局域网的计费系统研究与实现毕业论文.doc

局域网的计费系统研究与实现摘 要：网络计费是网络管理的重要组成部分，特别是对于象CERNET这样的根据流量收费的网络来说，计费系统是校园网络正常运行的保证。本文在分析校园网计费需求、常用网络计费方式的基础上，提出了一种通用的校园网计费系统解决方案，并且较为详细地描述了实现该系统的主要技术。关键词：网络计费；网关；RADIUSThe Research and Design of Campus Network Accounting System【Abstract】Network accounting is an important part of network management. Especially in CERNET that accounts with IP traffic, network accounting is the guarantee of campus network running. This paper first analyzes the requirement and general way of campus network accounting, then provides a universal resolution of campus network accounting system, and describes the technology of the system in detail.【Key words】Network accounting; t gateway; RADIUS1 前言近年来，以Internet为代表的信息新技术迅速席卷全球，在计算、通讯、商务等领域都引发了引人注目的变革。特别是最近，中国教育科研网（CERNET）的建设力度明显加大，各高校和中学都将陆续通过CERNET接入Internet。由于众所周知的原因，网络的使用不能是免费的，服务提供者总是要采取相应的手段收取费用。如CERNET的现行收费政策是按流量计费，即按用户实际传输的数据流量进行计费。同时，为了鼓励国内交流和用户输出信息，只对国际进入流量计费。另外，对于绝大多数学校来说，除了CERNET分摊的流量费用之外，还需要支付DDN专线费用、网络系统运行维护费用等。因此，采用合理的计费系统是校园网络正常运行的保证。根据提供的服务不同，校园网中有不同的计费策略，一般来说主要有对用户和IP的流量计费、对邮件帐号的计费和对拨号用户的计费，基于这种计费政策，校园网计费系统需要实现如下功能： 实现对校园网按IP地址和按用户的流量计费：对于服务器等主机按IP地址对网络流量计费，对于PC等多用户使用的机器按用户对网络流量计费，并能防止IP地址盗用，保证计费的准确性。 实现对拨入用户的时间计费与流量计费：拨号用户除能够按拨入时间计费外，还能够按照用户造成的网络流量计费。 实现对电子邮件按接收邮件数量与长度计费：对于电子邮件用户，按用户接收的邮件的数量与长度计费，另外，还可以按用户的邮件占用硬盘空间的数量与时间计费。 实现某种程度上的管理控制功能：能够禁止某些地址的访问或者对某些地址的访问，能够根据用户的缴费情况控制其使用。 保证系统的完整性和安全性：能够在一定程度上防止用户伪造或盗用他人的帐号和流量，伪造篡改费用数据等。2 常用网络计费方法分析CERNET从开始建设到现在已经有5年多时间，这期间各高校根据自己的实际情况开发了不同的计费系统，主要概括起来有如下几种：1) 1) 基于路由器的流量计费方式：这是一种曾经广为使用的计费方式，它在早期的计费系统中占统治地位。这种计费方式使用了多数路由器能够按照源IP地址和目的IP地址对来记录流量的特性，这些记录暂时存放在路由器内存中；计费服务器使用SNMP协议命令定时从路由器获取流量记录，通过分析这些记录得到收费范围内IP的流量统计数据2。这种方式实现的计费系统其特点是实现简单，一般的路由器都可以做到，并且不用增加过多的硬件。但是，它也有很明显的缺陷：只能对IP地址进行流量计费，不支持对用户的流量计费；不能防止IP地址盗用，虽然后来采用IP-MAC地址静态匹配技术来防止IP地址盗用，但其防范IP地址盗用的功能十分有限；在端口扫描程序出现后，由于路由器流量记录溢出，计费准确性大为降低；对路由器的性能有比较大的影响，特别是在增加了防止IP地址盗用的功能后。2) 2) 基于snoop的流量计费：snoop是一个侦听程序，它能够侦听到网卡上的所有数据包并记录下来。这样的网络计费方式有很多变种，如清华大学计算中心开发的开放实验室网络计费系统3，它解决了路由器计费对路由器性能影响和计费不准确的问题，但是其它问题仍然存在。3) 3) 基于proxy的流量计费：在高校中网络用户有一个很大的特点，就是一台机器可能被不同的用户使用，因此，只对IP地址进行计费还不能解决问题。基于proxy的流量计费正好解决了对用户计费的问题：用户只有通过授权认证后才能使用代理，代理记录下用户访问的每一个地方，然后根据记录的日志计费。这种方式计费几乎解决了路由器计费的所有问题，但是它同时又带来了一些新的严重问题：代理方式对于用户不透明，用户需要配置自己的客户端软件；代理不能支持所有的应用，特别是一些新开发的应用；对于大型网络来说，用户访问网络时在代理服务器上出现瓶颈。4) 4) 基于邮件日志的邮件计费：由于电子邮件系统是通过邮件服务器对外通信，因此前面所说的流量计费无法对邮件用户计费。现在对邮件的计费一般采用的方式是通过分析邮件系统的日志文件来实现，这样的计费方式比较简单，但它是被动的，没有控制功能，并且对于大批量的用户缺乏有效的用户管理手段4。5) 5) 拨入计费：由于拨入服务IP地址是动态分配的，基于路由器的流量计费方式就难以使用了。因此，ISP一般只按连网时间收费，而对于CERNET这种不能只按时间计费的网络（因为流量费用远比时间费用高），很多高校要么采用proxy计费、要么干脆不允许出国、或者采用允许出国和不允许出国两组拨入号码的方式。很显然，这样的方式对于用户而言使用起来很不方便。上面的计费方式及相关的计费系统在很长一段时间在各高校起了很好的作用，为CERNET的发展作了重要的贡献。但是，不可否认，这些计费方式都存在着这样那样的问题，在进一步提高网络服务质量的今天，不完善的网络计费系统开始阻碍网络的发展。3 校园网通用计费系统设计针对校园网计费的需求和当前网络计费的实际情况，清华大学计算机与信息管理中心开发了一套校园网通用计费系统，该系统可以实现当前校园网计费所需的全部功能，并且采用统一的身份认证策略，用户使用起来非常方便。校园网通用计费系统主要由流量计费服务器、计费邮件服务器、拨号计费服务器和数据库服务器四部分组成，其网络结构如图1所示。3.1 网络计费服务器实现校园网计费的关键在于流量计费服务器，该服务器串接在内部子网和外部网络之间，是一个连接内部网络和外部网络的透明网关。它主要实现如下功能： ARP转发：完成子网内ARP数据包的双向转发，同时检查IP-MAC地址的匹配情况，只有IP-MAC地址对合法注册的ARP包才能通过。 IP包转发：完成IP包的双向转发，并对非法访问的IP包进行过滤。只有经过授权的用户的IP包才能通过，并记录该用户的网络流量。 用户注册：提供用户注册服务接口，为IP包转发提供过滤依据。只有授权用户才能注册成功，并通过流量计费服务器和外部网络通信。 流量计费：对注册用户的IP地址进行流量统计，在用户注销时将流量费用记录到用户帐号上。3.2 计费邮件服务器计费邮件服务器是对传统的邮件服务器软件进行改造，加入计费模块和控制模块，使其在完成收信、发信工作的同时，还提供如下功能： 邮件流量计费：记录用户接收的国内邮件数量、长度，国外邮件数量、长度，并按照管理员设定的费率计费。 邮件帐号管理：邮件帐号用户不必是UNIX用户，可以用Web或数据库客户程序方式建立用户。 信源黑名单：可以设置信源黑名单，从信源黑名单中地址发送的邮件被拒收。 用户黑名单：可以设置用户黑名单，对于黑名单上的用户（欠费或不受欢迎）拒绝其取信。3.3 拨入计费服务器拨入计费服务器采用工业标准radius服务器软件，并对其进行改造，使其能够完成如下功能： 提供radius授权验证：使用radius服务器来实现对拨入用户的授权验证，只有通过授权验证的用户才能使用拨入服务。 提供用户使用的时间记录：用户拨入时记录其拨入时间，用户断开时，记录其断开时间，并计算用户总占用线路的时间。 给流量计费服务器发送用户拨入断开通知：在用户拨入时通知流量计费服务器该IP已被拨入用户使用，流量计费服务器允许该IP上信息出入，并记录该IP上的流量；在用户断开时通知流量计费服务器用户已释放该IP，流量计费服务器将该IP上的流量记录到相应用户帐上。3.4 数据库服务器通过数据库服务器实现对用户和主机信息进行统一的、安全可靠的管理。 用户管理：整个系统采用统一的用户管理，即各子系统中用户可以使用统一的用户名及密码。 主机管理：可以设定子网内主机的类型，对不同的主机施加不同的管理。4 关键技术在校园网通用计费系统的实现中，主要采用了透明网关技术用来控制内部网络用户对于外部网络的访问、采用邮件管理与控制技术来实现对用户获取邮件的控制与计费、采用Radius服务器功能扩充技术来实现对于拨入用户的时间与流量计费。4.1 透明网关技术流量计费服务器在实现上设计成一个透明网关，它连接内部网络和外部网络，但是在IP层以上它对于用户和网络设备都是透明的，其系统逻辑功能可以采用图2来示意。图2 流量计费服务器系统逻辑功能示意图内部主机发往外部网络的数据包将由NIC0接收，而外部网络发往内部主机的数据包将由NIC1接收，但NIC0和NIC1并非真正的传输目标，因此必须对接收到的数据包进行进一步的转发才能维持正常的通讯。该功能分别由绑定在NIC0和NIC1上的两个IP_FORWARD线程完成。两个线程首先从自己绑定的网卡上获取数据包，然后将通过规则检查的数据包从另一个网卡向真正的目标主机转发。具体的规则包括计费和安全两部分内容。转发时检查IP包头信息中的IP-MAC地址对与预先设置的IP-MAC对是否匹配，因而可以阻断IP-MAC不匹配的主机与外界的通讯。在此基础上，IP地址还与用户关联。用户通过身份认证后才能使用需要缴费的服务。这种实现方法可以很好地防止IP地址盗用，并将用户使用的流量信息准确地记录到用户帐户上。5 4.2 邮件管理与控制计费邮件服务器是对通用邮件服务器的修改和扩充，它使用邮件服务器程序Sendmail和邮局程序popper，但使用新的用户管理模块管理用户、使用新的邮箱结构以改进系统性能、并增加了计费模块实现对于邮件的计费。计费邮件服务器的实现模型如图3所示。图3 计费邮件服务器实现模型计费邮件系统主要包括两个模块，邮件处理模块和数据库计费模块。邮件处理模块按照新的用户表进行常规的邮件收发和计费日志记录，但邮件的存放采用了层次结构；数据库计费模块读计费日志、处理帐目、并更新用户表。两个模块通过共享用户表mail_usr_tab、邮件信息表mailmsgtab和计费日志实现相互通信。在实现上，主要修改mail.local，插入计费模块，以获取来信的源地址，识别邮件的长度及是否国外邮件，并将这些信息写到一个中间表mailmsgtab里；修改popper，插入计费模块，在用户使用popper取邮件时，将该邮件的信息从中间表mailmsgtab中取出来，连同用户的IP及取信时间一同写入日志文件，并将mailmsgtab中相应条目清空，以避免对同一封邮件的重复计费。这样，既获得了邮件的源地址，又获得了用户的本地IP。对于不受欢迎站点的来信，可以在mail.local中将其源地址识别出来之后，退回发送者或者丢弃。对于欠费用户或不受欢迎的用户，可以在用户通过popper获取邮件时拒绝用户的请求。通过对Sendmail和Popper的修改和综合处理，实现了对于用户访问邮件的计费、管理和控制。4.3 RADIUS功能扩充拨入计费服务器采用的是最常用的RADIUS服务器，并对标准的RADIUS服务器作了相应的扩充和修改，增加了新的用户授权和认证模块，并增加了新的计费模块，在用户拨入和断开时记录当前时间并与流量计费服务器进行通讯，同步记录该用户造成的流量。RADIUS服务器包括认证（Authenticate）、授权（Authorize）和计费（Accounting）三部分。扩充后的RADIUS服务器如图4所示。图4 RADIUS服务器实现模型用户的认证和授权，就是根据用户提供的用户名和口令，确认用户的身份是否合法，以及确认该用户是否有访问本拨号系统的权限。新的用户认证和授权模块利用原有的RADIUS用户认证和授权接口，获取用户提供的用户名和口令，根据数据库处理模块生成的用户表dial_user_tab，先比较用户名和密码，确认用户的身份是否合法，再判断用户是否有拨号的权限，若是则返回成功，否则返回失败。这样就