网大科技ISP运营方案：NAT回馈...

网大科技NAT实施方案

1. 行业现状

1.1.市场背景

随着Internet的不断深入应用与发展，网络数据业务出现井喷趋势，宽带用户呈现快速增长：

ISP运营商需要构建一个安全、稳定、高速的宽带网络，有效搭建计费精确、负荷率高、可控性强、操作简便、维护升级快捷的用户管理平台；

电子政务建设在我国各级政府部门及行政事业单位推进，构建一个完全网络化的虚拟机关，实现信息交流和数据共享有机结合的同时，减少网络及设备投入成本，确保信息畅通无阻、内外网间安全的数据交换、信息传递过程中的加密、建立完善的安全防御机制，有效阻止非法访问和攻击对系统的破坏已成为关注焦点；

企业信息化发展和成熟，在有限的预算中降低因接入互联网带来的各种风险，实现灵活、安全、可跟踪、可监督的“协同”办公平台；

各大高校及大中专院校正在通过网络技术在整个校园建立功能强大的有线和无线网络，将学生、教师和行政管理人员连接起来，利用一个丰富带宽资源、超大并发量、安全的内网，可监控上网的环境，促进校园内外沟通。

1.2.市场前景

ISP运营商、政府、企业、高校、军队随着个体网络需求的增长，在网络内出现几百台甚至数千台计算机，同时暴露出的问题也日趋严峻

如何有效的分配出口带宽

如何控制内部计算机病毒传播范围

如何设置终端用户需求优先等级保障、终端使用权限限制、使用计费等

作为网络管理机构如果能够高稳定、低成本解决以上问题呢？

2. 方案介绍

2.1.宽带认证服务器的主要功能特点

支持通过PPPOE与WEB方式验证用户上网
QOS带宽优先策略
防范局域网ARP病毒传播
过滤网站和聊天通讯软件
访问日志记录与分析
支持VRRP备份冗余功能
支持多线路接入和负载均衡
阻隔广播风暴
用户实际验证3000用户待机，无故障连续工作超过365天

2.2.方案拓朴结构及工作流程

下面是一个根据2000个用户在线的PPPoE认证系统的网络结构：

2.3.方案说明

宽带认证服务器由NAT-2860H高性能路由器、NAT Radius Server计费系统构成。

NAT-2860H高性能路由器

NAT-2860H针对高性能高吞吐量网络设计，经过实际网络环境运行，完全通过与RouterOS兼容测试，有良好的稳定性。

NAT Radius Server计费系统

NAT Radius Manager计费管理系统，为标准的Radius机费而开发的，基于Windows平台开发，操作简单易用。NAT Radius Manager能兼容标准的Radius协议（当前支持RouterOS），支持Hotspot、PPTP、L2TP和PPPoE认证上网功能，能有效的管理用户帐号，支持多种计费方式：包月、计时和流量计费等。能自动计算每个用户的费用，用户到期后自动注销用户帐号。

NAT Radius Manager特点

支持标准Radius协议
基于windows平台，操作简易、方便实用；
设置快捷，1分钟完成Radius计费系统配置；
支持多种数据库access和MSSQL；
支持Web用户自助页面，用户可以自己修改密码；
支持Hotspot、PPTP、L2TP和PPPoE等认证；
支持多种计费方式包月、计时和流量计费
支持log日志管理和现金管理日志

2.4.方案特点

PPPoE 认证服务器是国内唯一集网络共享、网络认证、网络计费、网络管理、上网行为分析为一体，能够高效满足大型宽带部署的高系统容量及高用户和复杂计费策略管理的要求的宽带认证系统。其自身拥有的高性能、可伸缩性、安全性、扩展性、可靠性、易管理性在国际同类产品中都具备强大的优势。

高效的性能优势

本系统内置的NAT可实现客户机透明上网，客户机不需要做任何设置即可上网。同时，系统不依赖Windows的任何服务。性能超一般的路由器，映射记录数最高达6300000个，能够满足5000甚至更多台机器同时上网。可支持16条网络出口的带宽合并(企业版)。使用本系统NAT，能够防范ARP欺骗，抵抗各种攻击，支持VPN的PPTP、L2TP协议穿透。

全面的接入控制管理优势

全面的接入认证解决方案应能够随端点安全状态、网络信息或用户信息的变化进行动态变化。这种动态策略还应能够在整个网络的执行点上实时执行。PPPoE认证服务器能够在执行策略时无缝利用现有的网络基础设施投资，而无需追加其他的投资。

完善的安全防御机制

PPPoE认证服务器后台管理系统是安全可靠的，通过加固后的服务来抵御已知安全漏洞和攻击向量。

管理员可任意过滤目前主流的网络软件。即过滤各种聊天工具、游戏软件等等。新软件出现时，只需要下载新的特征码库即可，无需更新系统。

灵活性和易用性的优势

PPPoE认证服务器允许用户随时利用特定的高级技术，并尽量使用常见设备。不管选择何种部署方式，均可添加另一个执行方法，无需大幅度改造或替换现有部署。

PPPoE认证服务器兼容包括不同的端点供应商安全解决方案、不同的审计／日志记录解决方案、不同的网络基础设施（如交换机或路由器）以及不同的授权协议等，而且不会使您的网络被锁定在单一供应商的解决方案中。

统筹兼顾的管理优势

PPPoE认证服务器基于用户的策略易于设置和维护，允许复制、继承或编辑策略定义，以简化管理工作。每当需要基于现有策略创建新策略时，管理员都可复用现有设置，包括：动态的验证策略；角色定义；角色设置及资源授权策略等。

PPPoE 认证服务器提供智能带宽分配，有效防范各类下载对网络带宽的占用。使用浏览器浏览网页与下载，浏览网页时不受带宽限制，下载就会受到带宽限制。同时，在网络空闲时不对带宽进行限制。用户可以自定义当实际带宽使用到多少百分率的时候自动启用带宽分配，而未达到时自动停用带宽分配，从而达到最佳的网络利用率。