校园网认证计费案例之人民大学

1/12/2008来源:网络方案人气:4782

校园网的现状
  校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全,用户的复杂性及多样性,对网络提出了安全认证的需求,网络需要运营,因此也有了计费收费的需要。各个学校根据自身特点,选择一套合理、有效的认证计费系统是十分有必要的。中国的高校信息化建设经过从无到有的10年发展,许多高校正在或已经完成了校园网的建设,并经过一段时间的运行,校园网已为教育的信息化做出了贡献。
  根据目前我国校园网的建设情况来看,重点高校这部分,认证计费已基本满足。学校通过对办公区、学生区、家属区进行合理的收费,并把这些费用用在网络的扩容和维护上,实现"以网养网"可持续发展。但是在这个满足的基础上,仍然出现了各种各样的问题。

按流量计费的必要性


  在收费方面比较简单的方式是包月制,用户一个月只需交纳一定金额的费用,就可以享受随时上网的权利。由于网络出口带宽有限,很轻易出现因用户无节制的通过FTP、BT、eMule下载或者进行网络游戏、在线视频等应用,一方面造成网络资源的浪费,另一方面,导致出口宽带被少数人占用,影响大部分人浏览网页等普通应用的网速。
  甚至在用户上网高峰期,尤其在高校非凡的环境里,学生上网是间断性的,在某些高峰期,网络将承受巨大的带宽压力,而学生也时常抱怨网速太慢。另外,家属区通常也由学校这边来治理,当学校这边占了过多的带宽资源后,留给家属区的是非常有限的,家长的抱怨则成了家常便饭。
  但在现有硬件条件下,以及目前还未能找到快速提高带宽的解决方案,给网络减负就只能通过人为控制,使网络资源得到合理利用。比较直接有效的控制方式就是使用按流量计费的方式。

校园网认证计费案例之人民大学(图一)

能否实现?如何实现?
  按流量计费涉及到很多技术上的问题,就现在而言,主要有两种实现途径。
  比较简单的方式是采用网关式解决方案。在网络出口处部署一台BASE设备,用来采集用户的数据,在BASE设备的后台连接认证计费软件,实现对用户的认证计费。另一种就是旁路式的解决方案,通过与接入层交换机的数据采集配合,或者在网络出口获取数据包,数据再传送到网络中心通过认证计费软件进行处理,进而实现用户的认证计费。
  以上是技术实现的原理,同时对于可运营的校园网络来讲,采用合理的计费策略也是校园网运营的基本保障,能够适应现代校园网"以网养网"的需求。
  在采集到用户上网的流量信息后,针对流量及收费相一致的原理,流量多的交钱多,流量上的交钱少,并制定一系列的资费模式,让用户可自主选择,享受对应的服务。如此一来,那些经常使用FTP、BT、eMule下载或者进行网络游戏、在线视频等应用的用户,由于网络流量大,不得不交纳更多的费用。通过这种人为控制,一方面有效的减少了网络带宽的资源浪费;另一方面,通过合理配置资源,达到各个区域资源的相对平衡,也能相对满足大部分用户的网络需求。

 

对比项

旁路式

网关式

能否实现按流量计费

支持的用户数

基本没限制,由交换机性能决定

一般工控架构支持最大并发用户数为500-8000

对网络架构的影响

不影响网络架构

需要部署网关设备

系统稳定性

由于把数据采集功能分发到各交换机,系统稳定性大大增加

采用集中治理的方式,轻易出现单点故障

网络整体性能的影响

几乎没影响

采用集中治理,轻易产生网络瓶颈,对带宽损耗在18%-20%间

支持的认证方式

802.1x,web potal,PPPoE,客户端等

web potal,PPPoE,客户端等

对网络的可控性

通过交换机来实现控制,功能相对较弱

通过硬件网关控制,可控性较强

成本

只需购买一套软件

需要购买BASE设备及软件系统

扩容影响

只需购买License(用户许可)进行平滑扩容

随着用户增加,BASE负荷加重,对性能影响加重,扩容需升级BASE设备并进行重新部署

 


  从上图中可以看出,旁路式解决方案从支持的用户数、架构影响、性能影响、稳定性、支持的认证方式、成本及扩容方面都好于网关式,仅仅在网络可控性上不及网关式。所以旁路式的解决方案优势是很明显的。

