城市熱點防非法接入和P2P限流技術應用在廣西高校

2006/06/14

　　一、綜述

　　高校寬帶網是指由電信運營商為高校的學生宿舍和校園網絡提供高速互聯網接入的功能專網，意在為中國1700萬在校學生提供高速寬帶接入，建設過程從最早期的專線租用，到電信直接對學生宿舍寬帶接入運營，再到目前學校與運營商共同管理和運營的經營模式。運營商在經歷多年的探索和運營后，已經非常清晰地知道高校寬帶網的發(fā)展需求和產生的經濟收益，同時也面臨高校寬帶網必需解決的問題。

　　本文是以廣西全區(qū)高校寬帶網的規(guī)劃和建設為背景，就校園網共通的問題進行技術探討，為建設一個更加符合中國國情同時能滿足校園網未來發(fā)展需求尋找可行的思路。

　　二、廣西校園寬帶網業(yè)務需求概述

　　1、分布接入，分點采集

　　高校校園網一般與CERNET和Internet同時存在連接。提供的接入服務器能夠支持多出口，并能實現一次認證，分別控制，對學生用戶可以設置不同的訪問Internet和CERNET的訪問和收費策略。

　　2、集中認證，集中計費，集中運營

　　集中建設一個高校的運營中心，可以減少投資，提高管理水平，提高用戶關系管理水平，提高響應速度都是有非常大的價值。

　　3.、防非法接入

　　目前，大多高校數寬帶業(yè)務都是基于包月的形式開展的，沿用了家庭用戶的計費方式，而且考慮到學生的支付能力比較低，定價也一般比家庭用戶要低。但是，事實上，高校學生用戶利用寬帶計費技術的不足，往往以個人的名義申請寬帶而讓黑網吧、企業(yè)使用，或者幾戶共用寬帶而分攤費用，給電信運營商造成了巨大的經濟損失，在高校網絡付費用戶和非法接入用戶的比例從1:2到1:10不等。

　　4、 P2P限流

　　目前互聯網絡中P2P下載業(yè)務流量非常大，包括大家熟知的BT，eDonkey，eMule，都是較為流行的P2P軟件。P2P業(yè)務特點占用大量網絡帶寬。目前在高校網上70%為P2P業(yè)務流量，其中50％為BT流量。

　　由此可見，BT下載和非法接入構成了高校寬帶網運營的最大阻礙：學生用戶比家庭用戶享有更低的包月價格，同時使用了更多網絡帶寬和流量，必然導致高校寬帶網運營的成本提高和用戶增長的停頓，甚至影響了整個IP城域網的運行。

　　5、信息發(fā)布平臺

　　校園網用戶不同于家庭用戶，與校園內網并存，而且除了運營商之外，學校對學生也是有管理功能的，可以通過有效的信息發(fā)布機制，及時通知用戶，例如：催費信息，學校通知，病毒信息等等。

　　三、技術介紹

　　廣西全區(qū)高校寬帶網采用了北京城市熱點公司提供的Dr.COM 2133 B-RAS接入服務器和高校專用計費運營平臺，對以下的技術進行了有針對性的解決。

　　1、防非法接入技術

　　非法接入，又稱為私接，其識別技術經過了長期的發(fā)展，多是采用在網絡出口進行旁路偵聽技術，包括有連接數/流量檢測法、mac地址檢測法、SNMP掃描檢測，TTL檢測軌跡檢測法、時鐘偏移檢測法和應用特征檢測法。方法比較多，有一定的參考意義，但只能夠做到的是：對網絡的非法接入情況有一定的分析的能力，離實際應用還需亟待解決幾個比較明顯的問題：

　　第一、需要長周期統(tǒng)計的分析和匯總，要經過一周或者一個月的時間，不能即時產生判斷，并會有誤報的情況；

　　第二、只能列舉有一個賬號下幾個非法接入用戶，無法判斷那個是真正的合法用戶，那個是非法的非法接入用戶；

　　第三、只能通過對賬號進行封�；虿糠指蓴_（只能對TCP連接，對UDP無效），無法做到實時的控制，無法做到只讓合法的用戶訪問，非法接入用戶不能訪問。

　　第四、如果單憑數據紀錄事后舉證，容易引起用戶不滿，造成大面積的投訴，如果直接到用戶現場確認，難度就更大，得不償失，造成推廣操作困難。

　　廣西高校運營網采用了北京城市熱點公司提供的Dr.COM 2133 B-RAS接入服務器和高校專用計費運營平臺。城市熱點經過了四年多的不斷完善，另辟蹊徑，通過接入服務器和登錄客戶端的共同作用，來實現防非法接入的功能。不僅能夠對內網用戶進行很好地防代理控制，又不影響局域網和城域網的內網服務器和外部Internet服務器的正常通信；在多個高校校園，園區(qū)網和電信運營商等成功使用取得了明顯的實際效果，單臺接入網關能夠處理8000在線用戶，實際錄得的轉發(fā)能力達到雙向1.6G。

