城市热点-运营商高校解决方案.doc

1、城市热点2166 B-RAS高校运营商统一认证解决方案北京城市热点资讯有限公司2015年4月目 录1 前言工信部于2012年6月30日下发了关于规范基础电信运营企业校园电信业务市场经营行为的意见，要求基础电信运营企业进校园开展电信业务经营活动,必须尊重用户的选择权和知情权,禁止与学校签订旨在以排挤竞争对手为目的排他性合同，工信部要求运营商不得诋毁竞争对手，开展与竞争对手的通信网络、电信终端设备进行对比的宣传或者任何影响竞争对手正常开展业务的宣传；运营商不得收购竞争对手在网用户的电信终端设备（含手机电池等）、电话卡等以及承建校园信息化建设项目时，不得强制校园用户使用指定的电信业务或终端设备，以规

2、范基础电信运营企业校园电信业务市场经营行为,保护用户合法权益。认证面对众多的网络用户，采用什么样的用户认证才可以方便用户和管理? Dr.COM2166计费系统可以支持PPPOE、RIDUIS、WEB+VLAN、专线认证等多种认证方式，可以根据用户的接入情况来自由选择不同的认证方式。WEB+VLAN的方式不用安装客户端，用户可以直接用浏览器进行登录认证，使用起来灵活方便。管理，控制Dr.COM2166计费系统可以支持对用户的带宽分配，用户对数据访问的带宽需求和对视频服务的带宽需求是不同的，因此需要根据不同的用户设置不同的访问权限和带宽权限；对于用户的应用也可以从访问时段、服务带宽及访问地址等进行

3、控制管理。计费 Dr.COM2166计费系统可以支持按时间、流量、带宽及服务等近百种计费策略。针对学校的具体情况，DRCOM宽带计费平台可以提供上下行流量分开计费；国内国外流量分开计费。对于不同的用户在校园网计费上都有不同的策略，同时不论什么级别的用户都需要对用户的上网访问、计费等数据进行统计分析，对用户资料处理，生成对应的报表以供查询。2 公司介绍城市热点是下属多家同为“城市热点”公司的统称，包括“北京城市热点资讯有限公司”、“北京城市热点软件有限公司”及“广州热点软件有限公司”，前身为“广州创意电脑开发中心”，成立于1995年12月，到98年3月成立“广州城市热点资讯有限公司”，2000年

4、，总部搬迁到北京。是集“软件、硬件、服务和运营”四位一体的创新型高科技IT公司。1998年，互联网处于发展的初期，城市热点并没有跟随汹涌的建立网站热潮，而是坚信“互联网需要盈利，盈利需要收费，收费需要计费”的这条简单而朴实的判断，以宽带计费作为切入点，专注于宽带互联网络的“管理、认证、授权、计费和监控”产品的设计、开发和生产。经历8年的不懈努力，为500多家高校、180多家有线电视台宽带网、70多家电信运营商、450多家酒店、60多家小区和商业大厦、2000多家大中型企业事业单位、100多家政府部门等提供了完善的宽带运营产品和解决方案，成为了国内宽带计费的第一品牌。2008年，北京城市热点AC

5、无线宽带接入服务器进驻鸟巢、水立方等核心场馆，倾情服务科技奥运！面对全球化激烈的竞争，城市热点成功地找到了中国IT企业竞争的法宝和核心竞争力“产品创新性”和“服务本地化”。拥有自主产权DrOS的网络操作系统，自98年起开始研制，性能屡创新高，达到了国际先进水平。根据中国的宽带市场的特点，创新了很多新的产品和标准，“计费网关”是城市热点最早提出，从一个不被认同的概念变成了一个标准的网络名词。“即插即用”和“防代理”技术进一步发扬光大，使城市热点成为行业的领跑者。为了第一时间给客户提供最优质的服务，在北京、广州、上海、成都建立平台，在多个城市建立办事处，提供电信级的服务支持和专家级的运营指导，开拓

