一、前言

随着Internet的迅速发展和普及，网络已成为现代人工作、学习、生活和娱乐中越来越重要的工具和载体。宽带城域网不断涌现，许多大中型企业、大中小学校里已经或即将投入资金建造自己的区域网络，并接入Internet。网络延伸到的每个角落，无论是办公室、机房，还是家庭，人们都可以通过网络方便快捷地上网、游戏娱乐、即时沟通、查阅资料等等。
这无疑为人们学习和生活带来了极大的好处，但与此同时，建设通讯线路、购买通讯设备、聘用运营维护人员来运营网络是需要大量的资金的投入，而这些投入最终是需要一套稳定可靠、切实有效的计费收费软件来回收成本，同时期望通过计费的手段以使网络更合理、更有效的使用，最大程度上节省带宽资源，达到网络的使用最优化。
采用合理的计费管理系统是保障网络正常稳定运营的关键。
本方案结合的沟通交流，同时参照我们以往的客户实际运营经验书写而成，不祥之处有待补充。

二、需求说明

2．1 现状网络结构图

2．2 现状说明

1、整套网络以H3C的802.1x接入产品为主,当前上的认证计费管理系统是H3C的CAMS；
 
2、网络分布范围比较广，结合基地的地理区域特点，802.1x网络共分为20多个接点；
 
3、用户以802.1x拨号认证访问internet，分为预收费用户和后收费用户，认证成功后方可以接入到网络并访问互联网；
 
4、目前约有近7000个拨号用户，用户数量仍在持续增加。
 
5、目前想把网络中心的帐户管理权利下放到各二级单位，通信中心只负责账务核查。
 

2．3 需求说明

为了能够合理、高效建设接入网、“以网养网”、实现投资设备的价值最大化，拟在网络内自建认证、计费系统；系统的需求如下：
1、目前CAMS无法对用户进行分组管理，同时没有带账务管理功能；
 
2、新认证计费系统可以对用户进行分组管理，每个二级单位管理各自用户，同时需要带账务管理功能；
 
3、新认证计费系统必须保证严格的权限划分，运行不同角色的管理员来管理不同的业务；
 
4、新的认证计费系统必要要保证与H3C设备的无缝对接，保证现有用户的平滑切换到新系统上；
 
5、系统具有良好的管理界面、可扩展性、易升级；
 
6、本次接入认证计费系统需要支持1万左右的用户认证计费及其管理需求。

三、现状和需求分析

3．1 网络接入模型

根据双方的沟通，所有接入单位全部为二层802.1x接入网络，汇接到通信中心H3C核心交换机，由挂接到H3C核心交换旁的认证计费CAMS系统做用户身份认证和计费清算。
H3C核心交换与用户侧走802.1x接入协议，H3C与CAMS之间走radius认证计费协议。
启用新的接入系统和计费系统后，将在H3C旁侧挂接新的认证计费系统，同样走radius认证计费协议，完成CAMS用户的无缝切换，同时扩展用户分组管理和账务核算功能。
典型的网络接入模型如下：
 

3．2 客户使用流程变更

客户需要到各自二级单位上申请宽带接入业务，由各二级单位宽带管理人员自行创建帐号和帐户信息并开通，由通信总公司统一设定计费规则和费率类型，工程人员上门调试安装完成后，并进行认证接入开通测试。
用户通过802.1X拨号终端进行拨号呼叫到802.1X终结交换机上，802.1X终结交换机接收客户机输入的用户名和密码，经过认证计费系统认证授权通过后，802.1X终结交换机打开客户机的端口，在端口打开开始和结束时刻802.1X终结交换机会向认证计费系统发送计费开始和计费终结包，计费系统根据设置的计费规则来进行计费和扣费操作，完成用户一次上网会话的完整计费流程。
用户侧的802.1X端口打开后，用户即可以透过交换机进行访问internet，同时802.1X交换机开始统计会话的流量和时长信息。

