| 1、计费网关部署在交换机侦听口上,采取旁路模式。此部署方案充分继承原有的网络; 2、采用802.1x认证;实现基于CAMS的用户统一认证管理;实现基于用户的不同目的的流量计费;实现的需求如下: a)不同身份的学生(如研究生,本科生,自费生),老师(管理人员,老师等)到不同目的地的流量采集 b)基于不同目的地址的费率的计算;使访问internet更加精细,合理;比如到内网总部,可制定收费或不收费策略;到国内收费制定相应费率;到国外收费制定相应费率;到cernet访问制定相应费率等等;xx做到基于用户定义费率,可以定义8种费率;xx做到基于目的地址进行流量采集并进行费用的计算; c)实现了基于用户的流量日志记录,对用户的每次上网的每次的应用连接(一个TCP连接)进行详细的日志记录,并通过网络接口交给日志服务器,可以和我司的cams无缝进行日志的采集,记录。 d)通过isPATH1000可以同时实现对内网的proxy的监视,防止多个学生使用一个帐号进行上网;并可以防止内网ARP攻击和宏码病毒对交换机的攻击; 3、为了满足网络今后扩容的需求,同时实现统一的认证和管理,建议在校园网络中利用华为的s5516/s3526e交换机实现网络认证层;可以和isPATH1000实现上述的统一的认证管理,并可以保证原有的核心交换机千兆或百兆线速的转发到internet和cernet中。 1、此方案中计费网关采取流穿透模式。 2、采用强制web portal方式进行认证,认证前用户所有http访问被重定向到portal网站,引导用户进行认证。 3、可以实现参见方案一的所有基于用户的流量计费和日志;(参见方案一,不赘述)。 4、isPath1000实现千兆线速转发,对网络的带宽没有影响。 5、阻止没有认证的报文进入公网,防止运营商的防火墙做流量限制 6、对交换机没有任何约束,可以在现有网络上平滑升级而不影响 7、用户不必安装任何客户端;只要是浏览器即可,技术要求低,方便用户使用。 8、可实现透明防火墙,防止恶意攻击,保护内部网络的安全。 | 
