xxxx網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證計費(fèi)管理系統(tǒng)建設(shè)方案綜合

XXXX學(xué)院網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證計費(fèi)管理系統(tǒng)建設(shè)方案2016年03月目錄一． 計費(fèi)系統(tǒng)設(shè)計規(guī)劃 3二． 方案建設(shè)目標(biāo) 3三． 總體方案 41. 方案設(shè)計 4A. 方案（串連網(wǎng)關(guān)方式） 4B. 方案（旁路方式+BRAS，BRAS產(chǎn)品） 6四． 認(rèn)證計費(fèi)管理系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)的融合 124.1統(tǒng)一用戶管理系統(tǒng)的融合 124.2一卡通系統(tǒng)的融合 134.3用戶門戶系統(tǒng)的融合 13五． 認(rèn)證計費(fèi)管理系統(tǒng)功能介紹 14六． 用戶案例 186.1清華大學(xué)案例介紹 186.2成功案例-部分高校 236.3系統(tǒng)穩(wěn)定運(yùn)行用戶證明 23七.實(shí)施方案 317.1實(shí)施前準(zhǔn)備工作 317.2認(rèn)證計費(fèi)系統(tǒng)安裝 317.3實(shí)施割接前測試工作 317.4實(shí)施中割接、割接后測試工作 32計費(fèi)系統(tǒng)設(shè)計規(guī)劃 XXXX技術(shù)學(xué)院整體用戶規(guī)模設(shè)計容量為10000用戶，同時在線用戶規(guī)模為5000人，具有多個出口線路；網(wǎng)絡(luò)特點(diǎn)呈現(xiàn)高帶寬，高用戶，多種接入方式使用人群，并且在未來還會以多種網(wǎng)絡(luò)架構(gòu)存在（有線，無線）。因此安全認(rèn)證管理計費(fèi)系統(tǒng)的設(shè)計要充分考慮系統(tǒng)性能滿足出口帶寬容量，同時也必須能滿足復(fù)雜的接入模式，多種靈活的控制計費(fèi)策略。在充分滿足IPv4用戶的認(rèn)證計費(fèi)需求的前提下，設(shè)計要考慮對實(shí)現(xiàn)IPv6+IPv4雙棧認(rèn)證計費(fèi)及日志采集等功能需求，同時還需要滿足無線和有線認(rèn)證的融合統(tǒng)一認(rèn)證管理模式；目前學(xué)校已經(jīng)使用一卡通系統(tǒng)，安全認(rèn)證計費(fèi)管理系統(tǒng)必須和一卡通系統(tǒng)實(shí)現(xiàn)對接，能支持未來的數(shù)字化校園，能夠融合到統(tǒng)一身份認(rèn)證平臺。有線網(wǎng)和無線網(wǎng)是實(shí)現(xiàn)賬戶統(tǒng)一，避免一個用戶需要多賬戶登錄有線網(wǎng)和無線網(wǎng)的情況，并可通過上網(wǎng)賬戶認(rèn)證實(shí)現(xiàn)與校園門戶系統(tǒng)、校園一卡通系統(tǒng)的平滑對接，實(shí)現(xiàn)用戶賬號的同步關(guān)聯(lián)。方案建設(shè)目標(biāo)針對目前學(xué)校對于用戶認(rèn)證計費(fèi)系統(tǒng)的需求，通過安全認(rèn)證網(wǎng)絡(luò)管理計費(fèi)系統(tǒng)，搭建一套包括用戶接入、認(rèn)證、計費(fèi)及用戶管理的綜合平臺，為校園網(wǎng)提供功能完善、可靠和高性能適合的寬帶接入管理計費(fèi)解決方案。