3．4 认证计费模型

802.1X交换机接收客户机的802.1X拨号呼叫时，按照radius协议向认证计费系统传送用户名、密码，认证计费系统根据预先设置好的规则验证用户名和密码信息，验证成功后向802.1X交换机发送授权信息（包括最大时长授权、最大流量授权、静态地址授权等等），验证失败发送失败通告。
当802.1X交换机接收验证失败信息通告后，关闭802.1X拨号隧道，终结会话；当802.1X交换机接收到验证成功的授权后，分配相关网络资源给该会话，同时发送通知给客户机，802.1X拨号隧道建立成功。然后802.1X交换机发送用户上线通知包（包括用户名、会话ID、BAS地址、用户IP等等信息）到认证计费系统，计费系统开始计费，802.1X交换机同时启动会话流量、时长统计和控制，802.1X交换机可配置启动会话心跳（alive）功能，实时记录用户当前的统计状态。
802.1X交换机接收到客户机的802.1X拨号客户端终止802.1X拨号隧道，或者802.1X交换机自动检测到会话终止时，会向认证计费系统发送下线通知包（包括用户名、会话ID、用户IP、上行流量、下行流量、会话时长、掉线原因等等信息），计费系统根据这些信息并结合预先设定好的计费规则来进行计费和扣费操作。

四、解决方案

根据以上的分析并结合实际的需求，我们提出以下组网方案供选择。

4．1 网络组网

保持H3C的802.1X接入网络组网方式不变，只是将CAMS认证计费服务器更换成新的认证计费服务器即可。

4．2 启用认证计费系统的多种认证机制

客户机身份认证时，802.1X交换机只负责将用户信息（用户名和密码）以及会话信息（网关地址、用户IP地址、用户MAC地址等等）传送到认证计费系统，认证计费系统要根据预先设置好的认证机制，结合传送上来的信息来验证每个用户的身份。

4．7．1 用户名和密码CHAP验证

802.1X交换机和认证计费系统之间的启用安全的CHAP认证机制，通过随机串来生成随机密码摘要在网络上传输，从而有效防止网络监听导致密码泄密。认证计费系统根据预先开设好的用户名和密码对该随机串进行正向运算并比较结果，进行校验。

4．7．2 MAC绑定认证

根据实际的运营实例来看，企业网络内部除了需要对用户和密码进行认证外，还需要绑定其它物理参数来唯一确认用户，绑定参数可以有多种，比如IP绑定、MAC地址绑定、DSLAN端口绑定等等。
1、 IP地址一般动态分配，静态维护IP地址工作量巨大，不可取。动态分配的IP要实现绑定基本不太可能。
2、 推荐采用MAC绑定认证，因为整个网络是二层接入网络，802.1X交换机从IP层上直接可以获取到客户机的MAC地址，在计费系统上可以查看上线用户属性，点绑定即可自动绑定到该MAC地址上。客户机的MAC存在可修改性，但是需要一定计算机知识的人才可以修改，从大范围上来说，采用MAC地址绑定是切实有效的。
为解决一个用户可能会在多个终端上登陆，如果绑定了MAC地址会导致用户无法正常登陆，可以将用户常用的MAC放宽到3-4个常用MAC，这样既使用MAC地址来保证用户帐号安全，同时又允许用户在已知的多台上方便登陆。

4．7．3 唯一认证

企业网运营一般要求一个帐号同时只能一次登陆，认证计费系统可以设定一个帐号是一次登陆还是多次登陆，对公用帐号可以允许多人同时登陆在线。

4．7．4 最大在线时长Session-Timeout

用户认证通过后，可以根据金额或者包月过期情况返回本次会话最大的时长，到这个时长后802.1X交换机会根据这个时长控制自动终止用户会话，防止用户过期使用系统。

4．7．5 强制下线功能

用户802.1X拨号会话建立后，管理员有时候由于各种原因要将用户强制下线，可以通过网管系统关闭物理端口，同时也可以通过计费系统发送下线指令强制已经在线用户自动掉线。

4．3用户分组管理机制

系统可以将用户划分成不同的分组，同时将管理员绑定到这个分组上，这些管理员只可以管理到指定分组的用户，不允许越组管理。
分组管理员可以创建用户、修改密码、充值缴费、查询账单、更改计费策略、查看用户在线状态、查看用户实时流量、实时控制用户下线。
针对本次项目，各二级单位的用户属于同一个分组，这个分组属于一个或者多个管理员进行管理，通信总公司可以查看到所有的用户和所有的管理员。

