亿特网络认证计费系统

――校园网络计费管理解决方案

 

下载Word文档

 

一、     需求分析

1.1 校园网络计费管理分析

1.2 计费管理系统分析

二、     功能概述

2.1 总体特征

2.2 功能介绍

2.3 细节特点

三、     运行环境

3.1 硬件要求

3.2 软件要求

四、     网络结构

4.1 使用硬件路由器环境

4.2 使用软路由及代理服务器环境

五、     实施细节

5.1 安装软件

5.2 软件基本设置

5.3 计费策略设置

5.4 控制策略设置

5.5 小组与用户账号设置

5.6 用户上网计费处理

5.7 收费处理

5.8 机房计费管理

5.9 二次开发

5.10 上网卡与充值卡

5.11 WEB管理

六、     安全措施

七、     成功案例


一、 需求分析

 

1.1     校园网络计费管理分析

 

在今天互联网已经成为获取知识的重要源泉。无论大中小学校,都以各种各样的方式接入了互联网。校园网与互联网的连接确实给师生员工提供了极大的方便,但是,这也给管理带来了严峻的考验。在校园网络中主要需要考虑以下几个问题:

 

◆ 网络可持续发展问题

运营一个网络,不仅仅要有初期的软硬件投入,还需要有不断的运营费用。如果完全依靠学校的资金来维持网络运营,可能给学校带来不小经济负担。这就需要充分发挥网络的可营业性,实现健康的自主盈亏方式,从而促进学校网络的可持续发展。因此,引入网络计费是可持续发展的必由之路。

 

◆ 灵活的计费方式

确定了计费思路之后,我们还需要考虑哪些情况需要计费,哪些情况不需要计费,以什么样的标准计费。只有解决了这些问题才能够将计费落到实处。所以,计费系统必须拥有非常灵活的计费策略,以满足校园网络复杂的计费需求。

 

◆ 网络的管理

由于互联网是一把双刃剑,而学校是一个教书育人的地方。这就要求我们尽可能的发挥互联网的积极作用,消除它的消极作用。因此,在计费的同时还需要对整个网络的应用起到监督控制作用。

 

1.2     计费管理系统分析

 

目前网络计费系统主要分为软硬件结合计费和纯软件计费两大类。在以前由于计算机性能较低,操作系统网络功能较弱,使得硬件计费系统成了计费的唯一选择。随着计算机性能的突飞猛进,操作系统的网络功能也越来越强大,使得纯软件计费系统成为现实。本公司选择了纯软件计费的发展方向。使用纯软件计费系统的好处有:

安装简单:不需要专业人员安装调试,一般人员即可自行安装设置。

升级便捷:由于纯软件,可以随时对系统进行升级,并且不需要专业人员。

性价比高:纯软件计费系统的性价比要比硬件计费系统高得多。

二次开发方便:由于纯软件计费系统构建在目前主流的系统平台上,使得二次开发极为方便和简单。

 

 


二、 功能概述

 

《亿特网络认证计费系统》是本公司独立研发,拥有完全自主知识产权的一款网络计费管理产品。她运行在Windows平台上,能够对各种网络接入方式进行计费管理。经过近七年的不断发展,及几百家用户的实际使用,目前她的功能已经非常完善,同时也得到了众多用户的一致好评。她不仅仅具有网络计费功能,同时还具有强大的网络管理功能,能够非常好的适应校园网络的管理需要。

 

2.1 总体特征

本系统可以对使用有线、无线、路由器、共享路由MODEM、代理服务器等各种上网方式进行计费与控制,是一套可以代替硬件计费的软件计费系统。本系统提供了种类多样的计费方式,并且有功能强大的上网控制功能。

    适用范围:宾馆酒店、学校、小区、电信、一般单位等;

    运行环境:服务器端

              Windows 2000Windows XPWindows 2003

              客户端、管理端

              安装任何操作系统的机器。

    支持用户:60,000用户(如有需要,可轻易扩充)

    运行时间:无故障运行时间大于180

    上网方式:专线、拨号、有线、无线

    网络功能:内置网桥、DHCPNAT、端口映射、防火墙等等

    支持软件:桥接、软路由、ICSNATISASygateWinroute、各种代理服务器 。不需要任何数据库系统支持。安装设置仅需几分钟。

    管理方式:可以在局域网、互联网中任何机器上进行管理 ,支持WEB页面管理

    计费方式:按分钟、按小时、按流量,包月、包日等(可自由定义时间)