實(shí)現(xiàn)全網(wǎng)用戶統(tǒng)一身份認(rèn)證和精準(zhǔn)計費(fèi)；解決現(xiàn)有系統(tǒng)的功能不足和改善用戶端體驗(yàn)；實(shí)現(xiàn)全網(wǎng)統(tǒng)一管理，整體數(shù)據(jù)分析；現(xiàn)有網(wǎng)絡(luò)設(shè)備升級，提升整體網(wǎng)絡(luò)速度；實(shí)現(xiàn)一個用戶賬號可以全部認(rèn)證，同時和校園一卡通，信息門戶的對接，實(shí)現(xiàn)用戶賬號的同步。實(shí)現(xiàn)用戶無線、有線一體化,全網(wǎng)統(tǒng)一身份認(rèn)證計費(fèi)；總體方案方案設(shè)計方案（串連網(wǎng)關(guān)方式）系統(tǒng)部署說明：（網(wǎng)關(guān)實(shí)現(xiàn)精準(zhǔn)流量計費(fèi)和靈活控制） 將認(rèn)證計費(fèi)網(wǎng)關(guān)采用多鏈路/萬兆鏈路串行在核心設(shè)備與路由器之間，采用透明橋方式，此種方案具有以下幾種特點(diǎn)：1.網(wǎng)關(guān)熱備，可以做一臺或者多臺網(wǎng)關(guān)熱備，其中任何一條鏈路出現(xiàn)故障或者其中一臺網(wǎng)關(guān)故障，用戶會自動切換到另外一臺網(wǎng)關(guān)中，無需用戶從新認(rèn)證。2.針對用戶進(jìn)行實(shí)時流量采集，具有實(shí)時性，用戶費(fèi)用不會出現(xiàn)欠費(fèi)（負(fù)數(shù)）狀態(tài)，到零自動切斷用戶上網(wǎng)。3.針對每個用戶可以進(jìn)行動態(tài)帶寬限制。4.實(shí)現(xiàn)基于流量的多種靈活的計費(fèi)策略，流量套餐，包月限制流量等等。5.采用多鏈路方式增加整體網(wǎng)絡(luò)吞吐量和鏈路的冗余可靠性。6.教學(xué)區(qū)采用Portal認(rèn)證模式，實(shí)現(xiàn)用戶的方便認(rèn)證，適應(yīng)多種智能終端。以網(wǎng)關(guān)模式部署的深瀾認(rèn)證計費(fèi)系統(tǒng)有著眾多高校的實(shí)際應(yīng)用案例，例如：清華大學(xué)、北京理工大學(xué)、北京師范大學(xué)、北大醫(yī)學(xué)院、北京航空航天大學(xué)、中央民族大學(xué)、西安交大、中央民族大學(xué)、北京師范大學(xué)、中北大學(xué)（朔州校區(qū)）等等。（清華大學(xué)萬兆網(wǎng)關(guān)實(shí)際測試）方案（旁路方式+BRAS，BRAS產(chǎn)品）無感知認(rèn)證（MAC認(rèn)證模式）1.1為用戶分配固定的IP地址，用戶在配置地址和網(wǎng)關(guān)后直接獲得對應(yīng)的訪問權(quán)限；如需對用戶訪問權(quán)限進(jìn)行控制，則可通過在認(rèn)證計費(fèi)系統(tǒng)對BRSA或是無線控制器下發(fā)DAA模板實(shí)現(xiàn)ACL訪問控制。1.2通過DHCP為用戶提供地址的動態(tài)分配功能。用戶終端接入后，即可通過DHCP獲得IPv4地址，對應(yīng)的網(wǎng)關(guān)和DNS服務(wù)器等信息。在采用DHCP方式時，用戶可以動態(tài)獲得某個地址池中的地址，或者按照要求，基于該用戶的MAC地址，為其每次都分配同一個IP地址，便于其在網(wǎng)絡(luò)內(nèi)提供相應(yīng)的服務(wù)。