网康ICT校园防私接

方案说明

保障投资回报稳定持续收入网康科技防私接解决方案

北京网康科技

2014年6月

一、客户简介

XXX

二、项目背景

运营类场景

WLAN业务和宽带业务是运营商高度重视的重点业务，高校是WLAN业务和宽带的重点发展区域，重点覆盖教学楼、宿舍楼和图书馆。

起初，这种想法是好的，即可以为高校同学提供上网环境，又可以得到稳定的业务利润。项目伊始，办理宽带业务学生数量和业务利润稳步上升。但后期发现办理宽带业务的人数越来越少，反之，办理退订业务的人逐渐增多。

具体是什么原因，导致这样的事情发生？

经过调查发现，原本办理宽带开通业务是以个人为单位的，现在变成以寝室为单位，多人共享一条宽带业务实现上网。直接导致办理宽带业务的人数骤然下降。这样的现象，对运营商造成了巨大的经济损失！如不解决学生私接路由问题，将会严重影响此项目的收支关系，甚至造成项目的投资失败。

管理类场景

在传统网络中，上网方式是DHCP动态获取地址，每个用户分配上网账号，使相关人员的上网行为做到事后可查。

但是，360随身wifi等便捷的NAT共享设备的出现，给网络管理带来两个问题：

1. 大量的非法或者不具备上网权限的终端接入网络，尤其是手机和pad

等自带的移动终端。

2. 因为多个终端使用同一个IP上网，隐藏了上网用户的真实身份，导致审计记录无法对应到真实用户上。

为保证全网上网行为的可视，校方需要有效手段限制私接路由器的行为。但是NAT技术决定了从网络层和传输层上很难做到精确识别私接路由器的行为，更无法进行有针对性的管理。

三、网康科技防私接解决方案

3.1网络拓扑图

拓扑说明：

为解决私接路由问题，以透明桥接方式在互联网出口部署网康ICG设备，对于每一个帐号或者IP进行精准分析，检测出非法私接用户，并做出相应的管理。

3.2网康解决方案

网康防私接设备ICG能够对接入网络的设备做观察、控制，能够检测到

一个用户后的终端数量，并可以对数量做策略控制，以达到掌控用户终端数量

的目的。

其主要实现下面具体的功能需求：

3.2.1主机个数的识别

防私接最核心的功能就是能够识别出一个用户所使用的终端个数，不论这个用

户采用的是分时分段上网，还是采用NAT路由或是代理同时上网的情形。如下图：防私接设备能显示被识别出存在私接情况的用户，即用户下面>=两台终端的用户。

3.2.2对识别后的主机进行进一步的行为控制

在监控到用户使用的终端数后，可以对此进行控制，屏蔽该用户的上网流量，解除屏蔽，永久屏蔽，管理员手工解除等用户控制的功能，并可对用户建立黑白名单，从而进行个性化控制，如下图所示：

黑白名单设置

3.2.3对私接情况进行进一步的统计和分析

私接状况查询能够对历史情况做统计，能够查询到用户在过去一段时间的私接状态变化，以便用户进行历史的回溯。如下图：

过滤条件

允许与阻断用户的比例图

多用户共享链路终端分布图

3.3私接设备实现原理

网康科技上网行为管理设备主要通过数据包分析应用特征来识别接入设备。比如在同一个IP地址里同时发现iphone和三星/小米手机的应用流量，可以判定为一个私接设备。这种方法不依赖客户端，没有兼容性问题。

为了达到较好的识别效果，应用识别技术的要求会非常高。网康科技通过10年的应用层技术积累，能识别市场上所有主流的智能手机、PAD、windows等终端类型，以及识别超过600多种的移动终端应用，从而保证私接设备的识别率。

3.3.1基于应用特征UA分析

通过应用的平台的UA信息确定用户的使用的主机信息是windows操作系统、IOS系统、linux系统等其他不同的操作系统；如下图所示：

同时，用户管理模块中的工具信息，在这部分信息中，用户管理已经进行了工具的区分，通过这部分工具的区分，也可以得到用户的终端信息，如下图所示：

3.3.2基于网络应用程序特征码分析

基于应用特征UA虽然可以分析出不同的操作系统，但是对同一操作系统的PC却无能为力。这时可以利用应用程序特征码进行分析。

基于常用网络应用程序的特征提取，比如360安全卫士、和搜狗输入法等网络应用在连接互联网发送数据包时会携带与主机绑定的唯一的32位特征码标示，这部分标示可以用于唯一区分PC客户端，如下图中的MID和HID：

3.3.3基于数据包的IPID分析

除了UA和应用程序特征码，还可以利用数据包的IPID进行分析。Windows 7 、windows xp系统在发送TCP数据包时，其IP包中的ID字段是

呈递增的，如果一个用户后有多台Windows 7 、windows xp系统，可以观察

到其ID的域轨迹有多条。通过分析出轨迹的条数，找出一个用户后的主机数量，如下图所示：

3.4方案可靠性

由于设备串联在网络中，因此我们必须避免由于设备的故障和性能而影响业务。网康防私接设备的bypass机制和高性能能够有效的保证方案的可靠性和网络的可用性。

通过BYPASS机制，确保设备在掉电的情况下，网络直接切换成一根网线，保证网络依然可用。

同时，网康科技的BYPASS技术，不仅仅在掉电的情况下可用，在设备宕机、或设备系统负载过高的情况下，也可以实现BYPASS功能，确保网络的可

用性。负载过高的参数，可根据客户的实际情况，灵活的调整。

并且，网康科技的BYPASS功能，可以由网络管理员主动发起，一旦感觉设备存在一些问题，为尽快排查问题所在，可直接通过设备面板上的BYPASS

按钮，或设备管理界面的BYPASS键，当然，也可通过命令，直接由管理员决

定是否BYPASS，使网络直通。

四、典型客户

4.1典型案例介绍

客户简介

中国电信股份有限公司黑龙江分公司隶属中国电信股份有限公司，于

2003年5月21日正式挂牌成立，是中国电信股份有限公司在黑龙江行政区域

范围内设立的分支机构，是拥有65亿元资产、200多万用户、年收入近13亿

元的省内综合电信业务运营公司。公司下辖13个市级分公司、67个县级分公司；现有员工2800余人。

在中国电信“聚焦客户的信息化创新”战略的指引下，中国电信股份有限公司黑龙江分公司本着“用心服务、用户至上”的经营理念，依托中国电信的全程