www.99精品_城市熱點(diǎn)防非法接入和P2P限流技術(shù)應用在廣西高校_寬帶_教育_計費

城市熱點(diǎn)防非法接入和P2P限流技術(shù)應用在廣西高校

2006/06/14

　　一、綜述

　　高校寬帶網(wǎng)是指由電信運營(yíng)商為高校的學(xué)生宿舍和校園網(wǎng)絡(luò )提供高速互聯(lián)網(wǎng)接入的功能專(zhuān)網(wǎng)，意在為中國1700萬(wàn)在校學(xué)生提供高速寬帶接入，建設過(guò)程從最早期的專(zhuān)線(xiàn)租用，到電信直接對學(xué)生宿舍寬帶接入運營(yíng)，再到目前學(xué)校與運營(yíng)商共同管理和運營(yíng)的經(jīng)營(yíng)模式。運營(yíng)商在經(jīng)歷多年的探索和運營(yíng)后，已經(jīng)非常清晰地知道高校寬帶網(wǎng)的發(fā)展需求和產(chǎn)生的經(jīng)濟收益，同時(shí)也面臨高校寬帶網(wǎng)必需解決的問(wèn)題。

　　本文是以廣西全區高校寬帶網(wǎng)的規劃和建設為背景，就校園網(wǎng)共通的問(wèn)題進(jìn)行技術(shù)探討，為建設一個(gè)更加符合中國國情同時(shí)能滿(mǎn)足校園網(wǎng)未來(lái)發(fā)展需求尋找可行的思路。

　　二、廣西校園寬帶網(wǎng)業(yè)務(wù)需求概述

　　1、分布接入，分點(diǎn)采集

　　高校校園網(wǎng)一般與CERNET和Internet同時(shí)存在連接。提供的接入服務(wù)器能夠支持多出口，并能實(shí)現一次認證，分別控制，對學(xué)生用戶(hù)可以設置不同的訪(fǎng)問(wèn)Internet和CERNET的訪(fǎng)問(wèn)和收費策略。

　　2、集中認證，集中計費，集中運營(yíng)

　　集中建設一個(gè)高校的運營(yíng)中心，可以減少投資，提高管理水平，提高用戶(hù)關(guān)系管理水平，提高響應速度都是有非常大的價(jià)值。

　　3.、防非法接入

　　目前，大多高校數寬帶業(yè)務(wù)都是基于包月的形式開(kāi)展的，沿用了家庭用戶(hù)的計費方式，而且考慮到學(xué)生的支付能力比較低，定價(jià)也一般比家庭用戶(hù)要低。但是，事實(shí)上，高校學(xué)生用戶(hù)利用寬帶計費技術(shù)的不足，往往以個(gè)人的名義申請寬帶而讓黑網(wǎng)吧、企業(yè)使用，或者幾戶(hù)共用寬帶而分攤費用，給電信運營(yíng)商造成了巨大的經(jīng)濟損失，在高校網(wǎng)絡(luò )付費用戶(hù)和非法接入用戶(hù)的比例從1:2到1:10不等。

　　4、 P2P限流

　　目前互聯(lián)網(wǎng)絡(luò )中P2P下載業(yè)務(wù)流量非常大，包括大家熟知的BT，eDonkey，eMule，都是較為流行的P2P軟件。P2P業(yè)務(wù)特點(diǎn)占用大量網(wǎng)絡(luò )帶寬。目前在高校網(wǎng)上70%為P2P業(yè)務(wù)流量，其中50％為BT流量。

　　由此可見(jiàn)，BT下載和非法接入構成了高校寬帶網(wǎng)運營(yíng)的最大阻礙：學(xué)生用戶(hù)比家庭用戶(hù)享有更低的包月價(jià)格，同時(shí)使用了更多網(wǎng)絡(luò )帶寬和流量，必然導致高校寬帶網(wǎng)運營(yíng)的成本提高和用戶(hù)增長(cháng)的停頓，甚至影響了整個(gè)IP城域網(wǎng)的運行。

　　5、信息發(fā)布平臺

　　校園網(wǎng)用戶(hù)不同于家庭用戶(hù)，與校園內網(wǎng)并存，而且除了運營(yíng)商之外，學(xué)校對學(xué)生也是有管理功能的，可以通過(guò)有效的信息發(fā)布機制，及時(shí)通知用戶(hù)，例如：催費信息，學(xué)校通知，病毒信息等等。

　　三、技術(shù)介紹

　　廣西全區高校寬帶網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專(zhuān)用計費運營(yíng)平臺，對以下的技術(shù)進(jìn)行了有針對性的解決。

　　1、防非法接入技術(shù)