    控制方式:上网时间限制、目的端口限制、目的地址限制、连接数限制、带宽分配、IP+MAC绑定、网址过滤、下载限制、日费用流量限制、月费用流量限制等

    接口支持:支持外部数据库,提供各种接口的开发包。

    版本种类:标准版、增强版、企业版

 

其它特点:

安装简单:从安装到使用只需要几分钟时间。

支持即插即用:无论客户机设置了什么IP地址、任何网关,不需要作任何修改,可直接上网,为酒店客户提供了极大的方便。

无需数据库支持:本系统使用了专有数据格式,专为计费系统而设计,不仅效率高,同时也为用户节约了数据库系统费用。另外安装设置非常简单的同时也提高了计费系统的安全性,任何人不可以修改计费数据,也不会由于数据库系统故障导致数据的丢失。当然,可以通过开发接口读取系统中的任何计费数据。

极高的容错性:可以以任意时间间隔进行任意数量的备份。可以备份在本机,也可以备份到网络中的任何一台机器上。并且备份数据量极小,2000用户的数据量也只有1MB。当系统遇到灾难性故障时,只需恢复一个文件,即可将系统恢复到正常状态。

2.2 功能介绍

    一、互联网计费功能

 

    系统内置性能、稳定性很高的网络共享功能(NAT)

    本系统内置的NAT可实现客户机透明上网,客户机不需要做任何设置即可上网。同时,系统不依赖Windows的任何服务。性能超一般的路由器,映射记录数最高达6300000个,能够满足5000甚至更多台机器同时上网。可支持16条网络出口的带宽合并(企业版)。使用本系统NAT,能够防范ARP欺骗,抵抗各种攻击 ,支持VPNPPTPL2TP协议穿透;

    系统内置的DHCP能实现客户机之间的隔离,使得各客户机之间不可互访。

    提供“客户机必须通过DHCP分配IP才能上网”选项。启用该选项后,如果客户机自己设置固定IP地址将不能上网。

    支持802.1q协议的VLAN计费; 

    使用VLAN计费,不需要用户输入用户名和密码,并且能自由选择适合自己的计费方式。极大方便了宾馆、酒店用户的上网计费与管理。

    支持Radius认证计费;

    任何遵循rfc2433,rfc2548,rfc2759,rfc2866,rfc2867,rfc2868,rfc2869标准的硬件、软件系统,都可以使用本系统作为Radius服务,对其接入用户进行认证与计费,享受本系统提供的众多计费方式与费用控制方式。同时,本系统支持PAPCHAPMD5挑战、MS-CHAP-1MS-CHAP-2等多种认证方式。

    系统内置网络桥接功能,能够以P4机器完成千兆级数据线性转发,从而满足ISP级的计费需要; 

    支持路由器、共享路由MODEMWindowsICSNATISAMS ProxySygate及所有应用型代理的计费和控制;

    本系统性能稳定、效率高,可支持大量用户在线计费,适合一般单位、学校、宾馆、小区等上网管理与计费;

    支持WEB方式登录,在用户上网前自动弹出登录页面,客户端不需要安装任何软件;

    在系统中启用WEB登录功能后,如果用户没有经过身份验证,系统会自动在用户浏览器中弹出登录窗口,实现该功能不需要在用户机器上作任何设置。 并且,用户登录后可以继续访问他想访问的网站或者直接访问管理员规定的网站。

    可实时查看用户正在访问的网址,并可设置只监视感兴趣的内容;

    按需拨号功能;

    当有用户使用网络而服务器未连上网络时,系统会自动拨号。当没有任何用户再使用网络时, 系统会在指定空闲时间之后自动挂断,这样以节省网络费用的开支。

      基于WEB管理,管理员可以在任何地点管理本系统;

    本系统是一个远程管理系统,管理员可以通过浏览器在网络中的任何地方对本系统进行管理。 并且拥有严格的权限分类。

    可设置免费地址列表,并且客户访问这些免费地址可以不用登录;

    可设置免费地址列表,在流量计费时可以对这些地址列表不予计费。并且可以让用户不进行任何登录就可以访问这些地址。

    两种帐号控制方式:自建用户帐号以及调用Windows域用户帐号;

    如果单位内部没有使用WindowsNT的域,可以自建用户帐号,以实现对用户的计费和管理。如果单位内部已经使用了域进行管理,可以直接使用WindowsNT中的域帐号实现用户的计费和管理。

    基于策略的控制方式,一套策略可应用于多个用户及多个组;

