很多人以为校园网WiFi计费系统就是装个网关、配个页面、学生扫码上网。实际上从学生手机连上WiFi到费用扣除，中间经过了认证、授权、计费、审计四个环节，每个环节都有独立的技术逻辑。这篇文章把这条链路拆开讲清楚。

第一步：终端检测与Portal重定向

学生打开手机WiFi列表，连上学校的SSID，此时终端已经关联到AP并获取了内网IP地址，但没有访问外网的权限。校园网WiFi计费系统的第一步就是检测到这个"未认证"状态，并将终端的HTTP请求重定向到认证页面。技术上这叫Captive Portal，实现方式通常是在网关层做透明HTTP代理或DNS劫持。

这个环节常见的故障点是重定向不生效。原因可能包括：终端使用了HTTPS站点做连接检测（如苹果的Captive Network Assistant）、DNS解析超时、网关层的iptables规则未正确配置。一个好的校园网WiFi计费系统会同时处理HTTP和HTTPS的初始连接检测，确保各类终端都能正常弹出认证页面。

第二步：身份认证与RADIUS交互

学生在Portal页面输入学号和密码，点击登录。校园网WiFi计费系统将这个认证请求转发给后端的RADIUS服务器。RADIUS协议是网络认证领域的事实标准，校园网WiFi计费系统通常作为RADIUS客户端，将用户凭证传递给RADIUS Server做校验。

这里有一个架构选择的问题：RADIUS Server是自建还是复用学校已有的统一身份认证平台（如LDAP、CAS）。如果学校已经有统一身份认证系统，校园网WiFi计费系统应该支持通过RADIUS对接，而不是要求学生另外注册一套账号。这样可以实现单点登录，减少运维负担，也提升学生体验。

第三步：授权下发与网络策略匹配

认证通过后，校园网WiFi计费系统需要给这个终端下发网络访问权限。授权内容通常包括：允许访问的网段、带宽限制、上网时长或流量配额、所属运营商出口。这些策略的匹配逻辑是校园网WiFi计费系统的核心能力之一。

举个例子：学生A办理了校园电信套餐，月费30元包50GB流量。认证通过后，校园网WiFi计费系统需要将学生A的流量路由到电信出口，同时开始记录流量使用量，当累计达到50GB时自动切断网络或限速。这个策略匹配和实时执行的精度，直接决定了计费的准确性。

第四步：实时计费与会话管理

授权下发后，学生开始正常上网。此时校园网WiFi计费系统进入实时计费状态：持续跟踪每个在线终端的流量和时长。技术实现上通常有两种模式：基于RADIUS的计费报文（Accounting-Request/Response）和基于NetFlow/sFlow的流量采集。

RADIUS计费报文的优点是与认证流程天然集成，协议成熟；缺点是报文间隔通常较长（默认5-10分钟），实时性不够。NetFlow/sFlow的优点是流量统计精度高，可以做到秒级；缺点是需要额外的采集和聚合组件。成熟的校园网WiFi计费系统通常会同时支持两种模式，管理员可以根据实际需求选择或组合使用。

第五步：多运营商出口的路由策略

多运营商环境下，校园网WiFi计费系统需要在认证阶段就确定该终端应该走哪条出口链路。技术上这通常通过策略路由（PBR）或SDN控制器实现。学生在Portal页面上选择的运营商信息会被写入用户的会话记录，网关层根据这个信息做路由决策。

这里有一个容易被忽视的问题：漫游场景。学生从教学楼走到宿舍楼，AP切换后可能会触发重新认证。如果校园网WiFi计费系统没有正确处理漫游场景，可能会出现运营商出口跳变的情况——比如学生选的电信出口突然变成了联通出口。这对按运营商计费的模式会造成账单错误。

第六步：无感认证的技术实现

无感认证是目前校园网的标配需求。技术原理是：学生第一次通过Portal认证成功后，校园网WiFi计费系统记录该终端的MAC地址与账号的绑定关系。后续该MAC地址接入网络时，系统自动完成认证，学生感知不到认证过程。

无感认证的技术挑战在于安全性。MAC地址容易被伪造，如果仅凭MAC地址就放行，存在被盗用的风险。所以成熟的校园网WiFi计费系统会引入额外的校验机制，比如结合DHCP Option82（记录AP的物理位置信息）来辅助判断，或者设置MAC绑定的期，超过一定时间要求重新Portal认证。

第七步：日志采集与审计合规

整条链路的最后一个环节是日志记录。校园网WiFi计费系统需要完整记录每个用户的认证日志（谁、什么时候、从哪里、用什么方式认证）和上网日志（分配了什么IP、访问了哪些目标地址、用了多少流量、上了多长时间）。这些日志是网络安全法要求留存至少6个月的合规数据。

技术实现上，日志采集需要平衡完整性和性能。万人规模的校园网每天产生数百万条日志记录，如果每条都实时写数据库，会对系统性能造成很大压力。成熟的校园网WiFi计费系统会采用异步写入、批量提交、分级存储的策略：热数据存高速存储供实时查询，冷数据归档到低成本存储满足合规留存要求。

第八步：高可用与故障恢复

整条链路上任何一个环节出故障都会导致全校断网。校园网WiFi计费系统的高可用设计应该覆盖所有关键组件：网关层的主备切换、RADIUS Server的主从集群、数据库的主从复制或集群部署、日志存储的冗余机制。故障切换时间建议控制在30秒以内，这个指标在选型时就应该明确写入技术要求。