校园极速快车(虚拟ADSL系统)
技术方案
西安信利软件科技有限公司
2009-6目录
第一章概述 1
第二章虚拟ADSL接入技术概述 2
2.1系统模块简述 2
2.1.1虚拟ADSL接入网关 2
2.1.2虚拟ADSL认证服务器 2
2.1.3虚拟ADSL客户端软件 2
2.2虚拟ADSL系统优势及特点 2
2.3实现技术 4
2.4认证过程 4
2.5负载平衡 5
第三章极速快车技术实现方案 6
3.1设计原则 6
3.1.1稳定性和可靠性 6
3.1.2可扩展性 6
3.1.3可运营 7
3.1.4可管理 7
3.1.5安全性 7
3.1.6实时性 7
3.1.7投资保护 7
3.2虚拟ADSL解决方案 7
3.2.1虚拟ADSL系统认证管理 7
3.2.2蓝信宽带计费系统 8
3.2.3代理私接检测 9
第四章虚拟ADSL系统部署 12
4.1环境部署 12
4.1.1虚拟ADSL系统环境部署要求 12
4.1.2虚拟ADSL系统物理连接示意图 13
4.1.3虚拟ADSL系统机柜排列示意图 13
4.2服务责任划分 14
第五章案例介绍 15
第六章关于信利 15
第一章概述
目前,运营商在校园网等企业网中发展宽带业务时常用的接入方式包括ADSL、PPPOE、WEB认证等。这些传统的方案在校园网推广时都有局限性,包括:
ADSL接入
要搭建额外的电话线路,在学生宿舍中此方式不是很合适(没有足够的电话线路资源)。对于家属区可以接受。
PPPOE接入
一般而言,需要校园网采用二层网络拓扑。而实际中学校很少采用此类结构,所以在学校内不适合发展PPPOE接入。此外,此方案需要BAS设备,在成本上也较高。
WEB认证
Web认证有部属简单、使用方便的优点,但是其对用户的控制能力很弱。
传统网关认证
传统网关认证主要是性能瓶颈、可靠性瓶颈。从而需要更高的成本。
802.1X认证
802.1X认证模式需要在接入层部署支持802.1x认证的交换机。其管理力度很强,但是施工成本很大。适合学校自己建设,而不适合联通采用。
校园极速快车(虚拟ADSL系统),是专门为满足校园网业务发展的针对性解决方案,可满足学校、联通对于高校宽带用户的统一管理要求。虚拟ADSL在技术上可以方便的提供3层穿透,从而可以适应复杂的校园网;在业务上可以实现多业务并存,即使在已经运营的校园网中,也可以同时开展虚拟ADSL接入业务。同时,虚拟ADSL系统也具有多赢特点,它不仅可以增加校园网用户,而且也可以优化校园网原有出口压力。同时也给学校师生提供了多种选择。
信利软件科技有限公司——专业的软件开发服务提供商,致力于为客户提供应需而变的软件开发服务、行业解决方案、通用平台解决方案等系列业务,追求为客户业务的高效运转提供有力IT支撑。ADSL、PPPOE等)相比,虚拟ADSL具有以下特点:
网络建设简单,部署快
虚拟ADSL接入可以充分利用原有网络环境,现有的网络上开展新的接入业务。虚拟ADSL一般只需要在原有网络上部署两台设备,然后给选择该业务的用户发放客户端软件即可。无需另外铺设网络线路,无需变更原有网络拓扑,也无需修改原有路由设置。
这种简单性,使得部署虚拟ADSL接入业务非常快速,只要商务谈判完成,一周之内(一般而言)即能完成安装部署并开始测试。
适应复杂的网络结构
虚拟ADSL采用三层隧道技术,与具体的网络接入设备无关,不受现有网络环境的影响。
多接入模式并存,用户感受好
虚拟ADSL接入在业务上和拓扑上都不改变原有的接入模式。不选择虚拟ADSL的用户,其上网的方式、报文路由等维持不变。
虚拟ADSL采取动态策略路由,可以同时访问不同的网络——以校园网为例,用户可以同时访问教育网和联通公网。此外,虚拟ADSL接入是针对网络带宽要求高的用户,所以具有高带宽、允许P2P应用等特点,可以满足网络要求高的用户的上网要求。