    系统中的各种控制方式都以策略提供,这样,定义一个控制策略,就可以对若干个用户或小组进行控制。

    基于小组的控制方式,每个用户被定义在一个小组中,便于管理;

    每个用户都属于一个小组,这样能够对同种性质的用户进行有效的管理,个人可以继承小组的各种控制策略,也可以使用自己的控制策略。

    可限制每个用户的登录地址,防止一个帐号被多人使用(IP限制、MAC限制以及IPMAC绑定限制)

    对每一用户帐号,最多可以给他定义8IP地址和MAC地地址,这样就将用户帐号和IP地址及MAC地址绑定在一起,以防帐号被盗用,特别适合小区用户上网方式。

    可自由设置不同的计费标准,并且可针对不同用户,能够同时使用流量计费和时间计费;

    系统允许设置各种不同的计费策略,每个策略可自由选择按时间计费还是按流量计费,并且可自由设定任意时间段的费率。 时间计费方式下,支持按分钟计费和按小时计费。

    支持预付费式,用户只有先充值,然后才能上网,并且当预付费余额低于指定的金额后,将不允许用户再使用网络。

    可设置包日、包月、月租、减免费用、封顶费用等;

    具体内容请看帮助手册。

    可限制用户每月、每日的费用、流入量和使用时数;

    当用户使用达到规定限额后,系统会自动断开他的网络,直到下一次他的上网条件满足时才允许他再次上网。

    可设置用户帐号的过期时间,便于临时开设用户帐号;

    比如在学校,可以将学生的帐号过期时间设置成他们毕业的时间。到期时,用户帐号自动被禁用。

    详细的用户费用记录,有每月、每日的费用数据表以及直观的费用图;

    可查询用户一年12个月、一个月每天的费用数据;

    可设置消息通知,用户在登录系统时可以直接收到通知,并且可具体到一个部门或一个人;

    用户使用客户端软件可随时查询自己的费用使用情况,以及费用控制情况;

    用户之间可以相互发送消息,以满足单位内部的信息交流;

    独特的充值卡功能;

    网络运营商可以制作一批充值卡,然后利用各种网点销售充值卡,从而极大减轻营运的工作量。用户使用充值密码不仅可以对自己的帐户进行充值,同时还可以用充值密码自助申请上网帐号。

    网络流量分析图表;

    能够提供近24小时每小时,近1小时每分钟的ARPTCPUDPICMP等收发包数、字节数列表、曲线图,比较图等,以及可定义的各种网络服务流量情况,比如HTTPFTP等等。从而能够让网络管理员了解网络流量的分布情况。

    具有“客户机自动登录”功能。当客户机上网时,系统将自动使用一个帐号给客户机登录。对于帐号的选用,可以按MAC地址、IP地址及IP范围。方便一些不需要用户登录,但需要管理的使用者。

    能够彻底检测任何私设代理(二级代理)情况,技术国内领先。

    无论用户使用路由器、克隆MACIP、双网卡做NAT、单网卡做NAT、单网卡安装Proxy等等。不需要在客户机安装任何软件,只需要在计费系统中启用私设代理检测,即可检测出用户使用的各种代理,并且做出相应的对策略:指定时间内停止上网、指定时间内限制其连接数、限制其上、下行带宽等。

    能够保护客户机免受ARP病毒攻击、ARP欺骗(使用客户端登录)

    只要内网有一台机器感染ARP病毒,就有可能导致整个局域网用户上不了网。另外,有些用户非法使用一些黑客软件或网管软件进行ARP欺骗,从而影响其他用户的上网。本系统不仅能够在服务器端防止ARP欺骗,同时也能够防止客户机受到ARP欺骗,从而彻底防止任何方式的ARP欺骗。

    能够保护客户机免受IP地址冲突影响(使用客户端登录)

    IP地址冲突不仅仅对用户正常使用计算机造成干扰,同时还会暂时影响用户上网(特别是WIN9X系统)。本系统能够完全屏蔽任何IP地址冲突,同时还能够保护客户机IP地址不被其他用户抢用。

    能够防范IP地址盗用,杜绝不法用户以“影子”计算机方式上网(使用客户端登录)

    所谓“影子”计算机,是指该计算机拥有与其他机器一样的IP地址与MAC地址,其目的是借助合法用户登录之后,利用该机器的地址上网,从而逃避计费系统对他的计费,同时还将网络流量计入合法用户账号中。造成合法用户利益受损。本系统对客户机的数据包进行加密,只有登录的计算机数据包才会被网关接受,而被进行登录,就算该机器的IPMAC地址与已登录机器的一样,也不能上网。

