校園網(wǎng)流量計費系統(tǒng)的系統(tǒng)設計案例目錄TOC\o"1-3"\h\u16569校園網(wǎng)流量計費系統(tǒng)的系統(tǒng)設計案例 1199511.1校園網(wǎng)絡設計 1130571.1.1設計要點分析 1203821.1.2網(wǎng)絡核心層設計 11201.1.3網(wǎng)絡分發(fā)層設計 2233671.1.4網(wǎng)絡接入層設計 2159921.1.5校園網(wǎng)拓撲設計 2181681.1.6IP地址的規(guī)劃 3123951.1.7VLAN的規(guī)劃 4244931.2流量計費系統(tǒng)設計 5291321.2.1流量計費系統(tǒng)架構分析 5296141.2.2代理計費服務器 6157361.2.3計費服務器 6187471.2.4計費服務器選擇 692751.2.5流量計費系統(tǒng)網(wǎng)絡拓撲設計 6110911.2.6計費平臺功能部署 7217481.2.7系統(tǒng)安全性能部署 9178641.3方案論證 111.1校園網(wǎng)絡設計1.1.1設計要點分析本次研究設計目的是建立一個高性能的信息校園網(wǎng)絡系統(tǒng)。通過教育設施的寬帶接入方案，確保有效的資源共享。在校園網(wǎng)創(chuàng)建完成的基礎上，大學校園網(wǎng)流量計費系統(tǒng)才可實現(xiàn)并且穩(wěn)定運行。1.1.2網(wǎng)絡核心層設計大學校園網(wǎng)絡的基礎是層次結構的布局，核心層基于兩個千兆的網(wǎng)絡交換機和三級交換模塊。主要的交換機之間使用PRT中繼器，如果兩臺交換機之間的線路發(fā)生故障，傳送的數(shù)據(jù)將迅速自動切換到一臺。傳輸線使網(wǎng)絡真正具有較大的容量、多媒體傳輸?shù)目煽啃院透哔|量的管理[8]。核心層主要為匯聚層和接入層提供最佳的數(shù)據(jù)傳輸功能，它是路由交換中的骨干。它在實現(xiàn)功能的基礎上，作用是為了提高數(shù)據(jù)包的交換速度，以最快的速度去交換數(shù)據(jù)包，但是在這同時其不參與軟件包的特定操作。核心層還包括IP路由配置管理、IP組播、靜態(tài)VLAN、生成樹、設置陷阱和警報、RMON監(jiān)控管理和服務器組鏈接。1.1.3網(wǎng)絡分發(fā)層設計在連接到校園內的建筑物時，主樓可以擺放輔助交換機，當然也可以是路由交換機。交換機和核心交換機采用全雙工方式，以確保順利的交換。分發(fā)層將核心層和接入層操作相結合的基礎上相互作用。在學校網(wǎng)絡中，分發(fā)層一般會提供IP地址、VLAN劃分、廣播域等一些基本的功能。1.1.4網(wǎng)絡接入層設計接入層的交換機位于每一層樓，并可直接訪問信息。使用高性能的超群交換機，網(wǎng)管，便于擴充。交換機應保證必要時提供擴展槽，根據(jù)需要增加端口模塊以及千兆模塊。接入層的主要作用是提供網(wǎng)絡訪問的途徑。主要提供的功能包括頻帶分割、寬度交換等，過濾MAC層。在設計互聯(lián)網(wǎng)接入時，建議使用專用的光纖局域網(wǎng)線路。在這種模式下，通過向CERNET管理部門申請IP地址和注冊域名、配置路由器設備、租用電信部門專線、路由器，為校園學生上網(wǎng)收費做好鋪墊[9]。分層設計方式會有很多好處，比如可擴展性，也就是說網(wǎng)絡在可擴展性的基礎上模塊化增長，在這同時可以不出現(xiàn)任何問題；其次是設計的靈活性，系統(tǒng)在不改變整個網(wǎng)絡環(huán)境的前提下，可以很容易的將網(wǎng)絡升級到最新版本，就算網(wǎng)絡升級了，但是也不會影響其他級別的網(wǎng)絡；然后是簡單，分層設計可以將網(wǎng)絡劃分為很多個單元模塊，這樣不但可以隔離廣播風暴的傳播，還可以使得故障的排除更加容易。很大程度上降低了網(wǎng)絡的復雜性；最后一個好處就是可管理性，分層結構將單個設備的配置復雜性很大程度的降低了，在這樣的前提下，使得系統(tǒng)操作更加容易也方便管理。1.1.5校園網(wǎng)拓撲設計針對本?，F(xiàn)存在的問題模擬本校的校園網(wǎng)，首先得有分解小網(wǎng)段的能力，需要利于網(wǎng)絡故障的查找，并且方便處理；還得方便管理控制，必須考慮到未來的拓展能力，最后根據(jù)實際的情況和需求選擇網(wǎng)絡拓撲結構的選型[10]。本次校園網(wǎng)搭建采用雙核心設計，充分發(fā)揮了網(wǎng)絡中原有的BRAS的性能、策略靈活而且可靠。在引入三大競爭性運營商的接入服務同時，為了統(tǒng)一運營管理，將學生宿舍網(wǎng)與辦公樓網(wǎng)、無線網(wǎng)合成了一張網(wǎng)。采用百兆雙絞線連接接入層到匯聚層，采用千兆光纖連接匯聚層到核心層，核心層連接到AC還有防火墻都是采用萬兆光纖。核心三層設備需要實現(xiàn)數(shù)據(jù)冗余，防止停電或特殊情況發(fā)生之后，學生無法上網(wǎng)。利用AP實現(xiàn)對全校無線覆蓋。校園網(wǎng)搭建拓撲如圖3-1所示。圖3-1本校網(wǎng)絡搭建拓撲圖1.1.6IP地址的規(guī)劃將用戶所需的網(wǎng)關放置在將要認證的設備上。若選擇VPN遠程接入的網(wǎng)關，將會被放置在網(wǎng)關設備上；若認證點選擇匯聚交換機，則網(wǎng)關會被放置在匯聚交換機上；若認證點選擇核心交換機，則網(wǎng)關會被放置在核心交換機。在網(wǎng)關被規(guī)劃完成的前提下，可以作為DHCP中繼對下面的用戶分配IP地址，也可以利用靜態(tài)不同的地址池對用戶進行IP地址規(guī)劃。學校共15幢建筑物，分別是1座行政樓、4座教學樓、9座宿舍樓、1座餐廳。具體網(wǎng)段分配如表3-1所示。行政樓：共5層，每層15間辦公室，平均每間10臺電腦。教學樓：沒座7層，1-2層為辦公室，每層70臺電腦；3-4層為機房，每層400臺電腦；5-7層為教室，為了方便同學們使用，每層預留至少254個ip。宿舍樓：每座6層，每層50間，每間6人。餐廳：共三層，高峰期人流量在4000人左右。表3-1校園整體IP地址規(guī)劃整體IP地址內部私有IP地址192.168.0.0/16已分配IP地址區(qū)域IP地址段行政樓192.168.1-5.0/24教學樓1192.168.6-15.0/24教學樓2192.168.16-25.0/24教學樓3192.168.26-35.0/24教學樓4192.168.36-45.0/24宿舍樓1192.168.46-60.0/24宿舍樓2192.168.61-75.0/24宿舍樓3192.168.76-90.0/24宿舍樓4192.168.91-105.0/24宿舍樓5192.168.106-120.0/24宿舍樓6192.168.121-135.0/24宿舍樓7192.168.136-150.0/24宿舍樓8192.168.151-165.0/24宿舍樓9192.168.166-180.0/24餐廳192.168.181-196.0/24以教學樓1為例，進行IP地址規(guī)劃如表3-2所示。表3-2教學樓1網(wǎng)絡地址規(guī)劃表編號位置所屬VLAN所屬網(wǎng)段網(wǎng)關1教學樓11層（辦公室）VLAN02192.168.6.0/24192.168.6.25422層（辦公室）VLAN03192.168.7.0/24192.168.7.25433層（機房）VLAN04192.168.8-9.0/24192.168.9.25444層（機房）VLAN05192.168.10-11.0/24192.168.11.25455層（教室）VLAN06192.168.12.0/24192.168.12.25466層（教室）VLAN07192.168.11.0/24192.168.11.25477層（教室）VLAN08192.168.14.0/24192.168.14.2541.1.7VLAN的規(guī)劃VLAN作為一種虛擬的局域網(wǎng)，劃分必須要有一定的標準，規(guī)律，合理。對于PC類終端劃分而言，在接入交換機每個接口只連一臺終端的前提下，為了去剛好對應一個C類網(wǎng)絡地址，常常每200個物理接口被劃分為一個VLAN[11]。對于傳統(tǒng)的網(wǎng)絡IP電話或其他特殊終端，多數(shù)采用先接入交換機，再接入IP電話，最終接入PC的連接方式。在這兩個原則的基礎上還需要可以對廣播域進行有效的避免。教學樓1VLAN規(guī)劃如表3-3所示。表3-3校園網(wǎng)絡VLAN規(guī)劃表名稱VLANID教育網(wǎng)VLAN100運營商VLAN200行政樓VLAN300教學樓VLAN400餐廳VLAN500宿舍樓VLAN6001.2流量計費系統(tǒng)設計1.2.1流量計費系統(tǒng)架構分析大學校園網(wǎng)絡整體架構是基于核心、匯聚、接入三層去進行部署的。最終匯聚層通過防火墻分別接入運營商網(wǎng)絡。校園網(wǎng)流量計費系統(tǒng)主要包括流量計費服務器、撥號計費服務器和數(shù)據(jù)庫服務器三部分組成。為了能夠有效地進行網(wǎng)絡計算和實時監(jiān)測網(wǎng)絡，要想計算成本，那通常會查看MAC地址，源IP地址，IP地址，MAC地址的網(wǎng)絡數(shù)據(jù)包等?；跈z測的是互聯(lián)網(wǎng)費用計算系統(tǒng)SOCKET程序，其建立了一個混合模式，通過偵聽和捕獲的網(wǎng)絡數(shù)據(jù)包，然后網(wǎng)絡數(shù)據(jù)包通過網(wǎng)絡服務器，最終數(shù)據(jù)包被分解，同時提取相關的信息?；谒@得的數(shù)據(jù)，然后按照IP計算進行計費。系統(tǒng)的總體架構如圖3-2所示。圖3-2計費系統(tǒng)體系結構圖圖3-3價格協(xié)商管理器邏輯結構圖1.2.2代理計費服務器價格協(xié)商管理器作為控制網(wǎng)絡流量的關鍵，它既需要以市場模型為基礎進行計費，還需調節(jié)用戶作用網(wǎng)絡行為。價格協(xié)商管理器主要功能是與用戶進行價格協(xié)商，在用戶與代理服務器第一次連接時，其通過瞬間流量與定價函數(shù)對網(wǎng)絡流量價格進行計算與評估，最終反饋給用戶以達到價格協(xié)商的目的。如果用戶接受此價格，價格協(xié)商管理器將在流量日志中記錄當前用戶的名稱及協(xié)商價格、源IP地址等信息，同時通過連接轉發(fā)管理器將當前用戶的本次連接地址進行定向連接。如果用戶不接受，則取消本地連接。1.2.3計費服務器數(shù)據(jù)的采集、數(shù)據(jù)的處理、系統(tǒng)數(shù)據(jù)管理和用戶信息查詢四個部分共同組成計費服務器。系統(tǒng)數(shù)據(jù)管理模塊提供了一個方便交互界面，其可以簡單有效的完成資源監(jiān)控和收費調整[12]，以防價格浮動太大；數(shù)據(jù)采集是計費服務器的核心，可以自動從代理服務器日志文件里面獲取需要的信息；用戶信息查詢板塊為了給用戶提供便利，信息查詢模塊利用了Web頁面發(fā)布，用戶可以很清楚的，很清晰的通過瀏覽器查詢自己費率的情況。1.2.4計費服務器選擇本次流量計費系統(tǒng)設計中選擇RG-SAM。RG-SAM可支持802.1X、遠程VPN、PPPOE、IPOE接入認證方式，可實現(xiàn)按時長、流量、包月等靈活的計費策略1.2.5流量計費系統(tǒng)網(wǎng)絡拓撲設計在本次研究設計中，組成校園網(wǎng)流量計費系統(tǒng)的服務器分別有入網(wǎng)憑證管理服務器、認證管理服務器、日志管理服務器、入網(wǎng)設備管理服務器、流量管理服務器和計費管理服務器。將服務器和儲存進行虛擬化之后，對虛擬網(wǎng)絡進行統(tǒng)一資源部署。拓撲圖如圖3-4所示。圖3-4流量計費系統(tǒng)網(wǎng)絡拓撲圖1.2.6計費平臺功能部署操作系統(tǒng)為了在系統(tǒng)運行過程中避免一些異?，F(xiàn)象，所以除正常安裝操作系統(tǒng)軟件以外，必須打上相關關鍵補丁WindowsServer2008R2EnterpriseEditionSP1X64版本+打KB2577795補丁WindowsServer2012R2StandardEdition版本SQLServerSQLServer2008R2EnterpriseEditionSP3X64版本SQLServer2012EnterpriseEditionSP1X64版本SAM集群部署網(wǎng)絡拓撲，如圖3-5所示圖3-5SAM集群部署網(wǎng)絡拓撲IP地址規(guī)劃表3-4SAM集群IP地址規(guī)劃表服務器A服務器B集群IP192.168.1.10192.168.1.10私有IP192.168.1.8192.168.1.9網(wǎng)絡檢測IP192.168.1.1192.168.1.1網(wǎng)絡心跳192.168.150.3192.168.150.4串口心跳COM1COM1服務器硬件連接圖3-6服務器硬件連接圖安裝SQLServer數(shù)據(jù)庫和SAM軟件SAM集群部署時，安裝SQLServer數(shù)據(jù)庫和SAM軟件的步驟與單機部署一致1.2.7系統(tǒng)安全性能部署權限管理部署點擊安全管理>用戶自助權限，添加新的自助權限，如圖3-7所示。