可以较大降低原有网络压力
据统计,20%的高带宽要求的用户产生了50%至70%的流量。而绝大多数网络的出口带宽相对内网带宽偏低,出口带宽被高带宽要求的用户过度使用,导致所有用户对网络带宽普遍不满。
虚拟ADSL接入由于带宽高,吸引着“高端”用户。如果这些高端用户使用虚拟ADSL出口,则原有的接口压力就会降低。哪些不选择虚拟ADSL的用户其出口带宽会相对好转。
支持负载平衡,可以极大降低扩容成本和首次投资成本
与传统网关不同,虚拟ADSL系统支持软件负载平衡。只需要简单的增加网关设备即可实现扩容。从而极大降低了扩容成本。(而传统网关其带宽能力与价格是指数增长的)。
在需要降低首次投资的场合,也可以先投入很少的设备,然后随着用户的增加在逐步的扩容。以往的设备可以重复使用。
此外,当某台网关出现故障时,系统将把后继用户分配到其它网关上,从而系统具有更高的可靠性。
给学校没有增加额外的管理负担和技术负担
虚拟ADSL业务对学校没有额外的技术负担,不需要改动原有的网络拓扑和网络设置。此外虚拟ADSL业务可以多业务并存,给学生和教师提供多种业务选择,从而不增加学校的管理负担。此外,虚拟ADSL还可以优化学院原有出口性能,从而为联通与学校的商务合作奠定了坚实的基础。
从上述特点可以看出,虚拟ADSL接入具有部署简单、用户感受好等优势,特别是,虚拟ADSL不增加原有网络的管理负担和技术负担,非常便于业务开展。这些特点尤其适用于校园网,从而使得在学校里开展虚拟ADSL接入简单易行。
2.3实现技术
虚拟ADSL方案采用隧道技术,利用原有的三层网络搭建特定的隧道。从而避免了对原有网络的拓扑要求。说明:虚拟ADSL方案需要内网采用标准的ip通信,目前不支持内网中再用NAT等。
虚拟ADSL客户端采用Windows驱动技术,在驱动层动态建立隧道,并动态决定对哪些报文通过隧道传送。一般而言,对访问内网的报文,不通过隧道传送;而对特定的外网地址(如联通公网),则从隧道隧道转发。管理员可以配置隧道转发规则。这些规则在认证时由虚拟ADSL认证服务器动态下发。
虚拟ADSL认证服务是一个网络服务器,它一方面接收客户端的认证请求,并通过radius服务器验证用户的合法性。对于合法用户,虚拟ADSL认证服务器动态协调客户端以及网关创建隧道。当用户下线时,认证服务器通知radius服务器用户下线信息,并通知网关拆除该用户的隧道。
虚拟ADSL网关负责创建隧道,并将隧道传来的报文解包后转发到联通公网。网关内置NAT,从而无须消耗大量的真实ip地址。也可以使用第三方NAT设备。
虚拟ADSL网关支持负载平衡和冗余备份模式。可以多个网关提供高性能和高可靠性。用很低的成本解决了传统网关的性能瓶颈问题以及可靠性瓶颈问题。负载平衡及冗余备份方案都是由软件实现的,无须额外的、特殊的负载平衡设备。
2.4认证过程
在校园网出口处部署虚拟ADSL系统,在用户终端安装虚拟ADSL拨号客户端,用户在访问内网时,可以使用原有的校园网访问内网。在需要访问外网资源或者大量下载网络资源时,只有通过使用虚拟ADSL系统认证,通过认证后就可以走虚拟ADSL出口。
增加虚拟ADSL系统后,认证上网流程过程:
1、使用虚拟ADSL拨号客户端拨号认证之前,可以使用原有的路由访问外网
2、使用虚拟ADSL拨号客户端拨号认证以后,用户发起认证到虚拟ADSL网关
3、虚拟ADSL网关对于收到的认证报文进行识别,对于合法用户,动态创建隧道
4、通知客户端隧道创建成功,认证成功
5、隧道搭建完成,虚拟ADSL系统拨号用户可以通过虚拟ADSL网关访问外网。
6、对于访问教育网资源,虚拟ADSL系统可以让用户走原有的网络直接到教育网出口,对于访问联通网络资源,用户直接通过虚拟ADSL网关到外网。
2.5负载平衡
