可運(yùn)營(yíng)校園網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)模式探討

龍 飛，劉 凱，王英冬

（湖南省郵電規(guī)劃設(shè)計(jì)院有限公司，長(zhǎng)沙 410011）

隨著高校信息化應(yīng)用的不斷深入和推進(jìn)，同時(shí)互聯(lián)網(wǎng)應(yīng)用和信息資源不斷地豐富，校園網(wǎng)用戶(hù)對(duì)接入Internet的網(wǎng)絡(luò)帶寬的需求越來(lái)越大，構(gòu)建全面滿(mǎn)足教學(xué)、科研、及高速上網(wǎng)需求，各運(yùn)營(yíng)商也紛紛入駐校園網(wǎng)分別組建自己的網(wǎng)絡(luò)，形成了校園網(wǎng)多鏈路、多出口、認(rèn)證節(jié)點(diǎn)多、用戶(hù)體驗(yàn)差的局面，校園網(wǎng)的可控可管存在安全隱患。本文基于這種背景之下，對(duì)校園網(wǎng)出口問(wèn)題進(jìn)行分析，探討了對(duì)多個(gè)運(yùn)營(yíng)商進(jìn)行統(tǒng)一出口改造的部署方案，為校園用戶(hù)提供穩(wěn)定可靠的電信級(jí)的認(rèn)證計(jì)費(fèi)服務(wù)，確保校園網(wǎng)達(dá)到可運(yùn)營(yíng)的電信服務(wù)質(zhì)量。

1 校園網(wǎng)出口現(xiàn)狀及問(wèn)題分析

目前，大多高校和運(yùn)營(yíng)商合作運(yùn)營(yíng)校園網(wǎng)，采取由學(xué)校委托運(yùn)營(yíng)商進(jìn)行校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)，運(yùn)營(yíng)商前期投入設(shè)備，再?gòu)暮笃诘倪\(yùn)營(yíng)收入中獲取一定比例的回報(bào)。當(dāng)多家運(yùn)營(yíng)商進(jìn)入高校，通常是各運(yùn)營(yíng)商分別承建高校不同區(qū)域網(wǎng)絡(luò)。即分別在校園網(wǎng)部署出口路由器，每個(gè)運(yùn)營(yíng)商都給系統(tǒng)分配接入公網(wǎng)的IP地址，不論是硬件設(shè)備連接上還是IP地址分配上，網(wǎng)絡(luò)的接入都相對(duì)復(fù)雜。多個(gè)運(yùn)營(yíng)商采用不同的認(rèn)證方式、不同的出口鏈路，有著各自獨(dú)立的賬號(hào)和計(jì)費(fèi)系統(tǒng)。造成認(rèn)證節(jié)點(diǎn)多，用戶(hù)體驗(yàn)差，可溯源管理薄弱。

2 可運(yùn)營(yíng)解決方案部署

校方與多運(yùn)營(yíng)商的合作運(yùn)營(yíng)是基于避免多運(yùn)營(yíng)商相互干擾和重復(fù)建設(shè)的原則，實(shí)現(xiàn)共建共營(yíng)的目標(biāo)，從而降低維護(hù)壓力，提高管理效率，提升用戶(hù)體驗(yàn)。

在校園網(wǎng)接入多個(gè)運(yùn)營(yíng)商的路由出口，能保證各運(yùn)營(yíng)商有各自獨(dú)立的賬號(hào)和認(rèn)證計(jì)費(fèi)系統(tǒng)；按照用戶(hù)選擇哪個(gè)運(yùn)營(yíng)商，則訪(fǎng)問(wèn)互聯(lián)網(wǎng)就走哪個(gè)運(yùn)營(yíng)商鏈路的原則，用戶(hù)的運(yùn)營(yíng)商賬號(hào)認(rèn)證之后應(yīng)自動(dòng)路由至運(yùn)營(yíng)商鏈路。本文提出了兩種組網(wǎng)部署方案：

