代拨系统在高校校园网多ISP融合运营的实践

张文亮

（湖北科技学院 湖北省咸宁市 437100）

1 引言

在高校多运营商联合运营的模式下，如何既保障校方和运营商双方的管理与运营，又能为用户提供最佳网络体验？考虑学校、校园网用户、运营商的三方诉求后，高校PPPoE 代拨方案，协助学校和运营商高效的部署联合运营，并且全面满足联合运营模式下的多方需求。

2 高校与运营商联合运营校园网现状

目前大部分高校采取合作运营的模式，与三大网络提供商共同运营校园网络市场。经过一段时间的合作、实践、探索，存在很多问题。首先，学校对运营商上网认证计费系统、上网行为管理系统没有直接管理权限，导致学校学生上网行为脱离了学校的直接、有效监管。尤其对学生的入网数量、用网流量、计费情况等，网络监管部门无法通过技术手段得到精确的数据。其次，单一的网络提供商，无法形成有效的市场竞争，学生对网络提供商的选择有限，学生服务质量与体验无法保证。

针对目前运营存在的诸多问题与矛盾，急需要解决如下问题：学校无需购买运营商大带宽；学校可以对学生的上网行为进行管控、分析，同时对学生的入网情况具有透明的管理、查看等权限；用户可以自主选择运营商，售后服务进入运营商服务体系；学校和运营商之间的AAA 系统无需对接。

3 代拨系统工作原理

3.1 代拨系统部署

经过实践运行，代拨系统可以有效的平衡解决校方、运营商、学生三者之间存在的一系列问题与矛盾。下面介绍代拨系统在多运营商联合运营模式下实现原理（图1）：

图1

代拨系统由：校内Bras、校内Radius、代拨设备、防代理设备、ISP(运营商)Bras、ISP(运营商)AAA 等六个部分构成。校内用户想要上网，需要在校内的radius 以及ISP(运营商)AAA 平台上通过认证。流程如下：用户上网时，输入学校帐号认证，先进行认证，通过认证后，系统会检测该帐号是否绑定运营商。如有绑定，就通过radius 向校内Bras 下发coa 报文，通过Bras 将用户的下一跳数据引到代拨，同时radius 会与代拨设备进行coa 报文的交互，通过coa 报文将运营商帐号密码、用户IP、运营商识别码发送到代拨设备上，代拨接到这个coa 后，首先判断这个运营商有没有在自己系统在线，若不在线，通过运营商识别码到指定运营商出口进行PPPoE 拨号动作，拨号成功后，代拨建立虚接口，获取的运营商IP为虚接口IP，再把用户的IP 和运营商虚接口IP 做一对一NAT。至此，用户上网通道建立成功。

3.2 代拨设备与校内设备的交互

用户使用绑定过运营商账户的校内账号进行登录，学校的Radiu 会分别向校内的Bras、代拨下发coa-request 报文。校内Radius 向校内Bras 下发的报文中包含coa-request 属性值，Bras 针对该属性值去匹配对应的策略，再根据策略将该用户的数据的下一跳指向代拨设备。校内Radius 向代拨设备下发的coa-request 报文中会包含运营商帐号密码、用户IP、Called-Station-ID。代拨接到这个coa 后，会判断这个运营商有没有在自己系统在线，若不在线，通过运营商识别码到指定运营商出口进行PPPoE 拨号动作，代拨系统会用该运营商账号向运营商发起pppoe 的认证。

3.3 代拨设备与运营商设备的交互

代拨设备通过校内radius 获取到运营商账号后并判断是否在线后，会将自己作为pppoe-Client 向ISP-AAA 发起PPPOE 认证。首先代拨设备会向ISP-bras 发起认证请求，提交用户名和密码（运营商提供的账户和密码）。ISP-Bras 向ISP-AAA 发送access-request报文，报文中包含了代拨设备提交的用户名和密码。ISP-AAA 对用户名和密码进行校验，成功后会向ISP-Bras 回应一个access-accept报文，其中包含下发给代拨的虚接口IP。ISP-Bras 会将虚接口IP转发给代拨，代拨获取虚接口IP 后会将用户的IP 与虚接口IP 做一个一对一的NAT。到此，整个代拨认证流程完毕，用户可以正常上网。