1.3用戶的IPv6地址建議通過ND/RA的方式獲得，及IPv6無狀態(tài)地址分配方案，該方式對客戶端的兼容性較好，高校普遍采用了這種方式。1.4對于無需認(rèn)證的用戶，如果是通過DHCP方式獲得IP地址，BRAS多業(yè)務(wù)路由器以及后臺的認(rèn)證計費(fèi)系統(tǒng)同樣會對用戶的信息提供記錄，便于今后的查詢。采用BRAS多業(yè)務(wù)路由器做為二層接入認(rèn)證管理設(shè)備，能夠?qū)崿F(xiàn)用戶接入網(wǎng)絡(luò)的精細(xì)化管理功能，BRAS多業(yè)務(wù)路由器為用戶接入提供的DHCP流程中集成了認(rèn)證模塊，能夠?qū)崿F(xiàn)在用戶PC接入網(wǎng)絡(luò)獲取IP地址的同時，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機(jī)端口，包括內(nèi)層VLANID和外層VLANID）、接入網(wǎng)絡(luò)的時間、獲取的IP地址等多種信息，并對每個用戶細(xì)致的訪問權(quán)限、上下行速率的控制，從而實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)的可識別、可管理、可控制，而這個過程用戶沒有任何感知。PPPoE認(rèn)證BRAS多業(yè)務(wù)路由器提供了基于硬件板卡的分布式的PPPoE功能，通過用戶側(cè)的PPPoE撥號，能夠?qū)崿F(xiàn)在客戶端與BRAS之間的PPPoE通道的建立，并同時基于PPP的協(xié)商實(shí)現(xiàn)用戶的認(rèn)證、計費(fèi)功能。PPPoE簡要流程為：用戶PC通過客戶端發(fā)起PPPoE請求到后臺接入服務(wù)器BAS，然后交付后臺RADIUS進(jìn)行認(rèn)證及計費(fèi)。此方案的優(yōu)勢在于通過統(tǒng)一的BAS設(shè)備實(shí)現(xiàn)集中的接入管理和差異化的策略管理，如用戶帶寬的分配、QOS的優(yōu)先級、營運(yùn)記賬等。（PPPoE認(rèn)證流程圖）由于Me直接提供了用戶接入網(wǎng)絡(luò)時的PPPoE認(rèn)證功能，相應(yīng)的控制力度也更強(qiáng)。用戶均通過PPPoE會話實(shí)現(xiàn)到網(wǎng)絡(luò)的接入和訪問，相互之間由于PPPoE通道的隔離而互不影響，因此能夠天然抵御ARP欺騙、仿冒源地址攻擊等問題，極大減輕網(wǎng)絡(luò)管理員的工作量，并有效保障了整個網(wǎng)絡(luò)的可靠性和穩(wěn)定性。另外，由于BRAS設(shè)備為運(yùn)營商級設(shè)備，設(shè)備的處理能力，對用戶的控制能力完全能夠滿足校園網(wǎng)網(wǎng)絡(luò)的需求，可以對每個用戶進(jìn)行帶寬限制，權(quán)限管理、QoS等各種操作。并且，在使用BRAS+PPPoE的接入方式下，在接入層是一張大的二層網(wǎng)絡(luò)，用戶間通過VLAN隔離，互相之間沒有影響，避免了ARP病毒等問題；同時，對運(yùn)營網(wǎng)的管理維護(hù)來說，管理員只需要管理大的BARS設(shè)備，接入層設(shè)備僅僅是二層接入，不需要在接入設(shè)備上作負(fù)責(zé)設(shè)置，極大的減輕了管理員的維護(hù)工作量。PPPoE的撥號客戶端在Windows系統(tǒng)中自帶，也避免了客戶端軟件下發(fā)所帶來的一系列問題。