2.1 方案一部署專(zhuān)用BRAS解決方案

本方案以校區(qū)防火墻為統(tǒng)一出口，在防火墻內(nèi)側(cè)與校園網(wǎng)核心交換機(jī)之間部署一臺(tái)專(zhuān)用BRAS，所有需認(rèn)證計(jì)費(fèi)用戶(hù)全部通過(guò)校園網(wǎng)核心交換機(jī)采用二層方式接入BRAS，和各運(yùn)營(yíng)商可以采用合作運(yùn)營(yíng)分成模式。

2.1.1 一次登錄，多種認(rèn)證方式

用戶(hù)運(yùn)營(yíng)商賬號(hào)可與校園網(wǎng)賬號(hào)進(jìn)行綁定，通過(guò)這種方式校園用戶(hù)可直接使用校園網(wǎng)賬號(hào)，通過(guò)校園端的校園認(rèn)證計(jì)費(fèi)系統(tǒng)認(rèn)證，選擇相應(yīng)的運(yùn)營(yíng)商出口，即完成運(yùn)營(yíng)商賬號(hào)的認(rèn)證。BRAS可提供多種主流認(rèn)證技術(shù)，組網(wǎng)時(shí)可以自由選擇認(rèn)證方式，可以任選一個(gè)或多個(gè)。如A用戶(hù)選擇移動(dòng)，采用Portal認(rèn)證，B用戶(hù)選擇電信，采用PPPOE認(rèn)證。

（1）針對(duì)Portal用戶(hù)，BRAS到DHCP服務(wù)器給用戶(hù)分配IP地址，用戶(hù)第一個(gè)HTTP報(bào)文進(jìn)行重定向到Portal服務(wù)器，通過(guò)用戶(hù)名和密碼實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過(guò)后給用戶(hù)分配合法地址，允許用戶(hù)訪(fǎng)問(wèn)公網(wǎng)。（2）針對(duì)PPPoE用戶(hù)，BRAS到AAA服務(wù)器進(jìn)行用戶(hù)名和密碼認(rèn)證，認(rèn)證通過(guò)后，給用戶(hù)分配IP地址。

2.1.2 靈活計(jì)費(fèi)方式

BRAS可針對(duì)每用戶(hù)進(jìn)行計(jì)費(fèi)，計(jì)費(fèi)報(bào)文實(shí)時(shí)發(fā)送給AAA服務(wù)器。校園網(wǎng)對(duì)用戶(hù)接入業(yè)務(wù)訪(fǎng)問(wèn)目的地址的差別進(jìn)行管理，根據(jù)不同的目的地址定義不同的費(fèi)率級(jí)別進(jìn)行收費(fèi)和不同的網(wǎng)速控制，實(shí)現(xiàn)訪(fǎng)問(wèn)校內(nèi)資源或教育網(wǎng)不計(jì)費(fèi)，訪(fǎng)問(wèn)公網(wǎng)計(jì)費(fèi)，采用不同的收費(fèi)策略。

圖1 部署專(zhuān)用BRAS

2.1.3 運(yùn)營(yíng)價(jià)值

精細(xì)化的網(wǎng)絡(luò)運(yùn)營(yíng)方案，可提供運(yùn)營(yíng)級(jí)的城域網(wǎng)業(yè)務(wù)支撐。

（1）能夠?qū)τ脩?hù)進(jìn)行精細(xì)化管理，提供細(xì)化到用戶(hù)級(jí)的QoS保障，多維度用戶(hù)資源管理；（2）能夠統(tǒng)一業(yè)務(wù)平臺(tái)，全面支持各種用戶(hù)管理方式，適應(yīng)多樣化的設(shè)備接入，一體化設(shè)計(jì)來(lái)降低建網(wǎng)成本，提高業(yè)務(wù)部署效率，增加業(yè)務(wù)開(kāi)展的靈活性，實(shí)現(xiàn)盈利能力的提升；（3）根據(jù)學(xué)生的上網(wǎng)帶寬需求，給不同上網(wǎng)帶寬需求的學(xué)生分配不同的帶寬，并可提供先進(jìn)的調(diào)度與擁塞避免技術(shù)，提供精確的流量監(jiān)管和流量整形功能，支持流細(xì)粒度鑒別，有效的提高了學(xué)校出口帶寬的利用率，另一方面，還可以通過(guò)學(xué)生的上網(wǎng)帳號(hào)，實(shí)時(shí)查看學(xué)生的上網(wǎng)流量、上網(wǎng)時(shí)長(zhǎng)等信息，做到可溯源管理。

