运营商校园网解决方案汇报.ppt

运营商校园网解决方案日期：2010-10密级：内部公开杭州华三通信技术有限公司2目 录n校园网市场分析与战略nH3C校园网解决方案nH3C校园网案例和产品介绍3普通高校-校园网市场容量分析2830 万在 校生计划招 新生 629万毕业 生 611 万大二 、大 三在 校生 约 1200 多万普通 本专 科高 校学 生约 2450 万在校生移动渗透率95%，ARPU 60元，占生活消费比10%新增市场固有市场校园市场是各大运营商竞争的焦 点，同时也是3G竞争的制高点1500所高校，校园市场年收入超过100亿元并且不断递增4校园网模式运营商投入产出分析综合考虑: 运营商每年收入为以上几点之和，为96+283.2+28.32=407.52万元而且毕业的学生如果保留 号码，其话费将远超过59元/月的校园用户平均消费水平，同时在校学生还可通过亲情号拉 动非校园用户对189号码的使用电信利用宽带进入学校，绑定用户，即保住了宽带的战略高地，又抢占了移动的消费，一举两得 2G宽带 收入 （万元）移动话费 收 入（万元）附加值收入 （万元）运营商总收 入（万元）备注未采用校园网 模式16000160附加值收入为校 园网用户离开校 园后保留移动号 码所带来的收入 采用校园网模 式5校园网给学校带来的好处电电信校园网模式之前：电信定义的目标学校多是二三类学校，这类学校有很多都无教育网，有的学校自己建设了校园网，但出口带宽控制在运营商手里，基本在100M级别，学生上网慢，投诉多，学校在宽带运营这块 基本没什么收入。

电电信校园网模式之后：电信免费升级学校出口带宽（一般直接上升到1G-2G），学校在此并无开支，但是，电信对学生按升级后的速率收取宽带费 ，并给学校分成（以1万人的学校，开通60%，每人每年宽带费 300元，电信给20%分成，学校每年净分红36万元），学校在无任何投入的情况下大大提升了在宽带方面的收入另外学生投诉少，学校硬件设施得到改善6目 录n校园网市场分析与战略nH3C校园网解决方案nH3C校园网案例和产品介绍7校园一体化网关解决方案业 务： 一卡通融合 认证计费 合作分成建 设趋势： 网络与流量优化 一体化出口网关 IPv6管 理 和 维护： 防一拖N URL过滤 基于应用的带宽控制 定时开关网络服务 行为审计8校园网建设：网络结构和流量优化城域网教学管理系统图书馆系统 教学区图书馆学生宿舍…校园网系统运营商承建校园网核心网核心网教育网80%20%80%城域网教学管理系统图书馆系统 教学区图书馆学生宿舍…校园网系统运营商承建校园网核心网核心网教育网80%20%n按照流量2/8原则，80%流量迂回 n城域网流量负载大n校内资源安全访问，无流量迂回 n校园出口流量精细化管控 n满足校园个性化需求，深度运营9n当前校园网出口方案的问题： Ø 多厂家难以统一管理，设备数量多难以统一管理 Ø 不同业务由不同厂家设备处理，难以整合，难以形成统一 策略； Ø 糖葫芦式叠加，增加故障点； Ø 需要更多功能时，还要继续“摞补丁”Internet CERNET防火墙：Cisco、H3C、飞塔IPS/IDS：H3C、Cisco、天融信无线控制器：H3C、Cisco流控：Cisco、深信服、H3C计费网关：城市热点、深澜软件校园网建设：校园一体化出口网关n一体化出口网关方案优势： Ø 大大简化组网复杂度 Ø 增强可靠性，减少故障点 Ø 管理更简单 Ø 平滑扩容Internet CERNET内网子网1内网子网2内网子网N内网子网1内网子网2内网子网N10校园网建设：IPv6成为基本要求AP和无线控制器之间可以建立基于IPv6地址的隧道 多个无线控制器之间可以建立基于IPv6地址的隧道AP： DNS6DHCP client6 无线控制器： ACL6 DNS6 TraceRT6 Telnet6TFTP IPv6 FTP IPv6 DHCP client6 Ping6无线交换机支持MLD Snooping 配合现有IPv6有线网络，实现IPv6组播业务无线组网支持IPv6环境IPv6管理IPv6组播不仅仅是IPv6 透传城域网/Internet运营计费平台无线接入区教学区图书馆学生宿舍有线接入区校园侧运营商侧一体化网关国家发改委发文要求各校园网必须支持IPv6IPv4的地址即将用光，“狼”真的来了交换机办公系统图书馆系统学生系统11教育网运营商IMC UAMiNodeiNodeiNode1、代理主机（ 安装了代理软件 ，双网卡，或IE 设置代理）发起 网络访问请求一体化网关3、iNode完成安 全策略检查，并 定期上报客户端 行为信息到UAM 2、iMC UAM对用户进 行认证，对合法用户控 制网络访问权限，并下 发安全检查策略。

4、UAM定期分析客户 端行为，一旦检测到 违规，立即下发策略 到iNode客户端，强制 代理主机下线校园网管理：防一拖N，防IE代理通过iNode客户端和UAM认证服务器配合，支持防双网卡、私设代理、IE代理等通过此方案可以彻底校园网代理问题12校园网管理：地址转换和安全策略城域网/Internet运营计费平台无线接入区教学区图书馆学生宿舍校园内网校园侧运营商侧一体化网关 FW交换机办公系统图书馆系统NAT和安全策略： nFW实现NAT地址转换，并提供NAT 日志功能 nFW部署防攻击策略，防止校园网 ARP攻击，DHCP攻击，以及DDoS等 攻击 nFW部署内网安全防护策略，限制外 网访问的协议和端口号等教育网13n 应用协议感知n 应用流量感知n 用户行为感知n 上网内容感知n 即时升级的特征库n 细粒度应用流量控制n 根据五元组精确控制n 根据时间段精确控制n URL过滤、内容过滤n 黑名单n 记录访问信息n 用户应用使用分析n 用户行为的纵深分析n 应用流量的纵深分析应用识别应用控制 行为审计校园网管理：应用层控制网关14H3C ACG LAN InternetVPN - 200Mbps视频会议 - 100MbpsInternet - 100MbpsOthers - 100Mbps1、基于应用的带宽分配、带宽借用：上行、下行最大/保证带宽、最大会话数、 通道优先级2、基于应用的Qos标记：IP优先级、DSCP标识n 在应用流量分析、流量控制基础上，进一步丰富流量管理方案，保障校 园网关键业务转发。