WEBPortal認(rèn)證（IPoE）Web認(rèn)證（IPoE）需要與Portal認(rèn)證服務(wù)器配合使用，主機(jī)首先通過DHCP得到一個IP地址（或是靜態(tài)設(shè)置），通過HTTP重定向的方式強(qiáng)制用戶與Portal認(rèn)證服務(wù)器通信，也可以使用戶只訪問一些內(nèi)部服務(wù)器；然后，接入服務(wù)器將用戶強(qiáng)制連接到Portal認(rèn)證服務(wù)器上，并在瀏覽器中彈出認(rèn)證頁面。在該頁面中輸入用戶名和密碼，PortalServer把通過Protal協(xié)議將認(rèn)證信息傳送到BRAS上，對用戶進(jìn)行認(rèn)證。認(rèn)證通過后，用戶獲得相應(yīng)的訪問權(quán)限，可以訪問互聯(lián)網(wǎng)或特定的網(wǎng)絡(luò)。在IPoE+Portal的認(rèn)證方式中，用戶的賬號都是由Portal進(jìn)行認(rèn)證，這樣就可以免去客戶端軟件相對繁瑣的接入要求，適應(yīng)了當(dāng)前多種接入終端的出現(xiàn)。而Portal在實(shí)際的處理機(jī)制中會把賬號信息轉(zhuǎn)交付給BAS，由BAS向RadiusServer發(fā)起AAA認(rèn)證。RADIUS認(rèn)證結(jié)束后，BAS一方面會通知Portal給出相關(guān)提示給用戶，如“認(rèn)證通過，可以訪問網(wǎng)絡(luò)”，也可能是“認(rèn)證失敗，用戶名或密碼錯誤”等。另一方面BAS會從AAA中獲取用戶的訪問屬性，訪問策略，讓認(rèn)證通過的用戶可以連接到外網(wǎng)資源，讓認(rèn)證未通過的用戶無法接入到外網(wǎng)。上圖是“IPoE+Portal”方案的一套用戶上網(wǎng)流程，具體流程分解如下：用戶獲取地址后，通過瀏覽器發(fā)起正常的HTTP請求；從BRAS上來的HTTP請求被重定向（給Redirector設(shè)備；Redirector設(shè)備直接回指給用戶一個專門的Portal地址；用戶訪問Portal設(shè)備；Portal設(shè)備彈出頁面，提示用戶輸入賬號進(jìn)行認(rèn)證；用戶輸入賬號信息并提交給Portalserver；Portal將用戶賬號信息通過Portal協(xié)議轉(zhuǎn)交給BRAS進(jìn)行認(rèn)證；認(rèn)證通過時，RADIUS一方面通知BRAS并給出相關(guān)用戶提示；另一方面，BRAS根據(jù)用戶的狀態(tài)獲取相應(yīng)的訪問策略；Portal直接端到端給用戶相關(guān)提醒，如“驗(yàn)證通過，可以上網(wǎng)”；用戶訪問其他網(wǎng)頁，BAS通過調(diào)整后的策略進(jìn)行正確轉(zhuǎn)發(fā)；用戶將可以正常訪問外網(wǎng)；同時后臺RADIUS進(jìn)行計費(fèi)策略；認(rèn)證過程（支持PPPoE，L2TP，WebPortal認(rèn)證）,認(rèn)證過程與串行、旁路方式無關(guān)，采用哪一種接入方式都可使用所有認(rèn)證方式，需要接入的bras或核心交換支持。以旁路模式部署的深瀾認(rèn)證計費(fèi)系統(tǒng)有著眾多高校的實(shí)際應(yīng)用案例，例如：浙江大學(xué)、天津大學(xué)、廈門大學(xué)、復(fù)旦大學(xué)、華東師范大學(xué)、杭州師范大學(xué)、西北工業(yè)大學(xué)、蘭州大學(xué)、電子科技大學(xué)、山西財經(jīng)大學(xué)、長治學(xué)院等等。