城市熱點(diǎn)防非法接入和P2P限流技術(shù)應(yīng)用在廣西高校
2006/06/14
一、綜述
高校寬帶網(wǎng)是指由電信運(yùn)營(yíng)商為高校的學(xué)生宿舍和校園網(wǎng)絡(luò)提供高速互聯(lián)網(wǎng)接入的功能專(zhuān)網(wǎng)��,意在為中國(guó)1700萬(wàn)在校學(xué)生提供高速寬帶接入�����,建設(shè)過(guò)程從最早期的專(zhuān)線租用��,到電信直接對(duì)學(xué)生宿舍寬帶接入運(yùn)營(yíng)��,再到目前學(xué)校與運(yùn)營(yíng)商共同管理和運(yùn)營(yíng)的經(jīng)營(yíng)模式���。運(yùn)營(yíng)商在經(jīng)歷多年的探索和運(yùn)營(yíng)后,已經(jīng)非常清晰地知道高校寬帶網(wǎng)的發(fā)展需求和產(chǎn)生的經(jīng)濟(jì)收益���,同時(shí)也面臨高校寬帶網(wǎng)必需解決的問(wèn)題��。
本文是以廣西全區(qū)高校寬帶網(wǎng)的規(guī)劃和建設(shè)為背景,就校園網(wǎng)共通的問(wèn)題進(jìn)行技術(shù)探討���,為建設(shè)一個(gè)更加符合中國(guó)國(guó)情同時(shí)能滿(mǎn)足校園網(wǎng)未來(lái)發(fā)展需求尋找可行的思路���。
二�、廣西校園寬帶網(wǎng)業(yè)務(wù)需求概述
1�、分布接入,分點(diǎn)采集
高校校園網(wǎng)一般與CERNET和Internet同時(shí)存在連接����。提供的接入服務(wù)器能夠支持多出口,并能實(shí)現(xiàn)一次認(rèn)證����,分別控制,對(duì)學(xué)生用戶(hù)可以設(shè)置不同的訪問(wèn)Internet和CERNET的訪問(wèn)和收費(fèi)策略��。
2���、集中認(rèn)證�,集中計(jì)費(fèi)�,集中運(yùn)營(yíng)
集中建設(shè)一個(gè)高校的運(yùn)營(yíng)中心,可以減少投資��,提高管理水平�����,提高用戶(hù)關(guān)系管理水平,提高響應(yīng)速度都是有非常大的價(jià)值����。
3.、防非法接入
目前�����,大多高校數(shù)寬帶業(yè)務(wù)都是基于包月的形式開(kāi)展的���,沿用了家庭用戶(hù)的計(jì)費(fèi)方式�����,而且考慮到學(xué)生的支付能力比較低��,定價(jià)也一般比家庭用戶(hù)要低�。但是��,事實(shí)上����,高校學(xué)生用戶(hù)利用寬帶計(jì)費(fèi)技術(shù)的不足��,往往以個(gè)人的名義申請(qǐng)寬帶而讓黑網(wǎng)吧、企業(yè)使用����,或者幾戶(hù)共用寬帶而分?jǐn)傎M(fèi)用,給電信運(yùn)營(yíng)商造成了巨大的經(jīng)濟(jì)損失����,在高校網(wǎng)絡(luò)付費(fèi)用戶(hù)和非法接入用戶(hù)的比例從1:2到1:10不等。
4��、 P2P限流
目前互聯(lián)網(wǎng)絡(luò)中P2P下載業(yè)務(wù)流量非常大����,包括大家熟知的BT,eDonkey�,eMule,都是較為流行的P2P軟件�。P2P業(yè)務(wù)特點(diǎn)占用大量網(wǎng)絡(luò)帶寬。目前在高校網(wǎng)上70%為P2P業(yè)務(wù)流量����,其中50%為BT流量。
