【2015年】南昌电信构建集中式高校宽带接入网案例-校园网解决方案

1、南昌电信构建集中式高校宽带接入网案例-校园网解决方案一、需求概述我国高等院校的信息化建设一直走在全国的前列，目前，70%的高校已经建立了自己的校园网，随着校园网基础网络建设的完善，以及网络应用多元化的发展，教育网已经远远不能满足校园网用户对网络资源的访问需求。广大的校园网用户都需要一种便捷的方式访问互联网，在这种形势下，如何安全可控的实现校园网用户访问INTERNET成了高校网络部门急需解决的课题。 围绕这个巨大的市场，国内各主要宽带运营商展开了激烈的竞争，据统计，至2006年，我国高等教育在校生总规模已经达到1600万人，如何争取这部分最优质的宽带用户成为各运营商在未来的市场竞争中取胜的关键

2、。二、南昌高校互联网接入需求分析1、高校宽带接入的需求与挑战:南昌有普通高等学校66所，在校生约65万，成人高等学校11所，在校生约10万，面对这近八十万的优质客户资源，南昌电信做了大量的工作，但是在07年以前，高校校园网用户使用电信宽带的用户量却始终停留在比较低的水平，分析原因，主要有以下这几个方面(1）学校网络建设参差不齐，已经建立了校园网的高校普遍只有教育网出口。基于建设成本考虑，学校申请互联网出口将带来巨大的线路租借费用，同时学校也缺乏相关的宽带运营技术，自己运营的收入难以抵消线路及网络建设所带来的支出是阻碍学校使用INTERNET线路的最大原因。(2）高校对宽带接入所带来的前期基础网

3、络及配套软件投入难以接受要实现宽带进入教师宿舍楼、学生宿舍楼。给教师和学生提供一个高质量的网络，必须把校园宽带网建设成一个安全可靠、可运营、可管理的网络。同时为了避免滥用网络给学校和社会带来不必要的损失和危害，该网络还要有认证、计费等功能。建设成本太高导致很多高校放弃了宽带接入的方案(3）对于接入INTERNET所带来的管理问题缺乏技术保障高校网络管理部门人力资源有限及技术力量有限，要管理用户如此众多的大型宽带网络，的确是巨大的挑战。2、江西省电信ADSL在高校的推广情况:截止2006年底，江西省电信的ADSL用户突破百万大关，但是高校ADSL用户量却只占在校生数量的一小部分，造成这个局面的原

4、因主要有以下几个方面：(1）价格因素影响南昌为例，ADSL包月资费对于广大在校大学生而言普遍偏高。导致开通率不高。(2）高校规章制度因素影响采用ADSL宽带上网，校方无法对学生上网行为做相应的监管，无法消除因学生非法访问互联网所带来的风险，所以部分高校没有放开相应的接入宽带限制(3）电信收益因素一个宿舍开通ADSL后，普遍会通过代理技术代理整个宿舍的机器上网，造成电信用户流失，降低收益。而在与西安信利软件合作之前，南昌电信并没有可靠的技术手段来控制ADSL用户的私接问题。 三、南昌高校互联网接入解决方案1、南昌电信与高校合作运营的模式高校自主运营校园网宽带接入所面对的重重障碍及ADSL在高校的

5、发展缓慢及收益率低的状况，以及来自其他宽带运营商抢夺用户的竞争压力，使南昌电信迫切的需要一个能够快速启动的方案来争夺高校用户资源。基于电信与高校合作运营宽带接入的众多成功案例，南昌电信通过与校方积极的谈判和磋商工作，与2006年起正式启动与高校合作运营校园网宽带接入项目。该合作模式有以下特点：(1）采用以太网信利PPPoE客户端实现校园网宽带接入运营以太网PPPoE接入方案是非常成熟的宽带接入技术，能够实现低廉的接入成本同时充分满足网络运营商对用户管理、计费及带宽管理的需求，是宽带网络接入的优选方案。在该技术方案下，采用BRAS进行用户管理，可降低对用户接入交换机的要求，在非BRAS接入模式下

6、，用户管理通常需要接入交换机提供额外的功能进行支持，如第三层交换、VLAN到用户等。故此采用BRAS方式在交换机设备成本上有非常大的优势，可降低大量基础网络搭建的投资。同时采用信利PPPoE客户端的丰富管理功能实现了对接入用户的管理及防私接控制。(2）该系统采用集中式的架构，全市校园网用户采用一套后台Radius系统目前，南昌市已经有80%的高校实现了南昌电信的以太网覆盖，并不同程度的做到了把宽带接口架设至学生宿舍楼及教职工家属楼。南昌所有的校园网用户统一使用一个后台Radius服务器实现用户管理、认证、计费。统一管理的模式极大的降低了南昌电信的运营成本，同时也能够对校方关心的访问安全问题，提

7、供丰富的访问过滤策略。(3）南昌电信全面负责运营工作南昌电信全面负责宽带运营系统的搭建以及后继的运营维护工作，避免了因为与校方在管理权限上分割不清所带来的管理上的不利局面。(4）南昌电信与校方共同承担网络建设的初期投入南昌电信负责搭建后台管理系统并免费为校方提供以太网线路，双方方共同承担基础网络的搭建费用。 (5）电信与校方进行运营收益分成运营商与校方共同双方根据约定的比例进行收益分成，达到了双赢的局面，校方通过该合作模式低成本的解决了广大在校师生接入互联网的需求，同时避免了由此带来的管理问题及校园网用户非法访问互连网所带来的风险，南昌电信通过该模式积极主动的占领了南昌校园网宽带市场，同时通过

8、统一的管理模式，降低了管理成本，实现了后继的长期收益。四、南昌高校宽带接入网的技术要点1、系统设计要求(1）稳定性和可靠性稳定性和可靠性是首要考虑的问题，必须保证系统24小时不间断服务，对用户私接的检测、统计和准确率方面达到稳定的性能。(2）可扩展性考虑到业务的持续发展和扩充前提下，必须提供平滑的扩展和升级，能够模块化新业务升级，在不影响网络服务的情况下进行平滑的过渡。并支持与其他系统得接口。(3）可运营应当为客户提供完整的业务支撑系统，也就是说，必须能够对用户进行必要的统计、查询等功能，支持分地区关系以及地区与帐号和用户ip的对应关系等相关功能。(4）可管理管理包括对设备、业务和用户的管理。

9、对设备的管理是对设备正常运行的保障，对业务和用户的管理和统计分析，将有利于更合理的运用系统资源。(5）实时性我们在本次方案的规划设计中，将对南昌电信防私接系统项目目前状况和可预见的将来的需求进行充分考虑，对以后的网络扩充和计费用户的扩展做好最充分的准备。(6）灵活性系统支持灵活的定制配置管理和权限配置管理以及对应的系统日志功能。 2、信利PPPoE客户端防私接技术特点采用以太网PPPoE客户端方式实现校园网用户宽带接入，最大的问题是必须采用可靠的技术手段控制非法代理上网，通过与西安信利软件有限公司合作，采用西安信利软件有限公司先进的PPPoE客户端产品NETKEEPER，全面的解决了用户私接问

10、题。客户端强制使用NetKeeper系统已使终端软件成为成为认证机制验证参数之一。用户上网必须通过NetKeeper客户端拨号上网才能够满足认证的条件。也就是说，Netkeeper系统提出的双因素认证机制从根本上保证了终端软件的不可替代性，满足强制使用的要求禁止私接运营用户的IP数据包通过Netkeeper时，被检查连接纪录(其中记载了该用户上次到达的数据包指纹ID)，如果没有纪录，则添加纪录，完成流程。如果有记录，则把该数据包中的指纹ID和记录中的进行比较，如果ID符合线性递增，则把新的指纹ID覆盖原来的记录，完成流程。如果非线性递增，则增加误差计数器读数，并检查误差计数器读数，如果达到某设

11、定值，则认为该用户使用代理服务器上网，根据规则进行全部丢弃，部分丢弃或者允许通过，并通知管理员，等待处理。这种防止私接运营的方法有以下突出的优点：（1）无误报。通过对私接用户和直连用户指纹ID的大量对比测试，得到两个结论：i.所有直连用户都满足指纹ID线性递增特性；ii.所有IP私接用户的指纹ID都不满足线性递增特性；（2）可以在保证直连用户上网正常的情况下，阻止私接用户的网络访问，即将非线性部分的报文过滤掉，不允许通过。五、方案效果1、网络拓扑图其中信利客户桌面管理系统（NetKeeper）实现对宽带接入用户的运营管理和新业务推送。BAS架设在校园网的汇聚层，用户PC广播可达一个高校需要多台

12、BAS(根据用户规模以及BAS设备性能确定)多台BAS通过校园网核心交换连接到电信网络用户认证计费系统部署在电信IDC机房，实现集中计费管理。用户访问电信网络需要拨号认证由NetKeeper客户端实施私接检测和控制由运营商通过后台配置每个帐号可私接的电脑台数，精确控制每帐号允许私接台数系统管理人员可以根据各个分区的情况，并在系统中建立不同分区的用户帐号组，定义不同分区的管理员权限，形成分区管理的权限模式分配。2、NETKEEPER系统框架（1）NETKEEPER PPPoE客户端功能同普通的拨号软件相比，NetKeeper的拨号软件新增加了很多易用性功能：密码保存：保存用户输入的用户名、密码信

13、息，方便用户下一次登录。省去每次都输入用户名、密码的烦恼。可通过选项控制是否起用该功能；自动加载：该功能实现用户开机，自动启动NetKeeper拨号软件，简化用户操作。可通过选项控制是否起用该功能；自动连接：自动连接指启动NetKeeper拨号软件时，自动进行认证连接，不需要用户的干预，大大简化了用户操作。可通过选项控制是否起用该功能；重新连接：当客户机与接入设备异常断开时，为了简化用户的操作，NetKeeper拨号软件的重新连接功能会自动重新尝试连接，直到连通或超过最大连接次数；网页推送：客户端认证通过后，可以自动连接到运营商指定的网页、站点。可以通过这个功能向用户及时发布一些网络信息，当然

14、也可以发布广告。链接的网址可在交换设备上配置，随时可以根据需要修改。 P2P监控识别各类P2P流量，并进行分时段、分应用统计；分时段限制P2P带宽为P2P业务的可运营性奠定基础不对其他业务造成影响统计结果作为电信下一步制定BT访问策略的基础。当前的P2P协议与第一代P2P协议相比有了很大的变化，使用随机和伪装端口，例如BitTorrent可以使用HTTP的80端口来伪装自己。使用了NAT穿越技术，能够进行内网穿透，并能绕过防火墙。有些P2P软件如 Kazaa、Gnutella甚至使用类似HTTP的协议进行通信来伪装自己。这些特点使得原始的通过传输层感知方法，如通过已知端口号来判断等方法失去了作

15、用。这些变化使得当前对P2P流量的感知变得更困难。由于传统的基于端口等方法已经不能适应当前P2P技术的变化，本系统主要使用的方法有以下两种：（1）Payload Analysis。通过探测有效数据包内部数据来获取已知P2P协议的特征码，从而感知P2P流量。（2）根据P2P的固有特点判断。由于P2P分布式的特点，P2P集客户端与服务端于一体，参与P2P连接的任一台主机都会维持大量的主动和被动连接数。由于P2P主要应用于文件共享领域，因此P2P连接有通信量大、连接时间长等特点。系统为每一种类型的连接维持一个队列，并设定不同的权重，并对每一个对列保存ST（虚拟开始处理时间） 和FT（虚拟处理完成时间

16、）。当有数据到达时，根据RED算法进行预处理，执行丢弃或入队操作。在每个循环内，调度算法根据WFQ进行调度，处理相应分组。时间复杂度主要表现在对所有分组选择,时间复杂度为O(N)。其中N为系统的优先级队列数。（2）NetKeeper安全维护平台从用户角度来看，安全维护平台是保证其网络正常运行的必要手段，也是运营商提供的独特服务。安全维护平台的功效有四个方面：（1）提高用户对整个平台的依赖程度；（2）提高用户对宽带网络的满意程度，和其它运营商形成差异，保有客户；（3）降低用户投诉，减轻维护负担；（4）降低网络病毒的冲击安全维护平台由三个主要核心功能构成：故障诊断、安全防卫和远程维护远程维护随着互

17、联网的高速发展，尤其是宽带上网用户的不断增多，运营商之间的客户资源竞争逐步进入白热化。一方面用户对运营商快速、专业的服务诉求日益迫切，另一方面运营商自身客服资源有限、旧有维护方式成本不断攀升，给运营商带来巨大的成本压力和服务困扰。如何在这个矛盾中找到平衡点，成为运营商之间决胜的关键。远程维护正是信利为宽带运营商提高维护服务质量、提供差异化服务而量身定制的宽带新服务，它不同于普通远程桌面软件的只能通过相互信任的好友之间进行远程维护。用户向远程维护专家坐席发起远程维护请求，并确认与专家坐席建立连接后，用户桌面便可交给专业的“远程维护专家”进行远程操作，就好像电脑维护专家亲自到用户的电脑前判断定位及

18、解决问题。系统分为三个部分，分别是Guest用户终端程序、Dispatch分派服务器程序、Viewer服务终端程序。Guest用户终端程序的功能包括：提供故障申报的界面，用户可以选择问题分类，并提供必要的描述和联系电话。收集故障的现场信息，包括软硬件的基本信息。提供远程控制桌面的能力Viewer服务终端程序提供用户申报的清单选择要解决的问题并接管桌面提供故障现场的软硬件信息清单提供工作记录的界面提供远程控制桌面的能力上传文件的能力Dispatch分派服务器程序接收用户终端申报，并分发给服务终端记录用户申报的问题记录问题处理过程查阅申报记录查阅服务终端状态 （3）远程维护核心技术是GDI HOO

19、K和差分压缩传递。NetKeeper远程维护模块具有以下特点：（1）支持所有Windows平台；（2）差分压缩效率高，带宽占用在2050k；（3）Active Once Password策略保证远程登录的合法性，即用户发出远程帮助请求后，NetKeeper动态随机生成一个口令，将用户申请和口令发送到NetKeeper后台管理平台，后台管理平台经过排队处理，用这个口令激活远程登录；远程维护过程中，用户可主动结束维护；一旦维护结束，这个口令就失去效用（4）NetKeeper定向营销平台NetKeeper定向营销的基础是User Recognition，即用户识别；Behavior Analysis

20、，即用户行为分析确定用户分类，了解用户的上网习惯和需求；Channel Recommendation（频道推荐）、Package Recommendation（套餐推荐）和Advertisement（广告）是在了解用户行为的基础上，分别向不同用户进行营销。用户识别NetKeeper定向营销平台通过宽带接入平台提供的API得到用户账号，并发送给NetKeeper后台管理平台进行存储。后台管理平台根据用户账号在客服资料管理系统中对应出用户的其它属性。（5）用户行为分析分析模型可以看成是一个5元组T,S,O,C,Q，即用户使用网络的时间（T）、访问的站点类型(S)、访问操作的分类(O)、访问的内容类

21、型（C）和该访问操作的数据流量（Q）。说明如下：用户使用网络的时间（T）：用以标识行为发生的时间，可按一定标准进行分类，诸如早、中、晚等等。访问的站点类型（S）：可划分为门户类，新闻类，教育类，娱乐类，安全类等等。访问操作的分类（O）：WWW普通浏览，搜索，下载，发表；邮件发送，接收；TELNET浏览，发表；黑客行为扫描。访问的内容类型（C）：文本，图片，动画，音视频，普通字符流。访问操作造成的数据流量（Q）：上传、下载的流量。数据处理从用户网络流量中得到源地址、源端口、目的地址、目的端口、包长、时间戳、传输层标识位等基本信息，然后通过对应用层协议进行投影，得到HTTP的URL，SMTP中的S

22、ender、Rcpt、Subject等扩展信息。部分统计学习的工作可以在预处理的同时进行。对某一指定的被监控主机，统计向外连接的目的地址、对应端口，以及各地址各端口发送的包数和包长。一方面，这些统计信息能够反映用户行为的倾向，另一方面，它们对于发现网内正在扩散的蠕虫或部分黑客行为也有一定的帮助。网络行为模式挖掘源数据采集并处理之后，按一定比例被划分两大部分：训练集与测试集。在训练时我们确定每个数据包对应的发出者，这样才能建立最初的规则和模式。而在利用测试集测试时，则将结果与实际属主进行比较，对所得模式的有效性进行评估，从而发现挖掘阶段存在的问题，利于后期的改进。用户行为分析的分类用户在网时长分

23、析；用户类型识别；（如教育、游戏、信息、娱乐等）用户网络访问流量分布分析；用户网络访问时长分布分析；典型应用流量分析网络访问流量排名网络访问时长排名各类型业务（如教育、游戏、信息、娱乐等）流量TOP10各类型业务（如教育、游戏、信息、娱乐等）时长TOP10用户行为关联性分析 （6）定向营销NetKeeper提供四种营销手段，可以在最大程度上起到推广业务的目的。（1）滚动文字广告条，位于终端软件主界面的最下方，滚动文字的内容、滚动频率、字体等属性都在NetKeeper后台管理平台配置，可以实时刷新；（2）滚动广告窗口，位于终端软件主界面的下部，在文字广告条之上，这个广告窗口的程序实体是一个浏览器形式的软件容器，支持网页、音频、FLASH、视频等多种展示方式，广告窗口的内容、滚动方式、滚动频率等都在NetKeeper后台管理平台设置，支持实时刷新（3）频道动态更新，NetKeeper的各业务频道的配置是在用户每次登录后从后台管理平台下载的，类似MSN，后台管理平台可以根据业务变化，修改业务频道的内容，新增频道或者删除频道（4）弹出式气泡，位于系统栏上方