校园网认证计费方式分析

校园网认证计费方式分析
摘要：随着宽带互联网的飞速发展，多数高校都建成了覆盖教室、图书馆、师生公寓、办公楼的校园网，有的甚至还部署了wlan，实现了校园网接入的无缝覆盖，为师生提供高速互联网接入服务，校园网在很大程度上已不再是一个小的局域网，就其用户规模来说，可能相当于一个区域网甚至市级网，因此校园网可运营的理念应运而生，以适应现代校园网“以网养网”的需求。

一、校园网的特点
校园网具有可运营的特点，但与基础电信运营商的网络运营业务相比又有着鲜明的特殊性：（一）网络构成相对复杂，公共服务网络和部分运营网络共存。

（二）用户规模大且主要集中在校园内，一般为在校大学生和教师。

（三）上网时段相对集中，主要集中在课余时间，网络高峰时段相对固定，同时存在突发流量大的特性。

（四）网络应用需求多样，主要是消耗带宽的新技术（如bt等p2p软件）。

（五）网络管理难度大，一是计算机病毒、盗版资源泛滥；二是大学生大都处于20岁左右的年龄阶段，非法、不健康的网络不良行为突发性高。

二、校园网运营管理面临的主要问题
（一）校内用户私接代理情况比较普遍，容易造成费用流失。

（二）cernet和internet同时接入，需要提供区别服务。

（三）教师和学生往往要区别收费，需要提供灵活的计费方式。

（四）网络internet出口容易出现拥塞，需要对带宽分配进行有效管理。

（五）计费数据采集困难，对运营管理带来难度。

（六）网络不良行为控制困难，无法进行有效的记录。

针对校园网自身的特点和运营管理中存在的主要问题，采用合理的认证计费策略是校园网运营的基本保障，本文就目前校园网主要的认证和计费方式进行分析讨论。

三、校园网的接入认证方式
校园网有多种接入方式。

通常教研室、机房、图书馆甚至是宿舍都是通过局域网连接在一起，有的学校还提供远程拨号访问，要对所有接入用户进行统一管理。

（一）用户接入方式
1.pppoe方式。

用户之间相互独立，互不干扰，用户的ip地址分配是在ppp链接建立以后，由server分配，不受其他dhcp server的影响。

杜绝了arp欺骗的可能。

2.dhcp模式。

采用此种模式的初衷多是为了解决校园网内ip地址冲突的问题，但这种模式的问题是用户私开dhcp server现象严重，影响了正常用户的ip地址分配。

运营网管理一个头疼的问题就是ip地址盗用，采用pppoe方式，能够很好的解决校园网内ip地址冲突的问题。

（二）用户接入认证方式
bras设备能够实现用户接入认证和计费功能。

在实际的组网中通常有两种部署方式：
1.l2tp认证模式。

在网络出口处部署bras设备，用作整个校园网的出口计费网关。

这种部署方式下，用户访问内网进行80
2.1x认证，访问外网再通过bras认证。

共用一套计费中心，一套帐号系统，一个客户端，完成二次认证。

2.pppoe认证模式。

在网络内部部署bras，如旁挂在汇聚或核心层交换机旁，通过交换机的vlan引导，实现用户vlan透传到bras。

用户通过pppoe拨号实现建立会话、用户认证、访问控制和计费的功能。

这种方式下，bras设备通过trunk链路连接到汇聚交换机上，离终
端用户更近，相应的控制能力也更强，能够天然阻止arp欺骗、仿冒源地址攻击等问题，有效保障网络的安全性和稳定性。

四、校园网计费策略
对于可运营的校园网络来讲，主要是在保障网络性能的前提下，按用户进行计费。

（一）校园网计费管理的特点
1.独特的计费方式。

从校园网自身的特点来看，用户使用ftp、bt下载或者网络游戏、在线视频等频率很高，可能导致出口带宽占用太多，浏览网页等普通应用速度很慢，因此，通常学校会采用通过流量计费的方式来限制大流量的发生。

