高校创新型认证计费解决方案

文│江苏金鼎楼宇智能系统工程有限公司 孙 旭

1 高校校园网认证计费需求分析

随着高校校园网信息化应用的不断深入和推进，结合当前高校信息化数字校园的发展趋势，许多高校已经规划以实现校园内各类信息资源的整合和交换为基础，构建全面满足学校教、学、科研、管理与服务要求的，具有开放性、协同化的综合性信息服务系统运行环境，从而为全校师生员工提供完善的个性化信息服务支持和数字化支撑平台。

“十一五”期间高校规模扩招，基础设施扩建，学生数量大幅提高，原校园网络各层设备功能趋同，引入的新技术（比如IPv6）基本上需要涉及到全网大部分设备，成本高；学院的多媒体中心、数据中心、互联网中心等业务日益复杂，尤其是P2P视频流量的增长迅猛。校区内互联、校区间互联以及互联网出口等带宽需求成几何数字增长，网络用户在线时间段高度集中，突发峰值特征明显；内外部的黑客、木马、病毒入侵更是频繁，威胁日益增多。

目前许多高校二三层混合组网方式导致用户、业务无法有效隔离，网络扩展能力较差。传统的认证计费方式在标准化程度、流量控制、异常情况计费准确度、网络用户可管理性等方面有改进的空间，如认证方式网络设备跟认证计费系统绑定，无法引入多厂家设备充分竞争，不利于降低建网投资；认证接入点在接入交换机上，运维无法对接入交换机实现有效管理；VLAN资源消耗大、ACL控制实现要求高等问题。

根据对高校网络规模、运营特点等现状分析，结合现代校园网技术发展的方向，应构建一个面向未来的新型高品质校园网。校园网应具备如下特征：

（1）精细化运营：提供可管理、可运营的校园网精细化运营方案，针对宿舍区、教学区、WLAN接入提供丰富的用户带宽控制手段，实现内网资源免费、外网资源计费的认证方式；为用户提供带宽/应用质量差异化的宽带接入服务。

（2） IPv6演进：实现校园网内网络基础设施、网络运营服务、网络应用三个层面的IPv6过渡。建立安全、可控、可管和可运营的下一代商用环境。

（3）丰富的QoS：根据用户的不同、业务的不同提供动态差异化QoS，保障视频会议、IP电话、网上课堂等业务，开展对于实时性和带宽的需求，区分VIP用户和普通用户。

（4）多业务承载特性：充分体现安全性（实现网络系统安全、业务系统安全、数据安全、设备安全等全方位防护）、扩展性（具有升级和扩展能力）、开放性（遵循国际标准，支持多种网络协议，实现系统间互连）、可靠性、先进性及优良的性价比。

在以上四点中首先要解决的就是将所有业务节点整合到统一平台上，以满足未来开展高带宽及高组播的业务特性要求。例如将BRAS设备、AAA业务管理系统引入校园网络建设，同时协同配合核心、汇聚、接入各层次以太网交换机，以提供简单、高效、统一的用户管理模式和灵活的多种认证、计费和管理方法；实际上在宽带业务认证控制方案中更偏重技术的标准化、安全性和可靠性。首先选用业界领先的网络设备以充分实现校园内部所有信息点接入和汇聚需求；外网访问通过PPPoE+QINQ认证计费方式，内网访问通过DHCP获得私网地址免费访问，使整个网络具备易管理、可运营、高扩展、高可靠、高质量的多业务承载的特征，真正构建出一个高品质的新型校园网。