4 代拨系统认证流程

用户采用PPPOE/IPOE 方式向学校侧BAS 发起认证，学校侧的认证由学校侧AAA 系统完成。认证成功后学校侧AAA 系统生成用户在线表，并向代拨网关发送拨号指令，代拨网关代理用户向运营商侧ISP-BAS 发起PPPOE 认证请求。运营商侧认证成功后运营商侧ISP-BAS 将用户账号及IP 信息发送给代拨网关系统，代拨网关系统将该账号、IP 与在线表中的账号IP 进行对应，并进行一一映射，从而实现用户正常上网。PPPOE 代拨方案流程如图2所示。

图2

5 代拨系统与防代理系统交互

目前，大多高校数宽带业务都是基于包月或者按照时间计费的形式开展的，沿用了家庭用户的计费方式，而且考虑到学生的支付能力比较低，定价也一般比家庭用户要低。事实上，高校学生用户利用宽带计费技术的不足，往往以个人的名义申请宽带而几户共用，并且分摊费用，给运营商造成了巨大的经济损失，在高校网络付费用户和非法接入用户的比例从1:2 到1:10 不等。

防代理系统是一款针对宽带共享接入管理设计和开发的网络行为分析及管理网关设备，通过基于DPI 深度包检测的应用层特征报文分析，提供用户共享私接行为的实时控制和监控，避免共享接入行为带来的潜在风险和损失，使运营商的网络运营更加健康有序和可持续发展。

5.1 防代理的工作原理及技术方法

5.1.1 基于应用特征的方法

防共享设备内置防代理软件规则库，对最新热门软件唯一特征库进行识别，比如QQ、360 安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等。

PC 终端安装这些热门软件后，在使用该软件或者该软件进行更新时，我们的防共享设备在网络出口处都能检测到来自于该IP的应用特征。若发现有同一个用户账号下有2 个或超过2 个的IP接入，则判断为共享上网的行为，并自动检测到有2 个或超过2 个终端在接入。

5.1.2 基于flashcookie 的方法

同Http Cookie 一样，Flash Cookie 也就是记录用户在访问Flash 网页的时候保留的信息，鉴于Flash 技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie 一样的作用。但是相比起Http Cookie，Flash Cookie 更加强大：

Flash Cookie 也就是记录用户在访问Flash 网页的时候保留的信息，鉴于Flash 技术的普遍性，几乎所有的网站都采用，所以具有同Http Cookie 一样的作用，只要当用户打开浏览器去上网，那么就能被防共享设备记录到fash cookie 的特征值。

由于flash cookie 不容易被清除，而且具有针对每个用户具有唯一，并且支持跨浏览器，所以被用于做防共享检测，极大的减少了共享上网的漏判率和误判率，使得我们防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。

5.2 防代理系统与代拨系统、认证计费系统交互流程

（1）用户输入用户名密码进行用户认证；

（2）通过BAS 及深澜认证计费系统认证通过后可以正常上网并计费；

（3）防代理检测设备通过旁路端口镜像的方式实时检测所有用户的流量，在用户认证时能检测PPPOE 协议并识别用户认证是否成功，对于认证成功的用户可以记录用户的账号、IP 地址信息；

（4）在防代理检测设备内将用户分组，对于无需防代理的用户直接放通不做任何策略；对于需要防代理的用户批量导入用户账号，防代理检测设备实时检测这些用户的上网行为是否存在代理行为，对于存在代理行为的用户记录用户的账号、IP 地址、时间、代理的PC 终端数量等信息；

（5）防代理检测设备将检测出来的存在代理行为的用户通过接口把用户的账号、IP 地址、时间、代理的PC 终端数量等信息传送给认证计费系统认证，同时下发控制命令发送告警信息或阻断该用户。

6 结束语

代拨系统的产生与部署，有效的平衡了学校、运营商、师生之间的关系，学校对师生上网得到了有效的管控，对学生上网计费及上网行为更加透明、可控；解决了学校大带宽费用支出的难题。运营商之间形成了良好的竞争，为师生提供了更好的服务质量和上网体验。高校校园网络旨在服务科研、服务师生，丰富学生生活、学习。本文仅从认证计费的角度分析了多ISP 融合运营的技术可行性，还存在一些关于防代理、dns解析等技术问题。在实际的合作过程中，还存在很多诸如前期商务谈判、利益分成、上网收费标准、技术售后服务等问题，还需结合高校实际情况具体分析。