    用户账号能够与计算机硬件自动绑定,防止包日、包月用户将账号借给他人使用(使用客户端登录)

    管理员只需要选择哪些账号需要与硬件绑定即可,当用户第一次登录计费系统后,就会自动将该机器的硬件信息与账号进行绑定,从而使得该账号无法在其他机器上使用。

    在用户计算机上直接防止任何代理服务器的使用(使用客户端登录)

    无论客户机上安装什么样的代理服务器软件(网关型、应用型),本系统客户端都能够自动对其进行100%的屏蔽,避免网络提供商的损失。

    内置PPPoE服务,支持客户机PPPoE拨号

    本系统内置的PPPoE服务不依赖于操作系统的功能,不需要启动Windows的“路由和远程访问”服务,用户能够跨VLAN进行拨号。同时支持WEB认证、客户端认证、VLAN认证及PPPoE认证。

    功能强大的“即插即用”;

    国内首创、国际领先的单网卡即插即用!并且也是国内唯一支持代理服务器即插即用的软件计费系统!

    不需要使用集线器(HUB),不需要可网管交换机做镜像端口,任何普通交换机、普通单网卡PC,在任何网络位置中安装亿特计费系统V7版本,即可实现对所有客户机的身份认证与计费!

    管理员只需要在一台能够上网的机器上安装本系统,不需要进行其他任何设置(系统安装后自动进行了设置),客户机即受到上网限制,需要认证后上网!并且客户机不需要作任何改动!为酒店、宾馆、 无线上网计费提供了极大的方便。同时,配合“免登录地址”,可以以最省的价格实现客户机即插即用上网,而不需要进行任何认证。本系统即插即用能够跨VLAN起作用。

    功能强大的带宽分配 ,支持每个用户单独的不对称上下行带宽分配;

    系统提供上网用户平均分配网络带宽及管理员静态分配用户网络带宽。 本系统提供的带宽分配功能可以与硬件相比。该带宽分配是真正意义上的带宽分配,它不是基于连接的带宽分配,而是基于IP的带宽分配。比如,分配给某用户20KBps的带宽,他用一个线程下载文件,可以达到20KBps的速度,如果他同时以5个线程下载,则每个线程只能达到4KBps的速度,也就是说,分配给用户的带宽是指用户的总带宽,是他所有网络应用的总带宽。 同时提供智能带宽分配功能,自动检测用户下载行为,从而进行带宽分配。比如,用户同样使用浏览器浏览网页及下载,浏览网页的带宽不会受到限制,而下载的带宽会受到限制。同时可以自定义当实际带宽使用到多少百分率的时候自动启用带宽分配,而未达到时自动停用带宽分配,从而达到最佳的网络利用率。

    功能强大的“用户登录自选路由”功能;

    国内首创该功能的软件计费系统!该功能能够完美解决宾馆酒店中用户使用VPN的问题,从而解决酒店网络管理人员最为头疼的问题。同时在多网络出口中也能够发挥很大的作用。查看详细说明方案

    VPN穿透设置;

    专为VPN穿透设计,能够自动检测客户机使用VPN的行为,自动为其分配预先设置好的公网IP。当用户断开VPN连接后,自动回收公网IP

    能够阻断主流P2P软件的下载以及P2P视频软件;

    可以拦截:BitTorrentBitComet,比特精灵,BitTorrent PlusuTorrent等,无论是否使用协议加密)eDonkey,eMuleGNUTELLADirectConnectFastTrack、迅雷等等。能阻断目前主流的P2P视频。如:PPLivePPStreamQQLive等。该限制与“P2P软件阻断”分别控制,以满足不同用户的管理需要。

    能够在客户机浏览的网页中插入任何内容的广告;

    客户机不需要安装任何软件,也不需要做任何特殊设置,可以在用户浏览的网页中插入任何广告内容。

    基于特征码的网络软件过滤器,能过滤上百种网络软件的使用;

    能够对目前主流的网络游戏、网络聊天、网络视频等等软件进行过滤。同时,对于未知的软件,以后只需要升级特征码库即可,无需进行软件升级。

    用户上网行为记录,能记录目前大多数的网络软件使用;

    能够记录用户使用的各种上网软件。比如,在什么时间使用什么聊天软件、什么网络游戏,使用了多长时间等。

    端口映射

    本系统内置了效率极高的端口映射功能,支持两种方式,满足任何一种实际需要。

    MAC地址(网卡地址)IP地址绑定;

    客户端不需要安装或运行任何软件,即可实现对用户MAC地址和IP地址的绑定,以避免局域网内IP地址的乱用和盗用 ,并且能够不允许用户修改自己机器的IP地址。能够跨VLAN支持IP+MAC绑定。

    支持按不同用户进行网址过滤、下载限制、发送信息限制等;

    在系统控制策略中可对不同用户上网的内容进行过滤,比如过滤掉色情、暴力等网站。另外,还可以控制用户下载文件以及控制上传信息的容量。

    可保存用户上网的详细日志(包括访问HTTP的记录),保存天数任意设定;

    可限制用户访问的目的地址(适合中国教育科研网用户);

    由于中国教育科研网是区别国内外网络流量的,所以,可以限制用户只能访问国内的地址。

    可限制用户访问的目的端口;

    限制目的端口可以很好的限制网络服务,比如,不允许单位内部使用QQ聊天,那么禁止8000端口就可以。如果不允许使用FTP,禁止21端口等。

    可限制用户使用网络的时间;

    可以定义用户使用网络的时间,只有在规定时间内,用户才可以登录,并且时间到时,自动将用户断网。时间支持一星期七天的自由设置,可定义到1分钟。

    连接数限制,有效限制用户使用二级代理上网;

    启用该功能后,可以有效的防止用户安装代理服务器为其他人提供上网服务,从而避免网络费用的流失。

    多用户WEB管理。

    系统最多支持255个管理员同时进行WEB管理。

    多网络出口的带宽合并与负载均衡

    能够实现最多16条线路的负载均衡与带宽合并,可以是ADSL与以太接入的混合带宽合并。并且是目前唯一实现了不基于策略路由的智能选择线路的软件!如果一个单位同时接入多条不同供应商的线路,比如同时接入了电信、教育网、网通三条线路。当用户访问外网时,系统自动选择一条速度最快的线路。不需要管理员进行任何的预先设置!完全智能选择。同时当一条线路有问题时,自动绕开该线路,当问题解决时,自动恢复使用。

    支持第三方对本系统的二次开发

    本系统提供了功能强大的二次开发接口,部分接口向所有用户免费开放。通过这些接口,用户可以开发出适合自己需要的系统,详细信息请到官方网站下载开发包。

    强大的策略路由功能,支持源IP、源端口的策略路由

以往要实现策略路由功能,只能用高档路由器或Linux系统,而它们一般只能实现基于源IP地址的策略路由。本系统支持基于源IP地址、源端口的策略路由,为多网络出口的单位解决了实际需要,特别是高校的需要。

 

    二、上机计费功能(标准版、增强版、企业版均有上机计费功能)

 

    上机计费适合学校机房、网吧这些不仅仅要求对上网进行计费,更重要的是对使用机器进行计费的场合。

    在计费策略中可单独设置上网计费标准和上机计费标准,比如上网费用设置为0.017/分钟(1/小时),上机费率设置为1/小时。如果用户只上机而不上网,则每小时只收1元,如果又上网,则按每分钟0.017元收费。

    运行上机计费客户端后用户不输入用户名、密码,不经过身份验证则不能进入Windows系统中。并且,当然用户注销时将直接关机。

    可以通过管理端查看用户机器的屏幕。

    可以远程对用户实施关机等操作。

    如果在学校机房使用,能够很好的处理教学性上机与有偿性上机。

    可以使用预付费方式直接从帐户中扣除余额。

    管理员可以给登录用户发送消息。当预付余额低于规定标准时会提醒用户。

 

2.3 细节特点

本系统即是一套通用的网络计费系统,同时也针对学校的特殊性,开发了针对性较强的功能。

◆ 免费地址设定

所谓免费地址,是指访问该地址的任何用户不会被计费。这主要考虑了中国教育科研网(CERNET)的计费特点。CERNET一般按网络流入量计费,并且只计访问国外的网络流量,而国内的流量不计费。所以,本系统中提供了免费地址,可以将CERNET的地址表导入到系统中,成为免费地址列表,使得校园网络计费与CERNET计费接轨。同时,还允许用户不用登录就可以直接访问这些免费地址资源。

 