（深瀾軟件無縫對接的網(wǎng)絡(luò)設(shè)備廠家）認(rèn)證計費(fèi)管理系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)的融合4.1統(tǒng)一用戶管理系統(tǒng)的融合認(rèn)證系統(tǒng)可以無縫和學(xué)校統(tǒng)一用戶管理系統(tǒng)進(jìn)行融合；使用通過目前統(tǒng)一用戶管理系統(tǒng)進(jìn)行開戶，認(rèn)證系統(tǒng)實(shí)現(xiàn)認(rèn)證，用戶在自助系統(tǒng)中進(jìn)行套餐選擇的無管理化的管理方式；認(rèn)證系統(tǒng)也可以和統(tǒng)一用戶管理系統(tǒng)深度融合，使用中間表的模式進(jìn)行融合：常規(guī)采用LDAP方式和相關(guān)自定義接口方式實(shí)現(xiàn)例如：蘭州大學(xué)深瀾系統(tǒng)與金智統(tǒng)一身份認(rèn)證系統(tǒng)對接（如下圖）4.2一卡通系統(tǒng)的融合5.2.1實(shí)現(xiàn)目的：認(rèn)證計費(fèi)系統(tǒng)和一卡通系統(tǒng)進(jìn)行聯(lián)動管理，實(shí)現(xiàn)統(tǒng)一繳費(fèi)過程：5.2.2接口規(guī)范：所有連接都用POST方式提交！鑒權(quán)碼為：%*trgl_SURL:http://[serverip]:8080/card_if.php即SRUN3000的后臺管理服務(wù)器的8080端口返回信息為gb2312編碼。4.3用戶門戶系統(tǒng)的融合新建認(rèn)證系統(tǒng)可以和學(xué)校目前的用戶門戶系統(tǒng)進(jìn)行融合，由于新建認(rèn)證系統(tǒng)支持多種重定向功能，可以支持認(rèn)證后重定向的功能，因此可以和學(xué)校目前的用戶門戶系統(tǒng)進(jìn)行融合可以根據(jù)用戶的登錄名，進(jìn)行登陸后重定向到該用戶所在的學(xué)校門戶中可以根據(jù)IP地址范圍，進(jìn)行登陸后重定向到指定的學(xué)校門戶中，如無線用戶的登陸和有線用戶的登陸可以統(tǒng)一設(shè)置用戶，進(jìn)行登陸后重定向到學(xué)校統(tǒng)一的門戶系統(tǒng)中認(rèn)證計費(fèi)管理系統(tǒng)功能介紹功能分類功能簡要描述備注協(xié)議IPV4、IPV6可單獨(dú)支持IPV4、IPV6網(wǎng)，亦可支持IPV4、IPV6混用網(wǎng)二層網(wǎng)絡(luò)以太網(wǎng)接口支持10M、100M、1000M、10000M網(wǎng)橋模式支持無需改變現(xiàn)有網(wǎng)絡(luò)，可透明、無縫接入網(wǎng)絡(luò)三層網(wǎng)絡(luò)及以上目標(biāo)地址路由適用多出口網(wǎng)絡(luò)的要求NAT功能支持、但不建議開啟OSPF/RIP透傳OSPF/RIP等路由協(xié)議接入控制Web認(rèn)證支持IE、firefox、opera等圖形瀏覽器客戶端認(rèn)證Win32版本客戶端支持Windowsxp、2003、vista，linux版本客戶端支持fedora5以上、as4以上、ubuntu6以上且無需xwindows支持。心跳檢測關(guān)閉瀏覽器認(rèn)證窗口，自動下網(wǎng)，退出客戶端，亦可自動下網(wǎng)?？臻e檢測監(jiān)測出規(guī)定時間無流量的用戶,并強(qiáng)制自動下網(wǎng)Web認(rèn)證前url用戶打開任一網(wǎng)址，跳轉(zhuǎn)登錄頁面Web認(rèn)證后urlL可在用戶認(rèn)證后登錄指定頁面免認(rèn)證用戶設(shè)置指定特殊用戶為直通用戶，無需認(rèn)證不認(rèn)證訪問指定IP可以指定若干目的IP網(wǎng)段，無需認(rèn)證就可訪問客戶端版本控制隨著客戶端功能升級，可以強(qiáng)制用戶使用新的客戶端軟件。多認(rèn)證方式選擇可設(shè)置只允許web或客戶端認(rèn)證，亦可設(shè)置PPPoEL2TP,802.1xVPN認(rèn)證用戶代理功能控制防代理、需強(qiáng)制使用客戶端配合客戶端廣播信息和即時消息接收進(jìn)行各種信息發(fā)布P2P軟件限制可以禁止用戶使用BT、eMule等常見P2P軟件，即可在設(shè)備上統(tǒng)一控制，也可以根據(jù)時段控制P2P軟件，可以對單個用戶進(jìn)行控制（計劃開發(fā)）帶寬控制可針對每個用戶進(jìn)行帶寬控制；免認(rèn)證用戶根據(jù)IP地址段進(jìn)行帶寬控制。用戶管理用戶行為管理基于全狀態(tài)端口的用戶行為管理用戶在線查看查看認(rèn)證用戶、免認(rèn)證用戶在線信息強(qiáng)制用戶下線強(qiáng)制指定用戶離線標(biāo)準(zhǔn)RadiusClient功能可和多廠家RadiusServer配合使用數(shù)據(jù)庫外置支持?jǐn)?shù)據(jù)庫內(nèi)置或外置，外置數(shù)據(jù)庫可以支持Windows、Linux、Unix認(rèn)證計費(fèi)802.1x認(rèn)證當(dāng)采用802.1x一次認(rèn)證、BRAS二次認(rèn)證時，支持二次認(rèn)證一次通過支持時長、流量、包月、卡類計費(fèi)方式公式方式方便用戶制定多種計費(fèi)策略特殊情況下用戶免認(rèn)證上網(wǎng)可以手工設(shè)置也可以自動切換國內(nèi)外流量區(qū)分可區(qū)分國內(nèi)外流量，實(shí)現(xiàn)僅對國外流量計費(fèi)。用戶費(fèi)用，流量零透支在用戶上網(wǎng)的過程中實(shí)現(xiàn)費(fèi)用和流量的零透支，在用戶流量和費(fèi)用用完的時候，能夠立刻截止用戶上網(wǎng)用戶的催費(fèi)通知在用戶使用快到期，或費(fèi)用快用完的時候，實(shí)現(xiàn)用戶的信息通知。安全防范指定IP（段）進(jìn)行SSH管理防止未經(jīng)授權(quán)的IP登陸系統(tǒng)指定IP（段）進(jìn)行后臺管理防止未經(jīng)授權(quán)的IP登陸后臺指定IP（段）進(jìn)行數(shù)據(jù)庫管理防止未經(jīng)授權(quán)的IP登陸數(shù)據(jù)庫指定IP（段）進(jìn)行數(shù)據(jù)庫連接防止未經(jīng)授權(quán)的IP連接數(shù)據(jù)庫管理員權(quán)限設(shè)置多級管理、自定義角色、自定義權(quán)限上網(wǎng)日志記錄可以記錄用戶上網(wǎng)行為：包括時間、上網(wǎng)IP、目的IP等，提供URL信息。服務(wù)器管理Web管理支持SSH遠(yuǎn)程管理支持SQL操作web操作數(shù)據(jù)庫數(shù)據(jù)管理本地數(shù)據(jù)備份支持本地備份數(shù)據(jù)，每天5點(diǎn)進(jìn)行全庫備份遠(yuǎn)程異地備份通過ftp協(xié)議備份數(shù)據(jù)庫到遠(yuǎn)程服務(wù)器，每天5點(diǎn)后全庫備份后執(zhí)行。