虚拟ADSL系统支持负载平衡。当用户量增加后,只需要增建网关即可完成扩容(接近线性扩容)。用户可以经过多种策略分布在多个网关上。
虚拟ADSL的负载平衡技术无需额外的负载平衡设备,可以较大的降低用户的成本。
虚拟ADSL系统负载均衡
虚拟ADSL系统上支持三种负载均衡模式:
主备模式:采用主、备方式、当主服务器发生问题,切换到备用服务器
平衡模式:采用平衡方式分配用户到不同的服务器上
VIP模式:指定专用帐号到不同的服务器上,例如办公用户走单独的服务器
第三章极速快车技术实现方案
3.1设计原则
3.1.1稳定性和可靠性
本系统最重要目标是在用户使用其网络时,网络必须能够为用户提供持续稳定的、24小时不间断的高质量服务。系统的稳定和可靠是首要考虑的问题。
3.1.2可扩展性
由于一个网络的业务发展是很难准确预测的,因此,网络的可扩展性就显得非常重要。必须在网络初期建设的时候做好规划,以便业务量上来的时候,可以十分方便的对网络进行扩容和必要的升级,满足业务发展的需要。同时,运营网络对升级的另一个要求是升级扩容的平滑进行,不影响或者尽可能小的影响当前业务的运行。
3.1.3可运营
应当为客户提供完整的业务支撑系统,也就是说,必须能够对用户进行必要的计费、鉴权、统计等功能,支持营业厅的相关功能。
3.1.4可管理
管理包括对设备、业务和用户的管理。对设备的管理是对设备正常运行的保障,对业务和用户的管理和统计分析,将有利于更合理的运用系统资源。
3.1.5安全性
运营网络的安全性是和可靠性、稳定性密不可分的。没有安全保障的运营网络,其可靠与稳定也是没有保障的。
3.1.6实时性
实时性是电信级运营网络的重要特征之一。更好的实时性同时也意味着提供更高的用户满意度。
3.1.7投资保护
投资保护是提高客户投资效益的重要内容。新系统应充分适应和利用原有的网络结构和功能,利用原有的设备。另外,提供的新系统应该具有先进性和持续发展能力,至少保证几年之内不落后,而且提供商在几年之内不能停产/停止开发该系统。
3.2虚拟ADSL解决方案
3.2.1虚拟ADSL系统认证管理
通过运营商为接入高校已准备的光纤资源:
1、在校园网网络信息中心机房部署虚拟ADSL网关和认证服务器
网络拓扑如图所示。管理员设置好下发路由策略。
虚拟ADSL系统解决方案示意图
2、向用户发放虚拟ADSL客户端
在学校网站上提供虚拟ADSL客户端下载,学生自己下载后安装客户端即可使用虚拟ADSL业务。
3、由虚拟ADSL进行帐号合法性检查及计费,可以实现统一帐号管理
极速快车自带有一个认证服务器,该服务器提供计费系统的接口,可以直接搭配信利蓝信计费系统进行本地计费。支持包月、包学期、包年、计时等多种计费政策,满足学校的个性化需求。
3.2.2蓝信宽带计费系统
蓝信宽带计费系统提供对多种接入方式的支持,通过严格的身份认证、用户权限管理、信用等级管理等,满足园区网合理运营和有效管理的需求。系统通过与接入设备的配合,可对支持802.1x标准认证、WEB认证等多种接入认证方式的用户实现认证、网络管理及计费的功能。
安全精确
超强的绑定功能:支持多元素(MAC地址、IP地址、NASIP、NAS)绑定,只有通过网络管理部门分配合法帐号才能够使用网络资源;
用户强管理性
用户可以根据需求选择静态或DHCP方式分配IP,以避免IP冲突、盗用,同时确保当次会话不能更改IP地址;
可以针对客户的需求设定三个不同的访问区域,可分为国内,国外,校内,根据用户的访问区域不同设定不同的计费策略;同时可可以轻松设定用户的上网时段;
通过丰富友好的客户端信息提示,用户可以准确知道认证不通过的原因;
网上用户自理子系统采用B/S结构,为用户提供信息查询、密码修改,上网记录的查询、缴费单查询及自助充值等服务。
既可实现集中认证、集中管理,也可实现分布认证、集中管理;
贴切的校园计费模式