　　城市熱點的方案可以實現以下功能：1、防止基于Proxy的代理服務器；2、防止基于Nat的代理服務器；3、防止通過修改IP和Mac地址非法接入；

　　能夠克服之前提到的防非法接入技術的不足：1、無需時間積累，設備安裝后即時生效；2、檢測與控制同時實現，檢測到非法接入用戶就馬上能夠屏蔽；3、能夠區(qū)分合法用戶和非法用戶，合法用戶使用正常，非法用戶不能使用；4、可以配置用戶策略，某些用戶允許代理，某些用戶不允許代理，可以做到先通知用戶，循序漸進，做到分批割接，平穩(wěn)過渡，減少投訴。

　　實現的原理類似于VLAN技術，通過城市熱點的客戶端對合法用戶數據包動態(tài)地增加一個識別標簽，再由網關對這些數據包標識去掉，轉發(fā)到上聯端口。而非法的用戶，由于數據包沒有合法的標簽，被網關過濾掉。這種技術的先決條件是：接入服務器的處理性能以及客戶端對數據包的實時封包的性能都達到較高的水平，否則都會成為瓶頸；而城市熱點的網關因采用自主知識產權的網絡操作系統(tǒng)DrOS并結合多年技術經驗的積累，經過大量測試和用戶的實際反饋，才完成了這個解決方案并達到理想的效果。

　　共享合法用戶的身份的NAT用戶，由于他們發(fā)出的數據包是沒有經過封裝的，雖然經過合法用戶的電腦實現了地址轉換，但Dr.COM的防代理客戶端不會對這些NAT用戶的數據包進行封裝，所以這些數據包就在網關被過濾掉，代理用戶就不能正常上網。

　　2、P2P限流

　　能夠實現P2P限流的設備越來約多，從接入層交換機、接入服務器，中心交換機、防火墻、邊緣路由器以及專用的帶寬管理設備都可以做到，在廣西校園網的建設中，選擇了接入服務器來完成，是經過多方面的考慮權衡的選擇。

　　基于用戶的P2P限流區(qū)別于單純的限制一個通道中各種流量，城市熱點的Dr.COM2133接入服務器能夠針對每個用戶的P2P業(yè)務流量進行帶寬控制，避免了盲目的控制城域網骨干流量中的P2P流量而忽略了每個用戶感受。

　　升級容易

　　P2P應用層出不窮，而對P2P包的識別是基于應用層的，沒有固定的規(guī)律，城市熱點的接入服務器可以隨時通過升級內核來處理影響流量的P2P應用，將來可以采用類似升級病毒庫的方式來升級P2P的描述庫。

　　易于擴展

　　接入服務器的網絡位置比較合理：每臺處理的用戶數一般在1000-8000個的水平，100M－1G的網絡帶寬，擴容只需要增加接入服務器，實現橫向升級，如果放在接入層交換機，升級的數量較大，放在核心層交換機，升級的成本過高，放在出口路由，單臺處理能力無法滿足。所以放在接入服務器是性價比最高的方式。這當然也是要求接入服務器的高處理性能作為保障，城市熱點的設備經過許多電信運營商的實際大用戶量環(huán)境的案例的良好使用證明可以擔當此重任。

　　3. 計費策略

　　面對BT和非法接入的問題，在高校寬帶網推行儲值卡按時長或按流量計費也是一個很好的解決方案，目前廣西電信校園寬帶網推廣的計費策略包括：

　　包月256K、包月512K、包月1M、包月2M
　　包周256K、包周512K、包周1M、包周2M
　　儲值卡0.5元/小時、1元/小時、2元/小時、3.5元/小時
　　細分了用戶需求，取得了很好的經濟效益。

　　4. 實名制訪問紀錄

　　高校寬帶網絡面對的是入學新生和畢業(yè)生每年的更替，根據國家相關政策規(guī)定，寬帶運營商必需保留3個月的用戶訪問紀錄，這會給運營商帶來繁重的用戶資料變更、數據獲得和保存的工作，而廣西區(qū)電信高校網通過和學校之間的緊密配合，讓學校來配合完成這些工作，取得了很好的效果。

　　四、總結

　　經過了一年多的探索和實踐，解決了一些高校寬帶網存在的實際問題，廣西電信投資運營高校校園網在南寧和桂林的試驗局取得良好的效益，學生上網的滿意度也比較高，今年會在全區(qū)十幾個城市中幾十所院校進行推廣，將獲得更大的經濟效益。

城市熱點供稿　CTI論壇編輯

相關鏈接:

城市熱點計費系統(tǒng)進入俄羅斯電信運營商市場 2009-09-10

城市熱點認證計費系統(tǒng)應用大港油田寬帶網 2009-09-03

城市熱點助赤峰移動寬帶網計費改造 2009-08-14

Dr.COM酒店計費管理系統(tǒng)入駐濟南喜來登酒店 2009-08-05

北京吉利大學啟用城市熱點校園網計費系統(tǒng) 2009-07-06