6、了中国宽带运营商参与高校和酒店运营的独特市场，赢得了市场，也赢得了国内外知名企业的尊重与合作。经过十年的努力，城市热点已经走向成熟，具有完整的质量保障体系、管理体系、品牌战略、销售体系和服务体系，逐渐形成了“责任，创新，专注，共赢”的企业文化，员工超过100名，年产值超过4000万，获得“国家级火炬计划项目证书”和“电子信息产业发展基金”等多项国家级的荣誉。3 网络设计原则早期的窄带计费系统已不能满足运营商的多种服务应用及以用户为核心的计费模式，根据目前运营商宽带管理计费平台的需求及总体设计，在对其计费平台的设计和实施过程中主要考虑以下因素： 标准化和易扩展性计费平台结构的设计严格依据国际标准

7、，技术和产品的标准化结构便于设备后期的可连续性升级。 实用性根据现在的需求和可以预见的需求增长情况设计网络，避免追求高档和不必要的技术花费的巨大代价。 高可靠性DRCOM2166计费网关设备工作稳定，可连续运行两年以上，在后台数据库暂时停止工作的情况下，也能保证网络的正常运转。 网络业务的适应性适应多业务发展需求，提供灵活多样的计费策略，可根据用户的具体需求提供高质量的数据业务运营平台 。 易管理和便于维护计费平台有良好的人机对话界面，分类详细，设置简单，同时具有设备的运行监控界面，便于网络管理员的管理、监控和维护。 网络安全性该计费平台具有严格的访问控制机制，可有效控制非法访问者通过网络对外

8、部资源的访问；同时对数据库采取网络隔离，保证了计费数据库的安全。 网络路由协议的开放性DRCOM计费平台具有很好的可扩展性，同时其网络额外开销是极小的，支持国际标准协议，保证不同设备间的互操作性。4 统一认证防私接解决方案4.1.1 现网网络拓扑图4.1.2 网络拓扑规划图4.2 系统组成Dr.COM 宽带认证系统组成主要包括：l Dr.COM RADIUS服务器主要负责对多业务路由器的认证功能、访问日志采集和防代理私接控制。l Dr.COM Billingware应用服务器Dr.COM Billingware是Dr.COM 校园宽带认证计费系统的后台管理系统,基于B/S架构，提供完整的用户管

9、理、费用结算、策略设置、全业务接口、统计输出等业务模块，系统基于Oracle 9i/10G/11G标准版数据库系统，满足高校大用户量、大并发量环境下的业务数据要求。l Dr.COMLog-Engine日志搜索引擎服务器采集访问日志详单，并提供基于B/S架构的访问详单快速查询的子系统。4.3 方案设计说明本方案采用集中式部署统一认证。在核心交换机上旁挂一台我司2166 B-RAS认证设备，作为Radius Client服务器，认证指到联通AAA服务器，不影响现网拓扑结构，BRAS作为我司服务器的Radius客户端，BRAS把校园用户认证指到我司设备，协同完成对终端的PPPOE认证。而且最终用户必

10、须使用我司客户端，从而更好高效的达到防私接功能。4.3.1 成熟的BOSS全业务接口 我司设备与多家运营商均有成功的对接案例，向联通的AAA系统提供全业务接口，满足BOSS系统向我司后台系统业务需求的写入功能。4.3.2 兼容第3方系统，保留先期投资考虑到联通公司先期已投资本地化的基础认证计费的投资，我司设备可在不影响先期投资的情况下，最大化的保留原有网络设备，完美兼容华三、华为、锐捷、神马等厂家的接入交换机;我方作为Raidus中继，有联通AAA完成认证计费功能，我司设备作为Raidus服务器，协同完成对终端的认证计费功能，实现对原有网络改造的平滑过渡。4.3.3 多认证方式接入的防私接功能

11、城市热点的防用户私接代理技术采用与接入服务器实时通讯的客户端本地检测方式，客户端软件实时检测用户PC的上网行为特征，如果发现有符合代理私接特征的行为，则通知接入服务器停止该用户的接入。该技术具有以下特点：1. Dr.COM的防用户私接代理技术是目前同行业中成熟度最高，覆盖用户终端数最大的防私接代理技术，共有180多家有线电视台宽带网、70多家电信级运营商、900多家高校使用Dr.COM防代理技术，涵盖近百万终端用户；2. 控制实时性，一旦检测有通过私接代理的用户，实时停止该用户的接入权限；非其他厂家事后溯源型的防代理技术，需要时间积累才能定位和控制；3. 部署简单灵活，适用于各种复杂的网络结构

