高校創新型認證計費解決方案

文│江蘇金鼎樓宇智能系統工程有限公司 孫 旭

1 高校校園網認證計費需求分析

隨著高校校園網信息化應用的不斷深入和推進，結合當前高校信息化數字校園的發展趨勢，許多高校已經規劃以實現校園內各類信息資源的整合和交換為基礎，構建全面滿足學校教、學、科研、管理與服務要求的，具有開放性、協同化的綜合性信息服務系統運行環境，從而為全校師生員工提供完善的個性化信息服務支持和數字化支撐平臺。

“十一五”期間高校規模擴招，基礎設施擴建，學生數量大幅提高，原校園網絡各層設備功能趨同，引入的新技術（比如IPv6）基本上需要涉及到全網大部分設備，成本高；學院的多媒體中心、數據中心、互聯網中心等業務日益復雜，尤其是P2P視頻流量的增長迅猛。校區內互聯、校區間互聯以及互聯網出口等帶寬需求成幾何數字增長，網絡用戶在線時間段高度集中，突發峰值特征明顯；內外部的黑客、木馬、病毒入侵更是頻繁，威脅日益增多。

目前許多高校二三層混合組網方式導致用戶、業務無法有效隔離，網絡擴展能力較差。傳統的認證計費方式在標準化程度、流量控制、異常情況計費準確度、網絡用戶可管理性等方面有改進的空間，如認證方式網絡設備跟認證計費系統綁定，無法引入多廠家設備充分競爭，不利于降低建網投資；認證接入點在接入交換機上，運維無法對接入交換機實現有效管理；VLAN資源消耗大、ACL控制實現要求高等問題。

根據對高校網絡規模、運營特點等現狀分析，結合現代校園網技術發展的方向，應構建一個面向未來的新型高品質校園網。校園網應具備如下特征：

（1）精細化運營：提供可管理、可運營的校園網精細化運營方案，針對宿舍區、教學區、WLAN接入提供豐富的用戶帶寬控制手段，實現內網資源免費、外網資源計費的認證方式；為用戶提供帶寬/應用質量差異化的寬帶接入服務。

（2） IPv6演進：實現校園網內網絡基礎設施、網絡運營服務、網絡應用三個層面的IPv6過渡。建立安全、可控、可管和可運營的下一代商用環境。

（3）豐富的QoS：根據用戶的不同、業務的不同提供動態差異化QoS，保障視頻會議、IP電話、網上課堂等業務，開展對于實時性和帶寬的需求，區分VIP用戶和普通用戶。

（4）多業務承載特性：充分體現安全性（實現網絡系統安全、業務系統安全、數據安全、設備安全等全方位防護）、擴展性（具有升級和擴展能力）、開放性（遵循國際標準，支持多種網絡協議，實現系統間互連）、可靠性、先進性及優良的性價比。

在以上四點中首先要解決的就是將所有業務節點整合到統一平臺上，以滿足未來開展高帶寬及高組播的業務特性要求。例如將BRAS設備、AAA業務管理系統引入校園網絡建設，同時協同配合核心、匯聚、接入各層次以太網交換機，以提供簡單、高效、統一的用戶管理模式和靈活的多種認證、計費和管理方法；實際上在寬帶業務認證控制方案中更偏重技術的標準化、安全性和可靠性。首先選用業界領先的網絡設備以充分實現校園內部所有信息點接入和匯聚需求；外網訪問通過PPPoE+QINQ認證計費方式，內網訪問通過DHCP獲得私網地址免費訪問，使整個網絡具備易管理、可運營、高擴展、高可靠、高質量的多業務承載的特征，真正構建出一個高品質的新型校園網。

