城市熱點防非法接入和P2P限流技術應用在廣西高校

2006/06/14

  一、綜述

  高校寬帶網(wǎng)是指由電信運營商為高校的學生宿舍和校園網(wǎng)絡提供高速互聯(lián)網(wǎng)接入的功能專網(wǎng),意在為中國1700萬在校學生提供高速寬帶接入,建設過程從最早期的專線租用,到電信直接對學生宿舍寬帶接入運營,再到目前學校與運營商共同管理和運營的經(jīng)營模式。運營商在經(jīng)歷多年的探索和運營后,已經(jīng)非常清晰地知道高校寬帶網(wǎng)的發(fā)展需求和產生的經(jīng)濟收益,同時也面臨高校寬帶網(wǎng)必需解決的問題。

  本文是以廣西全區(qū)高校寬帶網(wǎng)的規(guī)劃和建設為背景,就校園網(wǎng)共通的問題進行技術探討,為建設一個更加符合中國國情同時能滿足校園網(wǎng)未來發(fā)展需求尋找可行的思路。

  二、廣西校園寬帶網(wǎng)業(yè)務需求概述

  1、分布接入,分點采集

  高校校園網(wǎng)一般與CERNET和Internet同時存在連接。提供的接入服務器能夠支持多出口,并能實現(xiàn)一次認證,分別控制,對學生用戶可以設置不同的訪問Internet和CERNET的訪問和收費策略。

  2、集中認證,集中計費,集中運營

  集中建設一個高校的運營中心,可以減少投資,提高管理水平,提高用戶關系管理水平,提高響應速度都是有非常大的價值。

  3.、防非法接入

  目前,大多高校數(shù)寬帶業(yè)務都是基于包月的形式開展的,沿用了家庭用戶的計費方式,而且考慮到學生的支付能力比較低,定價也一般比家庭用戶要低。但是,事實上,高校學生用戶利用寬帶計費技術的不足,往往以個人的名義申請寬帶而讓黑網(wǎng)吧、企業(yè)使用,或者幾戶共用寬帶而分攤費用,給電信運營商造成了巨大的經(jīng)濟損失,在高校網(wǎng)絡付費用戶和非法接入用戶的比例從1:2到1:10不等。

  4、 P2P限流

  目前互聯(lián)網(wǎng)絡中P2P下載業(yè)務流量非常大,包括大家熟知的BT,eDonkey,eMule,都是較為流行的P2P軟件。P2P業(yè)務特點占用大量網(wǎng)絡帶寬。目前在高校網(wǎng)上70%為P2P業(yè)務流量,其中50%為BT流量。

  由此可見,BT下載和非法接入構成了高校寬帶網(wǎng)運營的最大阻礙:學生用戶比家庭用戶享有更低的包月價格,同時使用了更多網(wǎng)絡帶寬和流量,必然導致高校寬帶網(wǎng)運營的成本提高和用戶增長的停頓,甚至影響了整個IP城域網(wǎng)的運行。

  5、信息發(fā)布平臺

  校園網(wǎng)用戶不同于家庭用戶,與校園內網(wǎng)并存,而且除了運營商之外,學校對學生也是有管理功能的,可以通過有效的信息發(fā)布機制,及時通知用戶,例如:催費信息,學校通知,病毒信息等等。

  三、技術介紹

  廣西全區(qū)高校寬帶網(wǎng)采用了北京城市熱點公司提供的Dr.COM 2133 B-RAS接入服務器和高校專用計費運營平臺,對以下的技術進行了有針對性的解決。

  1、防非法接入技術

  非法接入,又稱為私接,其識別技術經(jīng)過了長期的發(fā)展,多是采用在網(wǎng)絡出口進行旁路偵聽技術,包括有連接數(shù)/流量檢測法、mac地址檢測法、SNMP掃描檢測,TTL檢測軌跡檢測法、時鐘偏移檢測法和應用特征檢測法。方法比較多,有一定的參考意義,但只能夠做到的是:對網(wǎng)絡的非法接入情況有一定的分析的能力,離實際應用還需亟待解決幾個比較明顯的問題:

  第一、需要長周期統(tǒng)計的分析和匯總,要經(jīng)過一周或者一個月的時間,不能即時產生判斷,并會有誤報的情況;

  第二、只能列舉有一個賬號下幾個非法接入用戶,無法判斷那個是真正的合法用戶,那個是非法的非法接入用戶;

  第三、只能通過對賬號進行封;虿糠指蓴_(只能對TCP連接,對UDP無效),無法做到實時的控制,無法做到只讓合法的用戶訪問,非法接入用戶不能訪問。

  第四、如果單憑數(shù)據(jù)紀錄事后舉證,容易引起用戶不滿,造成大面積的投訴,如果直接到用戶現(xiàn)場確認,難度就更大,得不償失,造成推廣操作困難。

  廣西高校運營網(wǎng)采用了北京城市熱點公司提供的Dr.COM 2133 B-RAS接入服務器和高校專用計費運營平臺。城市熱點經(jīng)過了四年多的不斷完善,另辟蹊徑,通過接入服務器和登錄客戶端的共同作用,來實現(xiàn)防非法接入的功能。不僅能夠對內網(wǎng)用戶進行很好地防代理控制,又不影響局域網(wǎng)和城域網(wǎng)的內網(wǎng)服務器和外部Internet服務器的正常通信;在多個高校校園,園區(qū)網(wǎng)和電信運營商等成功使用取得了明顯的實際效果,單臺接入網(wǎng)關能夠處理8000在線用戶,實際錄得的轉發(fā)能力達到雙向1.6G。