數(shù)據(jù)備份與恢復(fù)可以對認(rèn)證計費(fèi)中的數(shù)據(jù)庫進(jìn)行備份和恢復(fù)操作上網(wǎng)明細(xì)清理每月1日凌晨3點(diǎn)自動將過時數(shù)據(jù)轉(zhuǎn)移到備份數(shù)據(jù)庫，當(dāng)前數(shù)據(jù)庫保留3個月的上網(wǎng)明細(xì)（可在后臺管理中設(shè)置）數(shù)據(jù)庫剝離認(rèn)證系統(tǒng)與數(shù)據(jù)庫完全獨(dú)立，即使數(shù)據(jù)庫發(fā)生故障仍可正常認(rèn)證，待故障排除，用戶上網(wǎng)數(shù)據(jù)立即寫入數(shù)據(jù)庫。系統(tǒng)監(jiān)控CPU利用率統(tǒng)計每小時的cpu利用率，并繪制圖表在線人數(shù)統(tǒng)計每小時的在線人數(shù)，并繪制圖表網(wǎng)絡(luò)負(fù)載統(tǒng)計每小時網(wǎng)絡(luò)接口的負(fù)載情況，并繪制圖表系統(tǒng)日志（審計）HTTP訪問日志記錄用戶的http訪問日志系統(tǒng)日志支持管理日志支持續(xù)費(fèi)日志支持結(jié)帳日志支持雙機(jī)熱備雙機(jī)熱備當(dāng)要求設(shè)備可靠性極高時，可以2臺設(shè)備進(jìn)行熱備工作；平時主設(shè)備工作，備設(shè)備待命狀態(tài)，如果主設(shè)備癱瘓或者死機(jī)，由備設(shè)備接管主設(shè)備工作。用戶案例6.1清華大學(xué)案例介紹系統(tǒng)規(guī)模：出口：10G教育網(wǎng)、1G電信，10GIPv6出口。注冊用戶：150000人同時在線：45000用戶，無線網(wǎng)同時在線10000人。認(rèn)證模式：推薦使用客戶端認(rèn)證，可以使用Portal認(rèn)證，無線網(wǎng)采用Portal，802.1x,MAC認(rèn)證并存。認(rèn)證協(xié)議：IPv4，IPv6雙棧出口拓?fù)鋱D：全校部署兩臺Srun3000高性能萬兆IPv4及IPv6認(rèn)證網(wǎng)關(guān)（雙鏈路熱備）和Srun3000用戶運(yùn)營支撐平臺，用戶認(rèn)證使用Portal、專用客戶端認(rèn)證，無線網(wǎng)由12臺CISCO無線AC，和2500個AP組成，實(shí)現(xiàn)統(tǒng)一的無線外置式Portal認(rèn)證。方案特點(diǎn)：全路徑雙鏈路冗余，清華大學(xué)采用了雙鏈路冗余設(shè)計，雙棧設(shè)計使得兩條鏈路都可以跑IPv4和IPv4，左邊的鏈路IPv4優(yōu)先，右邊的鏈路IPv6優(yōu)先，當(dāng)其中一個鏈路出現(xiàn)問題的時候OSPF路由會使得數(shù)據(jù)走另外一條鏈路，實(shí)現(xiàn)鏈路冗余用戶認(rèn)證冗余：兩個萬兆網(wǎng)關(guān)配合獨(dú)立的認(rèn)證服務(wù)器，實(shí)現(xiàn)用戶數(shù)據(jù)的一致性，任意鏈路的中斷，用戶都不受任何影響，不需要重新認(rèn)證無線網(wǎng)一次認(rèn)證：清華的無線網(wǎng)由12個CISCOAC和2500個AP組成，覆蓋學(xué)校幾個重點(diǎn)區(qū)域，支持Portal認(rèn)證，802.1x認(rèn)證，MAC認(rèn)證，目前全校無線用戶同時6000人在線，Srun3000Portal提供外置式Portal認(rèn)證，Srun3000AAA提供無線認(rèn)證和萬兆網(wǎng)的出口聯(lián)動，實(shí)現(xiàn)用戶無線一次認(rèn)證就打開校內(nèi)和校外訪問，并實(shí)現(xiàn)計費(fèi)。統(tǒng)一外置式P