城市熱點(diǎn)防非法接入和P2P限流技術(shù)應(yīng)用在廣西高校
2006/06/14
一、綜述
高校寬帶網(wǎng)是指由電信運(yùn)營商為高校的學(xué)生宿舍和校園網(wǎng)絡(luò)提供高速互聯(lián)網(wǎng)接入的功能專網(wǎng),意在為中國1700萬在校學(xué)生提供高速寬帶接入,建設(shè)過程從最早期的專線租用,到電信直接對學(xué)生宿舍寬帶接入運(yùn)營,再到目前學(xué)校與運(yùn)營商共同管理和運(yùn)營的經(jīng)營模式。運(yùn)營商在經(jīng)歷多年的探索和運(yùn)營后,已經(jīng)非常清晰地知道高校寬帶網(wǎng)的發(fā)展需求和產(chǎn)生的經(jīng)濟(jì)收益,同時也面臨高校寬帶網(wǎng)必需解決的問題。
本文是以廣西全區(qū)高校寬帶網(wǎng)的規(guī)劃和建設(shè)為背景,就校園網(wǎng)共通的問題進(jìn)行技術(shù)探討,為建設(shè)一個更加符合中國國情同時能滿足校園網(wǎng)未來發(fā)展需求尋找可行的思路。
二、廣西校園寬帶網(wǎng)業(yè)務(wù)需求概述
1、分布接入,分點(diǎn)采集
高校校園網(wǎng)一般與CERNET和Internet同時存在連接。提供的接入服務(wù)器能夠支持多出口,并能實(shí)現(xiàn)一次認(rèn)證,分別控制,對學(xué)生用戶可以設(shè)置不同的訪問Internet和CERNET的訪問和收費(fèi)策略。
2、集中認(rèn)證,集中計(jì)費(fèi),集中運(yùn)營
集中建設(shè)一個高校的運(yùn)營中心,可以減少投資,提高管理水平,提高用戶關(guān)系管理水平,提高響應(yīng)速度都是有非常大的價(jià)值。
3.、防非法接入
目前,大多高校數(shù)寬帶業(yè)務(wù)都是基于包月的形式開展的,沿用了家庭用戶的計(jì)費(fèi)方式,而且考慮到學(xué)生的支付能力比較低,定價(jià)也一般比家庭用戶要低。但是,事實(shí)上,高校學(xué)生用戶利用寬帶計(jì)費(fèi)技術(shù)的不足,往往以個人的名義申請寬帶而讓黑網(wǎng)吧、企業(yè)使用,或者幾戶共用寬帶而分?jǐn)傎M(fèi)用,給電信運(yùn)營商造成了巨大的經(jīng)濟(jì)損失,在高校網(wǎng)絡(luò)付費(fèi)用戶和非法接入用戶的比例從1:2到1:10不等。
4、 P2P限流
目前互聯(lián)網(wǎng)絡(luò)中P2P下載業(yè)務(wù)流量非常大,包括大家熟知的BT,eDonkey,eMule,都是較為流行的P2P軟件。P2P業(yè)務(wù)特點(diǎn)占用大量網(wǎng)絡(luò)帶寬。目前在高校網(wǎng)上70%為P2P業(yè)務(wù)流量,其中50%為BT流量。
由此可見,BT下載和非法接入構(gòu)成了高校寬帶網(wǎng)運(yùn)營的最大阻礙:學(xué)生用戶比家庭用戶享有更低的包月價(jià)格,同時使用了更多網(wǎng)絡(luò)帶寬和流量,必然導(dǎo)致高校寬帶網(wǎng)運(yùn)營的成本提高和用戶增長的停頓,甚至影響了整個IP城域網(wǎng)的運(yùn)行。
5、信息發(fā)布平臺
校園網(wǎng)用戶不同于家庭用戶,與校園內(nèi)網(wǎng)并存,而且除了運(yùn)營商之外,學(xué)校對學(xué)生也是有管理功能的,可以通過有效的信息發(fā)布機(jī)制,及時通知用戶,例如:催費(fèi)信息,學(xué)校通知,病毒信息等等。
三、技術(shù)介紹
廣西全區(qū)高校寬帶網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專用計(jì)費(fèi)運(yùn)營平臺,對以下的技術(shù)進(jìn)行了有針對性的解決。