由此可見(jiàn),BT下載和非法接入構(gòu)成了高校寬帶網(wǎng)運(yùn)營(yíng)的最大阻礙:學(xué)生用戶(hù)比家庭用戶(hù)享有更低的包月價(jià)格���,同時(shí)使用了更多網(wǎng)絡(luò)帶寬和流量�����,必然導(dǎo)致高校寬帶網(wǎng)運(yùn)營(yíng)的成本提高和用戶(hù)增長(zhǎng)的停頓�����,甚至影響了整個(gè)IP城域網(wǎng)的運(yùn)行�����。
5����、信息發(fā)布平臺(tái)
校園網(wǎng)用戶(hù)不同于家庭用戶(hù)��,與校園內(nèi)網(wǎng)并存�����,而且除了運(yùn)營(yíng)商之外�����,學(xué)校對(duì)學(xué)生也是有管理功能的,可以通過(guò)有效的信息發(fā)布機(jī)制��,及時(shí)通知用戶(hù)����,例如:催費(fèi)信息���,學(xué)校通知���,病毒信息等等。
三���、技術(shù)介紹
廣西全區(qū)高校寬帶網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專(zhuān)用計(jì)費(fèi)運(yùn)營(yíng)平臺(tái)��,對(duì)以下的技術(shù)進(jìn)行了有針對(duì)性的解決����。
1�、防非法接入技術(shù)
非法接入,又稱(chēng)為私接��,其識(shí)別技術(shù)經(jīng)過(guò)了長(zhǎng)期的發(fā)展,多是采用在網(wǎng)絡(luò)出口進(jìn)行旁路偵聽(tīng)技術(shù)��,包括有連接數(shù)/流量檢測(cè)法����、mac地址檢測(cè)法、SNMP掃描檢測(cè)�,TTL檢測(cè)軌跡檢測(cè)法、時(shí)鐘偏移檢測(cè)法和應(yīng)用特征檢測(cè)法�。方法比較多,有一定的參考意義�,但只能夠做到的是:對(duì)網(wǎng)絡(luò)的非法接入情況有一定的分析的能力,離實(shí)際應(yīng)用還需亟待解決幾個(gè)比較明顯的問(wèn)題:
第一�����、需要長(zhǎng)周期統(tǒng)計(jì)的分析和匯總�����,要經(jīng)過(guò)一周或者一個(gè)月的時(shí)間�����,不能即時(shí)產(chǎn)生判斷���,并會(huì)有誤報(bào)的情況����;
第二、只能列舉有一個(gè)賬號(hào)下幾個(gè)非法接入用戶(hù)�,無(wú)法判斷那個(gè)是真正的合法用戶(hù),那個(gè)是非法的非法接入用戶(hù)��;
第三�����、只能通過(guò)對(duì)賬號(hào)進(jìn)行封�����;虿糠指蓴_(只能對(duì)TCP連接����,對(duì)UDP無(wú)效)��,無(wú)法做到實(shí)時(shí)的控制�,無(wú)法做到只讓合法的用戶(hù)訪問(wèn),非法接入用戶(hù)不能訪問(wèn)��。
第四、如果單憑數(shù)據(jù)紀(jì)錄事后舉證�����,容易引起用戶(hù)不滿(mǎn)��,造成大面積的投訴���,如果直接到用戶(hù)現(xiàn)場(chǎng)確認(rèn)��,難度就更大��,得不償失���,造成推廣操作困難。
廣西高校運(yùn)營(yíng)網(wǎng)采用了北京城市熱點(diǎn)公司提供的Dr.COM 2133 B-RAS接入服務(wù)器和高校專(zhuān)用計(jì)費(fèi)運(yùn)營(yíng)平臺(tái)��。城市熱點(diǎn)經(jīng)過(guò)了四年多的不斷完善����,另辟蹊徑,通過(guò)接入服務(wù)器和登錄客戶(hù)端的共同作用��,來(lái)實(shí)現(xiàn)防非法接入的功能��。不僅能夠?qū)?nèi)網(wǎng)用戶(hù)進(jìn)行很好地防代理控制,又不影響局域網(wǎng)和城域網(wǎng)的內(nèi)網(wǎng)服務(wù)器和外部Internet服務(wù)器的正常通信����;在多個(gè)高校校園,園區(qū)網(wǎng)和電信運(yùn)營(yíng)商等成功使用取得了明顯的實(shí)際效果��,單臺(tái)接入網(wǎng)關(guān)能夠處理8000在線用戶(hù)�,實(shí)際錄得的轉(zhuǎn)發(fā)能力達(dá)到雙向1.6G。