　　非法接入，又稱(chēng)為私接，其識別技術(shù)經(jīng)過(guò)了長(cháng)期的發(fā)展，多是采用在網(wǎng)絡(luò )出口進(jìn)行旁路偵聽(tīng)技術(shù)，包括有連接數/流量檢測法、mac地址檢測法、SNMP掃描檢測，TTL檢測軌跡檢測法、時(shí)鐘偏移檢測法和應用特征檢測法。方法比較多，有一定的參考意義，但只能夠做到的是：對網(wǎng)絡(luò )的非法接入情況有一定的分析的能力，離實(shí)際應用還需亟待解決幾個(gè)比較明顯的問(wèn)題：

　　第一、需要長(cháng)周期統計的分析和匯總，要經(jīng)過(guò)一周或者一個(gè)月的時(shí)間，不能即時(shí)產(chǎn)生判斷，并會(huì )有誤報的情況；

　　第二、只能列舉有一個(gè)賬號下幾個(gè)非法接入用戶(hù)，無(wú)法判斷那個(gè)是真正的合法用戶(hù)，那個(gè)是非法的非法接入用戶(hù)；

　　第三、只能通過(guò)對賬號進(jìn)行封停或部分干擾（只能對TCP連接，對UDP無(wú)效），無(wú)法做到實(shí)時(shí)的控制，無(wú)法做到只讓合法的用戶(hù)訪(fǎng)問(wèn)，非法接入用戶(hù)不能訪(fǎng)問(wèn)。

　　第四、如果單憑數據紀錄事后舉證，容易引起用戶(hù)不滿(mǎn)，造成大面積的投訴，如果直接到用戶(hù)現場(chǎng)確認，難度就更大，得不償失，造成推廣操作困難。

　　廣西高校運營(yíng)網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專(zhuān)用計費運營(yíng)平臺。城市熱點(diǎn)經(jīng)過(guò)了四年多的不斷完善，另辟蹊徑，通過(guò)接入服務(wù)器和登錄客戶(hù)端的共同作用，來(lái)實(shí)現防非法接入的功能。不僅能夠對內網(wǎng)用戶(hù)進(jìn)行很好地防代理控制，又不影響局域網(wǎng)和城域網(wǎng)的內網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信；在多個(gè)高校校園，園區網(wǎng)和電信運營(yíng)商等成功使用取得了明顯的實(shí)際效果，單臺接入網(wǎng)關(guān)能夠處理8000在線(xiàn)用戶(hù)，實(shí)際錄得的轉發(fā)能力達到雙向1.6G。

　　城市熱點(diǎn)的方案可以實(shí)現以下功能：1、防止基于Proxy的代理服務(wù)器；2、防止基于Nat的代理服務(wù)器；3、防止通過(guò)修改IP和Mac地址非法接入；

　　能夠克服之前提到的防非法接入技術(shù)的不足：1、無(wú)需時(shí)間積累，設備安裝后即時(shí)生效；2、檢測與控制同時(shí)實(shí)現，檢測到非法接入用戶(hù)就馬上能夠屏蔽；3、能夠區分合法用戶(hù)和非法用戶(hù)，合法用戶(hù)使用正常，非法用戶(hù)不能使用；4、可以配置用戶(hù)策略，某些用戶(hù)允許代理，某些用戶(hù)不允許代理，可以做到先通知用戶(hù)，循序漸進(jìn)，做到分批割接，平穩過(guò)渡，減少投訴。

　　實(shí)現的原理類(lèi)似于VLAN技術(shù)，通過(guò)城市熱點(diǎn)的客戶(hù)端對合法用戶(hù)數據包動(dòng)態(tài)地增加一個(gè)識別標簽，再由網(wǎng)關(guān)對這些數據包標識去掉，轉發(fā)到上聯(lián)端口。而非法的用戶(hù)，由于數據包沒(méi)有合法的標簽，被網(wǎng)關(guān)過(guò)濾掉。這種技術(shù)的先決條件是：接入服務(wù)器的處理性能以及客戶(hù)端對數據包的實(shí)時(shí)封包的性能都達到較高的水平，否則都會(huì )成為瓶頸；而城市熱點(diǎn)的網(wǎng)關(guān)因采用自主知識產(chǎn)權的網(wǎng)絡(luò )操作系統DrOS并結合多年技術(shù)經(jīng)驗的積累，經(jīng)過(guò)大量測試和用戶(hù)的實(shí)際反饋，才完成了這個(gè)解決方案并達到理想的效果。