  城市熱點的方案可以實現(xiàn)以下功能:1、防止基于Proxy的代理服務器;2、防止基于Nat的代理服務器;3、防止通過修改IP和Mac地址非法接入;

  能夠克服之前提到的防非法接入技術的不足:1、無需時間積累,設備安裝后即時生效;2、檢測與控制同時實現(xiàn),檢測到非法接入用戶就馬上能夠屏蔽;3、能夠區(qū)分合法用戶和非法用戶,合法用戶使用正常,非法用戶不能使用;4、可以配置用戶策略,某些用戶允許代理,某些用戶不允許代理,可以做到先通知用戶,循序漸進,做到分批割接,平穩(wěn)過渡,減少投訴。

  實現(xiàn)的原理類似于VLAN技術,通過城市熱點的客戶端對合法用戶數(shù)據(jù)包動態(tài)地增加一個識別標簽,再由網(wǎng)關對這些數(shù)據(jù)包標識去掉,轉發(fā)到上聯(lián)端口。而非法的用戶,由于數(shù)據(jù)包沒有合法的標簽,被網(wǎng)關過濾掉。這種技術的先決條件是:接入服務器的處理性能以及客戶端對數(shù)據(jù)包的實時封包的性能都達到較高的水平,否則都會成為瓶頸;而城市熱點的網(wǎng)關因采用自主知識產權的網(wǎng)絡操作系統(tǒng)DrOS并結合多年技術經(jīng)驗的積累,經(jīng)過大量測試和用戶的實際反饋,才完成了這個解決方案并達到理想的效果。

  共享合法用戶的身份的NAT用戶,由于他們發(fā)出的數(shù)據(jù)包是沒有經(jīng)過封裝的,雖然經(jīng)過合法用戶的電腦實現(xiàn)了地址轉換,但Dr.COM的防代理客戶端不會對這些NAT用戶的數(shù)據(jù)包進行封裝,所以這些數(shù)據(jù)包就在網(wǎng)關被過濾掉,代理用戶就不能正常上網(wǎng)。

  2、P2P限流

  能夠實現(xiàn)P2P限流的設備越來約多,從接入層交換機、接入服務器,中心交換機、防火墻、邊緣路由器以及專用的帶寬管理設備都可以做到,在廣西校園網(wǎng)的建設中,選擇了接入服務器來完成,是經(jīng)過多方面的考慮權衡的選擇。

  基于用戶的P2P限流區(qū)別于單純的限制一個通道中各種流量,城市熱點的Dr.COM2133接入服務器能夠針對每個用戶的P2P業(yè)務流量進行帶寬控制,避免了盲目的控制城域網(wǎng)骨干流量中的P2P流量而忽略了每個用戶感受。

  升級容易

  P2P應用層出不窮,而對P2P包的識別是基于應用層的,沒有固定的規(guī)律,城市熱點的接入服務器可以隨時通過升級內核來處理影響流量的P2P應用,將來可以采用類似升級病毒庫的方式來升級P2P的描述庫。

  易于擴展

  接入服務器的網(wǎng)絡位置比較合理:每臺處理的用戶數(shù)一般在1000-8000個的水平,100M-1G的網(wǎng)絡帶寬,擴容只需要增加接入服務器,實現(xiàn)橫向升級,如果放在接入層交換機,升級的數(shù)量較大,放在核心層交換機,升級的成本過高,放在出口路由,單臺處理能力無法滿足。所以放在接入服務器是性價比最高的方式。這當然也是要求接入服務器的高處理性能作為保障,城市熱點的設備經(jīng)過許多電信運營商的實際大用戶量環(huán)境的案例的良好使用證明可以擔當此重任。

  3. 計費策略

  面對BT和非法接入的問題,在高校寬帶網(wǎng)推行儲值卡按時長或按流量計費也是一個很好的解決方案,目前廣西電信校園寬帶網(wǎng)推廣的計費策略包括:

  包月256K、包月512K、包月1M、包月2M
  包周256K、包周512K、包周1M、包周2M
  儲值卡0.5元/小時、1元/小時、2元/小時、3.5元/小時
  細分了用戶需求,取得了很好的經(jīng)濟效益。

  4. 實名制訪問紀錄

  高校寬帶網(wǎng)絡面對的是入學新生和畢業(yè)生每年的更替,根據(jù)國家相關政策規(guī)定,寬帶運營商必需保留3個月的用戶訪問紀錄,這會給運營商帶來繁重的用戶資料變更、數(shù)據(jù)獲得和保存的工作,而廣西區(qū)電信高校網(wǎng)通過和學校之間的緊密配合,讓學校來配合完成這些工作,取得了很好的效果。

  四、總結

  經(jīng)過了一年多的探索和實踐,解決了一些高校寬帶網(wǎng)存在的實際問題,廣西電信投資運營高校校園網(wǎng)在南寧和桂林的試驗局取得良好的效益,學生上網(wǎng)的滿意度也比較高,今年會在全區(qū)十幾個城市中幾十所院校進行推廣,將獲得更大的經(jīng)濟效益。

城市熱點供稿 CTI論壇編輯


相關鏈接:
城市熱點計費系統(tǒng)進入俄羅斯電信運營商市場 2009-09-10
城市熱點認證計費系統(tǒng)應用大港油田寬帶網(wǎng) 2009-09-03
城市熱點助赤峰移動寬帶網(wǎng)計費改造 2009-08-14
Dr.COM酒店計費管理系統(tǒng)入駐濟南喜來登酒店 2009-08-05
北京吉利大學啟用城市熱點校園網(wǎng)計費系統(tǒng) 2009-07-06

相關頻道:  教育_與_計費  寬帶_與_計費           行業(yè)_教育_案例   行業(yè)_寬帶_解決方案   技術_計費_文摘