運營商與高校認證計費對接方案探討

孫明

(遼寧工業大學 遼寧錦州 121001)

近年來，互聯網技術已經成為各行各業發展升級的關鍵技術，尤其在移動網絡與光纖網絡的普及過程中，為人們提供了便捷、高效的信息化生活。在現代高校中，校園網絡同樣成為支持教學活動、科研發展、學生學習與娛樂的重要依托，因此在校園網建設中，必須堅持業務性、綜合性與應用性的綜合需求，以保證滿足當前高校教學、科研以及師生生活學習的要求。

1 現代高校建立認證計費系統的目的

1.1 提升校園網絡安全

在高校之中，由于網絡使用的人員類型較多，比如學生、教師、職工、臨時工作人員、訪問者、校內商戶、教師家屬、外聘人員等，這就使得高校中的網絡終端數需求較高，從而使得帶寬過高而降低了網絡利用率。與此同時，由于網絡使用人員的安全意識較差，因此在校園網建設中，必須通過建立認證計費系統，以提高其網絡安全。第一，應加強身份識別與權限管理。不同的校園內人員在連接網絡時應能夠識別其身份特征而連入不同的終端網絡，由此限制其網絡使用權限，以此提升網絡安全[1]。第二，應采用多種接入方式融合模式。一方面可以根據上網終端劃分校內外、準出入、有無線等上網方式，另一方面要通過認證系統，對網絡區域、對象進行精細分類，并建立身份對接，形成用戶管理、網絡日志、數據統計等多重功能，可以實時監測學生的網絡使用情況，降低安全隱患。第三，現代網絡信息魚龍混雜，其中存在大量負面信息與糟粕文化，而這是影響學生身心健康成長的重要因素；同時網絡游戲、綜藝節目等網絡娛樂活動過多，也會對學生的精神意志與學習成長造成一定的影響，因此可以通過認證計費系統進行網絡調控，控制學生的上網時間，限制學生的上網流量，讓學生有更豐富的校園生活。

1.2 提高校園網絡速度

隨著高校不斷擴招，學生人數在持續上漲，這就使得校園區域內的網絡終端設備越來越多，而在占用帶寬影響下，網絡速度就會大打折扣。同時，學校的教學活動與科研設施也在逐步升級，形成了信息化教學、數字化建設等發展趨勢，這就對網絡速度提出了更高的要求。通過認證計費系統，可以使高校與運營商達成更全面的合作意向，一方面可以提高校園區域內的網絡帶寬與速度，為師生提供更好的網絡環境；另一方面可以進行網絡改造，落實無線網絡的覆蓋與升級，以此降低終端設備的帶寬占有率，提高網絡速度，有效解決帶寬擁塞的問題[2]。

1.3 合理分配網絡資源

在大多數高校中，校內用戶可以免費訪問校內資源，但是訪問校外資源時需要到運營商營業廳辦理上網寬帶套餐。學生可以在校園內隨時隨地使用網絡。但在這種模式下也會造成網絡資源分配不合理的問題，一方面會有大量用戶長時間停留在網絡之上，甚至還有部分用戶會利用所購買的套餐流量利用網絡下載大量資源，比如P2P 等應用，造成網絡堵塞，其他人員在使用網絡時無法保證速度，降低了網絡使用效率。另一方面，由于部分人對網絡的長期霸占，還會導致校園網絡資源的嚴重浪費，甚至影響教師教學、科研活動等重要工作。因此，高校應通過認證計費系統可以有效控制和調節上網模式，實現網絡資源的合理、均衡分配，保證教學、科研、實驗等重點工作項目的良好網絡條件。

2 運營商與高校認證計費對接方案

2.1 學校與運營商統一認證方案（Web 轉PPPOE代撥）

2.1.1 方案簡介

網絡用戶通過一次撥號二次認證就可以完成網絡訪問，用戶上網流程如下：當用戶開通訪問互聯網權限后，校內上網賬號與運營商的上網賬號和密碼已經進行一對一綁定。用戶的上網終端連接至校園網，先為其分配IP與DNS地址，用戶通過認證計費系統先進行第一次認證，確認其校內上網用戶身份。學校認證系統將校內上網人員的身份認證信息通過與運營商連接的代撥線路發送給運營商BRAS，進而完成二次認證。