校园网管理：基于应用的带宽控制实现精细化运营15用户不能访问带有 “sex”的URL地址FTP/邮件过滤，避 免信息泄露Internet校园网n 针对非法网站访问，通过URL过滤、关键字过虑，避免因访问反动、色情网站造成政治和安全的隐患n 可通过主机、正则表达式、关键字等设置URL库过滤掉无关的Java Applet/Active组件校园网管理： URL过滤ACG一体化网关运营商网教育网16校园网管理：定时开关网络实现绿色节能学校网管校园网城域网运营商网管人员学校网管：校长要求我们的网络必 争在晚上十一点以后关闭运营商网管：关闭电源？关闭交换 机？学校网管：老师的网络在晚上十一 点不能关闭运营商网管：？支持基于射频接口的关闭 AC上一条命令解决支持基于SSID的关闭每AP每年至少可节约11KW17n 单用户流量快照：针对高流量用户、服务器，详细了解有业务趋势、分布、流量明细，是否有必要制定流量控制策略、是否有必要实行带宽保障策略n 用户组流量分析：流量复杂的宿舍楼道，使用情况如何，是否有违规应用、带宽滥用u Top用户流量分析：哪些用户流量最大，快速发现异常流量是否存在恶意 流量，服务器性能 使用如何哪些用户的流量最大； 哪类P2P下载、网络游戏流量最大；应该控制哪类业务流量X楼道网络经常“抽风”， 哪些用户、业务导致，如何 制定有效的流量控制策略校园网维护：可视化流量分析18校园网管理：ACG实现用户行为审计城域网/Internet运营计费平台校园侧运营商侧一体化网关IAGACGFW用户认证NATACG支持简单的 “用户行为审计 ”功能:1)基于IP地址反查用户名 2)审计日志的导入导出、自动备份 3)对URL访问、FTP应用、 SMTP/POP3、MSN/等的行为 分析和审计管理ACG Manager通过交换机镜像radius报文或 radius服务器发送radius报文 到ACG Manager，以便ACG Manager掌握用户名信息校园网教学区办公OA运营商校园驻地网交换机办公系统学生宿舍流控19校园网业务：校园一卡通系统融合上网用户POS机缴费缴费用户校园一卡通服务器iMC认证服务器niMC或第三方认证计费系统：学校出口网关使用Radius协议同iMC通信，直接使用iMC的用户数据系统。

iMC和运营商OCS系统互通，同步账户信息n一卡通系统：iMC使用LDAP协议同一卡通系统对接，目前可以和Sun、IBM以及微软LDAP服务器及在此基础上二次开发的一卡通系统对接n用户通过一卡通缴纳上网费用，实现宽带上网和校园信息系统的无缝融合n案例：西南交通大学、南京大学Portal ServerRadius运营商网络运营商认证计费系统一体化网关20校园网业务：校园网合作分成nUAM通过Radius Proxy，转 发用户的认证请求到运营商计 费平台认证，无需生成本地数 据库多业务网关 (AC+IAG+FW)校园综合管理平台校园内网无线接入区教学区图书馆学生宿舍有线接入区交换机办公系统图书馆系统IMC服务器教育网运营商方案一：校园运营计费平 台和IMC UAM定期同步数 据方案二：IMC UAM通过 Radius Proxy，转发用户 认证请求到运营商计费平 台认证21校园业务：二次认证实现防代理部署方案n用户侧安装iNode Portal/802.1x统一认证 客户端；n校内部署IMC UAMn一体化网关部署AC,IAG 和FW插卡，IAG 做出口计费网关 校园内网访问 n有线用户在接入交换机采用802.1x认证， 对访问校园网的进行安全准入检查与控制， 不做计费； n无线用户在AC上进行Portal或802.1x认证 ，不做计费。

n有线、无线采用统一iNode客户端 校园网外访问 n用户访问外网，需再次进行Portal准出认证 n认证方式可以采用浏览器页面方式，由IAG 配合运营商Portal实现也可由iNode配合 IMC portal实现，但需再部署IMC portal服 务器组件 计费策略 n支持多种计费策略（如限流量包月、优惠 时段等） n支持自助缴费、充值卡、费用余额查询、包月暂停 等用户自助服务一体化网关校园网综合 管理平台校园内网无线接入区教学区图书馆学生宿舍有线接入区交换机办公系统图书馆系统IMC服务器教育网运营商网1.有线用户访问内网，在 交换机上采用802.1x认证2.无线用户访问内网，在 AC上采用Portal认证3.访问外网，需要再 次进行Portal认证22附：校园网建设方案23典型组网一：普通学校标准型(5000人以下规模学校 ）城域网/Internet163运营计费平台校园网教学区办公OA运营商校园驻地网校园侧运营商侧一体化网关交换机办公系统学生宿舍教育网IAGFW用户认证NAT方案组成：S76+ IAG+FW+ACG主要功能：1）IAG为师生提供认证、 计费功能；2）FW提供出口NAT及基 本的安全。