城市热点防非法接入和P2P限流技术应用在广西高校_宽带_教育_计费

城市热点防非法接入和P2P限流技术应用在广西高校

2006/06/14

　　一、综述

　　高校宽带网是指由电信运营商为高校的学生宿舍和校园网络提供高速互联网接入的功能专网，意在为中国1700万在校学生提供高速宽带接入，建设过程从最早期的专线租用，到电信直接对学生宿舍宽带接入运营，再到目前学校与运营商共同管理和运营的经营模式。运营商在经历多年的探索和运营后，已经非常清晰地知道高校宽带网的发展需求和产生的经济收益，同时也面临高校宽带网必需解决的问题。

　　本文是以广西全区高校宽带网的规划和建设为背景，就校园网共通的问题进行技术探讨，为建设一个更加符合中国国情同时能满足校园网未来发展需求寻找可行的思路。

　　二、广西校园宽带网业务需求概述

　　1、分布接入，分点采集

　　高校校园网一般与CERNET和Internet同时存在连接。提供的接入服务器能够支持多出口，并能实现一次认证，分别控制，对学生用户可以设置不同的访问Internet和CERNET的访问和收费策略。

　　2、集中认证，集中计费，集中运营

　　集中建设一个高校的运营中心，可以减少投资，提高管理水平，提高用户关系管理水平，提高响应速度都是有非常大的价值。

　　3.、防非法接入

　　目前，大多高校数宽带业务都是基于包月的形式开展的，沿用了家庭用户的计费方式，而且考虑到学生的支付能力比较低，定价也一般比家庭用户要低。但是，事实上，高校学生用户利用宽带计费技术的不足，往往以个人的名义申请宽带而让黑网吧、企业使用，或者几户共用宽带而分摊费用，给电信运营商造成了巨大的经济损失，在高校网络付费用户和非法接入用户的比例从1:2到1:10不等。

　　4、 P2P限流

　　目前互联网络中P2P下载业务流量非常大，包括大家熟知的BT，eDonkey，eMule，都是较为流行的P2P软件。P2P业务特点占用大量网络带宽。目前在高校网上70%为P2P业务流量，其中50％为BT流量。

　　由此可见，BT下载和非法接入构成了高校宽带网运营的最大阻碍：学生用户比家庭用户享有更低的包月价格，同时使用了更多网络带宽和流量，必然导致高校宽带网运营的成本提高和用户增长的停顿，甚至影响了整个IP城域网的运行。

　　5、信息发布平台

　　校园网用户不同于家庭用户，与校园内网并存，而且除了运营商之外，学校对学生也是有管理功能的，可以通过有效的信息发布机制，及时通知用户，例如：催费信息，学校通知，病毒信息等等。

　　三、技术介绍

　　广西全区高校宽带网采用了北京城市热点公司提供的Dr.COM 2133 B-RAS接入服务器和高校专用计费运营平台，对以下的技术进行了有针对性的解决。

　　1、防非法接入技术

　　非法接入，又称为私接，其识别技术经过了长期的发展，多是采用在网络出口进行旁路侦听技术，包括有连接数/流量检测法、mac地址检测法、SNMP扫描检测，TTL检测轨迹检测法、时钟偏移检测法和应用特征检测法。方法比较多，有一定的参考意义，但只能够做到的是：对网络的非法接入情况有一定的分析的能力，离实际应用还需亟待解决几个比较明显的问题：

　　第一、需要长周期统计的分析和汇总，要经过一周或者一个月的时间，不能即时产生判断，并会有误报的情况；

　　第二、只能列举有一个账号下几个非法接入用户，无法判断那个是真正的合法用户，那个是非法的非法接入用户；

　　第三、只能通过对账号进行封停或部分干扰（只能对TCP连接，对UDP无效），无法做到实时的控制，无法做到只让合法的用户访问，非法接入用户不能访问。

　　第四、如果单凭数据纪录事后举证，容易引起用户不满，造成大面积的投诉，如果直接到用户现场确认，难度就更大，得不偿失，造成推广操作困难。

　　广西高校运营网采用了北京城市热点公司提供的Dr.COM 2133 B-RAS接入服务器和高校专用计费运营平台。城市热点经过了四年多的不断完善，另辟蹊径，通过接入服务器和登录客户端的共同作用，来实现防非法接入的功能。不仅能够对内网用户进行很好地防代理控制，又不影响局域网和城域网的内网服务器和外部Internet服务器的正常通信；在多个高校校园，园区网和电信运营商等成功使用取得了明显的实际效果，单台接入网关能够处理8000在线用户，实际录得的转发能力达到双向1.6G。

