背景
目前,大多高校数宽带业务都是基于包月的形式开展的,沿用了家庭用户的计费方式,而且考虑到学生的支付能力比较低,定价也一般比家庭用户要低。但是,事实上,高校学生用户利用宽带计费技术的不足,往往以个人的名义申请宽带而让黑网吧、企业使用,或者几户共用宽带而分摊费用,给运营商造成了巨大的经济损失,在高校网络付费用户和非法接入用户的比例从1:2到1:10不等。
技术介绍
宽带网的非法接入,又称私接,指多个未授权用户利用一个合法用户的身份进入网络,共享合法用户的资源。在技术上是早就存在的,其中Proxy和NAT就是应用广泛的共享方式。但为什么现在才将其界定到非法接入,原因是这种接入方式导致了价格策略不平衡和网络资源滥用,甚至影响了潜在用户的增长。根据我们的经验,要解决这个问题,不是单纯的非法接入检测与监控的技术的发展,还需要对价格策略的调整,资源的分配的优化以及政策的宣传,才能达到有效的目的。
防非法接入技术经过了长期的发展,多是采用在网络出口进行旁路侦听技术,包括有连接数/流量检测法、mac地址检测法、SNMP扫描检测,TTL检测轨迹检测法、时钟偏移检测法和应用特征检测法。方法比较多,有一定的参考意义,但只能够做到的是:对网络的非法接入情况有一定的分析的能力,离实际应用还需亟待解决几个比较明显的问题:
1.需要长周期的统计的分析和汇总,要经过一周或者一个月的时间,不能即时产生判断,并会有误报的情况;
2.只能列举有一个账号下几个非法接入用户,无法判断那个是真正的合法用户,那个是非法的非法接入用户;
3.只能通过对账号进行封停或部分干扰(只能对TCP连接,对UDP无效),无法做到实时的控制,做到只让合法的用户访问,非法接入用户不能访问。
4.如果单凭数据纪录事后举证,容易引起用户不满,造成大面积的投诉,如果直接到用户现场确认,难度就更大,得不偿失,造成推广操作困难。
城市热点经过了四年多的不断完善,另辟蹊径,通过接入服务器和登录客户端的共同作用,以实现防非法接入的功能。不仅能够对内网用户进行很好地防代理控制,又不影响局域网和城域网的内网服务器和外部Internet服务器的正常通信。在多个高校校园,园区网和运营商等成功使用取得了明显的实际效果,单台接入网关能够处理8000在线用户,实际观察录得的转发能力达到双向1.6G。
可以实现以下功能:
1.防止基于Proxy的代理服务器;
2.防止基于Nat的代理服务器;
3.防止通过修改IP和Mac地址非法接入;
4.防 DHCP服务器的私自接入;
而且能够克服之前提到的防非法接入技术的不足:
1.无需时间积累,设备安装后即时生效;
2.检测与控制同时实现,检测到非法接入用户就马上能够屏蔽;
3.能够区分合法用户和非法用户,合法用户使用正常,非法用户不能使用。
4.可以配置用户策略,某些用户允许代理,某些用户不允许代理,可以做到先通知用户,循序渐进,做到分批割接,平稳过渡,减少投诉。
实现的原理类似于VLAN技术,通过城市热点的客户端对合法用户数据包动态地增加一个识别标签,再由网关对这些数据包标识去掉,转发到上联端口。而非法的用户,由于数据包没有合法的标签,被网关过滤掉。这种技术的先决条件是:接入服务器的处理性能以及客户端对数据包的实时封性能,否则都会成为瓶颈,而城市热点的网关采用自主知识产权的网络操作系统DrOS和多年技术经验的积累,经过大量测试和用户的实际反馈,才完成了这个解决方案。
共享合法用户的身份的NAT用户,由于他们的发出的数据包是没有经过封装的,虽然经过用户2的电脑实现了地址转换,但Dr.COM的防代理客户端不会对这些NAT用户的数据包进行封装,所以这些数据包就在网关被过滤掉,代理用户就不能正常上网。
运营商在校园网络的组网方式主要两种,一种是ADSL,主要面对的是宿舍区,另外一种是采用以太网方式,多放在校园网或者校园宿舍的混合网络。城市热点的防代理方式可以支持3种网关与客户端的配合方式:
方式一 Dr.COM 2133 B-RAS作为接入服务器与 Dr.COM 客户端
这是某省级运营商全区采用的方案,多用于校园网和宿舍网混合模式,采用纯以太网的组网方式,直接采用城市热点的网关做接入服务器,用于新投资的校园网,投资比较节省。
方式二 Dr.COM 2133 B-RAS作为PPPoE服务器与PPPoE客户端配合
由于运营商投资宿舍多数采用ADSL的方式,Dr.COM 2133 B-RAS作为一个PPPoE的服务器,用户可以采用原来的PPPoE的拨号客户端,需要另外下载一个防代理插件,就可以实现防非法接入的功能了,华东某运营商采用了这种方案。
方式三 Dr.COM 2133 B-RAS作为防非法接入服务器与防私接插件配合
运营商已经不想更换原有的PPPoE服务器,可以将Dr.COM 2133 B-RAS作为一个专用的防非法接入服务器,桥接在PPPoE服务器后面,可以同时支持多台PPPoE服务器,只要能够侦听到Radius服务器与PPPoE接入服务器之间的认证信息,就可以实现用户的实时防非法接入控制,这种方式还支持故障旁路(Bypass)功能,万一Dr.COM 2133 B-RAS失效,自动切换成直通,防非法接入功能暂时失效,但不会影响用户的正常上网使用,这个方案能够让运营商更加放心。
计费策略
面对BT和非法接入的问题,在高校宽带网推行储值卡按时长或按流量计费也是一个很好的解决方案,城市热点的计费平台支持丰富的计费策略和分组,面向学校的实际情况,例如:某省级宽带网在推广的计费策略包括:包月256K、包月512K、包月1M、包月2M,包周256K、包周512K、包周1M、包周2M,储值卡0.5元/小时、1元/小时、2元/小时、3.5元/小时,计费策略与控制策略的不同组合,细分了用户需求,取得了很好的经济效益。
其他相关技术
◆ 标准化和易扩展性
Dr.COM宽带接入认证计费运营平台结构的设计严格依据国际标准,技术和产品的标准化结构便于设备后期的可连续性升级。
◆ 高可用性
根据现在的需求和可以预见的需求增长情况设计网络,避免追求高档和不必要的技术花费的巨大代价。每个城市的节点都采用多机负载均衡的方案。我方会另外提供高可用解决方案――《城市热点宽带校园网负载均衡解决方案》。
◆ 高可靠性
Dr.COM2133计费网关设备工作稳定,可连续运行4年以上,在RADIUS服务器暂时停止工作的情况下,也能保证网络的正常运转。
◆ 网络业务的适应性
适应多业务发展需求,提供灵活多样的计费策略,可根据用户的具体需求提供高质量的数据业务Dr.COM宽带接入认证计费运营平台。
◆ 易管理和便于维护
Dr.COM宽带接入认证计费运营平台有良好的人机对话界面,分类详细,设置简单,同时具有设备的运行监控界面,便于网络管理员的管理、监控和维护。
◆ 网络安全性
该计费平台具有严格的访问控制机制,可有效控制非法访问者通过网络对外部资源的访问;同时对数据库采取网络隔离,保证了运营数据的安全,由于采用分布式接入,认证服务器会放在公网。
◆ 网络路由协议的开放性
Dr.COM宽带接入认证计费运营平台具有很好的可扩展性,同时其网络额外开销是极小的,支持国际标准协议,保证不同设备间的互通性。
经验总结
经过了多年的探索和实践,城市热点积累了300多家高校用户和60多家运营商的用户经验,尤其今年被广泛应用在多个省级运营商的高校宽带网建设运营, 我们的防非法(防代理、防私接)接入技术以及其他非常适合高校运营的专有技术,得到越来越多的肯定和信任,给运营商、学校和学生都带来了收益。