典型实际案例
  座落于首都北京的中国人民大学(以下简称人大)是国内闻名的以社会科学、人文科学、经济和治理科学为主的综合性重点大学。中国人民大学基础设施建设已相当完善,现有3万余上网用户,这种规模在同类高校中已属前列。同样,采用802.1x认证的校园网也存在着网络资源利用不均衡、资源浪费严重以及用户行为无法监控等弊端,网络改造势在必行。
  人大网管资深专家在对网络中存在问题进行多层深入研究、探讨、规划、论证后,找到如下一些需求:
  专家们认为,结合目前已有较完善的设备,必须全面发挥802.1x协议的最大功效,采用旁路式架构,尽量减少对网络的影响;在不更换网络设备的情况下,能够方便实现对接入用户进行全网治理;在功能点上,要求能够充分解决ip冲突、IP盗用等问题;实现IP+MAC+帐号等多元素绑定,确保用户的唯一性、安全性;设置不同权限;在802.1x下实现按流量计费,做到访问内网不收费,外网分国内国际来收费;能够在基于802.1x协议下,方便用户快速安装客户端软件;有效记录用户上网访问信息,方便事后查询等。
  结合人大现有网络结构而不改变任何网络架构的情况下,人大网络中心提出如下解决方案:在网络中心部署稳定可靠的蓝信宽带认证计费系统,来实现对用户的802.1x认证;在网络出口处部署蓝信流量统计及概要日志系统,可以方便地做到流量采集,结合计费系统实现流量计费,并且结合实际做了可按用户不同访问区域采取不同费率的功能,概要日志模块则有效记录了用户的上网信息,并提供人性化的web客户端,方便治理者进行事后查询,有效的控制了网络的安全性。


校园网认证计费案例之人民大学(图二)  

图:中国人民大学应用拓扑图

方案特色:

  • 可准确获得整个网络资源的总体情况,如总进、出流量,总进、出包数;
  • 可与流量计费系统相结合,轻松实现流量计费;
  • 使用个性化配置方式,满足不同用户的不同需求;
  • 可根据不同区域所对应的流量,根据网段进行分类,采取不同的资费标准来收取费用;
  • 与蓝信计费系统结合,可实现用户上内网不收费;
  • 可将国内国外流量分开,对其流量采用不同的费率;
  • 采用C/S结构,网络治理员可以通过客户端与服务器的交互来达到查看和治理的目的;
  • 提供人性化WEB界面,方便的配置治理,使治理员操作更简单实用;
  • 流量采集的实时性保证了系统功能的完善和客户的最终需求;
  • 系统稳定可靠,保证7*24小时的正常运行;
  • 不影响整体网络效率。
  • 无用户数限制。


  此外,概要日志模块全面提供用户上网的URL、FTP、E-mail、MSN等日志信息,区别以往的日志系统,不但文件尺寸大大减小,而且具有方便灵活的查询和筛选功能,提供了可视化视图界面,除实现用户上网行为的审计、异常流量监控外,还为治理员做网络优化决策提供了重要的数据及图形基础。
  通过此次网络改进,中国人民大学构建了一个高效、稳定、安全、易治理的现代智能网络。
  首先,用户的上网速度明显提高,网络使用率显著增加。以前网络上P2P软件的风行,导致带宽拥挤,但是采用流量计费后,用户就会更加注重适度下载,减少了带宽资源的浪费,也让有效的带宽资源更好的用在提高上网速度上。
  其次,现有资费模式更合理,用户可以自主选择。因为国内外流量带宽租用费用的巨大差距,采用国内外流量分开计费的方式是今后的趋势,因此人大目前的资费政策也是顺应了这种趋势。而用户可以根据自己的喜好选择任何一种资费方式,比如主要访问国内网站的可以选择按国内的资费项,访问国外资源较多的可以选择按国外的资费项,而用户访问校内资源是免费的。
  再次,有效减少了带宽压力。就目前而言,在采用流量计费后,带宽峰值由之前的700-800M降低为现在的300-400M,降幅超过50%,有效缓减了带宽压力。
  最后,采用"以网养网",走可持续发展之路。学校之前所有的网络投资全由学校资助,受学校资金影响较大,现在通过向用户收取合理的费用,让这些费用有效投放在设备维护更新或新一轮的网络建设上,实现了高校校园网的良性循环和可持续发展。
  经过一段时间的运营,各不同部门不同用户在基本需求已得到满足的基础上,还能充分享受自己网络偏好的选择,而网络中心的带宽压力得到大大缓减,上网速度有了大幅度的提升,通过人性化的操作治理界面,更是可以方便快捷的做到对用户的有效控制和治理,极大地减少了事故发生率,此外,校方也实现了以网养网可持续发展的目的,因此得到了师生的一致认可。