4．4管理员的分权限组管理

系统将权限进行严格划分成角色组，每个管理员属于一个角色组，从而实现不同的角色组管理不同的任务。
从角色组上划分为超级管理员、网络运维管理员、客服服务管理员、财务核查管理员、帐户收银管理员等。每个角色组分别控制不同的权限功能。
 

4．5完整的财务流水管理

系统针对用户的收费方式，分成预收费和后收费，预收费用户需要充值，先缴纳费用方开通，后收费用户是先开通先使用后收费，每月产生一个收费账单，由收费管理员通过管理界面进行对账单进行营收操作。
针对充值和账单营收，系统对每一笔资金的操作均保留财务流水，允许账务核查人员来核查每次财务流水，同时可以按照用户分组、时间段来统计查询财务统计情况。实现对用户的账务管理。
 

4．6 分支机构与总部的账务结算

系统拥有结算功能，每个二级单位拥有独立的用户管理功能和收费功能，同时需要按照通信公司总部的结算规则来按月结算费用给通信总公司。
系统可以设定按照每笔账单的结算类型，二级单位除可以看到对用户的收费记录外，还可以实时查看结算给通信总公司的费用。总公司可以核查二级单位的用户缴费情况，同时可以对二级单位出具结算账单。

4．7 用户的费用组成

系统针对用户的费用分成多个部分，包括用户帐户当前余额、优惠金额、初装费、其它费用，当前余额是预付费用户或者后付费用户保存到帐户上的金额，优惠金额是优惠返回给用户的金额，这部分结算可以作为每月的使用费进行清算，初装费是一次性费用，只有用户销户结算时才会选择退还，其它费用比如杀毒软件费、服务费等等会记录到这部分，这部分是不给退还的费用。
用户的计费清单是每次用户上网的结算费用，用户账单后付费用户每月产生的收费账单，预付费是每月开始的时候就立刻扣除本月的月费用。下图是用户的计费清单：
 

4．8启用认证计费系统的多种计费机制

目前宽带计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费，但是从实际运营情况来说，流量计费基本众多运营商废弃，转而采用时长和包月计费，包天计费也非常少，在酒店会用到包天这种方式。建议应用时长计费和包月计费两种模型来应用到本次项目中。

4．8．1 时长计费

时长计费是按照用户802.1X拨号会话的时长来计算金额的，时长计费是最直接、精确的计费方式，同时可以非常灵活的设置优惠措施，可以按日、周、月、时间范围来优惠。

4．8．2 包月计费

包月计费是目前众多宽带运营商应用最为广泛的计费方式，粗放的包月就直接是每月收取固定费用，精细的包月可以是包月上下限方式，比如99元包100小时，超过100小时按照2元/小时收取。
本系统还支持一种步步高方式的包月，比如99元包100小时，超过100小时按照2元/小时收取，超过200小时按照3元/小时收取，最高封顶150元等。

4．8．3 应用计费

系统预留应用计费接口，可以针对网络后续建设中的增值服务进行计费，比如网络电视、视频会议、IM即时沟通等等收费业务，针对每个服务预留服务代码，可以纳入到统一的计费管理平台上。

4．8．4 计费建议

建议采用精细的包月计费方式，使计费政策更贴近用户，实际运营证明，这种方式是被广大用户所接受。

 

4．9 启用认证计费系统的多种收费方式

收费是宽带运营商必须面临的问题，目前主要的收费方式是后收费、预收费、免费三种。作为一个商业运营的网络运营商，免费只能是针对内部职工或者商业合作用户，免费用户量比较少，更多的是收费用户。

4．9．1 后收费

后收费是针对长期使用的用户采用的一种计费方式，中电信和中网通都大型宽带运营商均采用这种模式，用户先使用，网络使用费随电话费用一并交纳，这种方式更多的是和电话帐单一并输入，需要宽带计费系统和电话收费系统做统一帐单接口，涉及到电话计费厂商和宽带计费厂商的系统接口问题。本系统提供开放的API，可以允许电话计费厂商获取某个帐号某个月的帐单情况。

4．9．2 预收费

预收费方式是用户先交费，然后使用，当费用不足时，自动停机！这种方式目前被广大专网运营商所采用，方式灵活，管理方便。宽带计费系统自成体系，不需要和电话计费合并输出计费帐单，不足之处是用户需要分开交纳电话和宽带计费费用。

