电信运营商校园宽带防私接技术部署策略【摘要】校园宽带由于用户群体数量大、用户业务稳定,一直为运营商视为重点运营区域。由于学生用户无主要收入来源,因此一个账号拖N个终端情况严重,给运营商造成比较大经济损失。因此本文结合校园宽带网络特点和四种防私接技术的部署影响,依据校园网的进线方式、宽带技术等因素,对不同场景下的校园宽带进行防私接控制提出不同部署策略。【关键词】校园宽带;防私接;DPi1.校园宽带现状校园宽带由于用户群体数量大、用户业务稳定,一直被运营商视为重点运营区域。目前大多高校数宽带业务都是基于包月或者按照时间计费的形式开展的,且学生用户无主要收入来源,一个账号拖N个终端情况严重,因此给电信运营商的校园宽带业务造成了不小的冲击,不仅给网络运营带来一定压力,而且降低了校园宽带业务的实际收入,造成潜在收入大量流失。目前校园宽带采用主要私接的技术有:地址转换技术(NAT技术),即利用地址转换设备实现多个私有IP地址共用一个公网IP地址方式实现共享网络访问的目的;校园用户常利用路由器和网关设备,作为NAT设备,实现一个账号多个终端共享上网。代理软件技术(Proxy),则是基于应用层,用户利用特殊的代理软件为多个终端提供共享上网应用。目前主要有两种代理形式:HTTP代理和SOCKS代理。HTTP主要应用于HTTP协议,而SOCKS代理则可以支持多种协议。2.宽带防私接控制技术电信运营商当前常用的防私接技术手段主要有:专用客户端技术、DHCP+Portal认证技术、DPi监控技术和流量计费模式,前三种为技术控制手段、流量计费则属于业务策略控制手段。下面对着四种技术分别介绍:1)专用客户端技术,在用户终端上安装专用客户端认证拨号软件,应用特殊宽带认证流程,专用客户端会实时分析出用户账号下的客户端数量,发送至后端管理平台判断接入终端数量合法性,以实现防私接控制。这种技术对NAT技术和Proxy均能实现有效控制(如图1所示)。2)DHCP+PORTAL认证,原理为用户通过DHCP动态获取IP地址之后,只能访问PORTAL网站,并且必须主动地登录PORTAL服务器通过认证后才获得Internet的网络访问权限。这种方式可以有效防止路由器方式1拖N现象,但是对于代理软件Proxy则不能阻止。3)DPI监控技术,原理为通过在宽带汇聚出口部署DPI监控分析设备,通过实时抓取、分析用户数据包相关的数据属性等方式,检查同一账号下接入终端的数量,配合后端管理平台,判断接入终端数量合法性。这种技术对NAT技术和Proxy技术均能有效控制(如图2所示)。4)流量计费,则是从业务模式入手,对用户使用的宽带业务流量进行结算计费,并不关心账号下接入终端的数量,接入的终端数量越多,使用的流量越多,也就给运营商带来业务收入越多,这就从源头防止私接现象。图1图23.防私接部署比较分析上文描述的四种放私接技术,各自有自己的技术特点和使用场景,运营商需综合考虑私接需控制的用户群、业务范围、放私接效果、成本投入,以及结合市场等多方面因素综合考虑防私接的部署策略。对于校园宽带业务,面向的市场对象主要为学生,校园宽带用户群体比较大、使用业务用户稳定;个人没有收入来源,宽带资费相对较低;学生宽带使用时间长、业务平均宽带流量比较大。因此针对校园宽带这些特有市场特点,防私接技术部署实施和影响主要如下:(1)专用客户端方式需要引导学生用户安装专用客户端,同时改造运营商认证系统和管理系统,部署方式简单,工程易实施、防私接效果好、工程成本比较低;但是这种方式易引起用户抵触情绪,有客户流失的风险,且客户服务和维护工作量大;且对现网络影响比较大。(2)DHCP+Portal认证方式需更改运营商宽带拨号认证系统,工程实施简单,工程成本最低,防私接效果较差。这种方式将带来用户使用习惯的改变,对Proxy私接方式不能有效阻止。(3)DPi技术方式在校园宽带出口或城域网出口部署独立DPI设备,实现分析和控制,可以采用集中控制和旁路方式,部署方式相对比较复杂,工程成本高,防私接效果好;这种方式对用户透明,对业务影响小;易于统一规划部署,对网络影响小,安全性好。(4)流量计费模式对用户的上网行为进行精细化的按流量计费,这需要对前端网络设备进行流量统计改造、对后端系统的计费模型和业务模型进行市场化匹配改造,前端和后端需整体协调改造,因此整体工程实施难度比较大,工程成本最高。对于电信运营商宽带运营现阶段,这种模式对市场运营和网络要求比较高,建议进行试点谨慎推广。4.校园部署策略分析本文结合校园宽带网络特点和四种防私接技术的部署影响,依据校园网的进线方式、宽带技术、工程因素等,对不同场景下的校园宽带进行防私接控制提出如下策略,具体如下:(1)独家运营商独立运营的校园宽带1)若考虑控制工程成本、快速部署防私接方式:对于有线宽带接入:建议采用专用客户端方式,这种工程部署简单、实现效果好,且独家进线模式可以有效降低用户抵触情绪带来的用户流失的风险。对于无线宽带接入:建议采用DHCP+Portal方式,虽然防私接效果一般,但是这种工程部署方式与无线接入的认证方式相近,因此部署十分简便,成本很低。2)若考虑控制效果最优和风险影响最小化方式:建议采用部署DPI技术,虽然成本较高、工程实施比较复杂,但效果好影响比较透明,且Dpi部署可以为后期流量精细化运营提供基础。(2)多家运营商混合运营的校园宽带考虑到这种场景下校园宽带竞争比较激烈,若工程成本压力不是很大的情况下,建议采用DPI技术进行部署,同时配合接入终端数量阶梯式宽带营销套餐的市场化引导,降低部署DPI防私接带来的用户流失的风险。若投资受限,且竞争压力较大情况大,建议这种场景下,保持原有宽带接入方式,不采用任何防私接技术,通过适当地提高宽带资费或优化宽带速率流量控制等手段,增加此场景下的宽带营业收入。参考文献[1]杨庆.宽带网络非法接入监控系统[J].经济视野,2013(12).[2]武元.如何防止接入网络中的用户私接[J].通信市场,2005(1).[3]张龙江.宽带账号定位系统助力济南联通宽带信息化建设[J].信息技术与信息化,2011(3).[4]中国网络通信有限公司.宽带接入私接与包月帐号共享限制技术解决方案,2006,05.