校园网计费系统部署:多区域、多角色、多策略的落地难点
校园网计费系统上线之前,大部分人关心的都是:认证能不能跑通、计费准不准确、Portal页面好不好看。这些问题当然重要,但真到了部署阶段,会发现它们只是冰山一角。沉在水下面、真正折腾人的,是"多区域、多角色、多策略"这三个问题交织在一起之后,配置工作量和管理复杂度比预想的大不少。
很多人对校园网计费系统的第一印象,是一套系统管全校。实际情况是:宿舍区、教学区、图书馆、实验楼、办公区,每个区域的网络使用特征不一样,对应要设置的计费策略、带宽策略、认证方式也不一样。把它们揉在一套默认配置里,后面运维会非常痛苦。
多区域带来的第一个部署难点:人流量和使用模式的差异
宿舍区是校园网里人流量最大、同时使用人数最高的区域。学生白天在教室、图书馆、实验室,晚上集中回宿舍,八点到十二点这四个小时,是宿舍区网络使用的高峰。这个时间段里,并发在线人数可能是白天的五到十倍。计费系统在处理高并发认证请求时,如果性能储备不够,就会出现部分学生认证超时、频繁掉线的问题。
与之对比,教学区的网络使用特征完全不同。教学区的人流量在很多的时候集中在课间休息那十来分钟,学生快速连网查资料、提交作业、访问课程系统。这种使用模式对计费系统要求的不是高并发在线,而是认证响应速度要快、认证成功之后策略下发要快,否则影响上课体验。有的学校把宿舍区和教学区配成同一套认证和计费策略,结果就是高峰期两边都不顺。
部署时比较务实的做法是:计费系统支持按区域(通常按子网或者VLAN来划分)设置不同的认证并发参数、不同的带宽策略、不同的计费套餐。这样宿舍区可以设成高并发模式、包月或者大流量套餐为主;教学区可以设成低并发但快速认证模式、小流量或者免费模式。这些配置在计费系统的后台里如果支持按区域模板化处理,部署起来会快很多。
多角色带来的第二个部署难点:同一张网里,不同身份的人要走的策略和计费规则不一样
校园网里的"角色",通常至少包括:本科生、研究生、博士生、教职员工、临时访客、合作单位人员。每个角色对网络的需求不一样,学校对他们的管理方式也不一样。
本科生通常是包月缴费模式,学校统一收网费,账号跟学号绑定,入学时批量开通,毕业时批量注销。研究生有的学校是跟本科生一样包月,有的学校是走导师经费,费用从科研经费里扣,账号管理方式不一样。教职员工通常是学校统一提供网络服务,不向学生那样单独缴费,但可能需要跟学校的统一身份认证系统对接,实现单点登录。访客是最麻烦的一类,通常要给临时上网权限,时间有限制,访问范围也有限制(比如只能访问互联网,不能访问校内资源),计费系统要能支持这种临时账号的灵活开通和过期自动注销。
部署时,计费系统需要支持按角色(通常是按账号所属的用户组或者VLAN)设置不同的认证方式、不同的计费策略、不同的访问权限。这块如果系统能力不够,后面要手动给每个特殊需求的账号做单独配置,工作量很大,而且容易出错。
多策略带来的第三个部署难点:策略组合多了之后,排查问题变得复杂
校园网计费系统的策略,常见的维度包括:时间(白天/晚上/周末/寒暑假)、区域(宿舍/教学/图书馆/实验室)、角色(本科生/研究生/教职/访客)、运营商(如果走多运营商代拨)、接入方式(有线/无线/Portal/802.1X/PPPoE)。这些维度如果可以自由组合,理论上能实现非常精细化的运营,但部署和运维的复杂度也会成倍增加。
一个典型的场景:学校针对宿舍区本科生,设置了"晚高峰(20:00-24:00)带宽限速8Mbps,其他时间段限速20Mbps"的策略;同时,针对研究生宿舍,设置了"不限速但每月流量超过300GB后降速到10Mbps"的策略;同时,针对选择了运营商A的学生和选择了运营商B的学生,代拨的出口链路不一样,对应的带宽策略也要分别配置。这些策略叠加在一起之后,某个学生投诉"网速不达标"时,排查起来要逐层检查:账号绑定的角色对不对?所属区域策略有没有生效?绑定的运营商代拨有没有问题?当前时间段匹配了哪条限速策略?
部署时比较好的做法是:策略层级要清晰,优先按区域分,再在区域内按角色分,再在角色内按时间段分。层级清晰之后,排查问题才有条理。另外,计费系统如果支持策略模拟或者策略命中日志——输入一个账号,能看到这个账号当前匹配了哪些策略、策略下发的顺序是怎样的——排查起来会快很多。
部署阶段容易被低估的一件事:跟现有网络设备的兼容性调试
校园网的现网设备,通常是分批采购、分批部署的,可能同一张网里,接入交换机有华为的、有华三的、有思科的,无线控制器也可能是多个品牌混用。计费系统要通过标准协议(通常是Radius或者Portal协议)跟这些设备对接,理论上标准是通用的,但实际对接时,不同厂商的设备对协议的理解和实现有细微差别,会导致一些奇怪的问题。
比如有的交换机在Portal认证成功之后,下发放行规则有延迟,导致学生认证成功了但还要等十几秒才能上网,学生以为认证没成功,反复重连,反而把认证系统打死。有的无线控制器在802.1X认证时,对EAP报文的重传逻辑跟标准有差异,导致部分终端认证超时。这些问题,在实验室测试环境里不一定能复现,到了现网部署阶段才会暴露。
部署阶段比较稳妥的做法是:先在现网环境里选一个小的区域(比如一栋宿舍楼或者一个教学楼)做试点,把主要的使用场景(高峰并发、不同认证方式、不同角色)都跑一遍,确认没有问题之后再全网推广。这样即使遇到问题,影响面也可控,调整起来也方便。
校园网计费系统的部署,技术只是其中一部分,更多的是把"区域、角色、策略"这三个维度想清楚、分层想清楚,然后再去配置系统。部署之前多花时间做规划,比部署之后反复调策略、反复排查问题,总体成本要低得多。