　　城市热点的方案可以实现以下功能：1、防止基于Proxy的代理服务器；2、防止基于Nat的代理服务器；3、防止通过修改IP和Mac地址非法接入；

　　能够克服之前提到的防非法接入技术的不足：1、无需时间积累，设备安装后即时生效；2、检测与控制同时实现，检测到非法接入用户就马上能够屏蔽；3、能够区分合法用户和非法用户，合法用户使用正常，非法用户不能使用；4、可以配置用户策略，某些用户允许代理，某些用户不允许代理，可以做到先通知用户，循序渐进，做到分批割接，平稳过渡，减少投诉。

　　实现的原理类似于VLAN技术，通过城市热点的客户端对合法用户数据包动态地增加一个识别标签，再由网关对这些数据包标识去掉，转发到上联端口。而非法的用户，由于数据包没有合法的标签，被网关过滤掉。这种技术的先决条件是：接入服务器的处理性能以及客户端对数据包的实时封包的性能都达到较高的水平，否则都会成为瓶颈；而城市热点的网关因采用自主知识产权的网络操作系统DrOS并结合多年技术经验的积累，经过大量测试和用户的实际反馈，才完成了这个解决方案并达到理想的效果。

　　共享合法用户的身份的NAT用户，由于他们发出的数据包是没有经过封装的，虽然经过合法用户的电脑实现了地址转换，但Dr.COM的防代理客户端不会对这些NAT用户的数据包进行封装，所以这些数据包就在网关被过滤掉，代理用户就不能正常上网。

　　2、P2P限流

　　能够实现P2P限流的设备越来约多，从接入层交换机、接入服务器，中心交换机、防火墙、边缘路由器以及专用的带宽管理设备都可以做到，在广西校园网的建设中，选择了接入服务器来完成，是经过多方面的考虑权衡的选择。

　　基于用户的P2P限流区别于单纯的限制一个通道中各种流量，城市热点的Dr.COM2133接入服务器能够针对每个用户的P2P业务流量进行带宽控制，避免了盲目的控制城域网骨干流量中的P2P流量而忽略了每个用户感受。

　　升级容易

　　P2P应用层出不穷，而对P2P包的识别是基于应用层的，没有固定的规律，城市热点的接入服务器可以随时通过升级内核来处理影响流量的P2P应用，将来可以采用类似升级病毒库的方式来升级P2P的描述库。

　　易于扩展

　　接入服务器的网络位置比较合理：每台处理的用户数一般在1000-8000个的水平，100M－1G的网络带宽，扩容只需要增加接入服务器，实现横向升级，如果放在接入层交换机，升级的数量较大，放在核心层交换机，升级的成本过高，放在出口路由，单台处理能力无法满足。所以放在接入服务器是性价比最高的方式。这当然也是要求接入服务器的高处理性能作为保障，城市热点的设备经过许多电信运营商的实际大用户量环境的案例的良好使用证明可以担当此重任。

　　3. 计费策略

　　面对BT和非法接入的问题，在高校宽带网推行储值卡按时长或按流量计费也是一个很好的解决方案，目前广西电信校园宽带网推广的计费策略包括：

　　包月256K、包月512K、包月1M、包月2M
　　包周256K、包周512K、包周1M、包周2M
　　储值卡0.5元/小时、1元/小时、2元/小时、3.5元/小时
　　细分了用户需求，取得了很好的经济效益。

　　4. 实名制访问纪录

　　高校宽带网络面对的是入学新生和毕业生每年的更替，根据国家相关政策规定，宽带运营商必需保留3个月的用户访问纪录，这会给运营商带来繁重的用户资料变更、数据获得和保存的工作，而广西区电信高校网通过和学校之间的紧密配合，让学校来配合完成这些工作，取得了很好的效果。

　　四、总结

　　经过了一年多的探索和实践，解决了一些高校宽带网存在的实际问题，广西电信投资运营高校校园网在南宁和桂林的试验局取得良好的效益，学生上网的满意度也比较高，今年会在全区十几个城市中几十所院校进行推广，将获得更大的经济效益。

城市热点供稿　CTI论坛编辑