文档_项目三_任务三_校园网认证计费系统设计.doc

校园网认证计费系统设计目 录1.校园网认证计费系统设计11.1校园网建设趋势11.2认证计费改造需求22.网络解决方案32.1网络设计拓扑32.2认证计费方案设计42.2.1认证计费系统需求概述42.2.2系统对现网的业务的兼容42.2.3方案与设备选型应具有一定的前瞻性、高可靠性42.2.4满足校园网络接入场景与认证复杂需求42.3华为认证计费方案52.3.1网络拓扑52.3.2用户接入62.3.3有线用户接入62.3.4无线用户接入62.3.5网络VLAN划分72.3.6深澜Srun3000系统72.3.7认证计费场景设计82.3.8DAA根据目的地址计费92.3.9教师在不同地点上线采用不同的计费策略92.3.10通过srun3000满足计费功能92.3.11实验室和学院的专线接入102.3.12办公打印机等网络设备的接入102.3.13Srun3000系统功能应用102.3.14高可靠设计102.3.15多认证模式统一部署112.3.16用户上网访问日志查看112.3.17用户在线监控管理112.3.18账号管理及控制策略122.3.19计费策略131. 校园网认证计费系统设计1.1 校园网建设趋势随着高校信息化建设的不断深入，应用于网络解耦合已经成为大势所趋，理想情况下，整个校园网虚拟成一台高性能交换机或者路由器，网络功能向组件化发展，比如，现网中应用越来越多防火墙模块、入侵防御模块、无线控制器模块等等。整个发展方向最根本的驱动力是增加用户的体验，并且网络维护工作者的工作量越来越简单。校园网的认证计费是校园网的核心业务，关系到全校师生的网络体验，其建设方案的选择也直接影响着网络维护老师的工作量。802.1x认证凭借其严格的端口控制，5元组甚至7元组策略的灵活组合，可是实现丰富的接入认证控制，有效的控制了网络的接入安全。早在03年左右部分校园网就采用了这种认证策略，到08年左右，迎来了802.1x认证建设的高峰期。随着应用的不断深入，802.1x被证明虽然其在安全接入控制方面具有独到之处，但是无论在用户的体验还是维护管理的工作量上面，都与网络建设的初衷相去甚远。主要表现在：（1） 802.1x客户端与用户主机或者安装的应用程序之间的兼容问题。（2） 802.1x认证每个厂家采用的协议部分是不一样，产品品牌选择单一性问题。（3） 802.1x多终端上网问题。（4） 802.1x对新兴媒体设备，无法认证问题。（5） 802.1x对访问目的资源，无法区分认证计费问题。（6） 802.1x对没用户的QOS控制粒度，无法细化问题。虽然，部分厂家对802.1x进行更加人性化的设计或者通过跟portal认证相互配合的认证策略，能解决部分问题，但是无论是在复杂成都还是应用效果上看，对客户的应用体验以及管理维护工作量的降低上，均没有较大的改善。然而，在运营商市场应用成熟的pppoe/ipoe的认证方式，凭借其成熟的技术，良好的用户体验及延续用户的使用习惯，方便易于管理的特性，成为广大高校认证计费改造的首选方案。pppoe/ipoe的session级用户管理，可以方便的根据模板下发策略，保证用户的使用习惯。其精确的流量统计计费，可以促使用户保持良好的网络使用习惯，特别适合在高校应用场景下，规范学生的用网行为。同事，pppoe/ipoe对新兴媒体设备认证计费需求及同一帐号多终端上网，多地理位置的上网都有非常灵活的支持。即面向三网融合的大趋势，又灵活满足用户的使用习惯。另一方面，随着移动互联时代的到来，各种移动终端的规模应用，给用户带来网络使用的便利及工作和学习的高效。高校建设无线校园已经成为一种趋势。高校用户属于慢速移动无线应用，因此，采用802.11a/b/g/n技术建设高速的无线局域网是无线建设的主流趋势。建设无线校园需要重点考虑与现网有线网络的融合，即有线、无线统一认证；有线、无线统一管理等问题。只有这样，才能提高用户的体验和优化网络维护的工作量。1.2 认证计费改造需求目前，湘南财院使用的是基于802.1x协议的认证计费系统。随着网络规模的扩大，网络应用的增多，采用该协议的认证计费逐渐遇到瓶颈，主要表现在：该协议设计之初，是为了解决无线接入认证计费问题，为了将其引入以太网进行认证计费，接入交换机生产厂家对其进行了改造，从而导致不同厂商对该协议有不同的私有化，进而存在兼容问题；第二，要在以太网上有效的使用该协议，就必须安装与设备厂商配套的802.1x客户端软件，而且该软件与操作系统的TCP/IP协议栈是强耦合关系，所以对应不同的操作系统（如Windows、MAC OS、Linux等）的不同版本，就有不同的客户端版本，导致软件兼容性问题；第三，目前的802.1x系统，无法按照校内/校外以及免费/收费流量进行统计，所以无法实现按照不同流量的分离计费。