◆ 强大的带宽分配

本系统可以对任何一台上网的机器进行带宽的管理,并且,每台机器的带宽可以不一致,实现区别对待。在校园网中引入带宽分配是非常重要的,因为校园网中用户较多,可能一些用户下载文件会导致整个网络速度变慢,影响网络的正常使用。

 

◆ 连接数限制

连接数限制主要用来控制二级代理的使用。有些用户可能会私设代理服务器为校园网中的其他用户提供上网服务,这样会造成网络费用的流失。通过连接数限制,能够有效的控制私设代理的行为。如果为别人提供上网服务,将导致自己与他人都无法正常上网。

 

◆ 免登录地址设定

校园网络计费与其他地方计费的一个重要区别就是同时存在需要计费的用户与不需要计费的用户。比如,办公室上网不需要被计费。学生在机房,教职工在家属区上网需要被计费。本系统提供了免登录地址设置,这些免登录的地址即可以是IP地址范围,也可以是网卡MAC地址。通过与VLAN的配合,能够很好满足这种需求。

 

◆ 上机计费管理

上机计费不同于上网计费,是两个不同的概念。上机计费是指只要使用机器就进行计费,而无论使用者是否上网。而上网计费只针对用户上网的计费,使用机器不会被计费。在学校中计费系统具备上机计费的功能十分重要。因为,学校存在着众多的机房对学生开放,对于这些场合,不仅仅是要收上网费,还需要收取上机费用。本系统即可对上网用户进行计费,同时也能够对上机用户进行计费,并且可以同时区分上网与上机计费。

 

◆ 网址过滤及互联网地址限制

为了能够尽可能的为学生营造一个健康的上网环境,将一些不健康的网址过滤掉是必须的。本系统提供了网址过滤功能,可以自定义过滤关键字,比如过滤:sexgirl等。同时也提供下载文件限制,比如不允许下载exerarmp3等等,文件类型完全自定义。在一些特殊要求场合,可以规定用户只允许访问指定的网站,其他网站一律被禁止。当然,规定学生上网规则的时候不会影响教职工的上网。

 

◆ 访问日志

本系统能够记录用户访问的每一个HTTP,收发邮件记录,使用聊天工具记录。以满足公安部门的监管需要。

 


三、运行环境

 

运行环境是指支持本计费系统运行的硬件环境与软件环境。

 

3.1 硬件环境

 

本系统拥有效率极高的系统内核模块,所以对硬件要求较低。

CPU要求

对于在线用户低于500用户的,任何一台PII机器即可胜任。对于在线用户1000用户左右,P4 2G以上CPU机器即可。

◆ 内存要求

正常情况下,本系统对内存的占用低于40M,所以对于512M的内存已经胜任计费系统的任何要求。

◆ 硬盘要求

本系统安装后只占用硬盘不到10M字节空间,正常运行后数据文件也极小。3000用户账号及计费数据只有不到2M字节。计费数据不会占用太多硬盘空间。如果不保存HTTP访问日志,10GB的硬盘空间,至少可以满足500用户1年的计费要求,当然包含记录用户1年的所有上网日志。

总之,本系统对硬件的要求极低,在用户量不大的情况下,完全可以使用一台最普通的PC机进行上网计费与管理。

 

3.2 软件环境

 

本系统基于Windows平台开发,计费核心部分需要安装在Windows XPWindows 2000Windows 2003平台上。而管理端可以在任何Windows平台上运行。对于客户机系统没有任何要求,可以是WindowsLinuxMAC等等。

本系统内置功能强大的NAT(网络地址转换),抗攻击能力比Windows 20003NAT强,同时能够合并16条出口线路的带宽,并能进行负载均衡。因此,使用本系统不需要安装、使用其他任何第三方的代理软件。


四、 网络结构

 

本系统可以支持任何网络结构,无论使用硬路由、软路由、代理服务器,都可以进行计费管理。如果学校接入的是CERNET,根据学校的规模,一般能够分配到几个至几十个CIP地址段。这样,学校里的每台机器都会有公有IP地址,一般使用路由器,每台机器能够与互联网实现互访。如果只有几个公有IP地址,则一般使用路由器做NAT,或代理服务器实现网络共享。

 

 


五、 实施细节

 

5.1 安装软件

本系统的安装极为简单,使用系统自带安装程序Setup,整个安装过程只需要选择一个安装目录,所有安装过程自动完成。

 

