神州数码网络可运营数字化校园认证与计费解决方案

神州数码网络可运营数字化校园认证与计费解决方案
在校的学生和老师是接受新知识、使用新技术的“先行群体”。

身处INTERNET快速发展的浪潮中，校园网络中诞生了许多新的需求，例如：学生希望在校内学生宿舍区能提供网络服务，进行信息收集、资料检索、与外界沟通、丰富课余生活等；教职工希望在家中也能访问校内信息资源和INTERNET。

同时，也由于学校担负着因网络建设而承担的各种费用：
1）CERNET向学校收取的网络接入使用费用；
2）连接至ChinaNET 或者CNCNET的第二个INTERNET商业网络出口需要支付月租费；3）校园网的建设需要投入；
4）校园网的维护需要运维投入。

因此，迫使校园网建设开始考虑向着可运营方向发展。

要求既能够支持用户管理、计费等网络运维特性，同时又要求具备较高的性能价格比以适应学校的经济条件。

此外，校园网具有可运营特性也是为了利于学生的管理，对课余有上网需求的学生提供类似校外网吧的上网服务，但是设定科学的管理策略（如上网收费费率比校外网吧的低、晚12点之后不允许上网的限时上网等），可以避免学生跑到校外的网吧，整天留恋于网上，疏于学业。

从而将学生从管理混乱的社会网吧吸引回来。

然而可运营校园网的复杂程度远超过目前运营商单纯商业性质的网络。

那么，校园网运营的机会点在哪里？难度有多大？应该如何解决运营的问题？
1.校园网运营-机会与挑战
1.1 校园网运营的机会点
据调查，学生占所有网民比例的25%，这些用户都集中在校园网内部或者学校外面的网吧。

学校上网用户密度很大，需求也日趋个性化和多样化。

按照校园网不同的地理位置、不同的业务特征，可以把高校的用户分为如下三种：① 教学办公区从业务类型的角度大致包括三种：一、学校职能管理业务，如校长办公决策支持系统、教务管理系统、财务管理系统以及人事管理系统等；二、电子教学业务，主要体现在多媒体教室以及电子图书馆系统的网络应用，该部分业务流量集中在校园网内部；三、教研室、实验室科研、教学需求，如各科研室内部资源的共享、科学家们在INTERNET上查获有用的资料信息等。

可见教学区的业务是一种典型企业网模式。

这就要求保证在校内资源共享的同时需要保证网络的安全性，并可区分内外网计费。

② 学生宿舍区主要以收发电子邮件、聊天、视频点播与互动游戏为主，这部分用户有着区别于传统校园网教学区用户的需求，他们类似于商业用户群。

对网络提出高可靠与高稳定、便于维护管理、区分内外网计费等要求。

③ 教工家属区业务流量主要为访问INTERNET。

教工家属区的业务模式是典型的商业网模式，与运营商开展的宽带小区业务没有任何本质区别。

从以上分析我们可以得出：校园网的用户是多层次的，具有不同的需求和特点。

对于不同的用户，可能的运营方式会不同。

1.2 校园网运营的难点
校园网运营存在很大的难度，原因有以下几点：
① 从成本的角度出发校园网选择以太网技术，而以太网技术本身的网络的安全性、用户的可管理性以及无法认证、计费的特征将导致运营难度的增加；
② 学生宿舍区混合了企业网与商业网的特征：一方面学生需要相互共享资源、访问教学区资源，这是典型的企业网模式；另一方面，学生对INTERNET的访问需求非常巨大。

我们姑且把它称之为宽带Centrex模式：要求内部互访免费，访问INTERNET 收费；
③ 学生具有极高的专业素质，校园网的安全性设计成为了一个巨大的挑战。

任何安全性的漏洞可能导致校园网的瘫痪而无法运营；
④ 学生的经济弱势，网络盗用现象若不能得到控制将导致运营收入的大量流失。

上述问题基本概括了校园网运营的难点，解决上述问题是校园网是否成功运营的至关点。

2.神州数码可运营校园网解决方案
图1 神州数码接入管理器DCBA-2000
2.1 灵活的接入认证方式
神州数码可运营校园网解决方案可提供PPPoE、DHCP＋Web、802.1X、专线固定IP 地址接入等多种接入和认证方式。