此外，采用802.1X的认证计费方式无法实现统一端口下，多台终端上网（即家属区用户，无法通过家用soho路由设备，多台终端上网）。然而，这种应用需求越来越强烈。最后，家用网络电视、网络冰箱或者物联网终端，上网如何认证计费问题，也困扰着网络管理者。因此，需要对认证计费系统进行改造，建设统一的网络认证平台，实现准入和准出的控制及按流量的认证计费。准出控制系统。采用网关型的准出控制系统，对校园用户进行准出控制。可以有效识别用户的收费/免费流量，同时通过与统一认证计费平台的协同工作，可以有效控制用户是否具有外网访问权限，进而控制用户访问外网的带宽。准入控制实现基于pppoe和ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。统一认证计费平台的建设需要满足一下场景的需求：（1） 有线无线一体化接入，学生采用流量计费的方式接入，教师采用工号与密码的方式。Portal与PPOE方式均需支持；（2） 对于学生访问学校内网不认证、不计费，只有在访问外网时通过Portal方式认证；（3） 教师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。另外要求，教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的功能。（4） 对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果1号交钱，学生5号放暑假，如果学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移；（5） 计费系统应有针对用户进行时间补偿的功能，应用场景：如果某一地块网络故障，则需要对该地块的上线用户赠送5天免费上网的补偿；（6） 对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且上线时做单独的账户和密码认证。（7） 主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则所有子账号也均不能再上网；（8） 支持对于各个学院的专线接入开会功能，如实验室采用专线接入，则应支持对专线用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制；（9） 对于打印机的接入做MAC地址认证和IP绑定；2. 网络解决方案针对以上湘南财院提出的明确需求，华为设计的解决方案如下：2.1 网络设计拓扑图1 网络设计拓扑图网络出口采用华为400G平台，分布式无阻塞交换核心路由器做网络出口，连接电信、联通、教育科研网和其他7所高校，其高达3M的FIB标容量、高性能的NAT转发性能及对IPV6的完美支持，能够满足学校网络出口路由及高并发的NAT转换需求，以及对接IPV6网络。认证计费网关采用2台电信级多业务网关华为ME60设备，配合深蓝计费软件，完成整网的准入认证，准出流量计费需求。接入认证服务器（BRAS）建议采用两台热备，因为采用pppoe认证所有的ppp连接终结在BRAS设备上，一台设备故障将影响整网的上网业务。华为BRAS双击热备部署，能够实现单台设备宕机，用户无感知，无需重新拨号的要求，保证用户良好体验。ME60与核心交换之间采用万兆链路互联，保证数据的高速畅通。汇聚交换机采用华为S7700系列T比特核心路由交换机通过万兆链路汇聚到核心设备上，S7700系列交换在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，实现高清视频流承载、大容量无线网络、弹性云计算、硬件IPV6、一体化安全等业务应用，同事具备强大的扩展性和可靠性。 楼宇小型汇聚，建议采用S5700系列交换机，其便利的U盘开局特性及双内置冗余电源的行业市场独特需求考虑，具有非常高的稳定性，很适合楼层的接入汇聚。2.2 认证计费方案设计2.2.1 认证计费系统需求概述湘南财院校园园区网涵盖有线网络和无线网络两部分，在有线网络中需要覆盖的接入场景包括：学生宿舍、教师办公区、实验室、教工家属楼等，无线网络主要覆盖教师办公楼宇会议室、图书馆等公共场所，在认证方式上以802.1x和Portal认证为主，随着校园带宽的扩容和认证需求与场景的多样化，当前学校的认证计费系统与设备不能满足网络演进的需要，计划在现网引入专业的BRAS设备和认证计费系统增强对网络运营保障，经过调研与研究分析，对本次校园认证计费系统改造的需求梳理如下：2.2.2 系统对现网的业务的兼容（1） 现有802.1x接入认证方式不能满足多类型终端接入网络的需要，本次新建设的认证计费系统与BRAS设备需要对现网的业务兼容，同时应能满足网络PPPOE、IPOE和Portal等多种接入认证的功能需求；（2） 针对校园有线和无线网络部分，计费系统与BRAS设备需要满足现网有线无线统一认证与计费的要求；2.2.3 方案与设备选型应具有一定的前瞻性、高可靠性（1） 随着校园教学应用系统与视频业务的增加，校园内对网络带宽的要求越来越来高，迫切需要增加校园网络出口BRAS设备的转发性能，满足校园内网的交换也应满足将来武汉七所高校网络互联、网络IPv6演进、互联网带宽与网络流量再度多次翻倍扩容的需要；（2） BRAS设备为校园出口网络的关键设备，是设备、网络协议，组网方式上不仅需考虑高可靠性与冗余性的设计，又要考虑网络接入业务在设备承载上的负载分担，高效的利用所有网络设备，并确保网络业务的长期正常运行；2.2.4 满足校园网络接入场景与认证复杂需求（1） 有线无线一体化接入，学生采用流量计费的方式接入，教师采用工号与密码的方式。Portal与PPPOE方式均需支持；（2） 教师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。另外要求，教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的功能。（3） 对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果1号交钱，学生5号放暑假，如果学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移；（4） 计费系统应有针对用户进行时间补偿的功能，应用场景：如果某一地块网络故障，则需要对该地块的上线用户赠送5天免费上网的补偿；（5） 对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且上线时做单独的账户和密码认证。（6） 主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则所有子账号也均不能再上网；（7） 支持对于各个学院的专线接入开会功能，如实验室采用专线接入，则应支持对专线用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制；（8） 对于打印机的接入做MAC地址认证和IP绑定；2.3 华为认证计费方案考虑到目前校园网络发展的几个趋势，诸如：“千兆到桌面”、“数字化校园”、“多业务并行”等，同时结合湘南财院于多业务场景接入、；灵活管理运营的相关要求，经过前期的交流调研，华为公司针对此次认证计费系统改造的解决方案如下：在校园网的核心出口推荐部署两台华为公司MSCG专业设备ME60作为既作为用户接入认证和计费网关又作为校园网核心出口路由器，两台ME60间采用万兆口互联，两台设备间启用VRRP+，BFD for FRR等冗余保障及链路故障倒换协议，使得两台ME60互为热备，在用户接人会话数和流量上进行1:1负载分担。认证计费系统采用深澜公司Srun3000多接入认证计费平台，作为Radius server、Portal Server和Policy server、深澜用户自助管理平台。2.3.1 网络拓扑在网络拓扑方案中出口两台ME60与联通、电信、CERNET等网络全连接，出口实现多设备、多链路冗余备份。深澜统一认证计费平台通过内部网络与两台ME60连接，两台ME60之间做双机热备，实现校园出口和核心路由器的冗余热备。ME60下行与核心交换机集群连接，各个接入网络的楼栋、宿舍和办公区域都直接汇聚接入核心交换机集群。无线部分即可直接接人核心交换集群，也可在无线网络的最近汇聚交换机上接入。图2 改造后的网络拓扑图2.3.2 用户接入2.3.3 有线用户接入 （1）接入交换机配置用户VLAN。汇聚交换机添加外层VLAN。S7700透传到ME60，由ME60终结QINQ报文。 （2）ME60作为用户网关，IPOE用户上线到ME60转DHCP服务器给用户分配IP地址，在通过认证之前用户只能访问认证前域的服务器，用户的第一个HTTP报文进行重定向到Portal服务器，实现WEB认证，认证通过后允许用户访问认证后域。 （3）ME60作为用户网关，PPPOE用户直接到深澜AAA服务器进行用户名和密码认证。（4）有线用户基于楼栋交换机每VLAN，楼栋互访通过楼栋交换机同VLAN互访，跨楼栋和区域互访经过ME60转发。2.3.4 无线用户接入（1）AP与AC二层可达，AC作为AP网关并且为AP分配IP地址，AP和AC建立Capwap隧道，实现AC对AP的管理。 （2）AP选择本地转发模式，对于无线终端上行的报文进行SSID到VLAN的变换，汇聚交换机添加外层VLAN，S7700透传到ME60，由ME60终结QINQ报文。 （3）ME60作为用户网关，无线认证通过后给用户分配IP地址，Portal认证通过后才能访问外网业务。 （4）无线用户通过在AP实现二层隔离，互访流量经过ME60。2.3.5 网络VLAN划分（1） 用户通过统一VLAN接入各楼栋汇聚交换机，支持楼栋内互访。 （2） 区块汇聚交换机(教工用户、教学用户等汇聚)，在楼栋交换机上打区块外层VLAN。（3） 核心交换机透传QinQ报文，在ME60的BAS子接口终结。（4） 无线网络用户整网统一规划管理VLAN1000，与AC6605互通。图3 网络VLAN划分2.3.6 深澜Srun3000系统深澜公司Srun3000系统为国内各高校主流采用的认证计费系统，本次方案也建议采用该系统与ME60对接配合用于校园网络的运营。Srun 3000 安全认证网络管理计费系统由Srun 3000 Portal ，Srun3000 用户自服务平台和Srun 3000 Radius认证计费平台组成，Srun 3000 认证计费系统包含的业务模块和运行环境包括：图4 Srun 3000 认证计费系统（1） Srun3000 Portal ：配合ME60弹出用户定制的认证页面，根据用户的认证条件，比如认证的身份，位置，方式，返回相应的控制属性给ME60，实现对用户的Portal认证控制，同时在Portal 上提供方便的用户自助服务平台，实现用户自助。（2） Srun3000 User Manager用户管理系统：用于管理所有的用户，包括任何级别的管理员、收费员及角色管理系统；支持虚拟化技术，具体的功能见附件列表。（3） Srun3000 Radius 认证计费平台: 为多种接入认证方式提供认证，授权，计费，支持多种NAS设备,为多种接入BRAS提供了专门的属性扩展，并提供COA技术，实现由Radius Server 端发起用户的下线，授权变更，对用户的上网做完整的控制，Srun3000 Radius 采用内存认证技术，内部可以最多存放10万条明细，支持在链路中断的情况下独立运行，同时配合NAS 支持主备Raidus平滑切换。（4） Srun3000 Log 日志记录系统：采用数据镜像采集，数据外部输入等多种数据采集技术，配合负载均衡设备，可以忠实的记录用户上网的URL，提供全部用户的上网日志，智能的存储技术，可以在上千万条URL记录的情况下快速定位问题。（5） Srun3000 智能客户端：Srun3000提供多种认证客户端，PPPoE，802.1x，L2TP，在客户端提供了消息推送，用户自服务，用户认证信息保存的多种方便的功能。2.3.7 认证计费场景设计经过前期交流和需求调研了解到校园内有如下几种用户和计费场景：学生用户：学生用户分为具备外网出口权限和不具外网出口权限两种用户；教师用户：教师用户在办公区和家属区上线；教工用户：教工用户为在教师家属区上线用户；专线用户：特定的学院或是实验室通过专线形式接入，不对专线用户下的二次用户接入进行再次认证；主账号与附属账户用户：学校导师或是科研团队，通过一个主账户认证计费，主账号的附属账号同时具备上线权限，计费控制在主账号上统一管理打印机等无拨号功能设备的接入；针对以上接入用户需求，设计认证与计费方案如下：2.3.8 DAA根据目的地址计费DAA是destination address accounting 的简称，在ME60上部署DAA功能实现了对用户接入业务访问目的地址的差别进行管理，根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。在校园网内，用户上线后一般访问教育网内不收费或者收很低的费用，而且是不限速的，而如果访问教育网外的Internet，需要收取较高的费用，同时限制一定的带宽，通过此功能可以实现访问校内资源不计费，访问外网或是教育网采用不同的计费策略。2.3.9 教师在不同地点上线采用不同的计费策略教师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。教师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费。ME60根据用户上线携带的不同VLAN或是Option信息通过Radius报文上报到srun3000, 在srun3000上可以根据这些信息做漫游计费，在特定的源地址和VLANID可以不做明细计费，同时允许多个用户同时拨号，统一计费。2.3.10 通过srun3000满足计费功能(1) 对于学生和用户的账户有一个暂停计费的功能，比如学生采取包月的形式，如果1号交钱，学生5号放暑假，如果学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移，srun3000系统中按开通日期结算功能，可以实现用户暂停服务后开通，就按开通日期延后一个月的日期结算。(2) 计费系统应有针对用户进行时间补偿的功能，如果某一地块网络故障，则需要对该地块的上线用户赠送5天免费上网的补偿,srun3000系统的计费模块有赠送流量或是时间个优惠模式，通过这个功能可以在套餐管理中实现。(3) 对于导师带领学生做项目和教师带领学生勤工俭学的场景，需要支持主账号和附属账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且上线时做单独的账户和密码认证。主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：学校一名教师申请了一个科研课题，拿出一定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则所有子账号也均不能再上网。目前srun3000系统还不具备这个功能目前需要开发定制。2.3.11 实验室和学院的专线接入针对实验室和学院的专线接入采用以太网二层专线接入方式。专线（Leased Line）接入业务是指将ME60的某个以太网接口或者接口下的某些VLAN整体提供给一组用户使用的业务。一条专线下可以接入多台计算机，但是在ME60上只表现为一个用户，ME60对专线进行统一的认证计费、带宽控制、访问权限控制以及QoS控制。2.3.12 办公打印机等网络设备的接入将打印机视作一个接入用户，认证方式采用MAC地址认证，在打印机上线发出DHCP请求时触发认证，在ME60上配置打印机的MAC地址绑定IP地址。与正常宽带用户上线不同的是打印机上线后没有外网访问权限，通过接入子接口的路由导入与教师办公楼进行互通，根据打印机的密码访问打印机。也可对交换机做静态认证，默认为特定用户的方式在线。2.3.13 Srun3000系统功能应用Srun 3000 安全认证网络管理计费系统10年高校认证计费的经验，形成了对高校接入认证的完美理解，系统提供了针对高校的特点的许多特有的功能，比如用户特有的漫游策略，国内，国际地址的区分策略，防IP MAC盗用，灵活的带宽控制策略，方便的高校特色的用户自助等等。2.3.14 高可靠设计为了提高Radius 系统的可靠性，Srun3000 Radius 采用了内存认证的方式，使得Srun3000 Radius的独立性很强，采用定时同步的方式维护内存用户表的完整性，和用户的数据库保持一致，内存表最多可以容纳10万条记录，同时存放了用户的全部的认证相关信息。采用独立的内存认证方式，使得Srun3000 Radius 的认证效能是其他Radius server的10倍。后台数据库（包含日常运营数据数据库和访问记录服务器）服务器放置在学校网管中心，负责实时存储Srun 3000 安全认证网络管理计费系统运营产生的所有信息，方便各管理模块的查询。Srun 3000 安全认证网络管理计费系统负责用户的接入、认证、计费控制的主要系统，是整个系统中最重要的部分， Srun 3000具有自带的数据保护技术，支持数据库故障和认证网关故障的数据安全，后台的数据库故障： Srun 3000 Radius保存有数据库故障前的所有用户资料，因此Srun 3000可以独立运行完成用户的认证请求，Srun 3000认证网关利用内置的数据保护系统可以存储多达20万用户的用户完整信息、用户状态、可以存储200万条用户明细记录和登陆记录，由于Srun 3000 具有完整的用户信息，包括用户余额，结合设置的计费策略，Srun 3000可以实时依据余额判断用户可用时长及流量并根据用户的使用情况进行实施控制，避免用户产生欠费。