12、，部署时应不影响整个城域网的结构，不需改动接入服务器和网络设备的网络配置4. 支持多种认证方式的用户环境，包括PPPoE、802.1x等，为网络管理者提供完整的防非法私接解决方案；5. 防代理客户端和插件兼容性强，支持Windows vista/7、Mac OS、各种版本的Linux系统，适应高校校园网这种用户操作系统众多的使用环境。另外还兼容个人电脑上各种常见的防火墙和防病毒软件，如卡巴斯基、诺顿、金山、360安全卫士等。6. 具备易升级、防破解的功能，能在短时间内解决因代理软件更新导致的无法防止某些代理软件接入的问题；7. 采用认证服务器和防代理客户端互为绑定的方式，认证服务器实时检测防代

13、理客户端的工作状态；8.防止代理私接的类型全面，包括软件代理、宽带路由器代理、互联网共享等；4.3.4 WLAN统一认证由于学校先期只是部署了AP设备与WLAN的汇聚交换机，因此对于无线终端的认证一方面可由BRAS设备将Raidus服务器指向我司设备来完成认证。另一方面可由我司设备当BRAS和Portal Server，完成对WLAN无线终端的认证计费。另外，我司设备可根据Raidus报文中所上传上来的终端IP地址，来区分出有线、无线区域的流量。4.3.5 账务和用户数据多方透明查询我司后台服务器可提供对于用户的自服务查询平台，实现对账务和用户数据的查询功能。4.3.6 独有的前后台松耦合机制

14、，提供高健壮性系统架构 具备独有的认证用户本地缓存机制，可在Radius及本地认证环境下实现不依赖联通局端所部署的认证计费后台服务器，大大提高系统整体的健壮性和高可用性，降低后台系统的健壮成本 。4.3.7 黑白名单功能白黑名单功能：白名单，存在系统上的账户，才可以正常认证上网；为防止外地手机号在本地使用情况我方特开发了白黑名单功能；最强程度的保障运营商的利益。4.4 系统工作原理在本方案中，业务需求主要有三个部分：1. 认证记账2. 日志采集3. 防代理私接以上三个功能主要由Dr.COM Radius服务器来完成，其工作原理示意如下图：工作原理分别说明如下：4.4.1 认证记账Dr.COM

15、Radius服务器与多业务路由器建立Radius通讯通道，通过Radius标准和扩展属性对用户接入进行认证、授权和计费，并可根据用户的计费策略和控制策略对用户进行接入控制。4.4.2 日志采集旁路日志采集，主要通过光纤分光器或者多业务路由器上划分的镜像端口，与Dr.COM Radius服务器对接，数据包经过Dr.COM Radius服务器内核严格的分析和筛选后，把采集到的User-agent（含浏览器类型、操作系统版本、无线终端型号、无线终端品牌分类等）、IP、账号、登陆信息、访问日志URL等信息到日志采集数据库管理端 ，并存储在存储服务器内。4.4.3 防代理私接Dr.COM Radius

16、Server防私接工作原理图如下：用户多业务路由器Dr.COM Radius ServerInternetPPPoE/802.1XRADIUS（Auth/Acc）RADIUS Server认证成功，且有运行防代理私接客户端防私接客户端检测，如检测防私接客户端无运行则会将用户离线防私接插件检测用户有私接行为Dr.COM将DM下线消息发送到多业务路由器通知Dr.COM该用户使用代理私接多业务路由器接收到下线报文，并强制该用户下线X此组网部署方式，将实现以下基本功能：1.支持PPPOE、802.1X、Web等多种认证方式；2.兼容主流交换机（华为、H3C、神码、中兴、锐捷等）；兼容Windows v

17、ista/7、Mac OS、各种版本的Linux系统，适应高校校园网这种用户操作系统众多的使用环境。还兼容个人电脑上各种常见的防火墙和防病毒软件，如卡巴斯基、诺顿、金山、360安全卫士等。具备易升级、防破解的功能，能在短时间内解决因代理软件更新导致的无法防止某些代理软件接入的问题；3.能够对不同的收费组用户授权下发不同的带宽（如2Mbps用户、4Mbps用户等）4.每个账号设置同时在线的设备数量。 5.防止代理私接的类型要求全面，包括软件代理、宽带路由器代理、互联网共享等；（如采用用自购路由器拨号、代理服务器/客户端等）4.5 方案涉及优势功能、性能指标基本技术要求及配置认证方式和能力1) 支

18、持国际标准认证方式（WEB、PPPoE、802.1x、PPTP等），web、client、802.1X、PPPOE混合同时接入2) 支持用户账号的唯一性认证；同时支持同一账户允许多人同时登陆。3) 支持登陆地址段、VLAN ID来限制户账号漫游。4) 支持多元素绑定功能，这些数据包括：IP地址、MAC地址、VLAN号、用户账号等多元素的绑定，可在这些元素之间采用“与”“或”的关系。5) 支持专线账号、直通账号。客户端1) 防代理功能，要求可以对NAT、软件代理（单双网卡）、重复MAC和IP等情况进行灵活控制允许或不允许。2) 客户端自动升级功能。3) 支持WINXP、Win7、Mac OS、I

19、OS、ANDROID、LINUX操作系统；4) 支持移动终端：在App Store上可下载基于IOS的客户端；在Android Market上可下载基于Android的客户端。用户管理、计费、日志功能1) 管理平台需支持B/S和C/S的方式2) 用户web自注册开户功能。3) 要求用户上网的时段控制。4) 计费系统支持用户带宽限制，例如每个IP带宽限制在1M。5) 用户组的用户管理和方便的开户模板方式。6) 要求不管是L2/L3层结构，都能控制每个用户的上下行带宽，粒度为16-48K。同时支持基于组的带宽控制。7) 可记录用户上网的时间段、所使用的IP地址、MAC地址、VLAN ID等数据，并

20、可统计上网时长流量。8) 可记录用户每次上网的上下行IP流量。9) 要求能详细记录认证用户的详细的访问记录。包括用户电脑的MAC，源IP、用户名、目的地址、访问时间等等。方便网监部门实时查询。10) 能与第三方安全审计系统对接。11) 支持MAC黑名单和白名单功能。12) 可实时监控在线用户当前账号、实时上下行带宽、上下行流量、源/目标端口、MAC、TCP/UDP连接数、上下行发包数、上传下载速率等。13) 支持基于时长、流量、周期的计费策略，可组合成各种计费套餐；支持各种时段及目标IP优惠策略；14) 支持V4/V6分别统计流量，分别计费；15) 流量计费最小颗粒度为1KB；16) 用户账户

21、余额为零时可实时停机，避免出现欠费现象；17) 具备全业务接口，便于用户自主开发及第三方系统对接。系统管理功能1) 支持专用管理软件、TELNET、SMNP等网管功能2) 操作员日志功能，将每个操作员的所有操作都记录在案，防止一些非常操作。操作员根据不同的组有不同的操作权限。3) 要求不同级别系统管理员、操作人员能划分不同的权限。4) 支持通过远程多名操作人员同时操作，并且管理模块跨平台。5) 支持主、备服务器的数据自动同步功能。6) 如今后扩展用户数，要求能在线平滑升级，不影响用户的接入。组网及同步功能1) 支持链路聚合功能，满足上下行单向超过1G流量的网络环境。2) 需支持基于源地址或用户

22、组的策略路由。3) 需持VLAN透传4) 需支持IPV4和IPV6双应栈协议。5) 要求支持L2/L3转发和路由模式，做为透明模式不用改变网络任何结构和IP。6) 要求支持NAT静/动态方式：在以三层路由转发模式工作时，也可以实现NAT功能。7) 要求能提供DHCP服务功能，并能基于VLAN分配指定DHCP地址池功能。8) 要求能和第3方标准RADIUS厂商的RADIUS服务器对接，本身也可以提供RADIUS服务。9) 计费网关与后台RADIUS服务器中断时不影响现有用户接入的机制，保证用户的利益。10) 修改密码、充值时需实时生效；11) 月结时网关无需中断轧账，网络保持通畅。冗灾备份1)

23、要求网关设备有定时备份功能，使设备故障后的恢复工作方便快捷。2) 要求前后台之间互为备份，当后台服务器宕机时不影响用户的正常认证及上网，服务器的数据要定时备份并在故障后可以迅速恢复。3) 设备掉电后恢复供电时5分钟以内可启动使用,且计费状态正常。资质及其它要求1） 要求具有信息产业部颁发的入网许可证。2） 需有IPv6 Ready认证3） 要求提供权威第三方测试部门（如北京、广州、上海或信息产业部）等对产品测试的性能分析报告。4） 具有公安部安全销售许可证。5 Dr.COM 高校宽带认证计费系统特点5.1 成熟先进的软件架构整套校园宽带认证计费系统采用B/S架构，使用J2EE技术开发，针对校园

24、版的特点进行规划，模块与菜单功能分布更切合高校需求。界面多采用数据字典解析、模板展现的先进设计模式，如模块及菜单的实现、角色权限、查询统计等。自助系统的界面换肤功能可以迎合最终上网用户的感受。Dr.COM宽带认证计费系统的软件架构优势： 采用Tomcat+JDK+Oracle Database的架构组合，相比典型的Apache+PHP+MYSQL开源组合，在稳定性、性能、扩展性、业界口碑等方面都更适用于构建长期运营发展的企业级应用。充分利用Oracle Database产品的强大功能实现后台业务的封装。如数据压缩、RAC、备份/恢复、跨库协作、外部表高性能日志入库、支持SMTP、TCP等网络通

25、信开发易与其它模块互联，强大的封装函数库，完善的脚本开发等都是其它数据库产品难以超越或达到的。完全实现了RADIUS SERVER、Tomcat、Database的解耦，Tomcat故障不会影响后台业务的正常运行，Database故障不会影响RADIUS SERVER正常认证。 真正的跨平台部署，完美支持LINUX、WINDOWS等主流系统平台。管理界面支持主流的IE与Firefox内核浏览器，自助服务界面支持所有主流浏览器。采用SSH成熟的开源开发框架，便于实现团队协作，高效而规范，为高质高效满足客户定制化需求提供有力保证。5.2 满足校园网络扁平化的部署环境Dr.COM 高校宽带认证计费系

26、统认证平台，完全满足校园网扁平化环境的准入、准出认证需求，系统能够与市场主流的BAS产品包括但不限于华为的ME60和JuniperMX960等进行配合，实现校园网的IPOE和PPPOE认证方式下的准入、准出的认证、计费和管理。系统提供灵活多样的准入、准出认证组合方案，包括PPPOE准入、IPOE准入认证，PPPOE和IPOE准入、准出一次认证，PPPOE准入IOPE准出认证和IPOE+web准入、准出认证。Radius认证服务器配合BAS能够实现内、外网流量的分别统计，实现内网登录和内网流量不计费，外网登录和外网流量计费。同时Radius服务器可以分别记录用户的内、外网登录记录，并可以控制用户

27、在欠费状态下是否可以登录校园内网。与BAS配合方面，除完成认证、流量统计和计费等基本功能外，可以根据预设的用户控制策略实时变更用户的带宽、权限等策略，通过COA的报文与BAS通讯，实时改变用户的带宽等状态，或实现内、外网权限的切换等策略。5.3 成熟规范的数字化校园接口随着高校信息化建设的脚步日益加快，数字化校园建设在各大高校如火如荼的进行着，数字化校园建设最重要的环节当属高校一卡通和高校宽带认证计费系统， Dr.COM宽带认证计费系统支持与多种认证系统通过LDAP或RADIUS进行对接，2008年至今，已经和新中新、金智、三九、新开普、鑫三强、迪科等国内主流知名校园一卡通公司完成对接，能实现

28、校园卡统一身份认证、收费、业务办理、圈存等业务，并成功与深圳大学、中国农业大学、华东理工、同济大学、南京邮电大学、河海大学、北京联合大学、云南财经学院等综合性大学完成校园卡对接。在与深圳大学新中新校园一卡通对接的项目中，更是实现了认证与计费全业务接口无缝衔接，从认证方面，深圳大学师生宽带认证时只需要输入校园卡的查询密码即可通过认证，实现以校园卡为信息化建设核心，并与认证计费网关实现统一身份认证平台；从计费方面，城市热点开放了计费业务全接口，实现了刷卡开户、收费、扣费、定期圈存和自然月结算策略（运营商通用计费策略）以及缴费自动触发开户等个性化功能，以上举措让深大师生在校园宽带上的使用更加便利，缴