1、防非法接入技術(shù)
非法接入,又稱為私接,其識別技術(shù)經(jīng)過了長期的發(fā)展,多是采用在網(wǎng)絡(luò)出口進(jìn)行旁路偵聽技術(shù),包括有連接數(shù)/流量檢測法、mac地址檢測法、SNMP掃描檢測,TTL檢測軌跡檢測法、時鐘偏移檢測法和應(yīng)用特征檢測法。方法比較多,有一定的參考意義,但只能夠做到的是:對網(wǎng)絡(luò)的非法接入情況有一定的分析的能力,離實(shí)際應(yīng)用還需亟待解決幾個比較明顯的問題:
第一、需要長周期統(tǒng)計(jì)的分析和匯總,要經(jīng)過一周或者一個月的時間,不能即時產(chǎn)生判斷,并會有誤報(bào)的情況;
第二、只能列舉有一個賬號下幾個非法接入用戶,無法判斷那個是真正的合法用戶,那個是非法的非法接入用戶;
第三、只能通過對賬號進(jìn)行封停或部分干擾(只能對TCP連接,對UDP無效),無法做到實(shí)時的控制,無法做到只讓合法的用戶訪問,非法接入用戶不能訪問。
第四、如果單憑數(shù)據(jù)紀(jì)錄事后舉證,容易引起用戶不滿,造成大面積的投訴,如果直接到用戶現(xiàn)場確認(rèn),難度就更大,得不償失,造成推廣操作困難。
廣西高校運(yùn)營網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專用計(jì)費(fèi)運(yùn)營平臺。城市熱點(diǎn)經(jīng)過了四年多的不斷完善,另辟蹊徑,通過接入服務(wù)器和登錄客戶端的共同作用,來實(shí)現(xiàn)防非法接入的功能。不僅能夠?qū)?nèi)網(wǎng)用戶進(jìn)行很好地防代理控制,又不影響局域網(wǎng)和城域網(wǎng)的內(nèi)網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信;在多個高校校園,園區(qū)網(wǎng)和電信運(yùn)營商等成功使用取得了明顯的實(shí)際效果,單臺接入網(wǎng)關(guān)能夠處理8000在線用戶,實(shí)際錄得的轉(zhuǎn)發(fā)能力達(dá)到雙向1.6G。
城市熱點(diǎn)的方案可以實(shí)現(xiàn)以下功能:1、防止基于Proxy的代理服務(wù)器;2、防止基于Nat的代理服務(wù)器;3、防止通過修改IP和Mac地址非法接入;
能夠克服之前提到的防非法接入技術(shù)的不足:1、無需時間積累,設(shè)備安裝后即時生效;2、檢測與控制同時實(shí)現(xiàn),檢測到非法接入用戶就馬上能夠屏蔽;3、能夠區(qū)分合法用戶和非法用戶,合法用戶使用正常,非法用戶不能使用;4、可以配置用戶策略,某些用戶允許代理,某些用戶不允許代理,可以做到先通知用戶,循序漸進(jìn),做到分批割接,平穩(wěn)過渡,減少投訴。
實(shí)現(xiàn)的原理類似于VLAN技術(shù),通過城市熱點(diǎn)的客戶端對合法用戶數(shù)據(jù)包動態(tài)地增加一個識別標(biāo)簽,再由網(wǎng)關(guān)對這些數(shù)據(jù)包標(biāo)識去掉,轉(zhuǎn)發(fā)到上聯(lián)端口。而非法的用戶,由于數(shù)據(jù)包沒有合法的標(biāo)簽,被網(wǎng)關(guān)過濾掉。這種技術(shù)的先決條件是:接入服務(wù)器的處理性能以及客戶端對數(shù)據(jù)包的實(shí)時封包的性能都達(dá)到較高的水平,否則都會成為瓶頸;而城市熱點(diǎn)的網(wǎng)關(guān)因采用自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)操作系統(tǒng)DrOS并結(jié)合多年技術(shù)經(jīng)驗(yàn)的積累,經(jīng)過大量測試和用戶的實(shí)際反饋,才完成了這個解決方案并達(dá)到理想的效果。
