融创项目培训-高校实战

校园园区网建设实战案例目录校园园区网建设实战案例—有线网络篇校园园区网建设实战案例—无线网络篇典型评分标准引导传统校园网之痛精细化管理，杜绝人为问题校园网不稳定学生投诉老师抱怨领导奚落压力山大学生众多架构改变，简化管理运维单薄传统校园网架构核心汇聚接入接入接入接入接入接入出口网关：第三方网关（深澜/城市热点）汇聚：三层网关开启，VLAN规划（一栋楼三、四个VLAN）、用户ACL、路由规划、IPv6、STP……接入：ARP防攻击、SAVI、划分VLAN、STP……数据中心出口3层2层核心：高速转发、高稳定性传统架构问题出口：采用X86架构加软件实现，（稳定性、性能、安全性均存在不同程度上的问题）核心：拥有高性能、高稳定性、高可靠性，但是仅仅承担了高速转发的功能，功能太少形成了资源的浪费汇聚：开启三层功能，VLAN终结，一栋楼一般分配3-4个C类地址；广播域大，底下用户之间互访、攻击、盗用无法避免，一旦产生环路，广播风暴直接冲瘫汇聚，导致网络中断；且配置繁琐管理不便接入：开启dhcpsnooping、STP、端口隔离、SAVI等功能，交换机数量多，配置管理繁琐；STP收敛时间长、配置不当电脑插拔便会造成重新刷新MAC表项，导致大量广播报文冲击设备。尽量简化汇聚、接入的功能、增强用户隔离性用户管理问题应用多样，应用中带着各类病毒，不停冲击校园网络；ARP攻击、特洛伊木马、仿冒网关攻击，广播攻击；攻击难防范，除了问题难定位！学校内部未建立安全隔离、接入管理的机制，校内网用户攻击、篡改内部服务器，来无影去无踪；甚至出现了修改期末成绩的生态链！学生缺少社会经验，煽动性强，校园论坛经常成为不法分子发动言论的途径，未经认证的用户在论坛发表言论，出现事情无法回溯，责任由谁来担？校园网运营管理的基石---认证认证点分类准出认证准入认证部署位置校园网出口校园网核心层校园网接入层核心功能/附加功能用户访问外网权限检查用户外网行为实名审计基于用户的流量计费管理基于用户的带宽控制用户访问内网权限检查用户内网行为实名审计安全控制绑定/隔离安全合规检查访问权限下发计费符合校园需求的计费策略定制流控融合运维精细化运营方便运维简单运维准入、准出802.1x、Web基于时长的计费IPv4、IPv6有线、无线准入和准出融合802.1x和Web融合基于流量的计费IPv4和IPv6融合有线、无线准入和准出融合多种认证技术的融合基于流量的计费基于应用的带宽管理IPv4和IPv6一体化有线、无线BYOD准入或准出的认证802.1x基于时长的计费IPv4有线被动主动服务价值现状

粗放的管理目标

精细化的管理精细化运营的校园网精细化并不意味着管理及配置的繁琐H3C扁平化方案构建大二层架构—BRAS认证Internet/CERNET准入Radius服务器（H3C）Portal服务器（H3C）接入交换机汇聚交换机L2L3BRASAPDHCP服务器全网二层隔离准出计费网关/出口BRAS准出认证服务器用户准入信息上报认证控制点二层载荷c3100RADIUS报文大二层网络带来的好处OSPFL2L3L2L3接入认证方式分布式802.1X接入设备必须支持1X认证功能配置维护工作量大控制力度粗集中式PPPoE或Portal认证弱化接入汇聚设备功能配置维护工作量小精细化用户控制力度传统架构大二层网络架构组网方式VRRP、IRFSTP防止环路安全问题（ARP攻击影响大）IRF2简化组网，无须开启VRRP、STP协议QinQ组网，PUPV，安全性高胜出胜出大二层的稳定性---IRF智能弹性架构多达4台BrasAAA中心采用跨设备聚合的方式连接，配置简化设备之间通过IRF协议，虚拟化成一台用户可以从任意一个BRAS上线，两个虚拟化的BRAS系统共享同一个控制平面，用户信息通过扩设备板间通信协议（我司IRF的构建协议）来同步用户Session信息。主框与备框之间采用MAD心跳检测。主框down后，备框通过MAD检测到后立即升为主框，沿用原来主框的配置继续运行，Session表原来就已经同步，无需更新支持PPPoE、IPoE用户的备份Internet二层网络IRF2组网方式的优势虚拟化技术，天然无环路组网