并且，cernet的现行收费政策是对国际站点进行流量计费，而国内流量是免费的。

因此，学校一般会要求对校园网用户出口访问能够区分国内国际的流量并且进行准确的记录，以收取相应的费用。

2.多个网络出口的需求。

早期国内各高校一般通过中国教育科研网（cernet）接入internet。

近年来，许多学校基于带宽的考虑，都在cernet出口的基础上，同时接入基础电信运营商公网的专线。

这样，校园网就存在着多个网络出口，访问不同资源的流量通过不同的出口，这些出口可能使用不同的计费方式和费率策略。

3.接入方式多样化。

校园网里存在着多种多样的接入方式。

例如：pppoe、dhcp、ssl等，最后通过路由器接入internet。

学校一般要求对这些不同接入方式的用户进行统一管理。

4.用户层次多样化。

校园网用户的种类很多，如教师、学生、校长，甚至包含一些校办企业。

这些不同的用户对网络服务的需求和收费标准都不一样。

这就要求计费管理系统能够为不同的用户提供不同层次的服务，并制定不同的收费策略。

5.付费类型多样化。

很多校园里都是采用预付费或预付费卡的方式。

但对于一些特殊用户，也可能采用后付费或包月的方式。

6.账务管理相对简单。

校园网一般都没有进行商业运营，对营账系统的要求简单。

基于校园网计费管理的特点，建议对校园网的计费策略是内网免费，出口按照流量计费。

（二）流量计费的多种模式
1.基于ip地址的流量计费。

主要包括基于路由器方式、基于snoop方式、基于访问日志的方式等。

路由器方式是利用路由器记录源ip地址和目的ip地址流量的特性，计费服务器使用snmp 命令，定时从路由器获得流量记录，再通过分析这些记录得到收费范围内ip流量统计数据。

snoop方式是利用侦听程序，侦听到网卡上所有的数据包并记录下来，再通过分析这些记录得到收费范围内ip流量统计数据。

访问日志方式是采用netflow或者sflow等方法，以ip为单位将访问记录实时存储下来，并且定时对此记录信息进行分析统计，得出最终的流量费用。

这些方式存在的主要问题：一是只能基于ip地址进行流量计费，不支持对用户的流量计费。

二是计费准确性得不到保证。

三是随着出口带宽的扩大，存储计费记录也是一大难题。

2.基于用户的流量计费。

校园网用户有一个很大的特点，就是一台机器可能被不同的用户使用。

因此，只对ip地址计费不能完全解决问题，必须实现基于用户的计费。

解决方案主要有
（1）基于proxy的流量计费。

用户通过授权认证后使用代理，代理记录下用户访问的每一个地址，根据记录日志计费。

这种方式的问题是对用户不透明，用户需要自己配置客户端软件，而且这种方式不能支持所有的应用，特别是一些新应用，因此不适用于大型网络。

（2）网关型的流量计费。

本文中提到的第一种认证方式，采用bras作为网关设备进行流量计费，其实质也是软件计费。

这种方式的问题是单点故障，一旦bras设备故障，无法进行用户认证，将严重影响网络的出口访问。

<BR< p>
基于上面的分析，本文建议在具有一定规模的校园网中采用第二种认证计费方式。

这种方式，对于用户而言，原来终结在汇聚或核心层设备上，现在通过vlan导入到bras中去，提供二层pppoe的认证控制功能。

而对于用户之间，则采用vlan细分的方式实现二层隔离。

对于网络管理者而言，只需要制定统一的安全策略及各分支机构的特定策略。

（三）网络管理计费系统的设计
可以采用b/s结构设计，提供web管理界面，便于管理员随时进行网络管理、查询统计、打印业务报表等操作。

主要包括：
1.用户认证系统。

采用标准的radius server，支持pap、chap等认证协议，支持基于网络实名制策略，完成用户认证、授权和计费信息采集功能。

2.管理系统。

对radius server进行配置，管理nas，制定全局策略。

3.操作员管理系统。

基于用户策略的实时计费控制，支持多种付款方式，实现用户管理、计费策略定制、缴费、统计等功能。

4.用户自助系统。

实现用户自助明细查询、修改密码及上网卡充值等功能。

五、结束语
针对校园网的特点及运营管理面临的主要问题，通过对校园网接入认证及计费策略的分析，建议在具有一定规模的高校校园网内采用内部部署bras，如旁挂在汇聚或核心层交换机旁，通过交换机的vlan引导，实现用户vlan透传到bras的接入认证方式；计费采用内网访问免费，出口按照流量计费的方式，并根据实际需要做出了校园网管理计费系统的功能设计需求分析。

由于认识有限，不可避免的存在一定的偏颇之处，本文观点仅供参考。