運營商校園寬帶管理平臺建設方案研究

梁 榮

（寧夏通信規劃設計院，銀川 750011）

1 引言

高校市場目前學校自主運營需求趨向明顯，而運營商寬帶提速降價的政策也不斷深入，因此寬帶收益的保障已逐漸形成業內較為突出的需求與共識。高校市場目前遇到主要問題，集中在大量共享軟件（如獵豹、360、Wi-Fi共享大師）的盛行，以及針對客戶端軟件的路由破解等手段。針對高校市場寬帶運營存在的問題，有必要建設一個統一的校園寬帶管理平臺，滿足高校市場光改后市場營銷方案的統一部署需求，對用戶帳號進行事前封堵，解決一人一賬號多終端的管理（限制終端上網數量）及防代理私接的控制。

2 校園寬帶管理平臺建設的原則

根據運營商校園寬帶發展所面臨的現狀及問題，建設校園寬帶管理平臺應遵循以下原則：

（1）穩定性和可靠性。穩定性和可靠性是首要考慮的問題，必須保證系統24小時不間斷服務，對用戶的認證、管理和統計方面達到穩定的性能。

（2）可擴展性。考慮到網絡的持續發展和擴充前提下，必須提供平滑的擴展和升級，能夠支持用戶數量的升級，在不影響網絡服務的情況下進行平滑的過渡。

（3）可運營。應當為客戶提供完整的業務支撐系統，也就是說，必須能夠對用戶進行必要鑒權、統計等功能，支持營業廳的相關功能。

（4）可管理。管理包括對設備、業務和用戶的管理。對設備的管理是對設備正常運行的保障，對業務和用戶的管理和統計分析，將有利于更合理的運用系統資源。

（5）實時性。保證較高的實時性，也就意味著可以為用戶提供更滿意的服務質量。

3 校園寬帶管理平臺總體建設方案

3.1 整體架構

校園寬帶管理平臺由防私接客戶端、算法校驗、心跳、管理等幾個分系統組成，如圖1所示：

各系統功能如下：

（1）防私接客戶端。實現防私接功能，能夠兼容Mac OS、Windows XP、Windows 7、Windows 10等主流操作系統；支持多種防代理，包括代理服務器、網卡、獵豹Wi-Fi、360Wi-Fi等。支持推送彈出氣泡、Web頻道頁面、滾動文字廣告、GIF動畫廣告位，即時消息、文字或Web頁面彈出氣泡等多種呈現方式；客戶端支持ipv4/ipv6。

圖1 校園寬帶管理平臺整體架構圖

（2）算法校驗系統。支持算法校驗；支持多種認證模式支持PPPoE；支持VLAN綁定、MAC綁定、IP綁定；支持標準radius協議；支持基于用戶組和用戶的VLAN綁定、漫游控制、時間段控制；支持ipv4和ipv6；實現對每個用戶的帶寬屬性值的下發；支持其他廠家的拓展屬性開發。

（3）心跳系統。客戶端與心跳服務聯動，客戶端上線后每隔一定時間向心跳服務器發送心跳報文，如超過時間，心跳服務器未收到心跳報文，則對用戶的客戶端實施下線處理。

（4）管理系統。支持多高校統一管理，不限接入高校數量。支持多高校的統一數據庫、統一備份、統一配置等；支持學校數據錄入，編輯，刪除；用戶資料管理、支持帳號、學號、手機號碼帳號等。

3.2 實現方式

校園寬帶管理平臺在BRAS到寬帶AAA平臺間新增AAA轉接服務器，針對PAP方式存在的明文傳遞特性，用戶需強制使用專用客戶端軟件。在系統的強制使用機制下，PIN碼的啟用、存儲和校驗均由校園寬帶管理平臺AAA轉接服務器完成，寬帶AAA不需進行針對強制使用機制的算法匹配改造。校園寬帶管理平臺AAA轉接服務器將用戶算法校驗完成后，以標準Radius協議向運營商寬帶AAA平臺轉發用戶信息，寬帶AAA平臺繼續完成用戶名、密碼以及其他涉及到賬號信息的校驗。

AAA轉接服務器需獨立部署，將PIN碼校驗與用戶名密碼校驗分離開來，從邏輯上和物理上保證其獨立性，提高保密強度；PIN碼算法的更替與寬帶AAA無關，提高了算法更新的可操作性和及時性；同時PIN碼校驗的計算任務和數據庫查詢更新任務從大網平臺中剝離出來，無需進行算法匹配改造的開發；PIN碼校驗獨立后，提高了整個系統的靈活性，并最大限度保證了PIN碼機制不影響正常用戶的使用。