面对校园网中教学区群体、学生宿舍区群体和教职工家属区群体等不同用户群体的不同使用需求，可以综合采用上述四种不同的接入方式。

例如：在教学区建议使用专线固定IP 地址接入方式，因为这部分应用主要是行政、教学或者科研之用。

在学生宿舍区和教职工家属区建议使用PPPoE 、DHCP+Web或者802.1x 认证接入方式。

2.2 轻松的运营管理
在神州数码可运营校园网解决方案中采用了神州数码DCBI-2000 Radius认证计费管理系统。

该系统具有良好的用户界面、高效可靠的性能。

采用标准的Radius协议，通过与神州数码网络有限公司的DCBA2000系列接入管理器、DCS3726S、DCS3526、DCS2026B系列交换机，以及其它支持Radius协议的设备相结合，能够实现灵活的用户认证、管理和计费。

后台可支持Oracle，MS SQL Server等多种数据库。

图2 神州数码认证计费管理系统界面
用户管理可以实现用户开户、停机、删户、预付时长用户发卡、用户资料查询和修改、用户密码修改、用户上网记录、缴费帐单查询。

图3 神州数码认证计费管理系统开户界面
帐目管理可以实现对用户缴月费、对预付时长预付流量用户充值、用户批量缴费、按运营商要求格式导出帐单等功能。

计费管理不仅可以直接使用系统提供的包月、计时长、计流量、实时扣费、卡业务等计费原型，网络管理员同时可以自定义计费策略。

比如设置优惠时段，哪些服务收费，哪些服务免费，对不同的用户可采用不同的计费策略和资费标准。

还可以定制用户服务，如上下行带宽等。

用户上网统计和分析功能，比如按上网时间段、上网次数、每次上网时长或者累计时长、流量来统计和分析用户上网行为，一定程度上协助网络管理员更好地定制计费和优惠策略。

图4 神州数码认证计费管理系统统计分析例1
同时系统还提供了用户自助WEB服务，用户可以WEB访问的形式修改用户密码、查询上网记录、查询帐单。

在很大程度上方便了用户。

图6神州数码认证计费管理系统用户查询界面
无论是PPPOE的接入方式还是WEB 的接入认证方式，用户认证通过后，访问的第一
个WEB页面可被重定向到运营商指定的 Portal页面；同时WEB 的接入认证方式支持VLAN PORTAL功能，可按用户所处不同的VLAN范围导向不同的认证页面；学校或院系可以利用初始界面与用户交流帐务通知、校内业务活动、品牌宣传等信息。

可以增强服务的迅捷性。

2.3 灵活开放的计费策略
由于校园网用户是多层次的，因此校园网的计费有其特殊性：
① 不同用户，如学生、教师，可能的计费策略不同。

②数据业务具有多样性的特点，因此所有通信包括校内互通以及访问INTERNET均进行统一收费的策略将大大降低校园网的内在价值；同时，作为教育部门ISP的中国教育科研网进行的是国内国外的分开计费，学校也必须对用户进行相应的计费方法。

神州数码可运营数字化校园网解决方案提供了灵活开放的计费策略：
包月、时长或有限时长包月（比如60小时包月超出部分2元/小时）、流量或有限流量包月（比如1000M包月超出部分0.1元/M）、预付时长、预付流量。

网络员可以自定义计费策略。

比如设置优惠时段，哪些服务收费，哪些服务免费，对不同的用户可采用不同的计费策略和资费标准。

同时与神州数码接入管理器或支持802.1x 交换机配合，能够做到内外网的分开计费、国内外网站分开计费。

完全能够满足校园网的计费需求。

图7神州数码认证计费管理系统策略管理界面
以下为校园网计费模型的分析：
学生宿舍：学生宿舍典型特征是一个终端即计算机可能被好几个人拥有，多个学生通过同一个终端在不同时段访问INTERNET。

