校园网络计费系统研究与实现

1、校园网络计费系统研究与实现蒋东兴，刘启新，白冰，戚丽(清华人学计算机与信息管理中心，北京，100084)摘要：网络计费是网络管理的雨要组成部分，特别是对于象cernet这样的根据流最收费的网络來说， 计费系统是校园网络正常运行的保证。木文在分析校园网计费需求、常用网络计费方式的基础上，提出了 一种通用的校园网计费系统解决方案，并且较为详细地描述了实现该系统的主要技术。关键词：网络汁费；透明网关；radius 中图分类号：tp393.1the research and design of campus network accountingsystemjiang dongxing, liu qix

2、in, bai bing, qi li(tsinghua univ. computer and information management center, beijing, 100084)【abstract network accounting is an important part of network management. especially in cernet that accounts with ip traffic, network accounting is the guarantee of campus network running this paper first a

3、nalyzes the requirement and general way of campus network accounting, then provides a universal resolution of campus network accounting system, and describes the technology of the system in detail.key words network accounting; transparent gateway; radius1前言近年来，以internet为代表的信息新技术迅速席卷全球，在计算、通讯、商务等领 域都

4、引发了引人注冃的变革。特别是授近，中国教育科研网(cernet)的建设力度明显加 大，各高校和中学都将陆续通过cernet接入interneto山于众所周知的原因，网络的使用不能是免费的，服务捉供者总是要采取相应的手段收 取费用。如cernet的现行收费政策是按流量计费，即按用户实际传输的数据流虽进行计 费。同时，为了鼓励国内交流和用户输出信息，只对国际进入流最计费。另外，对于绝人多 数学校來说，除了 cernet分摊的流量费用之外，还需要支付ddn专线费用、网络系统 运行维护费丿ij等。因此，采用合理的计费系统是校园网络正常运行的保证。根据提供的服务不同，校园网屮有不同的计费策略，一般来说主

5、要有对用户和ip的流 虽计费、对邮件帐号的计费和对拨号用户的计费，慕于这种计费政策，校园网计费系统需要 实现如下功能：> > 实现对校园网按1p地址和按用户的流量计费：対于服务器等主机按1p地址对网 络流量计费，对于pc等多用户使用的机器按用户对网络流量计费，并能防止ip地址 盗用，保证计费的准确性。> >实现对拨入用户的时间计费与流量计费：拨号用户除能够按拨入时间计费外，还能够按照用户造成的网络流最计费。> >实现対电子邮件按接收邮件数量与长度计费：对于电子邮件用八，按用户接收的邮件的数量与长度计费，另外，述对以按用户的邮件占用硬盘空间的数量与时间计费。&

6、gt; > 实现某种程度上的竹理控制功能：能够禁止某些地址的访问或者对某些地址的访 问，能够根据用户的缴费情况控制其使用。> > 保证系统的完整性和安全性：能够在一定程度上防止用八伪造或盗用他人的帐号 和流量，伪造篡改费用数据等。2常用网络计费方法分析cernet从开始建设到现在已经冇5年多时间，这期间各高校根据自己的实际情况开发 了不同的计费系统，主要概括起来有如下几种：1) 1) 基于路由器的流量计费方式：这是-种曾经广为使用的计费方式，它在早期的计 费系统中占统治地位。这种计费方式使用了多数路由器能够按照源ip地址和冃的ip地 址对来记录流量的特性，这些记录暂时存放在路

7、由器内存屮；计费服务器使用snmp 协议命令定时从路由器获取流量记录，通过分析这些记录得到收费范围内ip的流量统 计数据叫 这种方式实现的计费系统其特点是实现简单，-般的路由器都町以做到，并 只不用增加过多的锁件。但是，它也冇很明显的缺陷：只能对ip地址进行流量计费， 不支持对川户的流量计费；不能防止ip地址盗用，虽然后来采用ip-mac地址静态匹 配技术來防止ip地址盗用，但其防范ip地址盗用的功能i分有限；在端口扫描程序出 现后，由于路由器流虽记录溢出，计费准确性人为降低；对路由器的性能冇比较大的影 响，特别是在增加了防止ip地址盗用的功能后。2) 2) 基于snoop的流量计费：snoo

8、p是一个侦听程序，它能够侦听到网卡上的所有数据 包并记录下来。这样的网络计费方式有很多变种，如清华大学计算中心开发的开放实验 室网络计费系统叫它解决了路由器计费对路由器性能影响和计费不准确的问题，但是 其它问题仍然存在。3) 3) 基于proxy的流量计费：在高校中网络用户有一个很大的特点，就是一台机器可 能被不同的用户使用，因此，只对ip地址进行计费还不能解决问题。基于proxy的流 量计费正好解决了对用户计费的问题：川户只有通过授权认证后才能使丿ij代理，代理记 录下用八访问的每一个地方，然后根据记录的日志计费。这种方式计费儿乎解决了路山 器计费的所冇问题,但是它同时乂带来了一些新的严重问

9、题:代理方式对于用户不透明, 用户需要配置h己的客户端软件，弋理不能支持所有的应用,特别是一些新开发的应用; 対于大型网络來说，用户访问网络时在代理服务器上出现瓶颈。4) 4) 基于邮件h志的邮件计费：由于电子邮件系统是通过邮件服务器对外通信，因此 前而所说的流量计费无法对邮件用户计费。现在对邮件的计费一般采用的方式是通过分 析邮件系统的li志文件来实现，这样的计费方式比较简单，但它是被动的，没冇控制功 能，并且对于人批最的用户缺乏有效的用户管理手段铁5) 5) 拨入计费：山于拨入服务ip地址是动态分配的，基于路由器的流量计费方式就难 以使用了。因此，isp 般只按连网时间收费，而对于cern

10、et这种不能只按时间计 费的网络(因为流量费用远比时间费用高)，很多高校要么采用proxy计费、要么干脆 不允许出国、或者采用允许出国和不允许出国两组拨入号码的方式。很显然，这样的方 式对于用户而言使用起来很不方便。上面的计费方式及相关的计费系统在很长一段时间在各高校起了很好的作用，为 cernet的发展作了重要的贡献。但是，不可否认，这些计费方式都存在着这样那样的问 题，在进一步提高网络服务质量的今天，不完善的网络计费系统开始阻碍网络的发展。3校园网通用计费系统设计针对校园网计费的需求和当前网络计费的实际情况，清华大学计算机与信息管理中心开 发了一套校园网通川计费系统，该系统可以实现当前校园

11、网计费所需的全部功能，并r采川 统一的身份认证策略，用户使用起來非常'方便°校园网通用计费系统主要由流量计费服务器、 计费邮件服务器、拨号计费服务器和数据库服务器四部分组成，其网络结构如图1所示。图1校园网通用计费系统拓扑结构图3.1网络计费服务器实现校园网计费的关键在于流量计费服务器，该服务器串接在内部了网和外部网络z 间，是一个连接内部网络和外部网络的透明网关。它主要实现如下功能：> > arp转发：完成了网内arp数据包的双向转发，同时检杏ip-mac地址的匹配 情况，只有ip-mac地址对合法注册的arp包才能通过。> >ip包转发：完成ip包

12、的双向转发，并对非法访问的ip包进行过滤。只有经过授权的用户的ip包才能通过，并记录该用户的网络流量。> >用户注册：提供川户注册服务接口，为ip包转发捉供过滤依据。只有授权川户才能注册成功，并通过流量计费服务器和外部网络通信。> >流虽计费：对注册用户的ip地址进行流虽统计，在用户注销时将流量费用记录到用户帐号上。3.2计费邮件服务器计费邮件服务器是对传统的邮件服务器软件进行改造，加入计费模块和控制模块，使其 在完成收信、发信工作的同时，述提供如下功能：> >邮件流量计费：记录用户接收的国内邮件数量、t度，国外邮件数量、长度，并按照管理员设定的费率计费。&

13、gt; >邮件帐号管理：邮件帐号用户不必是unix用户，可以用web或数据库客户程序方式建立用户。> >信源黑名单：可以设置信源黑名单，从信源黑名单中地址发送的邮件被拒收。> >用户黑名单：可以设置用户黑名单，对于黑名单上的用户（欠费或不受欢迎）拒绝其取信。3.3拨入计费服务器拨入计费服务器采用工业标准wdius服务器软件，并对其进行改造，使其能够完成如下 功能：> >提供radius授权验证：使用radius服务器来实现对拨入用户的授权验证，只冇通过授权验证的用户才能使用拨入服务。> >提供用八使用的时间记录：用户拨入时记录其拨入时间，用

14、户断开时，记录其断开时间，并计算用户总占用线路的时间。> > 给流量计费服务器发送用户拨入/断开通知：在用户拨入时通知流量计费服务器 该ip已被拨入用户使用，流量计费服务器允许该ip上信息出入，并记录该ip上的流 量；在用户断开时通知流量计费服务器用户已释放该ip,流量计费服务器将该ip上的 流量记录到相应用户帐上。3.4数据库服务器通过数据库服务器实现对用户和主机信息进行统一的、安全可靠的管理。> > 用户管理：整个系统采用统一的用户管理，即各子系统中用户可以使用统一的用 户名及密码。> > 主机管理：可以设定子网内主机的类型，对不同的主机施加不同的管理。

15、4关键技术在校园网通用计费系统的实现中，主要采用了透明网关技术用来控制内部网络用户对于 外部网络的访问、采用邮件管理与控制技术来实现对用户获取邮件的控制与计费、采用 radius服务器功能扩充技术來实现对于拨入用户的时间与流量计费。4.1透明网关技术流量计费服务器在实现上设计成一个透明网关，它连接内部网络和外部网络，但是在 1p层以上它对于用户和网络设备都是透明的，其系统逻辑功能可以采用图2來示意。图2流量计费服务器系统逻辑功能示意图内部主机发往外部网络的数据包将由nico接收，而外部网络发往内部主机的数据包将 由nic1接收，但nico和nic 1并非真正的传输1=1标，因此必须对接收到的数

16、据包进行进 一步的转发才能维持正常的通讯。该功能分别山绑定在n1co和n1c1上的两个 ip_forward线程完成。两个线程首先从口己绑定的网卡上获取数据包，然后将通过规则 检杳的数据包从另一个网卡向真正的目标主机转发。具体的规则包括计费和安全两部分内 容。转发时检杳ip包头信息小的ip-mac地址对与预先设置的ip-mac对是否匹配，因而 可以阻断ip-mac不匹配的主机与外界的通讯。在此基础上，ip地址还与用户关联。用户 通过身份认证后才能使用需要缴费的服务。这种实现方法可以很好地防止ip地址盗用，并 将用户使用的流量信息准确地记录到用户帐户上。4.2邮件管理与控制计费邮件服务器是对通用

17、邮件服务器的修改和扩充，它使用邮件服务器程序scndmail 和邮局程序popper,但使用新的用户管理模块管理用户、使用新的邮箱结构以改进系统性能、 并增加了计费模块实现対于邮件的计费。计费邮件服务器的实现模型如图3所示。计费邮件系统主要包括两个模块，邮件处理模块和数据库计费模块。邮件处理模块按照 新的用户表进行常规的邮件收发和计费口志记录，但邮件的存放采用了层次结构；数据库计 费模块读计费口志、处理帐目、并更新用八表。两个模块通过共享用八表mail_usr_tab.邮 件信息表mailmsgtab和计费日志实现相互通信。在实现上，主要修改mail.local,插入计费模块，以获取来信的源地

18、址，识别邮件的长 度及是否国外邮件，并将这些信息写到一个屮间表mailmsgtab里；修改popper,插入计费 模块，在用户使用popper 4z邮件时，将该邮件的信息从中间表mailmsgtab 取出来，连同 用八的1p及取信时间一同写入h志文件，并将mailmsgtab中相应条目清空，以避免对同一 封邮件的重复计费。这样，既获得了邮件的源地址，乂获得了川户的本地ipo对于不受欢 迎站点的来信，可以在mail.local中将其源地址识别出来之示，退冋发送者或者丢弃。对于 欠费用户或不受欢迎的用户，可以在用户通过popper获取邮件时拒绝用户的请求。通过对 sendmail和popper的修

19、改和综合处理，实现了对于用户访问邮件的计费、管理和控制。4.3 radius功能扩充拨入计费服务器采用的是最常用的radius服务器，并对标准的radius服务器作了 相应的扩充和修改，增加了新的用八授权和认证模块，并增加了新的计费模块，在用户拨入 和断开时记录当前时间并与流虽计费服务器进行通讯，同步记录该用户造成的流量。radius 服务器包括认证(authenticate)> 授权(authorize)和计费(accounting)三 部分。扩充后的radius服务器如图4所示。 倂闵眼务箫mradpw渤数孫庠兌曜損块銀s底用户姦 lial tit用尸认遥 用尸授枚图4 radius服务器实现模型用户的认证和授权，就是根据用户提供的用户名和口令，确认用户的身份是否合法，以 及确认该用户是否有访问本拨号系统的权限。新的用户认证和授权模块利用原有的radius 用户认证和授权接口，获取用户提供的用户名和口令，根据数据库处理模块生成的用户表 dial_user_tab,先比较用户名和密码，确认用户的身份是否合法，再判断用户是否冇拨号的 权限，若是则返回成功，否则返回失败。这样就可以实现对拨号用户的管理和控制。新的用八计费模块是对原有的radius服务器的扩充。当用八通过了认证和授权后， 访问服务器(nas)就接受了用户的接入，同时给radius服务器发送