设计、制作：谭献海 Email ： xhtan@home.swjtu 2006 年 9 月

第13章 网络计费系统设计、制作：谭献海 Email：xhtan@home.swjtu.edu.cn 2006年9月

计费依据 • 目前，校园网计费的主要依据有： • 按上网时间记费 • 按流量记费 • 按电子邮件的数量记费 • 按占用的系统资源记费（CPU时间、存储容量、IP地址数等） • 按会话数记费

常用网络计费方法分析 从目前的技术来看，校园网计费系统的主要实现方式有：（1）基于代理（PROXY）的流量记费方式基本思路：代理转发，即只有登记的用户的包才转发优点：绝对不会漏记，易于进行安全控制。缺点：影响网络的速率，当连接的用户数较多时容易形成传输瓶颈。

常用网络计费方法分析 （2）基于侦听的流量记费方式基本思路：以杂凑方式接收LAN网上的所有数据包，然后按地址、按流量进行计费。如基于snoop的流量计费：snoop是一个侦听程序，它能够侦听到网卡上的所有数据包并记录下来。优点：实现简单，不改变原系统的结构。缺点：当网上流量很大时容易漏包。

常用网络计费方法分析 （3）基于网络的出口设备和网络管理软件的记费方式目前采用的主要是基于路由器的流量计费方式。基本思路：多数路由器能够按照源IP地址和目的IP地址对来记录流量，这些记录暂时存放在路由器内存中；计费服务器使用SNMP协议命令定时从路由器获取流量记录，通过分析这些记录得到收费范围内IP的流量统计数据。优点：简单，一般路由器都能做到，不用增加过多的硬件。缺点：（1）只能对IP地址进行流量计费，不支持对用户的流量计费；不能防止IP地址盗用，虽然后来采用IP-MAC地址静态匹配技术（绑定）来防止IP地址盗用，但其防范IP地址盗用的功能十分有限；（2）在端口扫描程序出现后，由于路由器流量记录溢出，计费准确性大为降低；（3）对路由器的性能有比较大的影响，特别是在增加了防止IP地址盗用的功能后。

常用网络计费方法分析 （4）基于邮件日志的邮件计费基本思路：由于电子邮件系统是通过邮件服务器对外通信，因此前面所说的流量计费无法对邮件用户计费。现在对邮件的计费一般采用的方式是通过分析邮件系统的日志文件来实现。优点：比较简单。缺点：它是被动的，没有控制功能，并且对于大批量的用户缺乏有效的用户管理手段。

常用网络计费方法分析 （5）拨入计费：由于拨入服务IP地址是动态分配的，基于路由器的流量计费方式就难以使用了。因此，ISP一般只按连网时间收费，而对于CERNET这种不能只按时间计费的网络（因为流量费用远比时间费用高），很多高校要么采用proxy计费、要么干脆不允许出国、或者采用允许出国和不允许出国两组拨入号码的方式。很显然，这样的方式对于用户而言使用起来很不方便。

所记录的流量是如下格式的一张表：源IP地址，目的IP地址，报文数，字节数。所记录的流量是如下格式的一张表：源IP地址，目的IP地址，报文数，字节数。以下是Cisco路由器计费数据记录格式 Source Address Destination Address Packets Bytes 203.108.215.114 255.255.255.255 4 336 202.112.49.101 194.158.107.219 40 49575 194.158.107.219 202.112.49.101 39 3376 202.112.49.101 206.86.252.142 468 251958 206.86.252.142 202.112.49.101 281 14143 202.112.49.101 194.134.140.35 81 1072 194.134.140.35 202.112.49.101 73 4774 202.112.49.101 140.192.35.135 71 4967 基于路由器IP流量数据的计费方法

在网络计费中，一般使用Cisco MIB中提供的IP Checkpoint Accounting Table(1.3.6.1.9.2.4.9.1)中的表数据，利用Get和Get-Next操作向路由器发出请求，并利用Set操作清空读完数据的表，重新记录新信息基于路由器IP数据包统计的流量数据采集方法如下图所示。 (1)基于路由器IP流量数据的计费方法

主要的功能模块 • 包拦截 • 报文分析（地址、类型、端口号,是系统管理报文（不该收费,如ICMP/IGMP等）还是用户报文(收费）？） • Free IP维护 • 用户流量统计 • 费用计算 • IP地址管理，预防IP盗用(IP地址与MAC地址绑定) • 黑名单管理 • 用户信息的设置 • 费率的设置（室内、校内、国内、国外、访问的是免费站点还是非免费站点等） • 基于WEB的用户费用查询 • 报表