按照传统基于用户位置（二层以太网交换机端口）或者目前宽带比较流行的包月制的方式都没有办法区分使用同一个终端的不同用户访问INTERNET的费用；另外包月制的方式只能对宿舍包月，无法对每个学生包月。

校园上网卡可以较好地解决这个问题，卡号方式等于是一个预付费的方式。

上网卡
的主要特点可归纳为：
√ 实现对同一物理位置和接口，不同用户的计费管理，最适合学生宿舍等公共场所；√ 实现用户全网的漫游的可能性，学生拥有上网卡可以在校内任一台计算机终端使用；
√ 根据用户使用网络的实际情况进行计费；
√ 储值卡方式上网，不存在欠费等问题，费用管理简单，运营风险小。

上网卡上的用户名、密码已经存放在校园网计费中心的Radius Server的认证数据库中，通过DCBI-2000 认证计费管理系统的web服务功能，学生可以自行修改自己的上网密码。

每次上网结束后，DCBI-2000 认证计费管理系统立即扣除相应费用；同时每次用户上线时，DCBI-2000 认证计费管理系统根据费率计算用户上网的剩余上网时长，当用户剩余时长达到后，将对用户进行自动拆线。

费率可以根据学校的实际情况进行调整。

教工家属区可采用以下计费策略：包月计费、时长或有限时长包月计费（比如60
小时包月超出部分2元/小时）、流量或有限流量包月计费（比如1000M包月超出部分0.1元/M）。

具体的计费策略可以按照实际情况制定。

由于教工家属区与学生宿舍有着不同的特征，在教工家属区，各用户的计算机终端完全被自己拥有，为了防止帐号被盗用，可以采用用户帐号与MAC地址、VLAN号以及IP地址绑定的方式保障用户帐号的安全性。

同时校内互访可以设为免费，访问INTERNET收费。

各个学校可以根据需求灵活地设定合适的计费模型。

2.4 超强的用户接入控制与IP地址管理
在校园网中一般采用LAN的接入方式，因此校园网的运营不可避免会存在IP地址管理的问题。

由于学生所住房间经常调整，通常每学年就要移动一次；许多合法的IP 地址在用户结束使用后仍没有收回，造成IP地址的浪费。

另外在校园网经常出现IP地址盗用或冲突的问题。

用户恶意更改IP地址，在实际的运营中轻者导致其他用户上不了网，重者则导致整个网络陷入瘫痪（比如用户的IP地址设成网关地址），严重的影响运营的质量；有的运营商采用IP地址和MAC地址绑定的功能，但由于一方面不能有效地解决IP地址冲突问题，同时增大了交换机的成本投入，而且工程的实施又极其繁琐，所以也很不理想。

神州数码数字化校园网解决方案中可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID、DHCP SERVER等多元素的任意绑定，能够很好的解决IP地址
的管理问题，同时提供强大而灵活的用户接入控制功能。

图8 计费系统绑定信息界面
方式一：用户帐号/密码的验证，只有通过验证的用户才能访问网络，保证正常开户的用户才能接入。

方式二：用户帐号、密码、IP地址的绑定，可解决IP地址静态分配环境下的IP地址冲突问题。

方式三：用户帐号、密码、MAC地址的绑定，可保证用户帐号不被盗用。

方式四：在802.1x认证中，交换机端口与MAC地址的绑定，可对认证者进行过滤。

方式五：用户帐号、密码、VLAN号、MAC地址的绑定，能够为用户做更精准的身份认证。

比如教师家属区和学生宿舍区的用户通常使用不同资费标准和策略，那么如何禁止这两个区域用户账号的混用呢？如果教师和学生在不同的VLAN内，只要在用户认证时，同时认证用户的VLAN ID就可以做到教师的帐户只能在教师宿舍区使用，学生的帐号只能在学生宿舍区使用。