丰富的资费政策:支持包月制、计时制和计流量制等多种计费模式:包月无上限、计时包月有上限、计流量包月有上限、简单计时、分时段计时、累计时长、分段累计时长、分时分段累计时长、简单计流量、累计流量、分段累计流量等;
宽带计费数据处理
对计费数据进行恰当的处理可以有效减少用户争议、降低用户投诉。
网络可运营性
灵活认证方式:可采用集中认证、集中计费,也可采用分布认证、集中计费方式来实现不同区域的管理,有效节省费用;统一营帐:提供统一帐单,还可以实现和其他营帐系统的无缝结合;
系统可维护:即使营帐系统等出现问题,也可以方便修正,具备强劲的容错机制。
性能稳定
由于采用的是旁路式架构,对整体网络性能几乎不造成任何影响。
可拓展性
良好的开放性架构可确保系统具有优良的可扩展性。
3.2.3代理私接检测
①、最终用户采用的私接方式通常有三种:
路由器NAT转换
其网络拓扑如图:
此代理方式每台PC使用私有IP,通过路由器提供的NAT功能,使多台PC公用一个IP连接到网络上。
当前家用小路由器价格低廉,此方式已成为校园中主要的私接方式。
代理软件
此方式网络拓扑如图:
此代理方式使用一台PC启用代理软件,作为代理服务器,其他PC通过此代理服务器访问网络。
PC网关NAT转换方式
此方式网络拓扑如图:
此代理方式使用一台PC作为网关,网关外网出口使用公网地址,其他PC与网关内网出口使用私网IP。其他PC通过此网关的NAT转换功能访问网络。
②、虚拟ADSL防私接代理解决方案
虚拟AD防路由器NAT转换
虚拟ADSL具有天然的防路由器NAT转换的私接功能。
虚拟ADSL采用三层隧道协议,隧道建立的关键信息为本地IP与隧道网关IP。当采用路由器NAT转换方式时,路由器后的PC的IP地址为私有地址,虚拟ADSL无法通过此私有地址建立隧道。因此路由器后经过NAT转换的PC无法使用虚拟ADSL访问网络。
虚拟AD防代理软件
虚拟ADSL采用西安信利软件科技有限公司具有专利权的代理检测算法进行客户端的代理检测功能。虚拟ADSL客户端检查网络报文,当检测到有代理特征的数据包时,虚拟ADSL客户端自动下线。这一代理检测功能集成于虚拟ADSL的功能驱动中,有效防止了客户的破解。
虚拟ADSL客户端内置了防代理软件的功能。虚拟ADSL客户端定时检查当前进程列表,当检测到代理软件进程时,虚拟ADSL客户端自动下线。
虚拟AD防PC网关NAT转换方式
网关式NAT转换可看做前两种方式的结合。
当在内网PC使用虚拟ADSL时,可看做路由器NAT私接方式。虚拟ADSL对此方式有天然的防代理功能。
当在网关使用虚拟ADSL时,通过信利公司具有专利权的代理检测算法,虚拟ADSL可有效检测代理报文。当检测到代理时,虚拟ADSL客户端强制下线。
连接限制
虚拟ADSL网关上可以对用户的连接数进行限制。系统通过配置帐号的最大同时登录次数,限制帐号同时在线数,例如,限定帐号同时在线数为1时,该帐号同时只能有一个人使用,默认为多人使用。
第四章虚拟ADSL系统部署
4.1环境部署
4.1.1虚拟ADSL系统环境部署要求
全千兆交换机(端口>16),至少带两个千兆光口,单模千兆光模块2个,主要用来连接外网、认证系统、网关
每台设备通过一个千兆电口上连到交换机内网VLAN端口,通过交换机光口连接到校园网核心
每台设备通过一个千兆电口上连到交换机外网VLAN端口,通过交换机光口连接到联通公网
4.1.2虚拟ADSL系统物理连接示意图
说明:交换机需划分两个VLAN:VLAN1连接校园网;VLAN2连接外网。
4.1.3虚拟ADSL系统机柜排列示意图
4.2服务责任划分