圖3-7進入權限界面圖填寫權限名，并在可用功能中勾選允許用戶自助使用的功能，如圖3-8所示。圖3-8權限設置圖在開戶時“用戶自助權限”字段選擇需要使用的自助權限，如圖3-9所示。圖3-9用戶權限實現(xiàn)圖日志管理部署管理員通過日志了解系統(tǒng)運行的詳細情況，包括了系統(tǒng)的啟動、關閉、運行過程中的操作等。如圖3-10所示。圖3-10日志管理配置圖設備隔離OSPF配置routerid192.168.1.1ospf1peer192.168.145.4peer192.168.145.5area0.0.0.0network192.168.1.10.0.0.0network192.168.145.10.0.0.0network192.168.1.10.0.0.0quitarea0.0.0.15network192.168.15.10.0.0.0quitRIP協(xié)議配置rip1ver2undosummarysilent-interfaceallpeer192.168.2.254network192.168.0.0filterip-prefixbb2imports1/0/0quitipip-prefixbb2permit192.10.0.022gr24le24quit1.3方案論證本節(jié)會在負載均衡、防代理私接，安全認證，人員管理多方面對RG-SAM進行論證，得出本次研究設計中選用的RG-SAM計費系統(tǒng)服務器是完全符合條件且可以用來進行方案設計。（1）支持鏈路匯聚和負載均衡論證在校園網(wǎng)絡中，特別是在大學這種用戶數(shù)量龐大且每年用戶數(shù)量大幅度增加的情況下[13]，RG-SAM能夠適應日益復雜的校園環(huán)境，體現(xiàn)出平臺的靈活性。在這同時，也不忘為客戶提供高質量低成本的網(wǎng)絡服務。RG-SAM可以支持多達6千兆字節(jié)的網(wǎng)絡端口，可以支持雙進雙出的端口配置模式，同時RG-SAM的端口還支持鏈路聚合的功能。RG-SAM可與網(wǎng)絡負載均衡器、交換機負載均衡模塊配合，以達到多個網(wǎng)關負載均衡的目的，很大程度上提高訪問速度并為企業(yè)和網(wǎng)絡提供便利，確保用戶在使用期間、平衡地分配大流量，對企業(yè)和運營商來說無疑是一個很好的解決方案。（2）防用戶代理私接論證城市熱點采用接入服務器本地監(jiān)測作為所用的防用戶私接代理技術的方式。這使得計算機用戶行為特征無時無刻的被實時測試，如果發(fā)現(xiàn)與私人代理連接兼容的行為，則停止這個用戶的訪問。這個技術有以下特點：目前，同一行業(yè)中最先進的針對私人用戶代理的保護技術應用在城市熱點，包括最大數(shù)量的用戶終端。180多個寬帶電視網(wǎng)絡，70多個電信運營商，500多所大學。RG-SAM反代理技術，包括近一百萬的最終用戶。實時控制，一旦用戶通過了自己的秘密代理，對用戶的訪問就會被實時停止；部署簡單靈活，適用于幾乎所有復雜的網(wǎng)絡結構，部署不應影響整個城市的網(wǎng)絡結構[14]，不應改變網(wǎng)絡配置、訪問服務器和網(wǎng)絡設備；支持用戶使用不同的認證方法在不同的環(huán)境，包括PPPOE，802.1x等。防止代理和插件之間的兼容性，支持新的操作系統(tǒng)，如Windowsvista和Windows7，以及支持各種版本的Linux系統(tǒng)，特別是大學校園作為一個用戶操作系統(tǒng)頗多的場所。此外，個人電腦兼容普通防火墻和抗病毒軟件，如卡巴斯基，諾頓，金山，360安全衛(wèi)士等。為了在短期內解決與機構軟件升級有關的問題，必須能夠容易地進行升級和防止侵入，無法防止使用某些代理軟件；通過連接到服務器并保護其免受代理客戶的攻擊，實時訪問服務器以確定代理客戶的工作狀態(tài)。（3）賬號管理及控制策略論證為了改善互聯(lián)網(wǎng)的管理，一方面需要確定與互聯(lián)網(wǎng)連接的學生的確切位置，另一方面也需要確保學生的帳戶只能放置在一個網(wǎng)站上，這將使他們能夠規(guī)范互聯(lián)網(wǎng)的訪問。這就要求對成本會計系統(tǒng)認證，本系統(tǒng)可以把校園網(wǎng)用戶在使用的網(wǎng)絡設備和賬號的位置進行聯(lián)系，比如VLAN和MAC。多層次服務的提供基礎一定是要能夠對