神州数码校园网解决方案在IP地址管理上可以做到：
（1）针对静态IP地址分配的情况，做到：
认证前用户将静态分配方式改为动态、认证过程中修改IP地址，用户认证不予通过；认证后修改IP地址，用户立即下线；
（2）针对动态IP地址分配的情况，可以做到：
认证前设定成静态，认证不予通过；
认证通过后，由动态改为静态，用户立即下线；
从其他或非法DHCP server获得地址，认证不予通过；
2.5 全面的网络资源盗用控制
在校学生是一个经济弱势群体，而IP网络基于包交换，学生可以通过代理服务器方
式盗用网络资源。

要保证网络的正常运营，必须要解决用户盗用网络资源的问题。

神州数码校园网解决方案能够全面有效的解决网络资源盗用的问题，有效地避免了运营网络出现收费盲点以及架设代理服务器造成的网络安全威胁。

⌝带宽控制功能可以防止部分网络盗用的现象。

⌝采用流量计费、包月+限制流量的计费策略。

虽然有用户做代理，但对总的流量计费。

保证运营商的利益不受损害。

⌝若实行简单的包月制，通过Proxy Server，串联HUB等方式就会相当普遍，但采用时长预付费方式，在Proxy方式下，除非主从机器同时上网，否则从机单独上网时会将费用记录在主机上，由于这种情况存在，盗用的概率大大降低；
⌝通过限制TCP/IP的Session，防止用户做代理。

单个用户访问INTERNET 的会话连接应该在一个固定的范围内，若某用户的会话连接数目超过一定阈值，可以认为该用户使用代理服务器的方式在盗用网络资源，接入管理器将向网管系统进行告警或拆线，从而最大限度地预防网络盗用；
⌝通过802.1x客户端禁止用户做代理：如果在接入用户计算机上安装了两个以上的有效网络接口，并启动了Proxy软件、NAT服务、ICS服务和终端服务，则不允许用户进行拨号并弹出相关出错或警告信息，从而达到限制共享上网的目的。

如果没有安装了两个以上的有效网络接口，或虽然安装了两个以上的有效网络接口但并未启动Proxy软件、NAT服务、ICS服务和终端服务，则用户仍可以正常拨号。

⌝在802.1x认证中可以对同一个端口的MAC地址认证人数进行限制。

2.6 超高的网络安全管理
由于校园网络连接园区内部所有用户，安全管理十分重要。

神州数码“安全、智能、可运营”的校园网解决方案，通过以下网络安全管理，为校园网提供了高度的网络安全保障。

⌝校园网vlan设计
vlan设计在校园网中起到举足轻重的作用，传统校园网的设计思路是按照地理位置来划分vlan，这并非一个好的设计方法：因为地理位置相近的用户不一定有资源共享的需求。

vlan设计的总体指导原则为提高校园网的效率以及网络安全性：若相互间通信最多的用户群处于同一个vlan下，一方面可以保证通信最多的用户之间使用二层交换协议，而性质不同的用户之间，通信量较少，采用三层交换协议，无疑提高了网络的效率；通信最多的用户群体一般属于相同性质用户如同一个班级的学生或者同一个部门的教师等，相互之间有信任关系，网络的安全性能同样会提高。

学生宿舍区vlan设计按照上述原则，学生宿舍最好以班级或者专业划分vlan；
教工家属区vlan设计教工家属区属于完全的商业应用，不同家庭的用户之间几乎不需要通信，建议每个家庭处于单独的vlan。

⌝ NAT地址转换
通过内置的网络地址转换（NAT）功能，用户被分配私有IP地址，而私有IP地址对INTERNET是隐蔽的，INTERNET上的用户几乎无法攻击校园网内部用户。