2 創新型校園網認證計費組網方式

2.1 網絡拓撲架構

在校園網出口部署高性能出口路由器，上連運營商和教育網，設置策略路由，處理外部流量的負載均衡及鏈路冗余，應用訪問按相應的規則分配到多個ISP接入鏈路上。創新型校園網建設規劃實現二三層網絡分離，由校園骨干網與寬帶接入網兩個層面構成。骨干網部分由寬帶認證計費服務器BRAS和高端路由交換機組成，骨干節點通過10GE光纖鏈路互聯，主要負責業務接入控制，實現用戶接入互聯網網關、組播網關功能，未來也可作為MPLS PE設備使用。同時部署AAA網絡運維管理系統，負責完成終端接入用戶的認證、授權、計費、業務控制以及安全性審查，以保證數據網絡的可管理與可運營。

寬帶接入網部分層次劃分為匯聚層和接入層，匯聚層部署千兆智能路由交換機，接入層部署二層安全接入交換機。

考慮到校園規模和教學科研業務的未來擴展，根據未來各單位和業務流量規模的發展需求，核心到匯聚層要具備萬兆鏈路擴展能力，匯聚至接入千兆鏈路（如圖1所示）。

2.2 組網描述

2.2.1 PPPoE用戶組網描述

校內用戶進行外網訪問時，終端PC進行PPPoE撥號，發送PADI廣播報文，發起PPPoE會話請求，寬帶認證計費服務器（BRAS）接受會話請求并做出回應，建立PPPoE會話標識符，完成終端與BRAS間的PPPoE鏈接，實現PPP報文的終結并轉換成IP報文（如圖2所示）。

圖1

圖2

寬帶認證計費服務器BRAS支持PPPoE業務的同時下發IPv4和IPv6地址的功能。PPP連接獨立于PPP承載的網絡層協議，可以用來承載IPv4和IPv6流量。用戶通過PPPoE認證之后，PPPoE執行網絡層參數配置（地址、DNS等），同一PPP承載兩個不同的網絡層協議，IPCP和IPv6 CP并行運行，IPCP協商分發IPv4地址，IPv6 CP協商鏈路本地地址（接口ID），SLAAC或DHCP-PD實現IPv6地址的配置。整個實現過程如下：

（1）PPPoE會話發現、LCP協商和用戶認證與傳統PPPoE過程相同。

（2）地址配置階段，IPCP和IPv6 CP并行運行，IPCP分發IPv4地址，IPv6 CP分發鏈路本地地址（即接口ID），完整的IPv6地址的配置借助SLAAC或者DHCP-PD機制實現。

寬帶認證計費服務器BRAS轉發認證消息到AAA系統的RADIUS服務器，RADIUS服務器完成用戶驗證后，下發用戶認證結果以及QoS、ACL策略信息到BRAS設備，從而實現用戶業務訪問授權。根據AAA的相關策略，可以實現對所有認證用戶的廣域網資源收費，教育網資源、內網資源免費訪問。

匯聚交換機開啟SELECTIV QINQ，進行兩層VLAN TAG規劃，如OUT tag代表匯聚交換機號（樓宇），INTER tag代表用戶+業務，能夠實現二層用戶之間的完全隔離，從而保證終端設備的安全。

2.2.2 DHCP用戶組網描述

校園網用戶進行內網訪問時，不需要進行PPPoE撥號。客戶端PC發出DHCP DISCOVER廣播消息（目的端口為DHCP服務器端口67，消息的源地址為0.0.0.0，而目的地址則為255.255.255.255）請求獲取IP地址、租約期限等參數。

接入交換機提供用戶線路接入，在DHCP消息中插入中繼代理信息，并且在客戶端發向服務端的DHCP消息中附加中繼代理信息（Option 82），如用戶物理鏈路信息，以便DHCP服務器能夠精確地得知PC客戶端的信息，更靈活地按相應策略分配IP地址和IP地址需要的租約時間。對DHCP服務器經DHCP消息路由設備發往DHCP客戶端的DHCP消息，接入設備去掉所帶的中繼信息后，廣播轉發到代理的客戶端。匯聚交換機通過建立和維護DHCP Snooping綁定表，過濾不可信任的DHCP信息，從而保證接入網絡安全。核心交換機作為DHCP中繼，從校園網內部DHCP服務器獲取合法的IP地址，實現內部網絡的訪問，如校內服務器等；宿舍學生間互訪，通過Vlan或IP路由實現。DHCP服務器采用集中式部署在校園統一的服務器機房，實現對用戶IP地址的分配（如圖3所示）。