待后台数据库恢复后，可以将Srun 3000的信息恢复到数据库中。2.3.15 多认证模式统一部署Srun 3000支持多种接入认证模式：WEB、DHCP+、VLAN ID、802.1x，专用客户端、pppoe、L2TP等，支持无线网络的统一认证。Srun3000系统设计采用了多体系模块化设计，管理功能模块既可以分散部署，也可以集中部署，根据可靠性、安全性、预算，学校可以很灵活的进行部署，并具有完善的无缝结合功能，即可以将Radius Server、数据库、用户自助服务系统、策略管理平台融合在一台服务器上，也可以将Radius Server、数据库、用户自助服务系统、策略管理平台分别部署在不同的服务器上。在湘南财院建议采用分开部署的方式2.3.16 用户上网访问日志查看Srun 3000 认证网关在对于用户访问记录的记录方面是非常完善的，可为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时，自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访问记录，保证了访问记录的完整性和灵活性。访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间的长短，取决于硬盘空间的大小。只要硬盘空间足够大，就可以存储相当的日志文件，并且保证数据不会丢失。在访问记录中可以随时查询到：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。另外可根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段等。2.3.17 用户在线监控管理Srun 3000 安全认证网络管理计费系统提供完整的在线用户监控子系统，能够实时监控用户的上网状态，包括当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、源IP、源MAC等详细信息，如图5：图5 用户的上网状态的监控管理图6 无线用户的监控管理图7 配合BRAS PPPoE认证在线Srun 3000 用户在线监控管理系统可以与IDS、防火墙、信息安全审计系统等实现对接,将以上系统采集的检测信息与Srun 3000 安全认证网络管理计费系统的用户账号进行实时映射，向网管提供完整的用户上网实时行为信息，对于非法用户，可在Srun 3000 用户在线监控管理系统对用户进行强制离线和消息发布等功能，使学校网管能够迅速找到定位问题源头并能实时对用户进行控制，使网络管理更加具有时效性、操作性和精确性。2.3.18 账号管理及控制策略为了加强学生上网管理，一方面要能够准确定位上网的学生，另一方面要能使学生账号只能在某个网络位置上网，促使其规范上网，这需要认证计费系统能够将账号绑定用户所在的网络系统所在的位置参数，如VLAN、MAC、交换机端口、交换机IP等。Srun 3000 安全认证网络管理计费系统的Srun 3000客户端软件，能够透过三层绑定用户MAC，配合接入层交换机，利用通用的RADIUS认证协议，能够有效绑定交换机IP、交换机端口、VLAN等。另外，Srun 3000 安全认证网络管理计费系统具有丰富的基于组或用户的控制策略，如使用量限制、带宽策略、服务策略等等，满足校园网内各种不同层次用户的管理需求。能够对不同用户授予不同权限，是提供多层次服务的基础，否则整个网络就像就像汽车，自行车和行人都挤在一条没有红绿灯的高速公路上，无法体现宽频网络的优势。包括带宽授权，可以控制每个组内的用户进行上、下行带宽；服务授权，即控制每个组内的用户访问不同的目标地址可以享有不同的带宽；功能授权，既控制每个组内用户不同时段具有的不同的访问功能，如上课时间不能访问QQ等。2.3.19 计费策略Srun 3000目前支持63种计费策略和24种服务策略，支持按流量、时间和包月计费；支持按期限、合约方式计费；支持临时、专线储值卡方式计费；支持按国内、国外流量分开计费；支持按不同目标地址及服务计费；支持充值卡充值、网上自助服务；支持行政费用计费等；支持内部转账；可以实现以上多种计费策略灵活组合计费；支持设定时间上限，流量上限，最低消费，信用额度，费用封顶，优惠，赠送等多项控制参数。