2.1.2 網絡改造

以該校使用Web-BRAS 設備為例，該設備支持Web 轉PPPOE 功能，可以將校內認證計費系統與運營商的認證計費系統進行無縫對接。該方案部署效率高，節省對接時間，運營商與學校的認證計費系統做好相關策略以后，短時間就可完成對接。Web-BRAS 設備分別進行兩路連接，一路作為校內教師上網專線連接出口防火墻至運營商網絡，一路作為學生上網專線與運營商代撥認證專線互聯[3]。帶寬可以根據學校的具體情況進行選擇或擴容，當學校網絡流量需求較高時，則需要進行帶寬擴容。另外，Web-BRAS設備中應進行路由配置，保證校內用戶可以訪問校內的各個應用系統。

2.1.3 系統改造

在學校統一認證方案的對接模式中，還需要對學校的認證系統進行改造升級。認證系統在認證校內用戶賬號后，可以通過AAA 數據庫進行自動查詢，確定該學號是否完成了寬帶賬號綁定。如果已經綁定運營商寬帶賬號，則由認證系統自動替代用戶向運營商BRAS發起認證，通過賬號類型/域選擇、運營商等信息核對完成PPPOE認證，完成BRAS授權。

該方案的對接難點在于兩點，第一，在學校認證系統發出二次認證請求的過程中，PPPOE 認證要求其系統提供用戶的各項真實信息，包括VLAN、接入端口ID等，進而完成封裝；第二，在與用戶斷開網絡連接后，校內認證系統需要再次將下線報文傳遞至運營商認證系統，以此實現網絡的有效控制。

該方案的實現原理主要包括5 點，下面以校內上網用戶為例展開具體介紹。第一，上網用戶在接入網絡后，自動為上網用戶分配私網IP 地址與運營商的DNS地址，上網用戶可以正常訪問校內資源。第二，上網用戶需要訪問外網資源時，使用自己的賬號發起PPPOE 認證，由校內BRAS 自動完成賬號類型/域的匹配，確認其賬號所對應的身份信息。學校BRAS 在身份認證過程中，會檢測賬號對應的身份信息，檢查是否已經綁定運營商接入賬號。如果已經完成綁定，系統會自動查詢認證請求中用戶信息的后綴，根據后綴可以選定其運營商，進而將請求信息轉發至對應的運營商BRAS，從而進入二次認證階段。第三，運營商BRAS收到校內用戶的認證信息后，確認上網用戶的身份信息是否有效，如果有效，認證成功，完成二次認證，運營商系統則會將用戶認證信息等發送至校內BRAS，最終反饋到用戶[4]。第四，用戶在使用網絡時，校內BRAS 可以根據上網賬號信息將其流量連接對應的運營商，并通過運營商設備將源IP 進行NAT 轉換，進而連接城域網，實現用戶與互聯網的有效連接。第五，用戶在設置學校IP 地址后，在訪問校園網內部資源時，可以通過路由設置實現BRAS 到校園網的互通，進而達到校園內網與互聯網同步使用的目的。

另外，該方案的維護工作也相對較難。主要在于綁定賬號信息的錄入過程相對較為繁瑣，當學生用戶首次使用校園網開通賬號時，需要相關工作人員在校內認證系統中完成綁定過程，同時運營商側也需要相關工作人員在后臺完成信息導入[5]。在新老賬號的交替過程中，新賬號信息一般要直接覆蓋老賬號，如果賬號信息到期后未能及時清除，那么認證系統就會自動發起新的認證環節，由此在不斷認證過程中大大提升了系統壓力，也為系統數據的統計帶來較大困難。

2.1.4 注意事項

在該方案的實現過程中，校園網與多家運營商進行代撥專線對接時，解析工作需要轉發至運營商的DNS 系統。假設其他解析工作遞歸至A 運營商處，那么其他運營商對應用戶得到的IP地址就會集中在A網中，流量傳遞時需要由互聯接口進行轉移，由此就會導致資源訪問出現“舍近求遠”的現象，更會造成其他運營商網絡質量下降的問題，甚至還會增加網間結算費用。當A 運營商的用戶PPPOE 代撥成功后獲取IP 和DNS 要訪問互聯網資源時，要保證每個運營商的用戶都要使用自己的DNS解析，以達到最優的上網體驗，這就需要Web-BRAS 設備需要把DNS 也要做相對應的強制轉換；如果學生訪問校內網站域名，為了避免舍近求遠，Web-BRAS設備也需要做DNS特殊處理，可以在Web-BRAS 設備設定校內域名和校內IP 對應列表，當Web-BRAS設備發現學生訪問的是校內域名時直接訪問校內內網IP，以達到最優訪問速度。