圖3

3 創新型校園網絡認證計費方式與功能

3.1 認證計費方式

寬帶認證計費服務器BRAS支持包括PPPoE、IPoE、DHCP+Web、綁定認證等，也可根據需要靈活選擇多種接入認證方式并存。AAA系統規劃支持多種計費策略，根據各種業務的不同要求，系統采用不同計費措施，包括按流量計費、按月/季/學期計費、按時長計費、按訪問次數計費、上網卡計費、不計費等。針對不同業務特點采用不同的計費措施，為靈活開展業務提供了保證。同時AAA還應支持各種的優惠措施（時間、用戶、服務），提供計費保護功能或根據用戶提供不同“套餐”。可以通過域管理區分不同用戶，從而提供不同帶寬、不同訪問權限差異化的服務，實現用戶的精細化管理。

3.2 功能特點

3.2.1 高性能、高可靠性網絡

校園網核心節點設計采用電信級高端數據設備，網絡結構設計合理，拓撲簡單，主要節點設備負載均衡。寬帶認證計費服務器采用了業界流行的機架式結構，基于模塊化的架構和一體化機箱設計，所有單板及部件均支持熱插拔；采用模塊化、全分布式的高可靠性軟件系統構建。系統內核與業務功能模塊上下分離，業務功能模塊之間相互獨立，保證系統內核的高可靠性運行，核心交換機硬件充分共享、重用，軟件模塊化設計平滑升級，關鍵芯片/單板性能要求業界領先。關鍵部件冗余備份，所有件均支持熱插拔功能；支持各種配置數據在主備主控板上實時熱備份；支持熱補丁功能，模塊化智能在線升級補丁；支持多種BFD、FRR、NSF、GR等可靠性保障技術。匯聚交換機、接入交換機支持以太環網技術保證業務無中斷鏈路切換，多種硬件設計保證設備高可靠性。

3.2.2 集中認證、擺脫綁定、易于維護

基于寬帶認證計費服務器BRAS的PPPoE認證方式標準化程度高，有標準的客戶端程序，易于維護，擺脫了傳統802.1X認證方式存在的AAA系統和接入交換機的緊綁定問題。同時配合匯聚交換機QINQ的VLAN嵌套部署，使校園網二層用戶完全隔離，整個校園網得到最大程度的扁平化。L3邊緣上移，網絡的配置、維護集中在核心機房，極大地降低了校園網維護的工作量。PPPoE認證方案降低了對校園網中最大量的接入層交換機的功能需求，降低了設備采購成本。

PPPoE集中認證方式能夠享受到與基礎網絡運營商相同的可靠性和高性能，為過渡到可管理、可運營、可持續發展的大型數字化校園網鋪平了道路。

3.2.3 完善的安全防護

創新型校園網絡認證計費解決方案，針對不同的網絡層次采用不同的安全手段，部署有針對性的安全策略，形成多層次、全方位、一體化的安全校園網解決方案。

二、三層分離的網絡結構可實現業務的有效隔離，同時，可通過對終端鑒別和授權、仿冒終端的識別、隔離與控制，充分保證終端的安全性，隔離非法終端，抑止合法終端的非法活動，如網絡攻擊、病毒等。

寬帶認證計費服務器BRAS提供基于每用戶的4層連接總數限制和每用戶每秒發起的4層連接請求數限制，并提供基于用戶級的DHCP DDOS防護，精確地隔離了攻擊源，降低了單板內用戶間的安全沖突和安全干擾；完備的鏈路級保護方案，支持用戶側的板內捆綁和跨板捆綁，為PPPoE/IPoE接入用戶提供安全防護。

核心交換機支持內置FW防火墻和DPI深度報文檢測安全板卡。防火墻板卡可以根據校園網用戶和應用要求的不同，劃分成不同的功能子網，實現不同的安全等級。DPI板卡采用深度包檢測技術，能夠識別和控制網絡中的各種業務流量，對不同用戶或不同的業務進行精細化的帶寬管理，并完成對校園網的安全監控管理和上網行為管理。