对于拨号上网的PPP用户，不能采用直接读取路由器中记帐数据的方法，所有PPP用户共用有限的IP地址。为管理PPP用户，必须有对PPP用户的认证机制。对于拨号上网的PPP用户，不能采用直接读取路由器中记帐数据的方法，所有PPP用户共用有限的IP地址。为管理PPP用户，必须有对PPP用户的认证机制。 LivingSton公司提出并实现了一种新的拨号服务认证和计费协议——RADIUS（remote authentication dial in user service）。RADIUS是一种基于客户/服务器方式的安全认证协议。 RADIUS的客户方（如一台拨号服务器）通过它与RADIUS的服务方进行通信，以验证用户是否有权限获得相应服务。RADIUS主要完成用户认证、授权和计费三大功能，其工作原理如下： (2)拨号服务计费方法

拨号服务示意图 调制解调器以太网用户终端电话交换网认证和计费服务器访问服务器调制解调器

接收从拨号服务器 来的RADIUS请求认证请求计费请求判断请求类型提取用户信息以及数据库中相应的信息读取有关计费参数判断用户是否合法根据错误情况返回出错信息调用计费程序修改计费数据库增加允许连接时间访问限制等参数封装返回数据包，返回请求的拨号服务器处理结果 RADIUS认证和计费流程示意图不合法合法

计费过程： 拨号访问服务器在确认用户成功登录后，向RADIUS服务器发送一个account-start包，表示用户登录成功，开始计费。在用户断开连接，或者由于其他原因导致异常终止时，拨号访问服务器将向RADIUS服务器发送一个account-stop包，表示该次用户登录session已经结束。在数据包内包含了与计费有关的多项信息。认证服务器日志文件的格式为：用户帐号、端口、服务器名、星期、月份、日、开始时间、结束时间、使用时长、使用秒数读取日志文件，即可得到拨号用户的上网时间。 (2)拨号服务计费方法

对于MS Proxy Server,日志文件的格式为： 客户端IP 、用户帐号、客户端平台、授权、日期、时间、代理类别、代理服务器、参考服务器、目标主机名、目标IP地址、端口号、处理时间、接收流量、发送流量、协议名、传输、操作、对象名、对象MINE、对象来源、返回码。采集代理服务器的流量数据，然后根据该流量数据进行记费。 (3)代理服务器用户的计费方法

基于代理的校园网计费

基于代理的校园网计费 • 使用代理服务器进行计费管理，首先要求企业内部网安装proxy服务器，然后封锁其他出口，强制用户必须通过代理访问Internet。 • 代理服务器把所有通过它的用户分成若干个组（Group），并为各组中的每个用户分配一个proxy帐号和一组密码（也可与ＩＰ对应）。 • 当用户通过代理服务器向Internet发出请求时，proxy会对发出请求用户的ＩＰ地址、proxy帐号、请求的时间和ＵＲＬ、以及信息长度等作详细的记录和分析。根据从proxy上定期获得的不同proxy帐号用户的信息流量及该用户应交纳的费用。

基于代理的校园网计费 系统组成：该系统由数据采集模块、数据处理模块和数据查询3大模块组成： 1)数据采集模块：其功能是定时从各类数据源采集计费信息，对其进行合法性和完整性检查后，写人临时数据库中。 2)数据处埋模块：负责将临时数据库中的原始数据进行计算、统计等预处理。 3)数据查询模块：作为服务器上的应用程序，将处理后的数据放到网上去，并且有良好的用户界面，使普通用户可通过浏览器查询使用情况。

通过读取Sun Solaris的邮件日志文件/var/log/syslog可得到邮件用户的流量数据, 与其它数据源不同，每收发一次邮件，至少产生两条日志记录，每条记录的格式为：记录头，流水号、邮件信息记录头信息包含：月日时主机名邮件程序及流水序号邮件信息分为两类：发送邮件的地址、IP、流量、ID及协议接收邮件的地址、延迟时间及状态 (4)电子邮件用户的计费

计费邮件服务器 • 计费邮件服务器是对传统的邮件服务器软件进行改造，加入计费模块和控制模块，使其在完成收信、发信工作的同时，还提供如下功能： • 邮件流量计费：记录用户接收的国内邮件数量、长度，国外邮件数量、长度，并按照管理员设定的费率计费。 • 邮件帐号管理：邮件帐号用户不必是UNIX用户，可以用Web或数据库客户程序方式建立用户。 • 信源黑名单：设置信源黑名单，从信源黑名单中地址发送的邮件被拒收。 • 用户黑名单：设置用户黑名单，对于黑名单上的用户（欠费或不受欢迎）拒绝其取信。

设计、制作：谭献海 Email ： xhtan@home.swjtu 2006 年 9 月