浅析校园网综合管理的计费系统

摘要：根据本校网络的特点，系统运用分布式技术，为解决采用集中式采集出现的问题，提出把网络流量收集的工作放到下面各个采集点上、并实行集中的监管、实时进行流量控制的分布式网络流量计费方案。

关键词：计费管理 分布式网络 计费系统 流量采集 监控

中图分类号：TP393.1 文献标识码：A 文章编号：1007-9416（2013）11-0212-01

1 计费技术种类

1.1 基于路由器的流量采集

利用校园路由器的普通计费功能，统计所有进出校园网的数据量，再设计一个统计流量数据的软件从中提取、分析来实现。

1.2 基于服务器的流量采集

利用每个服务器都有日志文件，而日志文件又可以记录每个使用用户的访问历史记录，包括用户的地址IP、账号、起始时间、结束时间、访问的网址和流量多少等数据。设置校园的服务器来定期分季度提取日志文件，以此来统计每个帐户的数据流量。

1.3 基于网络监听的流量采集

配置一台监听的服务器用来监听同一个网段的客户端的数据包流量；若校园网内电脑比较多，则必须配置多台监听服务器用来监控多个网段的用户，最后进行统计汇总。

2 分布式流量采集方案设计

2.1 问题分析

流量采集方式中都具有一些共同的特点，位置都位于出口网段；方式都是集中式采集，设备都存在性能上的瓶颈。

2.2 分布式流量采集的思想

校园传统的流量采集方式在现阶段具有两大缺点：（1）设备性能与流量需要的瓶颈，即设备具有的技术和功能已经达不到用户网络流量的需求；（2）流量采集过于的集中，可能会使得庞大的网络流量的采集数据在集中传递过程中因与采集服务器的运行速度不匹配，而造成流量统计的不准确。为解决上述的缺点就必须购置新的网络设备完善其网络功能，并将其采集流量的方式进行细化，让每个节点即网段先统计再一级一级的向上汇总，这样瓶颈问题得到缓解且流入采集服务器的数据也是准确而细小的。这就是网络流量分布式采集的理念。

2.3 校园网络流量分布式采集的方案设计

为了规避传统的流量采集方式中网络流量数据对于采集服务器的性能冲击，就必须对巨大的流量采集数据进行分布式的细化，即流量采集位置的细化；由流水线式的分布式监管模式替代以往的总线型统计模式，而采集的方法和以往的没有本质的区别，所以老设备还是可以参与采集的工作，当然这就需要投入更多的资金配置更多的节点设备来分解总流量服务器的工作量。

3 校园网络流量分布式采集的现实

3.1 学校建立唯一的计算机网络管理机构

统一对校园内计算机及网络通信设置进行管理，能有效整合全校的资源，避免资源的重复建设和资源的浪费，对旧设备的统计和维护及购置新设备的统筹规划，开发或购买适合大型网络管理的分布式管理软件，不仅要拥有强大的监控及警示功能，还要针对校园网络的部署管理，在架构及安全性上，要有利于今后的维护和升级优化。

3.2 分布式流量监管架构

在校园网络管理总部建立中心端机房，建置及部署分布式中心端网管软件，作为中心端统筹管理平台。在校园其他各部门机房或办公室，建置及部署分布式节点端的网络监管软件，作为各部门的管理平台。

（1）分布式节点端向中心端推送信息：管理平台负责分布式节点端的网络及主机等被管理设备，执行设备状况的监控、异常示警及报表制作等功能，并将警示信息，藉由节点端向中心端主动建立的SSL加密通道（port 9394），主动提供状况信息，而使系统管理人员可以在中心端管理平台，得知分布式节点端（Remote Site）设备运作状况。（2）中心端向分布式节点端操作管理：中心端系统管理人员发现有设备异常状况警示后，想要进一步的了解异常状况原因并执行适当操作，可由中心端管理平台，点击浏览器，以http（port 80）或https（SSL port 443）加密协议，直接连接上分布式节点端管理平台，取得需要的设备信息。（3）集中式报表产出：中心端系统管理人员，可在中心端管理平台制作产出分布式节点端设备效能、监控状况等多种摘要报表，进行长时间的分析规划参考依据。（4）账户管理：在帐户管理的层次，流量监管模式支持帐户群组（Group）功能，系统管理人员可以自定义被管理设备及账户的关连，并进一步依据管理权限需求，设定给予不同的管理权限，此外，支持轻量级LDAP（Lightweight Directory Access Protocol）协议，藉由校园内建的LDAP服务器，达成集中式帐户管理的目标。（5）访问控制：分布式流量管理平台，支持IP网络地址的访问控制，藉由白名单（Allow List）及黑名单（Deny List）的设置，限制并控制可以存取用户端管理接口的IP地址，从而实现了安全管制。（6）仪表板控制：提供仪表板监视为系统管理人员将信息集成并显示在管控中心的中央管控营幕上，便利管理人员执行日常的监控操作。

4 结语

在流量采集设置性能和资源允许的条件下，将校园所有的网络用户利用各网段节点监控的方式进行小流量小范围的采集，之后由中心端汇总计费出各个用户的网络流量。此方法也有一定的缺点：（1）学校要进行大规模的网络设备的采购，资金需求量有可能不能一步到位，这样就必须要进行资金的前瞻性规划。（2）旧设备和新设备的兼容性问题；设备由于生产批次和生产工艺等原因，软硬件的互相兼容需要长期的磨合和比对才能有效的整合资源。（3）用户端的IP地址盗用问题，端口的扫描问题等；可采用DHCP服务器，把校园的用户终端进行自动分配IP，并通过IP与网络适配器上的MAC地址进行绑定。（4）网络安全；任何用户都可能把被病毒或木马感染的文件扩散到整个网络。而各用户端流量数据的备份困难，如果用户将数据存储在各自的系统上，而不是将他们存储在中央系统中，难于制定一项有效的备份计划。因此，仅仅依靠分布式技术来解决用户身份认证和应用终端所面临的所有流量问题是不可能的，只有多项技术和相关的管理机制有效的结合，才能构建一个真正安全可靠的网络环境。