　　共享合法用戶(hù)的身份的NAT用戶(hù)，由于他們發(fā)出的數據包是沒(méi)有經(jīng)過(guò)封裝的，雖然經(jīng)過(guò)合法用戶(hù)的電腦實(shí)現了地址轉換，但Dr.COM的防代理客戶(hù)端不會(huì )對這些NAT用戶(hù)的數據包進(jìn)行封裝，所以這些數據包就在網(wǎng)關(guān)被過(guò)濾掉，代理用戶(hù)就不能正常上網(wǎng)。

　　2、P2P限流

　　能夠實(shí)現P2P限流的設備越來(lái)約多，從接入層交換機、接入服務(wù)器，中心交換機、防火墻、邊緣路由器以及專(zhuān)用的帶寬管理設備都可以做到，在廣西校園網(wǎng)的建設中，選擇了接入服務(wù)器來(lái)完成，是經(jīng)過(guò)多方面的考慮權衡的選擇。

　　基于用戶(hù)的P2P限流區別于單純的限制一個(gè)通道中各種流量，城市熱點(diǎn)的Dr.COM2133接入服務(wù)器能夠針對每個(gè)用戶(hù)的P2P業(yè)務(wù)流量進(jìn)行帶寬控制，避免了盲目的控制城域網(wǎng)骨干流量中的P2P流量而忽略了每個(gè)用戶(hù)感受。

　　升級容易

　　P2P應用層出不窮，而對P2P包的識別是基于應用層的，沒(méi)有固定的規律，城市熱點(diǎn)的接入服務(wù)器可以隨時(shí)通過(guò)升級內核來(lái)處理影響流量的P2P應用，將來(lái)可以采用類(lèi)似升級病毒庫的方式來(lái)升級P2P的描述庫。

　　易于擴展

　　接入服務(wù)器的網(wǎng)絡(luò )位置比較合理：每臺處理的用戶(hù)數一般在1000-8000個(gè)的水平，100M－1G的網(wǎng)絡(luò )帶寬，擴容只需要增加接入服務(wù)器，實(shí)現橫向升級，如果放在接入層交換機，升級的數量較大，放在核心層交換機，升級的成本過(guò)高，放在出口路由，單臺處理能力無(wú)法滿(mǎn)足。所以放在接入服務(wù)器是性?xún)r(jià)比最高的方式。這當然也是要求接入服務(wù)器的高處理性能作為保障，城市熱點(diǎn)的設備經(jīng)過(guò)許多電信運營(yíng)商的實(shí)際大用戶(hù)量環(huán)境的案例的良好使用證明可以擔當此重任。

　　3. 計費策略

　　面對BT和非法接入的問(wèn)題，在高校寬帶網(wǎng)推行儲值卡按時(shí)長(cháng)或按流量計費也是一個(gè)很好的解決方案，目前廣西電信校園寬帶網(wǎng)推廣的計費策略包括：

　　包月256K、包月512K、包月1M、包月2M
　　包周256K、包周512K、包周1M、包周2M
　　儲值卡0.5元/小時(shí)、1元/小時(shí)、2元/小時(shí)、3.5元/小時(shí)
　　細分了用戶(hù)需求，取得了很好的經(jīng)濟效益。

　　4. 實(shí)名制訪(fǎng)問(wèn)紀錄

　　高校寬帶網(wǎng)絡(luò )面對的是入學(xué)新生和畢業(yè)生每年的更替，根據國家相關(guān)政策規定，寬帶運營(yíng)商必需保留3個(gè)月的用戶(hù)訪(fǎng)問(wèn)紀錄，這會(huì )給運營(yíng)商帶來(lái)繁重的用戶(hù)資料變更、數據獲得和保存的工作，而廣西區電信高校網(wǎng)通過(guò)和學(xué)校之間的緊密配合，讓學(xué)校來(lái)配合完成這些工作，取得了很好的效果。

　　四、總結

　　經(jīng)過(guò)了一年多的探索和實(shí)踐，解決了一些高校寬帶網(wǎng)存在的實(shí)際問(wèn)題，廣西電信投資運營(yíng)高校校園網(wǎng)在南寧和桂林的試驗局取得良好的效益，學(xué)生上網(wǎng)的滿(mǎn)意度也比較高，今年會(huì )在全區十幾個(gè)城市中幾十所院校進(jìn)行推廣，將獲得更大的經(jīng)濟效益。

城市熱點(diǎn)供稿　CTI論壇編輯

城市熱點(diǎn)認證計費系統應用大港油田寬帶網(wǎng) 2009-09-03

城市熱點(diǎn)助赤峰移動(dòng)寬帶網(wǎng)計費改造 2009-08-14

Dr.COM酒店計費管理系統入駐濟南喜來(lái)登酒店 2009-08-05

北京吉利大學(xué)啟用城市熱點(diǎn)校園網(wǎng)計費系統 2009-07-06