共享合法用戶的身份的NAT用戶,由于他們發(fā)出的數(shù)據(jù)包是沒有經(jīng)過封裝的,雖然經(jīng)過合法用戶的電腦實(shí)現(xiàn)了地址轉(zhuǎn)換,但Dr.COM的防代理客戶端不會對這些NAT用戶的數(shù)據(jù)包進(jìn)行封裝,所以這些數(shù)據(jù)包就在網(wǎng)關(guān)被過濾掉,代理用戶就不能正常上網(wǎng)。
2、P2P限流
能夠?qū)崿F(xiàn)P2P限流的設(shè)備越來約多,從接入層交換機(jī)、接入服務(wù)器,中心交換機(jī)、防火墻、邊緣路由器以及專用的帶寬管理設(shè)備都可以做到,在廣西校園網(wǎng)的建設(shè)中,選擇了接入服務(wù)器來完成,是經(jīng)過多方面的考慮權(quán)衡的選擇。
基于用戶的P2P限流區(qū)別于單純的限制一個通道中各種流量,城市熱點(diǎn)的Dr.COM2133接入服務(wù)器能夠針對每個用戶的P2P業(yè)務(wù)流量進(jìn)行帶寬控制,避免了盲目的控制城域網(wǎng)骨干流量中的P2P流量而忽略了每個用戶感受。
升級容易
P2P應(yīng)用層出不窮,而對P2P包的識別是基于應(yīng)用層的,沒有固定的規(guī)律,城市熱點(diǎn)的接入服務(wù)器可以隨時通過升級內(nèi)核來處理影響流量的P2P應(yīng)用,將來可以采用類似升級病毒庫的方式來升級P2P的描述庫。
易于擴(kuò)展
接入服務(wù)器的網(wǎng)絡(luò)位置比較合理:每臺處理的用戶數(shù)一般在1000-8000個的水平,100M-1G的網(wǎng)絡(luò)帶寬,擴(kuò)容只需要增加接入服務(wù)器,實(shí)現(xiàn)橫向升級,如果放在接入層交換機(jī),升級的數(shù)量較大,放在核心層交換機(jī),升級的成本過高,放在出口路由,單臺處理能力無法滿足。所以放在接入服務(wù)器是性價(jià)比最高的方式。這當(dāng)然也是要求接入服務(wù)器的高處理性能作為保障,城市熱點(diǎn)的設(shè)備經(jīng)過許多電信運(yùn)營商的實(shí)際大用戶量環(huán)境的案例的良好使用證明可以擔(dān)當(dāng)此重任。
3. 計(jì)費(fèi)策略
面對BT和非法接入的問題,在高校寬帶網(wǎng)推行儲值卡按時長或按流量計(jì)費(fèi)也是一個很好的解決方案,目前廣西電信校園寬帶網(wǎng)推廣的計(jì)費(fèi)策略包括:
包月256K、包月512K、包月1M、包月2M
包周256K、包周512K、包周1M、包周2M
儲值卡0.5元/小時、1元/小時、2元/小時、3.5元/小時
細(xì)分了用戶需求,取得了很好的經(jīng)濟(jì)效益。
4. 實(shí)名制訪問紀(jì)錄
高校寬帶網(wǎng)絡(luò)面對的是入學(xué)新生和畢業(yè)生每年的更替,根據(jù)國家相關(guān)政策規(guī)定,寬帶運(yùn)營商必需保留3個月的用戶訪問紀(jì)錄,這會給運(yùn)營商帶來繁重的用戶資料變更、數(shù)據(jù)獲得和保存的工作,而廣西區(qū)電信高校網(wǎng)通過和學(xué)校之間的緊密配合,讓學(xué)校來配合完成這些工作,取得了很好的效果。
四、總結(jié)
經(jīng)過了一年多的探索和實(shí)踐,解決了一些高校寬帶網(wǎng)存在的實(shí)際問題,廣西電信投資運(yùn)營高校校園網(wǎng)在南寧和桂林的試驗(yàn)局取得良好的效益,學(xué)生上網(wǎng)的滿意度也比較高,今年會在全區(qū)十幾個城市中幾十所院校進(jìn)行推廣,將獲得更大的經(jīng)濟(jì)效益。
城市熱點(diǎn)供稿 CTI論壇編輯
相關(guān)鏈接: