华为敏捷校园网解决方案

文档名称文档密级TIME\@"yyyy-M-d"2023-10-24华为保密信息,未经授权禁止扩散第随板AC销售指导策略），方案拓扑见下图所示。对于全校接入用户规模超过S12700用户接入能力，优先推荐采用分布式认证计费方案，认证计费网关下沉至汇聚交换机（S12704/S7700SRUH),可按宿舍区、办公区、教学区等来进行用户划分。方案见下图所示：针对需要使用PPPoE进行计费运营场景，采用ME60来实现认证计费网关。用户管理及计费平台的选型策略认证网关需要跟认证及策略服务器（或认证计费平台）对接，设备选型策略分如下几种情况：对于使用S127作为认证网关的场景，首选我司自研的AgileController作为用户认证服务及策略中心，特别是不需计费的校园网场景，S127配合AgileController，是典型的敏捷园区配置，可更好的体现我司整网优势特别是业务随行特性，并且有利于整网向SDN的平滑演进；对于有计费需求的场景，推荐仍然使用AgileController，同时对接第三方的计费服务器，当前测试过的有深澜和城市热点；对于客户明确对业务随行有需求准备实际部署，但预算只能承担第三方服务器的情况，可以视情况申请商务优惠；对于认证计费网关是ME60需要计费的情况，仅推荐第三方认证计费服务器，目前深澜和城市热点跟我司目前合作良好，技术沟通的渠道顺畅，成功案例也比较多，作为首选推荐；除此之外的厂家，只要是基于标准Radius协议的，基本可以实现对接。随板AC销售指导策略产品销售策略主力销售S12700，S7700（SRUH），S5720-HI；版本销售策略S127004K用户终端以下可选择默认发货版本V2R7C00(已GA)，4K用户终端以上请选择V2R7C20版本（TR5：2015.09.30）。V2R7C20版本为受限发布版本，配置器不可选择，如需要请联系殷玉楼(00130915)，V2R7C20版本将在V2R9C00版本（2016Q2GA）统一收编。S7700（SRUH）需要使用V2R8C00版本（15年10月中旬GA）。随板AC产品选型要点高校园区一般基于终端接入规模、AC可靠性等选择X1E/ACU2板卡数量。ACU2和X1E可部署规格如下表：产品纯802.1x认证场景或802.1x+Portal认证并存场景纯Portal/Portal+MAC认证场景有线用户终端并发规模（Z值参考）无线用户终端并发规模有线用户终端并发规模（Z值参考）无线用户终端并发规模S12712/1270830K10K30K15KS1270415K5K15K10KS9712/9706（SRUC/SRUD）20K5K20K10KS7700（SRUH）15K5K15K10KS7712/7706（SRUA/SRUB）3K1K3K2KS5720HI6K2K6K2K有线无线选型原则如果同时存在有线、无线用户接入，请基于以下原则选择：假设并发有线用户终端数X，并发无线用户终端数Y，整机有线用户终端规模为Z（参见上表标识）。（1）如果无线用户采用Portal认证，则需满足X+1.5Y<Z；（2）如果无线用户采用802.1X认证，则需满足X+2Y<Z。（3）如果802.1x和Portal认证并存时，则按照802.1x的公式计算。ACU2选型要点用户规模超出随板AC性能，统一采用ACU2来实现。产品纯802.1x认证场景纯Portal/Portal+MAC认证场景802.1x+Portal混合认证场景ACU2(单块)无线用户终端规模：5K无线用户终端规模：5K无线用户终端规模：5K华为高校网络方案竞争及引导策略针对客户的痛点以及我司的竞争优势，在高校的拓展的引导策略如下表所述：客户痛点引导策略网络架构不灵活，管控受限，易被运营商和厂商绑架，扩展性差；强调基于SDN的开放融合：面向接入层开放，面向认证策略系统开放，面向运营商开放，以极好的兼容性和可扩展性与友商形成对比。对有线无线融合的场景难以实现精细化管理及精确流量计费；针对锐捷的方案复杂且封闭，需要叠加多个设备和板卡联动，兼容性差，配置维护工作量较大。引导S127的统一用户接入和策略管理，随板AC和随板用户管理的功能。宿舍网络隔离不好，容易导致网络攻击，存在环网风险且ARP过多；引导部署端口隔离东西向流量，通过策略联动方式在核心网关做认证，所有流量在中心网关集中转发；校园大量802.1X认证方式实现端口安全的控制，但是需要在每个端口上配置1x认证，维护工作量巨大；而集中式Portal认证又使得接入端口无条件开放，带来安全隐患引导策略联动敏捷接入方案，在核心层集中配置认证策略，包括1x和portal，在边缘接入层执行认证策略，让1x的安全性和portal集中认证的便利性两者兼得；我司的独特的敏捷特性。有线交换机数量较多，配置维护工作量巨大。针对锐捷的QinQ/SuperVlan方案，引导使用策略联动敏捷接入方案，采用AC管理AP的理念，S127管理接入层“瘦交换机”，接入层交换机零配置，区域内使用一份配置文件统一下发。接入/汇聚端口隔离，策略集中下发，分布式执行。并且可以根据交换机上报用户位置信息执行快速定位。对于楼层汇聚交换机引导做SVF，将楼道的接入交换机（特别是接AP的POE交换机）通过超级虚拟化的方式实现本区域单点管理。有线portal认证用户直接关机的情况下，无法实时感知，并且需要通过额外的ARP探测来感知，会带来大量网络ARP报文。引导策略联动敏捷接入方案，像AC管理AP一样，接入交换机端口shutdown会及时上报状态让用户下线，避免用户下线但后台还在线的情况。校园业务复杂，用户角色较多，接入方式多样，需要进行精准的管理和权限控制。引导业务随行方案，实现有线无线统一认证接入，通过controller策略矩阵，用自然语言定义用户策略，一键式下发，策略与IP地址解耦，用户位置移动或接入方式变更，不影响权限和策略执行。无线需求剧增，原有无线业务客户感知较差；引导有线无线深度融合，准入准出一次认证，统一用户认证与管理，校园全场景覆盖以及360生命周期管理；宿舍区传统的室内布放覆盖不均匀，学生体验不佳；引导针对宿舍特点开发的敏捷分布式AP，提升无线覆盖质量；有线及无线接入层设备众多，运维管理困难；引导集中控制与转发，符合SDN理念和潮流，简化配置，可扩展性强；引导敏捷特性有线无线深度融合，体现综合优势。学校需要跟运营商实现对接运营；引导Controller与深澜/城市热点配合的多运营商接入方案，提供多校方与多运营商互利共营的方案。引导敏捷业务随行特性，即支持基于用户组出口选路/NAT，支持基于目的地址计费DAA等特性；高校分部门内网络共享问题，如打印机、传真机、服务器等资源需自行管理并实现局域网共享；打印机传真机一般是采用静态IP或者绑定MAC地址。引导采用业务随行的方案，将IT设备所在位置设置成相应的用户组，通过AgileController设置访问权限，这样就能确保用户可随时访问本部门IT资源而不是在同一房间才能访问。详细方案参加技术建议书。对学生上网行为管控和网络溯源压力较大；引导业务随行实现Controller和USG/ASG系列安全产品的配合，基于用户的深度流控以及上网行为管理，日志关联分析，以及精确溯源；校园存在多出口的情况下负载均衡实现效果不佳；引导USG防火墙的负载均衡能力，除了实现基于链路的负载均衡，还可根据DNS透明代理方式实现基于运营商链路的负载均衡，效果更好。分场景案例及对应合同列表客户名称涉及产品描述是否有案例合同清华大学8台S127平安校园网均有北京大学USG9000校园网出口安全有案例东华大学S127校园核心及汇聚均有云南大学S127、WLAN整网有