大公司内部网络计费,本质上是IT 成本内部市场化 的一部分。网络作为共享基础设施,其成本分摊通常遵循"谁受益、谁承担"或"谁消耗、谁买单"的原则。以下是通用的技术实现路径与组织落地方法。
一、计费目标决定计量粒度
在动手建系统之前,先要明确计费是为了"看看"(成本洞察,成本可视化)还是"扣钱"(内部结算,真金白银内部结算)。这决定了技术投入的深度:
|----------|-------------|-------|------|
| 目标 | 计量粒度 | 技术复杂度 | 组织摩擦 |
| 成本洞察 | 部门级、楼宇级、区域级 | 中 | 低 |
| 内部结算 | 团队级、个人级、项目级 | 高 | 高 |
| 行为引导 | 应用级、会话级 | 极高 | 中 |
猫哥建议 :绝大多数大公司先从 成本洞察 起步,跑通数据链后再考虑 内部结算 。直接按个人扣网络费,容易引发强烈的组织反弹。
二、网络资源可计量的维度
网络成本不是只有"带宽",至少包含以下可拆分项:
|------------------------|----------------------------------------|--------------|
| 资源类型 | 计量指标 | 成本归属 |
| 互联网出口带宽 | 峰值带宽(95th percentile)、月流量(GB/TB)、并发会话数 | 全公司共享,或按区域分摊 |
| 专线/SD-WAN | 电路月租费、按站点数、按带宽档位 | 使用站点所在部门 |
| 数据中心内部流量 | 东西向流量(服务器间)、南北向流量 | 按源/目的所属部门分摊 |
| 无线网络 | 接入时长、认证账号、流量消耗 | 按员工工号或部门 |
| VPN 远程接入 | 在线时长、流量、接入频次 | 按用户账号 |
| 公网 IP 地址 | 占用数量、类型(静态/弹性) | 按申请部门 |
| 安全防护(防火墙、WAF、DDoS) | 防护域名数、清洗流量、规则数 | 按业务系统归属 |
| 跨地域/跨国流量 | 跨境专线、国际出口流量 | 按源部门或目的区域 |
三、技术采集层:怎么"量"
3.1 流量与带宽计量
|---------------------------|---------------|------------------------|-----------------------|
| 技术 | 采集点 | 精度 | 适用场景 |
| NetFlow v5/v9 / IPFIX | 核心交换机、路由器、防火墙 | 五元组(源/目的 IP、端口、协议、字节数) | 互联网出口、广域网、数据中心东西向 |
| sFlow | 接入层/汇聚层交换机 | 采样包头部,含 VLAN、MAC | 细粒度东西向流量,成本低于 NetFlow |
| SNMP | 交换机端口 | 端口级入/出字节数、峰值带宽 | 粗略的端口/楼宇级计量 |
| 端口镜像(SPAN)+ DPI | 关键链路 | 应用层识别(如微信、钉钉、视频流) | 需要区分业务流量与娱乐流量时 |
关键实现:
- 在互联网出口防火墙/路由器 开启 NetFlow/IPFIX,将流记录发送至采集器(如 nProbe、Elsoft Probe、Gigamon 或开源 pmacct)。
- 流记录必须包含 VLAN ID 或 VRF ID,这样才能将 IP 流量映射到部门(后面会讲映射方法)。
3.2 用户身份与终端绑定
光有 IP 流量不够,必须知道"这是谁的流量":
|---------------------|---------------------------------------------------------------|-------------|
| 技术 | 机制 | 精度 |
| 802.1X + RADIUS | 有线/无线接入时,交换机端口记录 Calling-Station-ID(MAC)与 User-Name(工号) | 高:人到端口 |
| DHCP 日志关联 | DHCP 服务器记录 MAC → IP → 租约时间,与 AD/LDAP 账号关联 | 中:人到 IP(动态) |
| 防火墙用户认证 | 上网行为管理(IAM/上网准入)要求用户登录,记录 User → IP → 流量 | 高:人到会话 |
| 代理服务器日志 | 正向代理(如 Squid/Blue Coat)记录 User-Agent + 账号 + URL + 字节数 | 高:人到应用 |
| SD-WAN 控制器 | 如 Cisco Viptela、VMware VeloCloud、华为 iMaster NCE,天然带站点-部门-用户视图 | 高:站点到部门 |
3.3 数据关联:从"IP 流量"到"部门/个人"
这是整个计费系统最难的环节,需要一张"网络身份映射表":
NetFlow 原始记录:
源 IP: 10.32.45.67, 目的 IP: 151.101.x.x, 字节数: 1.2GB, 时间: 14:23
映射链:
10.32.45.67
→ DHCP 日志 → MAC: aa:bb:cc:dd:ee:ff, 租约用户: zhangsan
→ AD/LDAP → 部门: 数字营销部, 成本中心: CC-2048
→ 组织架构 → 一级部门: 市场部, 二级部门: 数字营销部
输出:
2024-05, 数字营销部, 互联网出口流量, 1.2GB, 成本分摊: ¥0.8
技术栈建议:
- 采集 :NetFlow/IPFIX Collector(如 FastNetMon、nfdump、Elsoft)
- 清洗 :将原始流记录导入 ClickHouse / TimescaleDB / InfluxDB
- 关联:定时任务(如 Python/Spark)将 IP→MAC→User→Department 关联
- 呈现 :Grafana 或自研成本大盘
四、计费模型层:怎么"算"
4.1 固定分摊模型(适合共享基础设施)