5.2 软件基本设置

第一次运行本系统管理端,会提醒用户使用向导进行配置。只要有网络基本知识的人都可以轻松完成系统设置。

主要步骤是:选择局域网网卡->配置NAT->输入计费服务器本机IP地址->添加计费策略->添加控制策略->添加用户账号

通过上述几步设置即可运行计费系统。当然,如果需要实现灵活的计费方式与强大的上网控制,还需要作进一步设置。

 

5.3 计费策略设置

在设置计费策略前我们需要分析一下校园网络中关于计费的具体要求。

◆ 办公区上网无需计费

可以在系统中设置“免登录地址”,实现办公区直接上网。设置免登录地址最好能够与VLAN相结合,即将办公区划分在几个指定子网中,将这几个子网设置为免登录地址。

◆ 按流量计费还是按时间计费

本系统能够提供按流量计费和按时间计费两种方式。如果学校接入的是CERNET,可能需要按流量计国外流量费。其他接入方式一般按时间计费。可以按分钟、按小时等方式计费。本系统允许设定任意时间段计费标准。

◆ 包月用户

如果校园网络同时为家属区提供上网服务,一般会有包月用户。在处理包月用户时可能需要考虑这样一种情况。比如,用户出去进修学习,可能一两个月都没有上网,并且自己忘记办理停网手续,这时仍然收取包月费用,可能不太合理。本系统能够很好的处理这种特殊情况。

◆ 上网计费与上机计费

为学生提供上网计费服务一般按分钟收费。并且可以采取预付费方式,在使用过程中实时扣除费用。同时也要能够处理机房上机计费,并区别上网与上机计费。比如:只上机不上网,只收上机费,如果上网再加收上网费。

◆ 分时费率

为了鼓励上网用户避开网络使用高峰期,充分利用网络带宽,可以按时间段设置不同的计费标准。比如,白天高峰期的费率高些,深夜的费率低一些。

 

本系统能够灵活处理上述每一个计费要求,并且设置简单。我们可以将相同计费要求设置为一个计费策略,应用于同一类计费要求中。

 

5.4 控制策略设置

本系统的控制策略主要实现以下功能:

◆ 是否使用预付费方式

◆ 有关月费用设置等。比如:设置包月费用、月租、封顶费用、限制月最大流入量等等。

◆ 有关日费用设置等。比如:设置包日费用、限制日最大流入量等等。

◆ 上网控制。比如:带宽分配、地址限制、网址过滤等等。

控制策略与计费策略的关系是引用与被引用的关系,即每个控制策略必须引用一个计费策略。所以,定义一个计费策略能够被若干个控制策略所引用。

 

根据学校实际的管理需要,可能需要定义若干个控制策略:

◆ 供包月用户使用的控制策略

只需要在控制策略中“启用月费用限制”,并且在“包月费用”中输入包月费用,凡是引用该控制策略的用户每月将收取固定的包月费用。

◆ 供非包月用户使用的控制策略

根据学校的实际情况在控制策略中引用按流量计费策略或按时间计费策略。

◆ 供学生使用的预付费控制策略

只需要在控制策略中选择“使用预付费方式”。引用该控制策略的用户必须首先预付上网款,在上网过程中计费系统从其账户余额中实时扣除上网费。当余额低于规定标准后将停止该账号的上网权限。同时,根据学校的管理要求,可以进行网址过滤等。

 

5.5 小组账号与用户账号设置

本系统以组的方式管理用户账号,可以将具有相同性质的用户账号归类到一个小组中,这样便于统一控制。

一个小组使用一个控制策略,而在该小组中的用户账号即可以继承小组的控制策略,也可以使用不同于该小组的控制策略。所以,一个控制策略能够被若干个小组或个人账号所使用。

计费策略、控制策略、小组账号、用户账号之间的关系是:

个人继承小组控制策略(也可以单独使用一个控制策略),控制策略引用计费策略。

 

5.6 计费处理

◆ 教职工用户

对于教职工上网,一般月底结算上网费,然后从工资中直接扣除。

◆ 学生及校外人员上网用户

这部分用户流动性比较强,一般采用预付费方式,实时扣除其上网费。

 

5.7 收费处理

根据钱账分开的原则,网络管理人员一般不能直接收取上网费。可以将收费的权限分配给学校财务部门人员。本系统提供了基于WEB的管理方式,可以供财务人员完成开户、查费、对账、充值、缴费等一系列工作。并且,网络管理员可以严格控制他们的使用权限。

首先由管理员安装配置好计费系统,并且定义好计费策略与控制策略。当有用户需要上网时可以由财务人员为其开户,选择不同控制策略。如果是预付费用户,为其充值。

财务人员可以统计每个月、每一天的收益情况。

 