同时也解决了公用IP地址资源匮乏的问题。

⌝校园网上网控制
通过ACL功能可以对不健康网站或者政治反动网站以及校内关键资源如财务系统信息的过滤等。

可以根据学校的管理要求，对学生上网时间、时段进行严格管理。

比如对DCBA-2000P 设置。

可限制学生在2：00～5：00上网。

⌝严格的telnet/enable/snmp的访问权限可以保证校园网络设备的高度安
全
⌝提供有效的防范措施针对PPPoE协议、DHCP SERVER、WEB SERVER的DoS 攻击；
⌝校园网用户上网记录或日志管理
网络管理员通过DCBI-2000认证计费系统可查看用户上网详细记录。

包括用户IP 地址、MAC地址、VLAN ID、上网时间、流量信息、接入服务器IP、端口等。

通过对上网记录的分析，能够及时发现异常用户。

图9 在线用户信息查询界面
2.7 可运营解决方案
神州数码针对不同的校园网状况，为用户提供量身定制的可运营校园网组网方案，充分保护用户的投资，保障最高的性价比。

1. 新建校园网认证计费解决方案：
方案：“802.1X协议+神州数码接入管理器DCBA-20000W”认证计费方案
图10 神州数码认证计费解决方案
神州数码在充分了解高校的用户需求，科学地分析对比每种接入认证技术的基础上，制定出适合高校的“802.1X协议+神州数码接入管理器DCBA-2000W”认证计费方案。

这种方案在接入层采用神州数码的支持802.1X认证计费的交换机，提供校园内部网络的认证计费功能，在校园网外网的出口配置神州数码DCBA-2000W接入管理器，用户访问外网使用DHCP+WEB认证和计费功能。

认证计费过程描述如下：
校园网用户开机后首先需通过接入交换机的802.1x认证后，方可接入校园网，保证校园网较高的安全性，根据用户需求在校园网内部可以只提供接入认证功能而不提
供计费，或者提供接入认证和计费功能。

用户访问外网，通过外网出口的接入管理
器DCBA-2000W进行DHCP+WEB认证，认证通过之后进行计费。

DCBA-2000W接入管理器可提供并发1024个用户的同时上网。

随着网络的扩容，上网人数的增加，可适量增加DCBA-2000W接入管理器。

并采用VLAN划分的方式，使得每个接入管理器负责
一部分用户的上网工作。

由中心机房DCBI-2000 RADIUS 认证计费管理系统统一进行特定管理，从而实现了校园宽带网络管理支撑平台的搭建。

此校园网运营方案主要特点如下：
ν极高的网络安全性：校园网的内、外网分别采用802.1X和DHCP+WEB的认证计费方式，充分利用每种协议的优点，避免他们在网络安全上的漏洞，实现了校
园网极高的安全控制策略；此外，通过IP地址、MAC地址、端口、VLAN号、用户帐号等多元素的绑定，实现多种方式的用户接入访问控制，保证用户接入的安全
ν灵活的计费策略：校园网内、外网分开计费，国内、国外网站分开计费。

用户访问校园网的内部资源通过802.1X进行认证，如果有需要在校内计费；访问校园网外网（包括CERNET、CHIANNET）的用户采用DCBA-2000W通过DHCP+WEB的方式进行认证计费。

用户访问外网根据需要可使用预付费、后付费、计时长、计流量的
计费方式实现对用户的计费。

还可以对教育网定期公布的计费网站进行单独计费。

ν网络扩展能力强：符合渐进式投入方式，保护用户投资。

在网络建设初期，
在网络出口放置一台DCBA-2000W，随着网络用户数量的增加，可适量增加
DCBA-2000W接入管理器，网络扩展能力极强，保护用户的投资。

ν防止代理服务器上网：如果在接入用户计算机上安装了两个以上的有效网络接口，并启动了Proxy软件、NAT服务、ICS服务和终端服务，则不允许用户进行拨号并弹出相关出错或警告信息，从而达到限制共享上网的目的。