匯聚交換機、接入交換機提供CPU保護機制、防DDOS攻擊技術、智能端口捆綁等軟硬件保護機制。支持對端口的廣播報文、多播、未知單播報文進行限制，減少此類報文對CPU的沖擊，支持DHCP snooping 和IP source guard來保證用戶的合法性，從而解決DHCP Server仿冒、用戶標識符欺騙、MAC地址欺騙、資源耗盡型攻擊、假冒偽裝網絡設備攻擊等。支持DAI功能，可以利用ARP報文進行的DOS攻擊進行有效限制。支持獨特的雙向ACL功能，提供完善、方便的安全控制能力。

3.2.4 IPv6安全可控、完美實現平滑演進

寬帶認證計費服務器BRAS采用業界最先進的分布式并行處理和Cross-bar空分交換架構，交換架構的全新設計，實現系統容量的平滑擴展，保護網絡建設投資，完美實現PPPoEv4/v6和IPoEv4/v6雙棧用戶接入，提供IPv6 PPPoE/IPoE/ND等各種方式的用戶接入。核心交換機采用先進的體系結構設計，采用分布式處理架構，軟件充分模塊化設計，全面支持ISSU/NSF/GR。匯聚交換機所有端口都支持鏈路聚合技術，支持豐富IPv6協議功能以及IPv4向IPv6過渡技術：6 to 4隧道、ISATAP隧道、IPv4兼容自動配置隧道等隧道技術，確保IPv4向IPv6的平滑過渡，為下一代網絡應用做好準備。

創新型IPv6校園網部署方案從網絡架構、接入、核心安全、出口安全，到認證計費、網管、組播控制等運營管理服務方面，全面支持IPv6，力助高校向可信、安全、可控、可管、可運營的下一代校園網目標邁進。

3.2.5 端到端服務質量保障

高校校園網認證解決方案能夠提供端到端的服務質量保障，實現對于網絡協議控制管理、語音、視頻類數據流，根據協議類型來進行分類和標記。在接入交換機側可以根據網絡的規劃，將不同的業務數據流放入不同的VLAN之中，同時對數據幀的802.1P或COS域標記，然后在匯聚交換機直接將此標記映射至DSCP之中。未來校園網部署MPLS VPN，核心節點支持DSCP優先級映射至MPLS報文的EXP域中，作為后續MPLS Difserv QoS處理的依據。

創新型高校校園網方案選用高端數據產品支持分類、標記、流量監管、擁塞控制、隊列調度、整形、QPPB、H-QoS等豐富的QoS功能，匯聚交換機能提供多種隊列調度機制（SP、WRR、SP+WRR），通過基于應用的分類，優先保證視頻和語音等實時業務；通過基于業務分類，可優先保證重要業務數據的轉發；通過基于隊列和端口的整形等功能，保證用戶突發流量的業務也可以順利轉發。接入交換機支持組播QoS，解決了組播業務多出口復制帶來的流量工程管理問題 。

1 王保泉，趙艷紅，陳發明.網絡計費系統的設計與實現[J].南京工業大學學報（自然科學版）.2004（05）

2 肖義. 三種接入認證技術的淺析與比較[J].光通信研究. 2006（03）

3 田志英，廖曉群，趙安新.校園網認證計費系統的研究與實現[J].計算機技術與發展.2010（05）

4 黃建業.基于ipv6的數字校園認證技術研究[D].昆明理工大學.2008

5 陳曉濤.寬帶接入的認證管理方式分析[J].通訊世界. 2003（03）

6 楊鴻，張順頤.寬帶應用統一接入認證的解決方案[J].中國數據通信. 2002（05）

7 朱琳.校園網的管理與計費探析[J].情報雜志. 2002（09）

8 李金珂.新型校園網寬帶接入應用[J].科學咨詢（決策管理）. 2010（03）

9 Remote Authentication Dial In User Service（RADIUS）. IETF RFC 2138. April 1997