU8LPU,2SRU,1SFU16LPU,2MPU,

4SFU

高度4U14U32UFIB1M1M1M单板用户数32KPPPoE/IPoE32KPPPoE/IPoE32KPPPoE/IPoE整机用户数96KPPPoE/IPoE256KPPPoE/IPoE256KPPPoE/IPoE基本配置功耗222W374W498WME60ME60-X3ME60-X8ME60-X16X后面的数字代表业务槽位数，目前可以提供单槽位20G、40G、100G单板，后续规划可以升级到240G。40G目前为性价比最高。主控1＋1备份，交换网2+1备份。每槽位用户接入数32K并发。整机上线速率1K/s。支持PPPOE双栈、IPOE双栈、PPPOE和IPOE混合双栈。业务单板分类:BSU（用户接入侧）、MSU(网络侧);灵活插卡类（BSUF）、固定接口类(BSUI);高队列规格（每单板256K、64K）、低规格队列（每端口8个）。支持DAA功能必须选用高规格队列单板硬件队列的作用－》HQoS高性能：支持256K队列，确保32K用户实现8业务完美调度灵活的应用和业务传送：小颗粒带宽管理、策略调序、优先级排序NEWSubscriberIDVoIPVideoInternetAppsInternetHDTVGamingSpecialAPPSOther双机(多机)热备IPCoreVRRPVRRPME60汇聚交换机终端可以从2个BRAS上线，默认从主BRAS上线，主用BRAS故障，终端不掉线，从备BRAS接入。主备选择采用VRRP实现。终端信息通过私有协议备份主备控制采用VRRP协议，VRRP基于Port+Vlan的粒度控制主备状态；ME60和终端交互会话的源MAC采用VRRP的虚拟MAC地址；当发生主备切换时，通过发送免费ARP切换上行流量；部署VRRP+PeerBFD可以加快故障检测，提高倒换性能；VRRP可以跟踪网络侧链路进行故障切换VRRP可以跟踪CGN单板进行故障切换；双机故障倒换过程IPCoreDest：/16Nexthop：(优选)Nexthop：a.正常情况IPCoreb.发生链路故障后快速切换1ME60-1ME60-1IPCoreME60-1M