歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

基於Linux的校園網計費系統

 1、概述    記費管理作為網絡管理的五大功能之一,它能檢測和控制網絡操作的費用、代價,記錄網絡資源的使用情況,在cernet確定了有償使用網絡資源以及分擔國際通信費用的原則後,國際通信費用由各個入網單位非但,只是的計費管理在網絡管理中顯得尤為重要。作為應縣最大的網絡管理功能、計費系統在整個網絡管理中有著相當中重要的地位。    筆者在參與校園網建設的過程中,開發了杭電校園網絡用戶管理與計費系統HNUMS(以下簡稱HNUMS),采用Linux系統,使用C語言編程,基於包過濾方式,成功的實現了基於用戶,面向各個網絡出口(Cernet,Chinanet …….)和多種計費標准的流量計費管理軟件。此計費系統具有以下特性:由用戶自由選擇網絡出口,自定義防火牆規則,可容納的客戶機數量具有可擴充性,適用於各種規模的校園網絡。    2、校園網的計費管理    校園網的計費管理本質上是以某種方式對校園網資源的使用情況加以度量,然後可預先規定的價格折算出相應的費用,度量的方法一般可基於時間或流量,我國絕大多數的校園網都采用基於流量計費的方法。    當前一種普遍流行的校園網流量計費方法是"基於IP的計費管理",在校園網中采集客戶機的IP數據流量,然後按單位價格折算出相應的費用,這種計費方法的特點是"以及為本",對用戶完全透明,數據的采集比較容易實現,但計費的對象是IP地址,容易出現盜用IP地址以逃避計費的現象,有些學校采用功能較強的交換機,將交換機的端口與IP綁定,盡管這種方法可以在一定程度上限制盜用IP(不能完全杜絕,在Linux下只需ifconfig就可達到修改MAC的目的,windows要修改注冊表中的鍵值),但相應的交換設備價格較高,而且也限制了用戶的靈活性,使得用戶只能在綁定的計算機上網,由於這種計費方式是針對網卡機費的,因而導致部分學生或職工無償使"公家"的機器上網,這些弊病無疑會給校園網的計費帶來很大的困難,是國家的或集體的利益受到損害。    另一種比較先進的校園網流量計費方法是"基於用戶的計費管理"(例如清華大學的用戶管理系統 http://usereg.tsinghua.edu.cn/),在校園網中通過用戶認證等手段采集用戶流量,這種方法的優點是"以人為本",用戶的流量與所使用的機器無關,無論是撥號上網,還是專線上網,無論是在計算中心,還是在學生寢室,計費方法都一樣,誰上網誰花錢,公平合理,這種方法通過用戶認證手段,有效地避免了IP盜用的現象,極大減輕了網絡管理的負擔,同時也有效的避免了國家利益的損失。    3、HNUMS的設計與實現    實現基於用戶的計費管理,管擠在與用戶流量信息的采集與保存,一般說來,在網絡傳輸過程的底層所采集的"數據報"只包含了IP信息,所謂的用戶名作為數據報的數據段無法分解出來,所以要取得"用戶信息",就必須在應用層采集信息,筆者研制的HNUMS就是一套將高層的用戶認證與底層的IP數據流量結合起來,具有分布式處理功能的網絡管理與計費軟件。    ①、用戶認證    HNUMS采用實時認證方式,保證用戶身份的合法性,為此設計了客戶端用戶認證程序,HNUMS服務器在用戶提交身份信息後,驗證用戶的合法性,如果用戶名密碼以及IP,MAC等信息匹配,允許用戶通過服務器,如果因為用戶名口令錯,預付款余額低於最低保證金等原因計費服務器為通過驗證,則服務器拒絕服務。  為保證系統及用戶數據的安全,客戶端認證程序用密文與服務器通訊,密匙隨機生成,所以對同一用戶的同一口令,每次加密後產生的密匙與密文截然不同,從而極大的增加了破譯難度。    ②、用戶訪問控制    為實現用戶的訪問控制,代理服務器必須在完成代理功能之前截獲用戶的數據包,然後與定義好的訪問規則比較,只允許匹配的包通過,而不必配的寶貝服務器丟掉。需要截獲的用戶信息包擴,用戶的用戶名,密碼,當時上網的IP以及用戶所要訪問網站的IP地址,一方面禁止用戶訪問一些非法網站,另一方面,要判斷用戶所要訪問的IP是否國內地址。用戶的口令與密碼可通過服務器的認證程序獲取,該程序采用C語言編程,多路服用的socket模型,監聽某一確定端口的用戶請求;用戶數據包的源IP,端口,協議,以及目標IP,端口協議,可用過Linux 2.4.x內核功能強大的Netfilter防火牆軟件,其工作原理,如下。    在PRE,FWD,POST,IN,OUT處設有五個"鉤子"函數,HNUMS工作原理就是在PRE處截獲用戶數據包,作相應的轉換,在FWD處匹配規則(每個用戶一條規則,若無匹配,則丟棄該數據包),然後在POST作網絡地址轉換(NAT)後發送出去,作NAT的目的是為了解決IP地址不夠用的問題。    4 、HNUMS的特色    ①、分布式多級轉發服務  HNUMS的一個顯著的特點是它的分布式代理轉發功能,可適應各種不同容量的網絡負載和多個網絡出口的需求。采用"集中計費、分布代"的原則,由一台專用的服務器負責用戶的認證及流量計費,其他服務器負責包轉發服務及用戶流量的采集。當一台代理服務器負載能力不足時,可采用多台代理服務器同時工作,不同的服務器對應於不同的網段,分散網絡負載。實踐證明,一台代理服務器的負載能力大約為同時在線300--500台計算機,可據此配置代理服務器的數量。由此可見、HNUMS可容納的客戶機數量具有可擴充性,這也是HNUMS與當前流行的基於代理的流量記費產品的本質區別。    ②、用戶自主定義防火牆規則    HNUMS允許用戶自動以防火牆規則,用戶可以開啟自己想要的服務,關閉不需要的服務,這樣就可以防止大部分的網絡攻擊,尤其是DOS攻擊最為有效,同時也可以避免產生不必要的國際流量,保護用戶的利益不受損失。    ③、支持網絡地址轉換功能(NAT)    隨著Internet的不斷發展與普及,IP地址的數量日顯不足,使用內部地址是一個較好的解決辦法。HNUMS采用雙穴主機模式,即可支持內部的使用:內網卡接受校園網內部IP用戶的請求,外網卡為Internet合法地址,將用戶數據包作NAT,轉換成外部地址。采用雙穴主機模式,還可以在不改變基層局域網結構及IP地址的前提下將基層的局域網與校園網有效隔離,只需將HNUMS服務器的內網卡接在局域網上、外網卡接在校園網上,同時將其內網卡作為局域網的對外網關即可。局域網用戶通過HNUMS代理服務器訪問校園網乃至Internet,同時由HNUMS計費系統基於其流量計費。    5、小結    校園網的計費管理非常重要,其合理性、可靠性及安全性是用戶非常關心的問題,校園網的計費管理不只是一個技術問題,也涉及到人員、組織、政策及經濟等各方面的問題,值得深入研究與探索,筆者研制的分布式計費代理服務器HNUMS,正處於開發調試階段 。由於篇幅所限和時間,本文略去了許多技術細節。




 



Copyright © Linux教程網 All Rights Reserved