锐捷针对高校宿舍区代理逃费问题推出了一套全新防代理方案，采用ASME+SAM联合，采用旁路部署方式，只需要将核心交换机上联口TX方向的流量镜像到ASME即可进行代理检测

 

1、SAM&ASME工作流程：

1）、SAM将用户信息同步给ASME，包括用户上下线信息以及批量同步用户信息。ASME根据用户信息，建立用户名与IP的对应关系；

2）、ASME对出口镜像流量做嗅探分析，基于源IP进行检测，锁定存在共享上网行为的用户；

3）、ASME将共享上网用户信息同步给SAM；

4）、SAM根据配置的防代理策略，对ASME通告的违例用户进行管理，管理手段包括告警、强制用户下线、或者将用户加入黑名单等行为禁止用户继续使用网络资源

 

2、SAM&ASMM&ASME工作流程：

1）、SAM将用户信息同步给ASMM，包括用户上下线信息以及批量同步用户信息；

2）、ASMM将绑定有防代理策略的在线用户同步至ASME；

3）、ASME对出口镜像流量做嗅探分析，基于源IP进行检测，锁定存在共享上网行为的用户；

4）、ASME将共享上网用户信息同步给ASMM；

5）、ASMM调用SAM的第三方接口，对ASME通告的违例用户进行管理，管理手段包括告警、强制用户下线、或者将用户加入黑名单等行为禁止用户继续使用网络资源

 

2、ASME特点：

1）、旁路部署，不存在单点故障，对网络无影响

2）、支持有线/无线接入方式下的802.1x/web/PPPOE等多种认证方式

3）、破解难度大，误判率低<0.1%

 

注意事项：

ASME对用户流量进行解析，只支持IPV4协议。对于有其他协议封装，例如PPPOE或各种VPN，需要在流量脱去封装后再引入ASME进行解析。所以如果在PPPOE场景下，需要在报文脱去PPPOE封装的位置进行检测，如镜像BRAS设备的上行端口流量至ASME设备。

 

3、ASME检测机制：

ASME的违例用户定义，主要是基于用户接入的终端数量。终端类型细分为个人电脑（PC，包括台式机和笔记本）和移动终端（包括智能手机、pad）。

ASME检测接入共享行为，是通过将用户流量匹配特征库来识别接入共享行为。每匹配一个特征，都会增加对应的权值，称为可疑度。可疑度越高，表明匹配到的特征越多，检测结果越可靠。通过调整可疑度阈值，可以调整检测的准确性：一般来说，提高可疑度阈值配置，会降低误检率，同时提高漏检率；降低可疑度阈值则相反。

对于有线接入的场景，用户在不进行共享时只能用PC上网，检出移动终端就表明用户进行了接入共享；而对于无线接入的场景，用户可以使用PC或移动终端上网，不能限制用户的终端类型。所以对于有线接入的场景，需要限制主用终端（即进行认证上网的终端）为PC。

大部分学校，是禁止接入共享的，对于一台PC通过路由器上网的行为也要求予以限制，尽管此时终端数量只有一台PC。对于这样的情况，需要配置为禁止路由器上网。

部分学校允许学生进行接入共享，但是对于共享的终端类型及数量有限制，一般是允许共享给1~2台移动终端。可以根据学校的要求，配置允许拖带的移动终端数量。目前没有发现有学校允许拖带PC，所以没有拖带PC数量的配置命令，也就是完全禁止拖带PC。