2 创新型校园网认证计费组网方式

2.1 网络拓扑架构

在校园网出口部署高性能出口路由器，上连运营商和教育网，设置策略路由，处理外部流量的负载均衡及链路冗余，应用访问按相应的规则分配到多个ISP接入链路上。创新型校园网建设规划实现二三层网络分离，由校园骨干网与宽带接入网两个层面构成。骨干网部分由宽带认证计费服务器BRAS和高端路由交换机组成，骨干节点通过10GE光纤链路互联，主要负责业务接入控制，实现用户接入互联网网关、组播网关功能，未来也可作为MPLS PE设备使用。同时部署AAA网络运维管理系统，负责完成终端接入用户的认证、授权、计费、业务控制以及安全性审查，以保证数据网络的可管理与可运营。

宽带接入网部分层次划分为汇聚层和接入层，汇聚层部署千兆智能路由交换机，接入层部署二层安全接入交换机。

考虑到校园规模和教学科研业务的未来扩展，根据未来各单位和业务流量规模的发展需求，核心到汇聚层要具备万兆链路扩展能力，汇聚至接入千兆链路（如图1所示）。

2.2 组网描述

2.2.1 PPPoE用户组网描述

校内用户进行外网访问时，终端PC进行PPPoE拨号，发送PADI广播报文，发起PPPoE会话请求，宽带认证计费服务器（BRAS）接受会话请求并做出回应，建立PPPoE会话标识符，完成终端与BRAS间的PPPoE链接，实现PPP报文的终结并转换成IP报文（如图2所示）。

图1

图2

宽带认证计费服务器BRAS支持PPPoE业务的同时下发IPv4和IPv6地址的功能。PPP连接独立于PPP承载的网络层协议，可以用来承载IPv4和IPv6流量。用户通过PPPoE认证之后，PPPoE执行网络层参数配置（地址、DNS等），同一PPP承载两个不同的网络层协议，IPCP和IPv6 CP并行运行，IPCP协商分发IPv4地址，IPv6 CP协商链路本地地址（接口ID），SLAAC或DHCP-PD实现IPv6地址的配置。整个实现过程如下：

（1）PPPoE会话发现、LCP协商和用户认证与传统PPPoE过程相同。

（2）地址配置阶段，IPCP和IPv6 CP并行运行，IPCP分发IPv4地址，IPv6 CP分发链路本地地址（即接口ID），完整的IPv6地址的配置借助SLAAC或者DHCP-PD机制实现。

宽带认证计费服务器BRAS转发认证消息到AAA系统的RADIUS服务器，RADIUS服务器完成用户验证后，下发用户认证结果以及QoS、ACL策略信息到BRAS设备，从而实现用户业务访问授权。根据AAA的相关策略，可以实现对所有认证用户的广域网资源收费，教育网资源、内网资源免费访问。

汇聚交换机开启SELECTIV QINQ，进行两层VLAN TAG规划，如OUT tag代表汇聚交换机号（楼宇），INTER tag代表用户+业务，能够实现二层用户之间的完全隔离，从而保证终端设备的安全。

2.2.2 DHCP用户组网描述

校园网用户进行内网访问时，不需要进行PPPoE拨号。客户端PC发出DHCP DISCOVER广播消息（目的端口为DHCP服务器端口67，消息的源地址为0.0.0.0，而目的地址则为255.255.255.255）请求获取IP地址、租约期限等参数。

接入交换机提供用户线路接入，在DHCP消息中插入中继代理信息，并且在客户端发向服务端的DHCP消息中附加中继代理信息（Option 82），如用户物理链路信息，以便DHCP服务器能够精确地得知PC客户端的信息，更灵活地按相应策略分配IP地址和IP地址需要的租约时间。对DHCP服务器经DHCP消息路由设备发往DHCP客户端的DHCP消息，接入设备去掉所带的中继信息后，广播转发到代理的客户端。汇聚交换机通过建立和维护DHCP Snooping绑定表，过滤不可信任的DHCP信息，从而保证接入网络安全。核心交换机作为DHCP中继，从校园网内部DHCP服务器获取合法的IP地址，实现内部网络的访问，如校内服务器等；宿舍学生间互访，通过Vlan或IP路由实现。DHCP服务器采用集中式部署在校园统一的服务器机房，实现对用户IP地址的分配（如图3所示）。