29、费更加方便，计费更加准确合理，极大促进了数字化校园与宽带认证系统整合的步伐。在用户信息共享方面与金智、新中新等厂家实现了用户注册信息的主动获取，另外与网康、深信服等厂家实现了用户在线信息的主动推送。全业务接口方面，可以满足对高校原有计费管理界面的平滑过渡对接，典型案例如华东理工、吉林大学、东莞理工等。5.4 优异的开放性和标准性l B-RAS设备支持宽带认证计费系统与主流厂家接入设备的兼容性，主要体现在对厂家RADIUS私有属性的支持，以及基于Radius的用户策略控制方式，比如强制下线、策略下发等。另外，认证服务器也必须能对接入设备的断电重启后的在线用户下线处理，防止认证服务器端在线用户挂死

30、。Dr.COM 高校宽带认证计费系统 校园宽带认证计费系统已完整支持华为、H3C、Cisco、中兴、Juniper、阿尔卡特、爱立信等主流厂家接入服务器RADIUS属性，并且能够结合厂家接入服务器本地策略组，实现策略组属性下发、主动控制用户下线等功能，使厂家接入服务器的功能能够得到充分发挥。特别是支持与华为对接的成功案例为湖北十堰广电IP城域网，用户量5万，同时在线用户数约1.5万。l 多业务路由器支持Dr.COM 高校宽带认证计费系统 校园宽带认证计费系统支持与Juniper、H3C、HUAWEI、Cisco等主流厂家的多业务路由器的无缝配合，满足校园网络扁平化部署环境下的宽带用户实名认证、

31、接入控制与网络计费的各种需求。如完整支持Juniper MX960 PPPoE、IPoECoA、WEB + CoA等认证模式等。5.5 优秀的易用性人性化设计Dr.COM 高校宽带认证计费系统 宽带认证计费系统基于Dr.COM多年扎根教育行业的经验，根据校园信息中心和网络中心的业务流程和使用习惯，以减轻网络中心工作强度、提高效率为目标，以为网络中心提供高效易用人性化的操作体验为最大原则而设计。以下是Dr.COM 校园宽带认证计费系统B/S界面演示：1.自定义【我的收藏】，自己常用的功能一键式展现。最近使用的功能自动学习记忆。2.一键【导航】，系统功能一目了然。3. 智能记忆最近操作的账号。4、

32、丰富的查询条件可随意选用组合，智能记忆使用习惯。5、随着查询条件值的录入自动快速匹配查询结果。6.动态生成的【查询统计】报表，易于扩展定制。7. 可以将查询条件栏收缩，增加更多的数据显示区域。8.支持个人常用菜单自定义，结合自己的角色合理配置，提高工作便捷性与效率。5.6 兼顾原H3C CAMS系统使用习惯Dr.COM 校园宽带认证计费系统支持可兼容原H3C cams的产品定义，使学校很方便延续原HEC cams系统的用户控制与计费策略，使学校升级Dr.COM校园宽带认证计费系统后，认证计费策略可以无需修改，对学生、老师等用户的使用习惯、计费结算等不产生影响。兼容HSC Cams的功能项包括：

33、 l 完全基于用户的产品控制与精细化管理，同时也保证了灵活、易扩展与产品策略的封装。l 支持业务流的定义l 基于产品策略的区域定义l 基于区域的产品定义l 基于产品组合的模板（供用户套用，便于管理）l 用户产品结算账单l 详细的用户产品使用快照5.7 采集用户访问日志根据公安部82号文的要求，校园宽带接入必须能够做到“落地查人”，对于学校管理而言，没有上网访问URL日志就没有溯源的依据，宽带认证计费系统天然具备实名制认证的用户信息。Dr.COM 高校宽带认证计费系统 校园宽带认证计费系统，支持旁路镜像式访问日志采集，可适应各种异构的网络环境，系统具有高性能的日志存储及海量快速搜索引擎模块，可在

34、短时间内对海量数据进行分析和查询输出。满足互联网安全保护技术措施规定（公安部令第82号）的落地查人的要求。6 Dr.COM 2166 B-RAS计费系统简介Dr.COM 2166 B-RAS 宽带接入服务器是一种专用的以太网宽带接入的智能设备，部署在接入层，汇聚层和核心层的出口，支持分布式和堆叠，适用于城域网，大型小区的宽带运营，负责用户的认证，授权和计费，数据采集、实时控制和执行各种网络和计费策略，采用Dr.COM自主开发的网络操作系统，并将数据传送到后台进行处理，配合Dr.COM 的计费软件，共同组成Dr.COM宽带计费管理平台。Dr.COM 2166 B-RAS 宽带接入服务器支持线速的