4．9．3 收费建议

收费方式可根据实际情况来决定，两种方式均可，以方便用户最为最高准则。

4．10 启动认证计费系统的分级权限管理

计费系统的权限拆分的非常细致，可以自己定义角色来分配给不同的管理员，同时权限可以方便的授权或者回收。

4．10．1 权限管理

管理系统针对每个操作项目均可以管理到，提供提供功能权限管理界面，可以允许后续开发的管理模块自由挂接到系统中，纳入到统一的权限管理中。

4．10．2 角色管理

管理系统可以对权限进行分组，每个分组设定一个角色名称，每个角色的权限可以授权或者回收，每个角色可以有多个管理员。

4．10．3 管理员管理

管理员可以划分成超级管理员、帐务管理员、客户服务管理员、工程服务管理员等等。

4．10．4 操作日志

每个管理员的每一步关键的操作，系统均记录到日志系统中，允许超级管理员可以随时查看每个管理员的工作情况及其出现纠纷的时候，该由那个管理员负责。

4．11 详尽的操作日志

系统记录详细的操作日志，包括用户开户、修改密码、管理员变更用户、用户登陆认证错误信息、系统执行错误信息均实时显示到计费系统的日志界面上，管理员很非常方便即可查询到用户的使用情况，如下图：
 
 

4．12 面向用户的WEB自服务系统

用户可以通过访问WEB自服务系统来修改密码、查询账单、查询计费清单等等功能。
1、用户自行修改密码，减轻管理员的工作压力。
2、用户自行申请业务，可以允许客户通过自服务系统提交业务申请或者故障申报，管理员从后台第一时间来审核或者对故障进行审理。
3、账单查询，用户可以实时查询自己每月的费用情况。
4、计费清单查询，用户每次使用均会产生详细的计费清单，用户可以自行查询。
5、缴费流水，用户可以针对每次充值缴费或者营收缴费的费用流水均可以通过自服务系统查询到。

4．13 管理系统的可拆装模块化设计

认证计费系统的管理系统采用模块化设计，根据功能的扩展可以通过插入功能模块即可实现平滑升级，系统开放管理系统的开发API，允许第三方按照API来编写模块挂接到管理系统中。
管理系统和查询系统全部基于JAVA SERVLET编写，可以通过更改模板HTML文件来切换页面的显示方式，而不需要修改业务程序。

4．14 认证计费系统的功能描述

认证计费系统详细的功能描述请参见《Wiradius功能说明手册.doc》,本次仅结合本项目进行一个描述。

4．14．1分布式体系结构

Wiradius可以进行分布式布置，单台机器承受用户在3－5万左右，随着用户规模扩大，可增加前台服务器来分担认证和计费的压力。采用Wiradius可以最大程度上保证系统平滑扩展到大容量用户规模。
随着用户规模的扩大，Wiradius可以实现一次布置，平滑升级效果。

4．14．2 稳定可靠的系统

系统基于Linux操作系统之上，采用最稳定的Oracle数据库作为后台数据运算核心，认证计费代码采用ANSI C高效代码编写而成，认证计费核心支持宽带、VOIP、内容计费支持，可以随时升级扩展成多业务计费平台。
Wiradius可以实现在电源、硬件、网络可靠的情况下，3年持续运转，正常工作，不给用户造成因认证计费系统导致用户全网中断。

4．143．3 可扩展功能全的管理系统

管理系统全部为模块化设计，显示页面采用HTML模板和标签，企业网页编辑人员均可对系统进行切换显示界面。
Wiradius可以被配置或者修改HTML模板来达到更换企业形象，丰富的标签机制保证不需要任何的程序开发。

4．14．4 丰富的业务功能

　　支持所有接入方式，基于时长、流量、包月、包天等进行实时计费；
　　灵活的费率策略和折扣定制功能，支持所有的计费方式；
　　支持多种付费类型：预付费、预付费卡、后付费、免费等；
　　支持多种认证方式：Raduis、Web、VLAN、802.1X拨号等；
　　具有强大的访问控制和系统管理功能：带宽控制、上网时间段/范围控制、在线用户/在线服务/访问记录实时监控等；
　　带宽控制可以精确到Kb，有效保证带宽的合理使用；
　　具有完善的帐务管理和报表统计功能。

4．14．5 系统的实时性

　　实时性包括实时计费、实时服务、实时自服务、实时访问控制和实时系统监控等五个部分。
　　实时计费：对于预付费业务（包括卡业务）的用户，能进行实时费用扣减和资源反算，并提供服务限制。对于超出阈值的用户可以实时断线；
　　实时服务：服务实时申请/撤销/暂停/恢复；用户在服务申请后立即能够使用，一旦被禁止又将立即无法访问；做到“即开即通、即禁即止”。对于可充值卡，能够做到随时缴款随时启用；
　　实时自服务：用户可以实时通过Web查询当前自己的帐户余额和服务使用记录，对帐户密码等信息的更改能够实时生效；
　　实时访问控制：当用户达到设定的限制或服务限额，系统将根据设置采取拒绝访问、催缴通知等措施；
实时系统监控：对异常情况进行实时告警。

4．14．6 数据库的备份恢复机制

数据的可靠性、安全性是计费系统的关键。我们在系统设计时通过以下措施实现高可靠性和高可用性，实现计费系统7X24小时不间断正确工作。
管理员可以随时通过管理系统备份数据库到操作台机器上，系统每天凌晨会做数据库的全备份。
往往企业在上计费系统时，会上双机系统，成本很高，达到的效果也不是很理想，我们建议采用单机系统，定期备份核心数据库，同时做一个备份机器以防止主服务器硬件异常能最快的速度恢复上去。
从实际的运营经验来看，单台服务器承受3－5万用户完全没有问题，只要机器硬件稳定可靠，最好定期备份，是最经济、可靠的方案。

4．14．7 认证计费系统的防攻击性

认证计费系统是整个宽带运营的核心，它一旦遭受攻击，将造成全网的认证延迟，甚至是全网中断，所以对计费系统的保护是良好运营的前提。
规划认证计费系统放置到802.1X交换机同一个VLAN，对外不可见，在外部放置一个WWW查询服务器，允许客户机查询自己的上网记录情况，该WWW服务器只允许通过数据库连接端口访问认证计费中心，其它端口全部封闭。
认证计费核心服务器由内部操作控制台来控制，不对外开放远程控制权限，需要厂家支持的时候，可临时开放远程控制权限。

五、实施建议

根据Wiradius的功能列表，同时结合本次项目特色，做如下项目实施建议：

5．1 安全布置

认证计费核心和802.1X交换机放置同一个VLAN，不允许外部访问，只接收前台WWW查询服务器的用户服务查询。

5．2 预留分布式

认证计费核心可随着用户增长，增加服务器即可实现平滑升级。

5．3 数据库硬件配置

采用硬件RAID5方式对数据库进行磁盘冗余，用户量规模扩大可采用磁盘阵列，增强系统的IO能力。

5．4 数据库备份和恢复

采用定期在线全数据库备份机制，保证系统的数据安全。5000用户规模的认证计费核心数据库一年的数据量大约是500M左右，备份和恢复时间大概是5－10分钟左右。

5．5 认证方式

采用安全的CHAP认证方式，对客户机采用自动绑定MAC地址功能，达到最大程度上限制一个帐号固定终端使用。

5．6 802.1X交换机启动计费心跳功能

802.1X交换机启动计费心跳功能，保证由于客户机异常关机、或者汇接交换异常时，最大程度上保证用户的计费数据正确。

5．7 计费方式

计费方式采用时长和包月两种机制，可实现步步高等精细计费，增强用户使用黏性。

5．8 收费方式

建议采用预收费、后收费、免费并存方式，一般用户不交费或者欠费用户自动停机，达到预警时间内将自动发送提醒邮件到客户邮箱。单位用户、固定用户可采用后收费，每月收取。免费用户是针对关系用户可以免费使用。

5．9 分角色管理

按照运营角色分成超级管理员、收费管理员、客户服务管理员、工程管理员等角色。实施对整个系统的管理。

5．10 统计报表

系统可出具用户清单、用户帐单、日报表、月报表、财务流水报表、历史上线报表、上线时刻走势图、时长消费走势图等等分析统计报表，以供业务统计分析。

5．11 数据输出

系统提供开放API，允许第三方软件开放商针对本系统开发，同时提供数据导出机制，导出到XLS文件中或者文本文件中，作为第三方的数据对接凭证。

5．12 其它功能

其它没有提及的功能，请参照《Wiradius功能说明.doc》手册！