运维方便，跨框聚合链路可靠性高，收敛速度快实现用户粒度的负载分担，真正的双机使用，冗余互备设备性能充分利用，逻辑为一台设备，统一进行配置规划

运维方便，一套配置全网受益不需要使用BFD技术加快收敛时间

汇聚交换机为普通设备即可，节约成本RADIUSportalDB服务器网络存储服务器网络存储服务器网络存储服务

管理服务

管理服务

管理云层虚拟化层服务器资源池网络资源池存储资源池RADIUS交付一体化ERPVM即插即用CloudCellS一体化交付方案

VMVM操作系统业务系统操作系统业务系统操作系统业务系统业务上线一体化裸金属物理业务虚拟化业务1业务2业务3业务勾选+业务拖拽=部署完成池化业务编排部署校园网整体规划拓扑图InternetCernet汇聚交换机网络接入层第三方出口网关/出口BRAS教学楼区域行政楼区域学生宿舍家属区无线AP接入交换机10G链路1G链路骨干网核心层核心BRAS云安全网关云数据中心网VMVMVMVM物理服务器云平台存储设备学生宿舍家属区办公区无线控制器学生区家属区服务器交换机IRF2无线区L3L2QINQ通道学生区、家属区特点扁平化架构大二层的架构，通过QINQ技术将用户与用户之间进行隔离，三层网关、认证节点均在核心设备上；汇聚及接入层作为二层转发设备而存在；IPv6业务升级便利；所有流量都必须经过核心，可以对于所有流量进行管控学生宿舍：每间房间N台PC，N个信息点、非学校资产安全性无保障、流量以访问校园数据中心、外网访问为主，几乎所有流量都将通过核心设备，出于管理和财务考虑需要强制每人每账号，防止代理家属区：访问资源类型与学生宿舍类似，但是不需要考虑防止代理功能学生区、家属区InternetCernet宿舍1号楼家属区接入交换机10G链路1G链路宽带控制层核心BRAS《三层网关/认证节点》云安全网关云数据中心网VMVMVMVM物理服务器云平台存储设备学生宿舍区家属区服务器交换机IRF2L3L2PPPoE认证PPPoE认证Portal认证用户QINQ管道隔离至核心宽带接入层大二层网络宿舍2号楼宿舍3号楼宿舍X号楼家属区第三方出口网关/出口BRAS办公网的特点互访型架构互访型传统架构，需解决同一个房间互访，及打印机等设备访问的问题教学楼：每个教室一台PC，一个信息点，只要进行教学多媒体演示，网络访问大多为文件提取，服务器可能在办公室，也可能在数据中心。办公楼：每个办公室一个或两个信息点，多台PC、打印机；主要用户老师和领导的教务办公；大部分老师不接受客户端方式上网，网络访问以传输文件、视频会议、教务系统访问、网上资料查询为主。图书馆：图书馆网络一般独立于网络中心由单独的单位管理建设，有自己的借阅、认证系统。教学楼InternetCernet汇聚交换机教学楼区域教学楼区域图书馆接入交换机10G链路1G链路骨干网核心层核心BRAS云安全网关云数据中心网VMVMVMVM物理服务器云平台存储设备图书馆教学区图书馆服务器交换机IRF2行政楼区域行政楼区域L3L2集中式Portal认证汇聚层portal第三方出口网关/出口BRAS科教办公大楼认证方案IRF2AAA核心Bras设备出口流量计费Bras准出认证准入认证PCPC打印机PCPC打印机实验器材实验室广播域办公室二层交换机二层交换机Portal认证网络共享域打内层VLANtag打外层VLANtagPC目录校园园区网建设实战案例—有线网络篇校园园区网建设实战案例—无线网络篇典型评分标准引导项目基本概况用户方：学校新建的高校无线覆盖（数栋楼，信息点2000个左右），包括：图书馆，行政楼，宿舍区，教学楼，国际交流中心等及部分室外区域，项目预算320万。原核心、汇聚设备思科，接入华三，已购买华三IMC管理软件，认证计费。参与品牌：H3C、思科、锐捷。1需求分析及整体方案架构2

方案设计及技术优势3

竞争分析提纲校方需求无线部署网络先进性认证系统1、学生宿舍WLAN部署，需要解决宿舍楼体复杂导致的信号差2、大型阶梯教室等终端密集场景的WLAN部署，

需要保障终端数量较多下用户的使用感知3、风雨操场等室外场景的WLAN部署，需要解决

室外场景下数据回传困难、设备供电困难的问题以现行需求为基础，保证满足现有业务的同时，需要实现网络的先进性，以满足3到5年期间的应用增长在网络认证系统的管理下，保证网络可用、可控、可管的同时，又要提高网络的安全性和易用性教学楼POE交换机无线核心交换机（AC+FW插卡）光纤链路图书馆室外部分宿舍区无线接入点...BYOD系统（认证计费、设备识别、设备管理）Internet核心交换机高校无线网络拓扑示意图业务存储FC/IP-SAN服务器汇聚交换机①AP与AC建立CAPWAP隧道②AP使用CAPWAP封装用户的802.11帧，