城市熱點(diǎn)的方案可以實(shí)現(xiàn)以下功能:1�����、防止基于Proxy的代理服務(wù)器����;2�����、防止基于Nat的代理服務(wù)器�����;3�、防止通過(guò)修改IP和Mac地址非法接入����;
能夠克服之前提到的防非法接入技術(shù)的不足:1���、無(wú)需時(shí)間積累���,設(shè)備安裝后即時(shí)生效;2��、檢測(cè)與控制同時(shí)實(shí)現(xiàn)���,檢測(cè)到非法接入用戶(hù)就馬上能夠屏蔽��;3���、能夠區(qū)分合法用戶(hù)和非法用戶(hù),合法用戶(hù)使用正常��,非法用戶(hù)不能使用�����;4、可以配置用戶(hù)策略����,某些用戶(hù)允許代理,某些用戶(hù)不允許代理���,可以做到先通知用戶(hù)�,循序漸進(jìn)�����,做到分批割接�,平穩(wěn)過(guò)渡,減少投訴�����。
實(shí)現(xiàn)的原理類(lèi)似于VLAN技術(shù)�,通過(guò)城市熱點(diǎn)的客戶(hù)端對(duì)合法用戶(hù)數(shù)據(jù)包動(dòng)態(tài)地增加一個(gè)識(shí)別標(biāo)簽,再由網(wǎng)關(guān)對(duì)這些數(shù)據(jù)包標(biāo)識(shí)去掉�����,轉(zhuǎn)發(fā)到上聯(lián)端口�����。而非法的用戶(hù)����,由于數(shù)據(jù)包沒(méi)有合法的標(biāo)簽,被網(wǎng)關(guān)過(guò)濾掉���。這種技術(shù)的先決條件是:接入服務(wù)器的處理性能以及客戶(hù)端對(duì)數(shù)據(jù)包的實(shí)時(shí)封包的性能都達(dá)到較高的水平�,否則都會(huì)成為瓶頸��;而城市熱點(diǎn)的網(wǎng)關(guān)因采用自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)操作系統(tǒng)DrOS并結(jié)合多年技術(shù)經(jīng)驗(yàn)的積累�����,經(jīng)過(guò)大量測(cè)試和用戶(hù)的實(shí)際反饋�����,才完成了這個(gè)解決方案并達(dá)到理想的效果�����。
共享合法用戶(hù)的身份的NAT用戶(hù)����,由于他們發(fā)出的數(shù)據(jù)包是沒(méi)有經(jīng)過(guò)封裝的�����,雖然經(jīng)過(guò)合法用戶(hù)的電腦實(shí)現(xiàn)了地址轉(zhuǎn)換���,但Dr.COM的防代理客戶(hù)端不會(huì)對(duì)這些NAT用戶(hù)的數(shù)據(jù)包進(jìn)行封裝,所以這些數(shù)據(jù)包就在網(wǎng)關(guān)被過(guò)濾掉��,代理用戶(hù)就不能正常上網(wǎng)�����。
2�、P2P限流
能夠?qū)崿F(xiàn)P2P限流的設(shè)備越來(lái)約多,從接入層交換機(jī)����、接入服務(wù)器,中心交換機(jī)���、防火墻�、邊緣路由器以及專(zhuān)用的帶寬管理設(shè)備都可以做到�,在廣西校園網(wǎng)的建設(shè)中,選擇了接入服務(wù)器來(lái)完成�,是經(jīng)過(guò)多方面的考慮權(quán)衡的選擇。