如果没有安装了两个以上的有效网络接口，或虽然安装了两个以上的有效网络接口但并未启动Proxy软件、NAT服务、ICS服务和终端服务，则用户仍可以正常拨号。

ν节省投资：DCBA-2000W内置NAT、DHCP SERVER、WEB SERVER等功能，节省了外围设备的投资；
2. 升级改造成认证计费方案
互联网发展到今天，好多高校正在或已经完成了校园网的建设，并经过一段时间的运行，校园网已为教育的信息化做出了突出的贡献。

技术日新月异，很多国内外领先的网络厂商提出了校园网可运营的理念，以适应现代校园网“以网养网”的需求，这就需要对校园网进行可运营改造。

神州数码在充分分析校园网特点的基础上，把校园网可运营改造的需求分成如下三种情况：
1）用户的现有交换机不支持802.1X认证计费功能。

对于用户现有交换机不支持802.1X认证计费功能的情况，神州数码有两种方案进行校园网的可运营改造。

推荐升级解决方案１
升级用户所有的楼宇交换机或者汇聚层交换机，使之支持802.1X认证计费功能。

推荐采用神州数码高性价比的DCS-3726S、DCS-3526、DCS-2026B ;
推荐升级方案２
采用方案１进行校园网的可运营改造，会极大的提升校园网的性能，随之而来的问题是用户需要进行较大的投资。

校园网的可运营改造方案２是在校园网的外网出口采用神州数码的DCBA-2000W接入管理器，而保持校园网的其他部分不变，提供集中式的认证计费解决方案。

用户访问外网，通过外网出口的接入管理器DCBA-2000W
进行DHCP+WEB认证，认证通过之后进行计费。

DCBA-2000W接入管理器可提供并发1024个用户的同时上网。

随着网络的扩容，上网人数的增加，可适量增加DCBA-2000W 接入管理器。

并采用VLAN划分的方式，使得每个接入管理器负责一部分用户的上网工作。

由中心机房DCBI-2000 RADIUS 认证计费管理系统统一进行特定管理，从而
实现了校园宽带网络管理支撑平台的搭建。

图11 神州数码认证计费解决方案
此方案主要的特点：
ν计费策略灵活：内网不计费，外网根据需要可使用预付费、后付费、计时长、计流量的计费方式实现对用户的计费。

还可以对教育网定期公布的计费网站进
行单独计费。

ν节省投资：接入管理器DCBA-2000W内置NAT、DHCP SERVER、WEB SERVER 等功能，节省了外围设备的投资；同时，在校园网的出口根据校园网的上网用户数
逐步增多而增加接入管理器，符合渐进式投入方式。

ν兼容性较好：比较适合运营，为各大运营商普遍采用的运营管理方式。

2）用户的部分交换机支持802.1X认证计费功能。

对于用户现有交换机部分支持802.1X认证计费功能的情况，神州数码提出两种方案进行校园网的可运营改造。

推荐升级解决方案１
升级用户部分不支持802.1 X认证计费的楼宇交换机或者升级汇聚层交换机，使之支持802.1X认证计费功能。

我们推荐采用神州数码高性价比的DCS-3726S、DCS-3526、DCS-2026B；
推荐升级解决方案２
采用方案1主要问题是用户需要较大的投资。

可运营改造方案２是在校园网的外网
出口采用神州数码的DCBA-2000W接入管理器，而保持校园网的其他部分不变，提供802.1X+DHCP相结合的认证计费解决方案。

支持802.1X认证计费的接入交换机,通
过802.1X协议对接入用户认证,访问外网采用DCBA-2000W接入管理器进行认证计费，实现校园内外网分开计费，国内国外网站分开计费，对于不支持802.1X认证计费的交换机，访问校园网内网不需要计费；用户访问外网，通过外网出口的接入管理器DCBA-2000W进行DHCP+WEB认证，认证通过之后进行计费。

DCBA-2000W接入管理器。