3.3 寬帶管理業務流程

（1）管理平臺的AAA轉發服務器負責客戶端Pin碼的校驗，待完成算法匹配后，將用戶信息傳遞給寬帶AAA，完成后續的賬號信息驗證。同樣寬帶AAA下發的Radius指令也參照此方式傳遞給管理平臺AAA，由管理平臺AAA負責通知BRAS設備予以執行。

（2）管理平臺AAA轉發服務器需要匹配不同的BRAS屬性模板。

（3）對于需要管理的校園用戶，可由CRM系統開戶后同步校園管理平臺AAA，亦可以由人工方式導入校園管理平臺。

（4）對于同一BRAS下接入了不同學校，或者說學校與公客用戶共用的情況，通過劃分不同的域名將家庭與學校用戶分開，防私接用戶按照劃分的規則由BRAS指向校園管理平臺AAA，公眾用戶認證不受影響，仍然由BRAS發送給寬帶AAA。

圖2 認證流程圖

4 各分系統實現方案及功能描述

4.1 心跳系統

防私接客戶端采用撥號方式上線后，防私接認證服務器會向心跳服務器發送信息，即心跳報文，通知用戶上線信息。防私接客戶端定時向心跳服務器發送心跳報文。如心跳服務器長時間未收到心跳報文，則系統判斷為該用戶狀態異常，并通知防私接認證服務器將該用戶進行下線處理。防私接認證服務器通知省AAA用戶下線；通過BRAS同時用戶下線。

4.2 算法校驗系統

算法校驗系統基于Radius協議實現與運營商城域網BRAS設備對接，提供寬帶撥號認證、計費、授權等功能。

算法校驗系統以Radius協議與寬帶接入設備對接，實現校園寬帶用戶的計費及認證。

算法校驗系統提供的功能主要有：AAA安全認證，包括認證、授權服務，基于Radius標準協議，并能支持PPPOE認證；認證、授權基于客戶組管理；支持PAP、CHAP、EAP認證；支持多種賬號形式登錄，包括是否自帶域名等；限制帳號的同時登錄次數；IP地址綁定、MAC地址綁定、NAS IP-端口綁定；自動綁定（NAS端口的自動綁定、支持MAC地址、IP地址、NAS IP）；支持多元素組合綁定（例如username+ip+mac）；指定帳號失效日期，到期自動失效，不能再認證上網；使用數據庫保存用戶上網數據；自動處理呆死賬號；認證信息提示；管理員授權處理。

4.3 管理系統

（1）學校管理。以學校為單位進行管理。支持以學校用戶組為單位控制是否啟動私接控制，支持對存量用戶不啟動私接控制，支持與學校平臺對接，實現批量開戶、修改密碼、異情強制下線等功能。支持管理員的分級管理，能夠實現同一學校賬號可以管理本校所有用戶，學校管理員具有本校用戶是否啟用防私接、以及配置并修改本校的上網時間段的權限，支持本校教師賬號管理。

通過劃分BrasIP，綁定VLAN等手段，以學校為單位，控制賬號只能通過本校區上網，此功能需要與移動的省BOSS對接，省平臺同步本校的用戶賬號到防私接管理平臺。

支持與校園本地平臺對接，用戶停復機的狀態信息由BOSS發送給校園寬帶防私接管理平臺，管理平臺將該信息同步至校園本地平臺。根據學校校名統一批量下線用戶。

（2）統一賬戶管理。統一認證：將所有校園寬帶用戶統一配置在同一個平臺下進行相應管理。能夠支持多種賬號形式，包括手機號、賬號、上網卡賬號等。用戶管理：管理員可以對各校帳號進行綁定設置，支持用戶登錄認證、權限管理、帳號管理等。日志管理，后臺記錄登錄用戶的操作日志。黑白名單管理，支持按用戶群組下發防私接需求，包括用戶黑白名單。

（3）配置管理。主要為算法池管理，提供對算法的更新、過期、批量生成等的管理，支持對指定操作系統終端管理。

5 結束語

寬帶業務已成為各運營商業務發展及收入來源的重點，在“提速降費”的大背景下，防止寬帶運營業務收入的流失成為各運營商不得不考慮的問題，尤其是在校園寬帶運營方面。建設一個統一的校園寬帶管理平臺，可以有效防止用戶私接，規范校園寬帶運營管理，提高寬帶收入。校園寬帶管理平臺建設，應對目前狀況和可預見的將來的需求進行充分考慮，對以后的網絡擴充和計費用戶的擴展做好充足的準備。