基于用戶(hù)的P2P限流區(qū)別于單純的限制一個(gè)通道中各種流量���,城市熱點(diǎn)的Dr.COM2133接入服務(wù)器能夠針對(duì)每個(gè)用戶(hù)的P2P業(yè)務(wù)流量進(jìn)行帶寬控制��,避免了盲目的控制城域網(wǎng)骨干流量中的P2P流量而忽略了每個(gè)用戶(hù)感受����。
升級(jí)容易
P2P應(yīng)用層出不窮����,而對(duì)P2P包的識(shí)別是基于應(yīng)用層的,沒(méi)有固定的規(guī)律��,城市熱點(diǎn)的接入服務(wù)器可以隨時(shí)通過(guò)升級(jí)內(nèi)核來(lái)處理影響流量的P2P應(yīng)用��,將來(lái)可以采用類(lèi)似升級(jí)病毒庫(kù)的方式來(lái)升級(jí)P2P的描述庫(kù)�。
易于擴(kuò)展
接入服務(wù)器的網(wǎng)絡(luò)位置比較合理:每臺(tái)處理的用戶(hù)數(shù)一般在1000-8000個(gè)的水平,100M-1G的網(wǎng)絡(luò)帶寬���,擴(kuò)容只需要增加接入服務(wù)器���,實(shí)現(xiàn)橫向升級(jí)����,如果放在接入層交換機(jī)����,升級(jí)的數(shù)量較大,放在核心層交換機(jī)�,升級(jí)的成本過(guò)高,放在出口路由�����,單臺(tái)處理能力無(wú)法滿(mǎn)足��。所以放在接入服務(wù)器是性?xún)r(jià)比最高的方式���。這當(dāng)然也是要求接入服務(wù)器的高處理性能作為保障�����,城市熱點(diǎn)的設(shè)備經(jīng)過(guò)許多電信運(yùn)營(yíng)商的實(shí)際大用戶(hù)量環(huán)境的案例的良好使用證明可以擔(dān)當(dāng)此重任��。
3. 計(jì)費(fèi)策略
面對(duì)BT和非法接入的問(wèn)題��,在高校寬帶網(wǎng)推行儲(chǔ)值卡按時(shí)長(zhǎng)或按流量計(jì)費(fèi)也是一個(gè)很好的解決方案��,目前廣西電信校園寬帶網(wǎng)推廣的計(jì)費(fèi)策略包括:
包月256K���、包月512K、包月1M�、包月2M
包周256K、包周512K�、包周1M、包周2M
儲(chǔ)值卡0.5元/小時(shí)�����、1元/小時(shí)���、2元/小時(shí)����、3.5元/小時(shí)
細(xì)分了用戶(hù)需求���,取得了很好的經(jīng)濟(jì)效益����。
4. 實(shí)名制訪問(wèn)紀(jì)錄
高校寬帶網(wǎng)絡(luò)面對(duì)的是入學(xué)新生和畢業(yè)生每年的更替����,根據(jù)國(guó)家相關(guān)政策規(guī)定����,寬帶運(yùn)營(yíng)商必需保留3個(gè)月的用戶(hù)訪問(wèn)紀(jì)錄�����,這會(huì)給運(yùn)營(yíng)商帶來(lái)繁重的用戶(hù)資料變更��、數(shù)據(jù)獲得和保存的工作����,而廣西區(qū)電信高校網(wǎng)通過(guò)和學(xué)校之間的緊密配合,讓學(xué)校來(lái)配合完成這些工作����,取得了很好的效果。
四�����、總結(jié)
經(jīng)過(guò)了一年多的探索和實(shí)踐����,解決了一些高校寬帶網(wǎng)存在的實(shí)際問(wèn)題�,廣西電信投資運(yùn)營(yíng)高校校園網(wǎng)在南寧和桂林的試驗(yàn)局取得良好的效益����,學(xué)生上網(wǎng)的滿(mǎn)意度也比較高,今年會(huì)在全區(qū)十幾個(gè)城市中幾十所院校進(jìn)行推廣����,將獲得更大的經(jīng)濟(jì)效益�。
城市熱點(diǎn)供稿 CTI論壇編輯
相關(guān)鏈接: