電信運營商校園寬帶防私接技術部署策略

吳平 喬陽

【摘要】校園寬帶由于用戶群體數(shù)量大、用戶業(yè)務穩(wěn)定，一直為運營商視為重點運營區(qū)域。由于學生用戶無主要收入來源，因此一個賬號拖N個終端情況嚴重，給運營商造成比較大經(jīng)濟損失。因此本文結合校園寬帶網(wǎng)絡特點和四種防私接技術的部署影響，依據(jù)校園網(wǎng)的進線方式、寬帶技術等因素，對不同場景下的校園寬帶進行防私接控制提出不同部署策略。

【關鍵詞】校園寬帶;防私接;DPi

1.校園寬帶現(xiàn)狀

校園寬帶由于用戶群體數(shù)量大、用戶業(yè)務穩(wěn)定，一直被運營商視為重點運營區(qū)域。目前大多高校數(shù)寬帶業(yè)務都是基于包月或者按照時間計費的形式開展的，且學生用戶無主要收入來源，一個賬號拖N個終端情況嚴重，因此給電信運營商的校園寬帶業(yè)務造成了不小的沖擊，不僅給網(wǎng)絡運營帶來一定壓力，而且降低了校園寬帶業(yè)務的實際收入，造成潛在收入大量流失。目前校園寬帶采用主要私接的技術有：地址轉換技術（NAT技術），即利用地址轉換設備實現(xiàn)多個私有IP地址共用一個公網(wǎng)IP地址方式實現(xiàn)共享網(wǎng)絡訪問的目的;校園用戶常利用路由器和網(wǎng)關設備，作為NAT設備，實現(xiàn)一個賬號多個終端共享上網(wǎng)。代理軟件技術（Proxy），則是基于應用層，用戶利用特殊的代理軟件為多個終端提供共享上網(wǎng)應用。目前主要有兩種代理形式：HTTP代理和SOCKS代理。HTTP主要應用于HTTP協(xié)議，而SOCKS代理則可以支持多種協(xié)議。

2.寬帶防私接控制技術

電信運營商當前常用的防私接技術手段主要有：專用客戶端技術、DHCP+Portal認證技術、DPi監(jiān)控技術和流量計費模式，前三種為技術控制手段、流量計費則屬于業(yè)務策略控制手段。下面對著四種技術分別介紹：1）專用客戶端技術，在用戶終端上安裝專用客戶端認證撥號軟件，應用特殊寬帶認證流程，專用客戶端會實時分析出用戶賬號下的客戶端數(shù)量，發(fā)送至后端管理平臺判斷接入終端數(shù)量合法性，以實現(xiàn)防私接控制。這種技術對NAT技術和Proxy均能實現(xiàn)有效控制（如圖1所示）。2）DHCP+PORTAL認證，原理為用戶通過DHCP動態(tài)獲取IP地址之后，只能訪問PORTAL網(wǎng)站，并且必須主動地登錄PORTAL服務器通過認證后才獲得Internet的網(wǎng)絡訪問權限。這種方式可以有效防止路由器方式1拖N現(xiàn)象，但是對于代理軟件Proxy則不能阻止。3）DPI監(jiān)控技術，原理為通過在寬帶匯聚出口部署DPI監(jiān)控分析設備，通過實時抓取、分析用戶數(shù)據(jù)包相關的數(shù)據(jù)屬性等方式，檢查同一賬號下接入終端的數(shù)量，配合后端管理平臺，判斷接入終端數(shù)量合法性。這種技術對NAT技術和Proxy技術均能有效控制（如圖2所示）。4）流量計費，則是從業(yè)務模式入手，對用戶使用的寬帶業(yè)務流量進行結算計費，并不關心賬號下接入終端的數(shù)量，接入的終端數(shù)量越多，使用的流量越多，也就給運營商帶來業(yè)務收入越多，這就從源頭防止私接現(xiàn)象。

圖1

圖2

3.防私接部署比較分析

上文描述的四種放私接技術，各自有自己的技術特點和使用場景，運營商需綜合考慮私接需控制的用戶群、業(yè)務范圍、放私接效果、成本投入，以及結合市場等多方面因素綜合考慮防私接的部署策略。對于校園寬帶業(yè)務，面向的市場對象主要為學生，校園寬帶用戶群體比較大、使用業(yè)務用戶穩(wěn)定;個人沒有收入來源，寬帶資費相對較低;學生寬帶使用時間長、業(yè)務平均寬帶流量比較大。因此針對校園寬帶這些特有市場特點，防私接技術部署實施和影響主要如下：

（1）專用客戶端方式

需要引導學生用戶安裝專用客戶端，同時改造運營商認證系統(tǒng)和管理系統(tǒng)，部署方式簡單，工程易實施、防私接效果好、工程成本比較低;但是這種方式易引起用戶抵觸情緒，有客戶流失的風險，且客戶服務和維護工作量大;且對現(xiàn)網(wǎng)絡影響比較大。

（2）DHCP+Portal認證方式

需更改運營商寬帶撥號認證系統(tǒng)，工程實施簡單，工程成本最低，防私接效果較差。這種方式將帶來用戶使用習慣的改變，對Proxy私接方式不能有效阻止。

（3）DPi技術方式

在校園寬帶出口或城域網(wǎng)出口部署獨立DPI設備，實現(xiàn)分析和控制，可以采用集中控制和旁路方式，部署方式相對比較復雜，工程成本高，防私接效果好;這種方式對用戶透明，對業(yè)務影響小;易于統(tǒng)一規(guī)劃部署，對網(wǎng)絡影響小，安全性好。

（4）流量計費模式

對用戶的上網(wǎng)行為進行精細化的按流量計費，這需要對前端網(wǎng)絡設備進行流量統(tǒng)計改造、對后端系統(tǒng)的計費模型和業(yè)務模型進行市場化匹配改造，前端和后端需整體協(xié)調改造，因此整體工程實施難度比較大，工程成本最高。對于電信運營商寬帶運營現(xiàn)階段，這種模式對市場運營和網(wǎng)絡要求比較高，建議進行試點謹慎推廣。

4.校園部署策略分析

本文結合校園寬帶網(wǎng)絡特點和四種防私接技術的部署影響，依據(jù)校園網(wǎng)的進線方式、寬帶技術、工程因素等，對不同場景下的校園寬帶進行防私接控制提出如下策略，具體如下：

（1）獨家運營商獨立運營的校園寬帶

1）若考慮控制工程成本、快速部署防私接方式：對于有線寬帶接入：建議采用專用客戶端方式，這種工程部署簡單、實現(xiàn)效果好，且獨家進線模式可以有效降低用戶抵觸情緒帶來的用戶流失的風險。對于無線寬帶接入：建議采用DHCP+Portal方式，雖然防私接效果一般，但是這種工程部署方式與無線接入的認證方式相近，因此部署十分簡便，成本很低。2）若考慮控制效果最優(yōu)和風險影響最小化方式：建議采用部署DPI技術，雖然成本較高、工程實施比較復雜，但效果好影響比較透明，且Dpi部署可以為后期流量精細化運營提供基礎。

（2）多家運營商混合運營的校園寬帶

考慮到這種場景下校園寬帶競爭比較激烈，若工程成本壓力不是很大的情況下，建議采用DPI技術進行部署，同時配合接入終端數(shù)量階梯式寬帶營銷套餐的市場化引導，降低部署DPI防私接帶來的用戶流失的風險。若投資受限，且競爭壓力較大情況大，建議這種場景下，保持原有寬帶接入方式，不采用任何防私接技術，通過適當?shù)靥岣邔拵зY費或優(yōu)化寬帶速率流量控制等手段，增加此場景下的寬帶營業(yè)收入。

參考文獻

[1]楊慶.寬帶網(wǎng)絡非法接入監(jiān)控系統(tǒng)[J].經(jīng)濟視野，2013（12）.

[2]武元.如何防止接入網(wǎng)絡中的用戶私接[J].通信市場，2005（1）.

[3]張龍江.寬帶賬號定位系統(tǒng)助力濟南聯(lián)通寬帶信息化建設[J].信息技術與信息化，2011（3）.

[4]中國網(wǎng)絡通信有限公司.寬帶接入私接與包月帳號共享限制技術解決方案，2006，05.

作者簡介：吳平（1984—），男，江蘇南京人，現(xiàn)供職于江蘇省郵電規(guī)劃設計院有限責任公司，從事核心網(wǎng)專業(yè)設計和咨詢工作。