5.8 机房计费管理

校园网络计费系统不仅仅要能够实现上网计费,同时也要能够实现对机房上机的计费管理。本系统拥有上机计费模块,具有以下一些特点:

    在计费策略中可单独设置上网计费标准和上机计费标准。可分开计上网费与上机费。

    运行上机计费客户端后学生必须经过身份验证才能够进入Windows系统中。并且,当然用户注销时将直接关机。

    可以通过管理端查看学生使用的机器屏幕。

    可以远程对用户实施关机等操作。

    能够很好的处理教学性上机与有偿性上机。

    费用控制方式与上网计费控制方式一致。

    管理员可以给登录用户发送消息。当预付款余额低于规定标准时会提醒用户。

 

    关于教学性上机操作思路:

   可以新建一个用户账号,该账号不允许修改密码,根据实际需要是否允许该账号上网而新建对应的控制策略(如果不允许上网,在控制策略中启用时数限制,全天不允许上网)。再新建上机计费策略,限制该账号的登录地点及登录时间。地点是学生上机的机房IP地址段,时间是教学上机的时间段。当需要教学性上机时,学生统一用该账号登录(根据控制策略的设置是否允许上网),当下课时间到时计费系统自动对用这个账号上机的机器实施关机操作。当然,该账号通过地点及时间限制,只能在上课时间指定的机房中上机,避免被其他学生盗用上机。

 

5.9 二次开发

本系统提供了灵活的二次开发功能,通过二次开发可以将计费系统融合进校园一卡通系统中。也可以在本系统中开发其他的增值服务。本系统开发包的一个重要特点就是基于TCP/IP协议的,也就是二次开发的软件不需要在计费服务器上运行,可以在网络中任何一台机器上运行。可以从我们网站上免费下载开发包,支持目前主流开发工具,如:VCDelphiVB等。如有特殊要求,我们可以为其定制开发包。

 

5.10 上网卡与充值卡

本系统提供了充值卡功能,一方面极大减轻了运营校园网络的工作量,同时也方便学生的充值。

上网卡操作流程:

(1)    校园网营运商产生一批上网卡(充值密码);

(2)    学生购买上网卡(充值密码),在计费系统登录界面上用充值密码自助申请上网帐号或对已有上网帐号进行充值。

所以,在使用上网卡功能后,营运商的工作量只要打印一批充值密码,工作量得到了极大的减轻。

上网卡类型完成由管理员自己定义,支持包天、计时的方式。如下图:

 

同时,系统提供了完善的上网卡使用日志记录,满足相关人员的财务监管需要。如下图:

 

 

5.11 WEB管理

    本系统内置了功能强大的WEB管理。通过浏览器,可以对整个系统进行管理。同时,系统的整个管理页面采用了脚本技术,使用者可以进行任何修改与二次开发。WEB管理界面如下(可自由定制)

 

(1)查询用户上网日志

(2)查询用户的HTTP日志

(3)查询用户的MAIL日志


六、安全措施

 

计费系统的安全性主要表现在以下几个方面:

(1) 计费系统本身数据安全性

本系统使用了专用的数据格式,并且经过加密处理,所以任何人都无法修改计费数据,从而100%保证计费数据的准确性与权威性。如果通过数据库存放计费数据,很有可能会被他人篡改数据。

 

(2) 计费系统的权限划分

本系统中提供了可供多用户同时操作的WEB管理界面,根据操作员分工的不同,可以分配不同的操作权限。

 

(3) WEB管理员的权限划分

(4) 计费服务器安全

可以借助本系统中的防火墙,能够有效的保证计费服务器本身的安全以及局域网的安全。


七、成功案例

 

《亿特网络认证计费系统》目前已在百余家各种类型的单位中使用(电信、小区、高校、公司等),同时有二十多家大中小学校在使用她,极大的方便了这些学校的网络计费与管理。

 

部分学校用户

 

江苏省盐城师范学院

江苏省盐城纺织职业技术学院

江西南昌高等专科学校

河南大学研究生院

广东省轻工业学校

扬州大学水建学院CADCAE实验室

重庆海联职业技术学院

上海师范大学中新科技管理学院

北京工业大学交通工程重点实验室

四川省信息工程学校

西安市西光中学

徐州九州职业技术学院

北京盛基艺术学校

江苏省沭阳师范学校

北京工业大学环境与能源工程学院传热强化与过程节能教育部重点实验室