35、10GBase-Tx 的L3 层交换，支持L2 L7 层的流分类，在流分类的基础上可以进行基于用户的ACL 和QOS 方面的多种操作，执行各种类型的实时计费控制策略，单台支持50000个用户账号，最大型号支持20000个用户同时在线。支持负载均衡，双机热备份，可靠性非常高。6.1 产品外观前视图6.2 2166 B-RAS技术参数介绍6.2.1 硬件属 性描 述CPUIntel Core2 Duo E7500 2.93GFLASH2GB CFRAM 416G DDR3 EC-1333Hz以太网端口标配：2 x 10 Gigabit Ethernet（光）+4 X GE(光)配置端口本地通信接口

36、 Console 1（RS 232）管理端口1 x FE背板带宽40G电源供电：220VAC电源。交流：220VAC直流（可选）：Input：-38V-58VDC -48V/10A双冗余电源（可选）：Input：-30V-60V6.2.2 网络属 性描 述支持的网络协议和标准IEEE 802.1d IEEE 802.3 IEEE 802.3u IEEE 802.3x IEEE 802.3zIEEE 802.1Q IEEE 802.1P IPV4 (RFC1492) TCP (RFC 793) UDP (RFC 768) ICMP (RFC 792) ARP (RFC 826)TELNET（RF

37、C 854）RIP1 IGMP IEEE 802.3ad链路汇聚控制协议IP地址分配DHCP(RFC 2131)DHCP Relay (RFC 1542)BOOTP (RFC 951)IPV4/V6双栈支持IPv6/v4双栈的认证计费和带宽控制路由Static 支持备份 static route透传RIP V2 (RFC 1723)透传OSPF V2（RFC 2328）NAT支持动态NAT（RFC 1631）单个NAT地址支持58000个TCP/UDP连接NAT地址池当启用5个或5个以上外网地址转换（NAT），总共可支持25万个 TCP或UDP连接，最大支持128个外网地址转换。DHCP支持6

38、4个DHCP地址池DHCP RELAY（RFC 2131）支持最大64个DHCP-RELAY池基于VLAN分配DHCPVLANVLAN Trunk 802.1qVLAN终结VLAN透传支持QinQ支持IP多播支持链路汇聚WAN口与LAN口均支持Web复位向功能用户输入任何网址，系统强制定向到登录界面。若认证通过后，可配置为定向到运营商的Portal。用户登录成功后弹出状态窗口，显示用户使用网络的时长等信息.多语言版本登录界面对于VLAN 和账号密码登录有不同的登录页面Web登录页面内置，可以定制即插即用支持6.2.3 高可用性属 性描 述多出口策略支持单机多进多出集群式负载均衡多台设备组成集群

39、实现负载均衡多网关负载均衡支持1+1热备份支持物理旁路Bypass支持冗余电源支持交流或直流冗余电源自动故障重启支持6.2.4 QoS属 性描 述用户个人带宽上下行带宽控制组带宽支持服务带宽支持基于提供服务的IP的上下行带宽控制6.2.5 管理属 性描 述网管SNMP V1/V2 MIBTelnetSSHWEB用户管理支持最大100000个内置账号管理可实时观测在线人数、统计流量，可观测单个用户的流量和使用网络情况. 可将在线用户强制断开网络，具有日志功能，可统计用户IP地址、MAC地址等信息日志管理用户URL访问记录系统日志记录用户登录记录操作记录6.2.6 安全属 性描 述防代理支持防止软

40、件代理、NAT路由器用户私接支持灵活的防代理策略配置防火墙简单包过滤防火墙系统可以限制用户访问某些网址或IP地址，如反动、色情等站点和资源系统可以全面过滤IP数据包，限制对网络的访问和使用可以防止IP欺骗和IP地址盗用等支持MAC和IP地址的绑定防止用户私设IP地址MAC地址黑白名单IP地址白名单支持对端口进行控制（TCP/UDP/ICMP等等）旁通可以设置某些IP地址/MAC地址的用户无需认证即可访问网络可设置用户无需认证即可访问的网络资源指定特定的网址或IP地址。访问控制列表（ACL）支持6.2.7 认证属 性描 述接入协议Authentication via HTTP/HTML (RFC

