代撥系統在高校校園網多ISP融合運營的實踐

張文亮

（湖北科技學院 湖北省咸寧市 437100）

1 引言

在高校多運營商聯合運營的模式下，如何既保障校方和運營商雙方的管理與運營，又能為用戶提供最佳網絡體驗？考慮學校、校園網用戶、運營商的三方訴求后，高校PPPoE 代撥方案，協助學校和運營商高效的部署聯合運營，并且全面滿足聯合運營模式下的多方需求。

2 高校與運營商聯合運營校園網現狀

目前大部分高校采取合作運營的模式，與三大網絡提供商共同運營校園網絡市場。經過一段時間的合作、實踐、探索，存在很多問題。首先，學校對運營商上網認證計費系統、上網行為管理系統沒有直接管理權限，導致學校學生上網行為脫離了學校的直接、有效監管。尤其對學生的入網數量、用網流量、計費情況等，網絡監管部門無法通過技術手段得到精確的數據。其次，單一的網絡提供商，無法形成有效的市場競爭，學生對網絡提供商的選擇有限，學生服務質量與體驗無法保證。

針對目前運營存在的諸多問題與矛盾，急需要解決如下問題：學校無需購買運營商大帶寬；學?？梢詫W生的上網行為進行管控、分析，同時對學生的入網情況具有透明的管理、查看等權限；用戶可以自主選擇運營商，售后服務進入運營商服務體系；學校和運營商之間的AAA 系統無需對接。

3 代撥系統工作原理

3.1 代撥系統部署

經過實踐運行，代撥系統可以有效的平衡解決校方、運營商、學生三者之間存在的一系列問題與矛盾。下面介紹代撥系統在多運營商聯合運營模式下實現原理（圖1）：

圖1

代撥系統由：校內Bras、校內Radius、代撥設備、防代理設備、ISP(運營商)Bras、ISP(運營商)AAA 等六個部分構成。校內用戶想要上網，需要在校內的radius 以及ISP(運營商)AAA 平臺上通過認證。流程如下：用戶上網時，輸入學校帳號認證，先進行認證，通過認證后，系統會檢測該帳號是否綁定運營商。如有綁定，就通過radius 向校內Bras 下發coa 報文，通過Bras 將用戶的下一跳數據引到代撥，同時radius 會與代撥設備進行coa 報文的交互，通過coa 報文將運營商帳號密碼、用戶IP、運營商識別碼發送到代撥設備上，代撥接到這個coa 后，首先判斷這個運營商有沒有在自己系統在線，若不在線，通過運營商識別碼到指定運營商出口進行PPPoE 撥號動作，撥號成功后，代撥建立虛接口，獲取的運營商IP為虛接口IP，再把用戶的IP 和運營商虛接口IP 做一對一NAT。至此，用戶上網通道建立成功。

3.2 代撥設備與校內設備的交互

用戶使用綁定過運營商賬戶的校內賬號進行登錄，學校的Radiu 會分別向校內的Bras、代撥下發coa-request 報文。校內Radius 向校內Bras 下發的報文中包含coa-request 屬性值，Bras 針對該屬性值去匹配對應的策略，再根據策略將該用戶的數據的下一跳指向代撥設備。校內Radius 向代撥設備下發的coa-request 報文中會包含運營商帳號密碼、用戶IP、Called-Station-ID。代撥接到這個coa 后，會判斷這個運營商有沒有在自己系統在線，若不在線，通過運營商識別碼到指定運營商出口進行PPPoE 撥號動作，代撥系統會用該運營商賬號向運營商發起pppoe 的認證。

3.3 代撥設備與運營商設備的交互

代撥設備通過校內radius 獲取到運營商賬號后并判斷是否在線后，會將自己作為pppoe-Client 向ISP-AAA 發起PPPOE 認證。首先代撥設備會向ISP-bras 發起認證請求，提交用戶名和密碼（運營商提供的賬戶和密碼）。ISP-Bras 向ISP-AAA 發送access-request報文，報文中包含了代撥設備提交的用戶名和密碼。ISP-AAA 對用戶名和密碼進行校驗，成功后會向ISP-Bras 回應一個access-accept報文，其中包含下發給代撥的虛接口IP。ISP-Bras 會將虛接口IP轉發給代撥，代撥獲取虛接口IP 后會將用戶的IP 與虛接口IP 做一個一對一的NAT。到此，整個代撥認證流程完畢，用戶可以正常上網。

4 代撥系統認證流程

用戶采用PPPOE/IPOE 方式向學校側BAS 發起認證，學校側的認證由學校側AAA 系統完成。認證成功后學校側AAA 系統生成用戶在線表，并向代撥網關發送撥號指令，代撥網關代理用戶向運營商側ISP-BAS 發起PPPOE 認證請求。運營商側認證成功后運營商側ISP-BAS 將用戶賬號及IP 信息發送給代撥網關系統，代撥網關系統將該賬號、IP 與在線表中的賬號IP 進行對應，并進行一一映射，從而實現用戶正常上網。PPPOE 代撥方案流程如圖2所示。

圖2

5 代撥系統與防代理系統交互

目前，大多高校數寬帶業務都是基于包月或者按照時間計費的形式開展的，沿用了家庭用戶的計費方式，而且考慮到學生的支付能力比較低，定價也一般比家庭用戶要低。事實上，高校學生用戶利用寬帶計費技術的不足，往往以個人的名義申請寬帶而幾戶共用，并且分攤費用，給運營商造成了巨大的經濟損失，在高校網絡付費用戶和非法接入用戶的比例從1:2 到1:10 不等。

防代理系統是一款針對寬帶共享接入管理設計和開發的網絡行為分析及管理網關設備，通過基于DPI 深度包檢測的應用層特征報文分析，提供用戶共享私接行為的實時控制和監控，避免共享接入行為帶來的潛在風險和損失，使運營商的網絡運營更加健康有序和可持續發展。

5.1 防代理的工作原理及技術方法

5.1.1 基于應用特征的方法

防共享設備內置防代理軟件規則庫，對最新熱門軟件唯一特征庫進行識別，比如QQ、360 安全衛士、搜狗拼音、迅雷、英雄聯盟、穿越火線、快播、PPS、PPTV、風行、迅雷看看、暴風影音、愛奇藝影音、搜狐影音等。

PC 終端安裝這些熱門軟件后，在使用該軟件或者該軟件進行更新時，我們的防共享設備在網絡出口處都能檢測到來自于該IP的應用特征。若發現有同一個用戶賬號下有2 個或超過2 個的IP接入，則判斷為共享上網的行為，并自動檢測到有2 個或超過2 個終端在接入。

5.1.2 基于flashcookie 的方法

同Http Cookie 一樣，Flash Cookie 也就是記錄用戶在訪問Flash 網頁的時候保留的信息，鑒于Flash 技術的普遍性，幾乎所有的網站都采用，所以具有同Http Cookie 一樣的作用。但是相比起Http Cookie，Flash Cookie 更加強大：

Flash Cookie 也就是記錄用戶在訪問Flash 網頁的時候保留的信息，鑒于Flash 技術的普遍性，幾乎所有的網站都采用，所以具有同Http Cookie 一樣的作用，只要當用戶打開瀏覽器去上網，那么就能被防共享設備記錄到fash cookie 的特征值。

由于flash cookie 不容易被清除，而且具有針對每個用戶具有唯一，并且支持跨瀏覽器，所以被用于做防共享檢測，極大的減少了共享上網的漏判率和誤判率，使得我們防共享方案成為了行業內技術領先、獲得眾多客戶認可的解決方案。

5.2 防代理系統與代撥系統、認證計費系統交互流程

（1）用戶輸入用戶名密碼進行用戶認證；

（2）通過BAS 及深瀾認證計費系統認證通過后可以正常上網并計費；

（3）防代理檢測設備通過旁路端口鏡像的方式實時檢測所有用戶的流量，在用戶認證時能檢測PPPOE 協議并識別用戶認證是否成功，對于認證成功的用戶可以記錄用戶的賬號、IP 地址信息；

（4）在防代理檢測設備內將用戶分組，對于無需防代理的用戶直接放通不做任何策略；對于需要防代理的用戶批量導入用戶賬號，防代理檢測設備實時檢測這些用戶的上網行為是否存在代理行為，對于存在代理行為的用戶記錄用戶的賬號、IP 地址、時間、代理的PC 終端數量等信息；

（5）防代理檢測設備將檢測出來的存在代理行為的用戶通過接口把用戶的賬號、IP 地址、時間、代理的PC 終端數量等信息傳送給認證計費系統認證，同時下發控制命令發送告警信息或阻斷該用戶。

6 結束語

代撥系統的產生與部署，有效的平衡了學校、運營商、師生之間的關系，學校對師生上網得到了有效的管控，對學生上網計費及上網行為更加透明、可控；解決了學校大帶寬費用支出的難題。運營商之間形成了良好的競爭，為師生提供了更好的服務質量和上網體驗。高校校園網絡旨在服務科研、服務師生，豐富學生生活、學習。本文僅從認證計費的角度分析了多ISP 融合運營的技術可行性，還存在一些關于防代理、dns解析等技術問題。在實際的合作過程中，還存在很多諸如前期商務談判、利益分成、上網收費標準、技術售后服務等問題，還需結合高校實際情況具體分析。