通过隧道将802.11帧上送AC③AC解封装CAPWAP头，转换为以太网帧，并作为三层网关终结用户二层以太网帧，作为Portal认证点为用户触发认证，用户通过portal页面提交认证信息。④用户通过认证系统认证后，即可访问外网或用户通过认证系统认证后，即可访问内网负载均衡2

方案设计及技术优势1

需求分析及整体方案架构3

竞争分析提纲学生宿舍部署—X-Share楼道2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz新一代硬币美化天线高性能AP直接通过柔软馈缆将2.4Ghz和5Ghz信号延伸到各个房间中去，结合智能天线技术进行精细化覆盖阶梯教室、大型会议室等场景部署阶梯教室、大型会议室使用时间学生、教职工均有使用主要以视频、新闻业务为主笔记本电脑、手机终端、PAD类终端

空间较开阔。上网时间比较固定群密度大、流量大小包业务且时间集中终端差异性较大室内空间高峰时段用户应用终端情况用户特征1、室内AP—支持11AC

WA4620I-ACN2、智能天线技术解决人群覆盖问题3、频谱导航优先使用5Ghz丰富的频段；4、开启负载均衡5、未来终端发展情况下可利用11AC满足未来趋势室外无线部署距离远布线难光纤传输

MESH对接4G回传（LTE-FI）LTE-FI方案网络架构WLAN终端eNodeBSGWPGWMMEAAANodeBRNCSGSNGGSNHLR/HSSInternetACPortalAAA网管3G/4G核心网

WLAN网络管理隧道数据业务LTE-FIFITAP组网，AC统一管理，下行802.11n，上行3G/4GLTE接入支持Portal，EAP-SIM/PEAP认证BYOD解决方案，千款终端的智能识别HSS：给LTE-FI终端SIM卡分配专属的APNPGW：配置专属APN，识别LTE-FI业务并接入指定ACAAA：对接入3G/4G核心网的LTE-FI终端进行认证AC：与LTE-FI建立CAPWAP隧道，转发WLAN终端业务流量Portal/AAA：对WLAN终端进行认证和计费网管：对LTE-FI设备集中管理用户/终端认证管理方案BYOD校园云无线解决方案AP无线网管系统终端？校园云之无缝接入AnyTimeAnyWhereAnyOneAnyDevice“4A”无缝接入随时可以访问校园云教室、图书馆、宿舍等任意地点可以访问校园云学生、老师、领导、访客可以根据不同的角色进行校园云访问终端不再局限于PC8：00-18：0018：00-22：00宿舍楼图书馆教学楼学生教师如何针对不同终端、不同的角色基于不同的场景进行管理挑战！！！H3C终端智能识别技术H3C终端智能识别技术不仅仅能对终端类型的判断，更能对设备更深层次的“指纹”进行识别MAC

OUI识别技术DHCPoption识别HTTP指纹识别终端设备类型识别根据DHCPOPTION字段识别，最精准的终端识别，无法仿冒根据HTTPUSERAGENT字段识别，可识别设备、操作系统等信息根据根据IEEE分配的OUI字段识别，可判断终端所属的厂商简单识别终端类型、PAD，PHONE、PCH3C无感知认证H3C无感知认证技术在Portal认证的基础上，通过无线控制器和iMCRadios服务器配合实现的“一次接入，多次使用”的智能终端无感知认证方案，解决了传统Peap、Portal认证的终端兼容性和易用性难题，Internet无线校园网使用无线认证，不必多次输入用户名密码，只要接入无线即可使用网络方案亮点：用户/终端认证管理方案的高可用性负载量H3C负载均衡设备H3C云管理平台H3CCVK虚拟化平台服务器集群创建新虚拟机业务分发资源动态扩展2服务器服务器服务器请求业务负载监控平台业务负载超限负载监控通知虚拟化平台1虚拟化平台管理Portal虚拟机业务访问者健康检查当前为CVM的一个模块Portal虚拟机Portal虚拟机3

竞争分析1需求分析及整体方案架构2

方案设计及技术优势提纲产品及技术分析产品H3CRJ关键点无线控制器LSUM3WCMD0RG-M8600-WS插槽数、AP管理数防火墙LSQM2FWBSC1RG-WALL1600-EI防火墙插卡POE接入交换机S5120-24P-EI-D-PWRRG-S2928G-24PRIP路由室内AP一WA4620i-ACN-FITRG-AP530-IAP供电功率室内AP二WA2620i-AGN-FITAP220-E-V2

宿舍APWA2620E-X-FITRG-AP220-E（M）-V2射频口、双频室外APWA2620X-FITRG-AP620-H（C）

无线管理软件WSM无线组件WLAN组件

终端接入组件License迁移SAMV3.X企业版终端识别组件EIP组件SAMV3.X企业版终端识别技术虚拟化组件CAS无DRX引导H3CBYOD