|--------------|--------------|------------------------------------------|
| 场景 | 算法 | 示例 |
| 互联网出口 | 按部门人数比例分摊月租费 | 市场部 30 人,研发 100 人,按 3:10 分摊 10 万/月的出口专线费 |
| 楼宇网络 | 按占用面积或工位数 | 某楼层网络设备折旧 + 维护费,按该楼层各部门工位数分摊 |
| 数据中心核心交换 | 按服务器数量或端口数 | 核心交换机成本,按各部门接入的物理端口数分摊 |
优点 :简单、可预测、无需复杂计量系统。
缺点:无法抑制滥用(市场部看视频和研发传代码交一样的钱)。
4.2 按用量计费模型(适合可归属资源)
|---------------|--------------------------|--------------------------------|
| 场景 | 算法 | 技术依赖 |
| 跨境专线 | 按部门产生的跨境流量(GB)× 单价 | NetFlow + 地理定位(目的 IP 归属地) |
| 云专线(上云流量) | 按部门到某朵云的流量 × 云厂商计费单价 | SD-WAN 或专线流表 |
| 无线流量超标 | 每人免费 10GB/月,超出部分按 5 元/GB | 无线控制器(Aruba/Cisco/华为)用户流量统计 |
| 公网 IP | 每 IP 每月 50 元占用费 | IPAM(如 phpIPAM / NetBox)记录归属部门 |
4.3 混合模型(大公司最常用)
网络成本分摊公式(示例):
某部门月度网络费 =
固定分摊(基础架构共享成本)× 部门权重系数
- 用量计费(可归属流量)× 阶梯单价
- 资源占用费(独占端口/IP/VLAN)× 资源单价
其中:
权重系数 = 人数占比 × 0.4 + 营收占比 × 0.3 + 历史流量占比 × 0.3
阶梯单价设计(抑制滥用):
- 0-500GB/月:¥0.5/GB
- 500-2000GB/月:¥0.8/GB(越用越贵,抑制大流量非业务行为)
- 2000GB/月:¥1.2/GB + 需 VP 审批
五、组织落地:怎么"收"
5.1 责任矩阵(RACI)
|--------------|-----------|------------------------------|
| 角色 | 职责 | 关键动作 |
| 网络/IT 部门 | 计量系统建设与运维 | 部署 NetFlow、维护 IP-部门映射表、出月度账单 |
| 财务部门 | 内部结算规则制定 | 定义 成本洞察/内部结算 科目、审批分摊模型 |
| 采购部门 | 外部合同对标 | 将云厂商/运营商账单与内部分摊数据交叉验证 |
| 业务部门 | 成本确认与申诉 | 每月核对账单,异常流量申诉(如"这是客户演示用的流量") |
| 审计/合规 | 数据准确性审计 | 抽查 NetFlow 与财务账的一致性 |
5.2 账单形态
给业务部门的账单不应是技术 raw data,而是"业务语言":
─────────────────────────────────────────
XX 公司网络成本分摊月报(2026 年 4 月)
部门:数字营销部
─────────────────────────────────────────
一、固定分摊(共享基础设施)
互联网出口带宽(北京) ¥ 8,500
办公网无线接入 ¥ 2,300
小计 ¥ 10,800
二、按量计费
互联网出口流量(1.2 TB) ¥ 1,800
跨境访问(0.3 TB) ¥ 2,400
小计 ¥ 4,200
三、资源占用
独占公网 IP × 3 ¥ 300
SD-WAN 站点(上海) ¥ 1,500
四、调整项
客户演示流量豁免(工单 #2048) -¥ 600
本月应计网络成本 ¥ 16,200
─────────────────────────────────────────
5.3 申诉与豁免机制
必须设计"人性化出口",否则系统会被业务部门抵制:
- 业务演示/客户访问:提前申请"白名单 IP 段",期间流量不计入部门成本。
- 系统补丁/病毒库更新:统一划归 IT 部门成本池,不摊给终端部门。
- 异常流量告警:如某终端突发 100GB 上传,先冻结计费,待安全团队确认是否为挖矿/木马后再定责。
六、常见挑战与对策
|------------------|------------------------------|---------------------------------------------------|
| 挑战 | 根因 | 对策 |
| IP 动态变化,关联不准 | DHCP 租期短,IP 复用 | 缩短关联任务周期(每小时跑一次),或强制 802.1X 认证 |
| NAT 后无法识别源 | 出口防火墙做 NAPT,NetFlow 只看到公网 IP | 在 NAT 前采集(如内网核心交换机),或防火墙输出 NAT 转换日志(xlate) |
| 共享系统流量归属难 | AD/ERP/邮件系统全公司共用 | 单独设立"基础服务成本池",由 IT 或管理层承担,不分摊 |
| 部门合并/拆分 | 组织架构变动快 | IPAM 与 HR 系统自动同步,成本中心编码跟随组织架构 |
| 个人隐私敏感 | 按个人计费涉及上网行为监控 | 个人级数据仅限 IT 和安全团队可见,给部门的账单聚合到团队级;遵守《个人信息保护法》最小必要原则 |
| 技术投入 ROI 低 | 建系统花 200 万,每年只分摊 50 万网络费 | 将计费系统扩展为"全 IT 成本分摊平台"(含云、终端、软件许可),摊薄边际成本 |
七、 猫哥说
大公司内部网络计费,技术上靠 NetFlow/IPFIX 抓流量 + 802.1X/DHCP 绑身份 + IPAM 绑部门 ,管理上靠"固定分摊保公平、用量计费抑滥用、混合模型最可行" 。最难的不是采集,而是让业务部门认账 ------这需要一张说得清的账单、一个能申诉的通道,以及一个愿意背书的财务部门。