图3

3 创新型校园网络认证计费方式与功能

3.1 认证计费方式

宽带认证计费服务器BRAS支持包括PPPoE、IPoE、DHCP+Web、绑定认证等，也可根据需要灵活选择多种接入认证方式并存。AAA系统规划支持多种计费策略，根据各种业务的不同要求，系统采用不同计费措施，包括按流量计费、按月/季/学期计费、按时长计费、按访问次数计费、上网卡计费、不计费等。针对不同业务特点采用不同的计费措施，为灵活开展业务提供了保证。同时AAA还应支持各种的优惠措施（时间、用户、服务），提供计费保护功能或根据用户提供不同“套餐”。可以通过域管理区分不同用户，从而提供不同带宽、不同访问权限差异化的服务，实现用户的精细化管理。

3.2 功能特点

3.2.1 高性能、高可靠性网络

校园网核心节点设计采用电信级高端数据设备，网络结构设计合理，拓扑简单，主要节点设备负载均衡。宽带认证计费服务器采用了业界流行的机架式结构，基于模块化的架构和一体化机箱设计，所有单板及部件均支持热插拔；采用模块化、全分布式的高可靠性软件系统构建。系统内核与业务功能模块上下分离，业务功能模块之间相互独立，保证系统内核的高可靠性运行，核心交换机硬件充分共享、重用，软件模块化设计平滑升级，关键芯片/单板性能要求业界领先。关键部件冗余备份，所有件均支持热插拔功能；支持各种配置数据在主备主控板上实时热备份；支持热补丁功能，模块化智能在线升级补丁；支持多种BFD、FRR、NSF、GR等可靠性保障技术。汇聚交换机、接入交换机支持以太环网技术保证业务无中断链路切换，多种硬件设计保证设备高可靠性。

3.2.2 集中认证、摆脱绑定、易于维护

基于宽带认证计费服务器BRAS的PPPoE认证方式标准化程度高，有标准的客户端程序，易于维护，摆脱了传统802.1X认证方式存在的AAA系统和接入交换机的紧绑定问题。同时配合汇聚交换机QINQ的VLAN嵌套部署，使校园网二层用户完全隔离，整个校园网得到最大程度的扁平化。L3边缘上移，网络的配置、维护集中在核心机房，极大地降低了校园网维护的工作量。PPPoE认证方案降低了对校园网中最大量的接入层交换机的功能需求，降低了设备采购成本。

PPPoE集中认证方式能够享受到与基础网络运营商相同的可靠性和高性能，为过渡到可管理、可运营、可持续发展的大型数字化校园网铺平了道路。

3.2.3 完善的安全防护

创新型校园网络认证计费解决方案，针对不同的网络层次采用不同的安全手段，部署有针对性的安全策略，形成多层次、全方位、一体化的安全校园网解决方案。

二、三层分离的网络结构可实现业务的有效隔离，同时，可通过对终端鉴别和授权、仿冒终端的识别、隔离与控制，充分保证终端的安全性，隔离非法终端，抑止合法终端的非法活动，如网络攻击、病毒等。

宽带认证计费服务器BRAS提供基于每用户的4层连接总数限制和每用户每秒发起的4层连接请求数限制，并提供基于用户级的DHCP DDOS防护，精确地隔离了攻击源，降低了单板内用户间的安全冲突和安全干扰；完备的链路级保护方案，支持用户侧的板内捆绑和跨板捆绑，为PPPoE/IPoE接入用户提供安全防护。

核心交换机支持内置FW防火墙和DPI深度报文检测安全板卡。防火墙板卡可以根据校园网用户和应用要求的不同，划分成不同的功能子网，实现不同的安全等级。DPI板卡采用深度包检测技术，能够识别和控制网络中的各种业务流量，对不同用户或不同的业务进行精细化的带宽管理，并完成对校园网的安全监控管理和上网行为管理。

汇聚交换机、接入交换机提供CPU保护机制、防DDOS攻击技术、智能端口捆绑等软硬件保护机制。支持对端口的广播报文、多播、未知单播报文进行限制，减少此类报文对CPU的冲击，支持DHCP snooping 和IP source guard来保证用户的合法性，从而解决DHCP Server仿冒、用户标识符欺骗、MAC地址欺骗、资源耗尽型攻击、假冒伪装网络设备攻击等。支持DAI功能，可以利用ARP报文进行的DOS攻击进行有效限制。支持独特的双向ACL功能，提供完善、方便的安全控制能力。

3.2.4 IPv6安全可控、完美实现平滑演进

宽带认证计费服务器BRAS采用业界最先进的分布式并行处理和Cross-bar空分交换架构，交换架构的全新设计，实现系统容量的平滑扩展，保护网络建设投资，完美实现PPPoEv4/v6和IPoEv4/v6双栈用户接入，提供IPv6 PPPoE/IPoE/ND等各种方式的用户接入。核心交换机采用先进的体系结构设计，采用分布式处理架构，软件充分模块化设计，全面支持ISSU/NSF/GR。汇聚交换机所有端口都支持链路聚合技术，支持丰富IPv6协议功能以及IPv4向IPv6过渡技术：6 to 4隧道、ISATAP隧道、IPv4兼容自动配置隧道等隧道技术，确保IPv4向IPv6的平滑过渡，为下一代网络应用做好准备。

创新型IPv6校园网部署方案从网络架构、接入、核心安全、出口安全，到认证计费、网管、组播控制等运营管理服务方面，全面支持IPv6，力助高校向可信、安全、可控、可管、可运营的下一代校园网目标迈进。

3.2.5 端到端服务质量保障

高校校园网认证解决方案能够提供端到端的服务质量保障，实现对于网络协议控制管理、语音、视频类数据流，根据协议类型来进行分类和标记。在接入交换机侧可以根据网络的规划，将不同的业务数据流放入不同的VLAN之中，同时对数据帧的802.1P或COS域标记，然后在汇聚交换机直接将此标记映射至DSCP之中。未来校园网部署MPLS VPN，核心节点支持DSCP优先级映射至MPLS报文的EXP域中，作为后续MPLS Difserv QoS处理的依据。

创新型高校校园网方案选用高端数据产品支持分类、标记、流量监管、拥塞控制、队列调度、整形、QPPB、H-QoS等丰富的QoS功能，汇聚交换机能提供多种队列调度机制（SP、WRR、SP+WRR），通过基于应用的分类，优先保证视频和语音等实时业务；通过基于业务分类，可优先保证重要业务数据的转发；通过基于队列和端口的整形等功能，保证用户突发流量的业务也可以顺利转发。接入交换机支持组播QoS，解决了组播业务多出口复制带来的流量工程管理问题 。

1 王保泉，赵艳红，陈发明.网络计费系统的设计与实现[J].南京工业大学学报（自然科学版）.2004（05）

2 肖义. 三种接入认证技术的浅析与比较[J].光通信研究. 2006（03）

3 田志英，廖晓群，赵安新.校园网认证计费系统的研究与实现[J].计算机技术与发展.2010（05）

4 黄建业.基于ipv6的数字校园认证技术研究[D].昆明理工大学.2008

5 陈晓涛.宽带接入的认证管理方式分析[J].通讯世界. 2003（03）

6 杨鸿，张顺颐.宽带应用统一接入认证的解决方案[J].中国数据通信. 2002（05）

7 朱琳.校园网的管理与计费探析[J].情报杂志. 2002（09）

8 李金珂.新型校园网宽带接入应用[J].科学咨询（决策管理）. 2010（03）

9 Remote Authentication Dial In User Service（RADIUS）. IETF RFC 2138. April 1997