2.2 方案二部署SAM系統(tǒng)解決方案

本方案部署出口路由器1臺(tái)，可繞行BRAS，直聯(lián)各運(yùn)營(yíng)商城域網(wǎng)核心節(jié)點(diǎn)，并在校園網(wǎng)部署SAM（安全計(jì)費(fèi)管理）系統(tǒng)1套，作為全網(wǎng)的用戶(hù)認(rèn)證中心，各運(yùn)營(yíng)商分別部署運(yùn)營(yíng)商SAM系統(tǒng)1套，負(fù)責(zé)運(yùn)營(yíng)商用戶(hù)的管理、以及該類(lèi)用戶(hù)認(rèn)證計(jì)費(fèi)請(qǐng)求轉(zhuǎn)發(fā)，和運(yùn)營(yíng)商BOSS（業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)）聯(lián)動(dòng)。運(yùn)營(yíng)商SAM可以部署在運(yùn)營(yíng)商機(jī)房、也可部署在學(xué)校機(jī)房。保持IP地址可達(dá)即可。實(shí)現(xiàn)校內(nèi)學(xué)校師生用戶(hù)只需一套校園網(wǎng)帳號(hào)通過(guò)統(tǒng)一的認(rèn)證接口平臺(tái)即可按需登錄，基于賬戶(hù)對(duì)應(yīng)的權(quán)限訪(fǎng)問(wèn)校園網(wǎng)資源、運(yùn)營(yíng)商出口等資源。學(xué)校管理方通過(guò)統(tǒng)一的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)用戶(hù)進(jìn)行網(wǎng)絡(luò)的準(zhǔn)入和準(zhǔn)出管理與記錄。

圖2 部署SAM系統(tǒng)

2.2.1 一個(gè)賬戶(hù)、統(tǒng)一認(rèn)證

運(yùn)營(yíng)商和校園網(wǎng)獨(dú)立開(kāi)戶(hù)后，通過(guò)運(yùn)營(yíng)商BOSS系統(tǒng)與運(yùn)營(yíng)商SAM的配合，將兩個(gè)運(yùn)營(yíng)商帳號(hào)和校園網(wǎng)賬號(hào)進(jìn)行關(guān)聯(lián)，達(dá)到兩套帳號(hào)但使用時(shí)只記憶校園網(wǎng)帳號(hào)即可。

SAM系統(tǒng)支持WEB認(rèn)證和802.1X 兩種認(rèn)證方式。校園網(wǎng)SAM收集用戶(hù)認(rèn)證信息后，判斷用戶(hù)是否有權(quán)限訪(fǎng)問(wèn)內(nèi)網(wǎng)；接著在校園網(wǎng)SAM上將校園網(wǎng)賬號(hào)轉(zhuǎn)換成運(yùn)營(yíng)商賬號(hào)，通過(guò)radius proxy協(xié)議將用戶(hù)的認(rèn)證請(qǐng)求和計(jì)費(fèi)請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給運(yùn)營(yíng)商BOSS處理，由BOSS系統(tǒng)的判斷結(jié)果告知校園網(wǎng)SAM是否得到認(rèn)證通過(guò)，一旦認(rèn)證通過(guò)，將放行用戶(hù)端口啟動(dòng)計(jì)費(fèi)流程。