41、1866)支持认证服务器类型本地用户资料认证Radius 认证（支持标准属性以及其他扩展属性）多级RadiusLDAP 认证Windows 域Boss系统、CA认证、校园一卡通以及其他行为管理认证认证方式WEB Portal认证（内置Portal或外置Portal）DRCOM专用客户端PPPoEPPTP802.1X6.2.8 计费属 性描 述内置组策略实时计费策略优惠策略基于源地址的计费策略外部计费策略支持6.3 性能参数背板带宽40G平均延迟时间34-149 us单机最大并发用户数64kMAC地址容量64KDHCP地址容量64KVLAN终结数40966.4 业务流程1) 用户登录过程用户登录

42、，输入账号和密码，账号和密码加密传送到2166 B-RAS计费服务器。2) 查询用户过程向后台数据库查询用户资料。3) 确认用户过程计费服务器向后台查询用户的资料和授权设置，确认用户的身份。如果身份合法，允许用户使用；否则登录失败，无法使用服务。4) 用户授权过程根据用户的授权设置，对使用的功能进行授权，包括时间授权、功能授权、带宽授权、访问限制授权、过滤授权和信用授权，按照该用户的收费费率进行计费。5) 监控用户过程实时监控用户的使用情况，并根据每个用户的授权进行判断是否接受或拒绝用户所要求的服务，并将用户使用情况送到后台数据库进行纪录。6) 保存用户访问纪录过程将用户的使用过程中产生的纪录

43、文件送到后台数据库保存。7) 终止授权过程用户的使用权限超过预先设定的阀值（如累计时间、流量、信用等参数）后，将给用户警告，并且终止对用户授权，强制结束服务。8) 用户注销过程用户要去退出服务，注销用户的授权。9) 保存用户连接纪录过程将用户连接纪录包括登录时间、结束时间、流量、服务内容纪录和产生费用等资料纪录在数据库内。10) 用户登录过程用户登录，输入账号和密码，账号和密码加密传送到2166 B-RAS计费服务器。11) 查询用户过程向后台数据库查询用户资料。12) 确认用户过程计费服务器向后台查询用户的资料和授权设置，确认用户的身份。如果身份合法，允许用户使用；否则登录失败，无法使用服务

44、。13) 用户授权过程根据用户的授权设置，对使用的功能进行授权，包括时间授权、功能授权、带宽授权、访问限制授权、过滤授权和信用授权，按照该用户的收费费率进行计费。14) 监控用户过程实时监控用户的使用情况，并根据每个用户的授权进行判断是否接受或拒绝用户所要求的服务，并将用户使用情况送到后台数据库进行纪录。15) 保存用户访问纪录过程将用户的使用过程中产生的纪录文件送到后台数据库保存。16) 终止授权过程用户的使用权限超过预先设定的阀值（如累计时间、流量、信用等参数）后，将给用户警告，并且终止对用户授权，强制结束服务。17) 用户注销过程用户要去退出服务，注销用户的授权。18) 保存用户连接纪录

45、过程将用户连接纪录包括登录时间、结束时间、流量、服务内容纪录和产生费用等资料纪录在数据库内。6.5 2166 B-RAS优势功能介绍6.5.1 2166 B-RAS处理性能卓越设备采用多核技术，比上一代产品性能提高2-3倍；产品采用4核CPU，双操作系统的平台，继承了原有DrOS平台系统优异的稳定和高性能的优点，以DrOS为核心的同时又采用了开放的linux操作平台作为应用开发平台，支持IPv4/v6双栈技术，实现了双向2G（即4G的全线速转发能力），转发能力比Dr.COM 2133 B-RAS提高2-3倍，万兆全双工64字节包转发率达到100，真正实现万兆线性转发。6.5.2 支持IPv6/v4双栈的认证计费和带宽控制IPv6(Internet Protocol Version 6，即网际网路协定版本6)也被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，例如路由方面、自动配置等方面。新一代Dr.COM 2166 B-RAS全面支持IPv6，完全满足新一代IPV6网络认证计费和运营管理需求。同时，北京城市