项目活动 责任方 1、场地资料提供 学校 2、开局数据和信息提供 学校 3、安装环境准备 学校 4、工程进度计划 信利公司 5、货物准备与运输 信利公司 6、开箱验收 联通 7、设备硬件安装 信利公司 8、软件安装 信利公司 9、系统联调 协作完成 10、系统测试 信利公司 11、质量检查 协作完成 12、系统阶段验收 协作完成 13、现场培训 信利公司 14、资料和知识转移 信利公司 15、初验 联通 16、项目总结评估 信利公司 17、系统试运行 协作完成 18、系统终验 联通 18、工程协调会 联通
西安信利软件科技有限公司主要责任分工:
根据联通及学校的要求,提供满足工程要求的实施计划,提供满足工程要求的系统软件及服务,经双方确认后予以实施;
负责工程实施阶段的现场组织、管理、协调和实施工作及系统软件的设计和开发;
负责实施工程软件的安装、调试、互连工作;
在设备到货、安装、调试、初验及终验等阶段提供相关文档;
负责编制安装、测试、验收计划,经与甲方确认后,共同进行安装、测试和系统验收;
提供相关培训。
第五章案例介绍
西安欧亚学院创立于1995年,是经国家教育部批准的多科性全日制本科普通高校。自创立以来,学院成长速度很快,如今已位居“中国十大万人著名民办高校”之列。共设有10个分院40多个专业。学院多种学科协调发展,为学生提供4年制本科教育和3年制高等职业教育,现有在校生2万人。
现运营情况:
学校名称 在校人数 目前上网用户 高峰时段在线 网关配置情况 西安欧亚学院 20000 7000人 2500人 4台(启用了P2P限制功能),出口带宽实测900M 自上线系统以来,截止09年4月份,平台注册用户数已突破9000余人,渗透率到达了50%,学生上网时长累积达到300W小时,且用户上网感受有显著提高,
第六章关于信利
信利软件科技有限公司——专业的软件开发服务提供商,致力于为客户提供应需而变的软件开发服务、行业解决方案、通用平台解决方案等系列业务,追求为客户业务的高效运转提供有力IT支撑。今天,已有超过300家客户,正在使用信利自主开发的软件产品。客户涵盖电信、教育、石油、制造、政府、化工、矿业等多个行业;使用领域涉及企业管理、业务运营、信息安全等。除自主软件开发外,信利还提供软件开发外包服务。现每年承接来自国内、日本的软件外包订单超过100人年;已与IBM、微软等公司建立了稳固的合作关系。工期、质量、成本方面的优秀表现,为信利不断赢得客户的赞许。信利有着大规模的软件开发队伍、快速的项目人力资源组织模式,从而确保了项目快速启动和总工期缩短。对于质量严格的管理和不断的提升,使公司取得了良好业务成果并得到了国际权威认证。2001年3月,信利通过了ISO9001认证。在贯彻ISO9000的同时,结合公司实际业务操作流程和经营管理方法,目前开始实施CMMI3级,计划于2006年初通过认证。信利所开发的数据业务管理系统、宽带业务管理系统、拨号计费系统、宽带计费系统等电信后台管理软件,已在中国联通、中国电信的多省分处稳定运行;所开发的“网际巡警”系列网络安全产品,已规模装备中国电信陕西163/169网。精准的成本计算、预测、控制方法,能够使客户清晰掌握需要的花费,最大程度满足客户的成本要求。需求的细致把握、技术与行业知识的同步积累,确保了信利随需应变的方案提供能力。信利注重技术能力、行业知识、项目管理能力的同步培养。为保障对客户需求的理解、分析、咨询能力,信利设有业务分析师岗位,专职负责行业知识的积累和深化。技术能力与行业知识的有效结合,实现了信利需求把握的优异表现与随需应变的方案提供能力。多年来,信利不忘紧随前端技术,探索和钻研新技术课题。面对日益激烈的市场竞争,信利凭借深厚的业务资历与强大的技术实力在业界确立了较高的行业地位和社会价值,赢得了众多国内外客户的高满意度和支持。
虚拟ADSL接入方案技术建议书
校园极速快车(虚拟ADSL系统)技术方案
西安信利软件科技有限公司
西安信利软件科技有限公司1/18 1
|
|