2.2.2 不同計(jì)費(fèi)策略

運(yùn)營(yíng)商寬帶業(yè)務(wù)的校園網(wǎng)用戶(hù)在在運(yùn)營(yíng)商BOSS系統(tǒng)計(jì)費(fèi)。認(rèn)證系統(tǒng)在收到用戶(hù)的計(jì)費(fèi)信息后，會(huì)將其帳號(hào)轉(zhuǎn)換成運(yùn)營(yíng)商帳號(hào)，并將該報(bào)文透明轉(zhuǎn)發(fā)給運(yùn)營(yíng)商計(jì)費(fèi)系統(tǒng)，由運(yùn)營(yíng)商系統(tǒng)進(jìn)行計(jì)費(fèi)。同時(shí)可實(shí)現(xiàn)內(nèi)網(wǎng)與公網(wǎng)用戶(hù)不同計(jì)費(fèi)策略。

并且由校園網(wǎng)出口設(shè)備來(lái)實(shí)行運(yùn)營(yíng)商下發(fā)的套餐控制策略，所以在SAM系統(tǒng)上可以記錄不同的運(yùn)營(yíng)商、不同的套餐對(duì)應(yīng)的用戶(hù)，校方即可按照不同檔位的套餐用戶(hù)按照不同的分成金額進(jìn)行準(zhǔn)確的分成核算。

2.2.3 運(yùn)營(yíng)價(jià)值

通過(guò)此種方式，使運(yùn)營(yíng)商和校方雙方投入最少的資源和工作量進(jìn)行運(yùn)營(yíng)，且滿(mǎn)足雙方不同的需求，兼顧了運(yùn)營(yíng)商開(kāi)戶(hù)和收費(fèi)的權(quán)利，以及校方參與監(jiān)管的需求。

（1）運(yùn)營(yíng)商擁有開(kāi)戶(hù)和收費(fèi)的權(quán)利，同時(shí)，校方能夠監(jiān)控該網(wǎng)絡(luò)、在必要時(shí)進(jìn)行控制管理；（2）統(tǒng)一認(rèn)證、統(tǒng)一管理，支持多運(yùn)營(yíng)商共同運(yùn)營(yíng)；（3）精準(zhǔn)的分成核算，校園網(wǎng)出口設(shè)備實(shí)行運(yùn)營(yíng)商下發(fā)的套餐控制策略，所以在SAM系統(tǒng)上可以記錄不同的運(yùn)營(yíng)商、不同的套餐對(duì)應(yīng)的用戶(hù)，校方即可按照不同檔位的套餐用戶(hù)按照不同的分成金額進(jìn)行進(jìn)行準(zhǔn)確的分成核算。

3 結(jié)束語(yǔ)

打造一個(gè)安全可運(yùn)營(yíng)的校園認(rèn)證計(jì)費(fèi)系統(tǒng)，可以保障校園擁有獨(dú)立的運(yùn)營(yíng)管理，運(yùn)營(yíng)商可以贏得收益，同時(shí)校園師生還能享受到便捷貼心的連網(wǎng)服務(wù)，真正實(shí)現(xiàn)三方共贏的最終目的。本文提供的部署方案靈活的解決了多接入、多出口、多認(rèn)證計(jì)費(fèi)的組網(wǎng)問(wèn)題，校方及合作運(yùn)營(yíng)商實(shí)現(xiàn)了對(duì)校園網(wǎng)的共同運(yùn)營(yíng)和監(jiān)管，并最大限度的保護(hù)了既有網(wǎng)絡(luò)建設(shè)的投資，又做到可溯源管理，幫助學(xué)校把信息安全事件防患于未然。

[1] 周俊杰.校園網(wǎng)中三種常用認(rèn)證計(jì)費(fèi)技術(shù)的對(duì)比分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（9）.

[2] 劉嵐.校園網(wǎng)多出口優(yōu)化技術(shù)與應(yīng)用探討[J].科技資訊，2011，1.

[3] 劉晨光，殷麗.校園網(wǎng)認(rèn)證技術(shù)的研究與應(yīng)用[J].電腦知識(shí)與技術(shù)，2009（5）.