2.2 學校與運營商統分開認證方案（Radius代理）

2.2.1 方案簡介

該方案與學校統一認證方案具有相似性，都采用兩次認證的方式完成網絡連接。區別則在于兩次認證的發起方不同，該方案認證由學生用戶主動發起，通過學校與運營商兩套認證系統分別完成認證后，根據學生對應的用戶組數據指向不同的運營商出口。

2.2.2 系統改造

需要對學校的認證系統進行改造升級。認證系統在認證校內用戶賬號后，可以通過AAA數據庫進行自動查詢，確定該學號是否完成了寬帶賬號綁定。如果已經綁定運營商寬帶賬號，則由認證系統自動替代用戶向運營商認證系統發起認證，通過賬號類型/域選擇、運營商等信息核對完成賬號認證，完成Web-BRAS授權。校園賬號綁定運營商賬號，本地欠費的情況下不允許訪問運營商網絡，只能訪問內網資源[6]。

2.2.3 流程說明

第一，用戶瀏覽器的訪問被Web-BRAS 定向到WebPortal認證頁面，WebPortal用戶根據提示輸入用戶名和密碼，WebPortal 收到用戶輸入認證信息后，同PortalGetSrv 守護進程通信，獲取存放在數據庫的用戶信息，對用戶信息驗證后，進入下一步。第二，Web-Portal 同PortalAuthSrv 守護進程通信，將用戶名和密碼等認證信息提交給PortalAuthSrv。PortalAuthSrv 通過Portal 認證協議同Bras 通信，提交認證信息。第三，Web-BRAS通過radius協議提交用戶認證信息到rad-ProxyAuth 守護程序。radProxyAuth 將用戶認證請求，同時傳送給本地radius 和運營商radius 服務器。本地radius和運營商radius服務器分別完成用戶認證，將認證結果返回radProxyAuth。radProxyAuth收到本地和遠端radius的認證結果后，判斷雙方如果都認證成功，將認證成功結果返回Web-BRAS，否則返回認證失敗信息。第四，Web-BRAS 收到認證結果，返回給portal-AuthSrv。portalAuthSrv 收到認證結果，返回給Web-Portal，用戶得到WebPortal認證結果。

2.2.4 DNS解決方案

DNS處理方式同第一種對接方式一樣每個運營商都使用自己的DNS 解析，校內域名訪問也同第一種方案一樣。

2.2.5 注意事項

此對接難度在于學校的認證系統需要與各運營系統直接對接，由于運營商認證系統現在都集中在省公司，基于安全性考慮省公司越來越不同意此種對接方式，申請此種對接流程比較多，時間比較長，而第一種方式PPPOE代撥則可以做到零對接。

3 兩種方案的對比

第一，網絡改造。Web 轉PPPOE 代撥，新的代撥線路直接接入Web-BRAS 即可。Radius 代理，新的寬帶線路一般接入路由器、防火墻或者負載均衡設備，需要做下網絡配置。第二，認證方式。Web 轉PPPOE 代撥，和普通認證一樣，彈出Portal頁面認證后，輸入該校賬號密碼，Web-BRAS 自動進行PPPOE 撥號。Radius代理，也是彈出認證頁面后，輸入該校賬號密碼，該校AAA會把radius代理數據轉發到運營商AAA認證。第三，開發及維護。Web 轉PPPOE 代撥，不用新開發，Web-BRAS 已有PPPOE 撥號的功能。Radius 代理，需要本校AAA 和運營商AAA 進行radius 代理配置和程序測試。第四，資源訪問。Web轉PPPOE代撥和Radius 代理都可以同時訪問校園網和互聯網。第五，學生用戶上網行為管控。Web 轉PPPOE 代撥，在學校BRAS 和運營商BRAS 上都有限制用戶速率等功能。Radius 代理，在學BRAS 上做限制速率等功能。第六，認證故障。Web 轉PPPOE 代撥，和家庭寬帶撥號上網方式一樣，該校AAA 和運營商AAA 之間不存在故障點。Radius 代理，認證計費信息需要本校AAA 轉發給運營商AAA，通過公網傳輸，數據包有錯誤或傳輸失敗的概率。第七，新用戶信息錄入。Web 轉PPPOE 代撥和Radius代理都需要學校AAA錄入信息。

4 結語

綜上所述，在當前網絡時代背景下，高校應當為師生創建良好的網絡環境，因此高校與運營商合作建設成為一種趨勢，在校園網絡建設上雙方需要建立一套完善的認證計費系統，既能有效提升校園網的質量，也能提高校園網絡的安全性與資源利用率，同時也能給企業帶來經濟效益。