融創(chuàng)項目培訓-高校實戰(zhàn)

校園園區(qū)網建設實戰(zhàn)案例目錄校園園區(qū)網建設實戰(zhàn)案例—有線網絡篇校園園區(qū)網建設實戰(zhàn)案例—無線網絡篇典型評分標準引導傳統校園網之痛精細化管理，杜絕人為問題校園網不穩(wěn)定學生投訴老師抱怨領導奚落壓力山大學生眾多架構改變，簡化管理運維單薄傳統校園網架構核心匯聚接入接入接入接入接入接入出口網關：第三方網關（深瀾/城市熱點）匯聚：三層網關開啟，VLAN規(guī)劃（一棟樓三、四個VLAN）、用戶ACL、路由規(guī)劃、IPv6、STP……接入：ARP防攻擊、SAVI、劃分VLAN、STP……數據中心出口3層2層核心：高速轉發(fā)、高穩(wěn)定性傳統架構問題出口：采用X86架構加軟件實現，（穩(wěn)定性、性能、安全性均存在不同程度上的問題）核心：擁有高性能、高穩(wěn)定性、高可靠性，但是僅僅承擔了高速轉發(fā)的功能，功能太少形成了資源的浪費匯聚：開啟三層功能，VLAN終結，一棟樓一般分配3-4個C類地址；廣播域大，底下用戶之間互訪、攻擊、盜用無法避免，一旦產生環(huán)路，廣播風暴直接沖癱匯聚，導致網絡中斷；且配置繁瑣管理不便接入：開啟dhcpsnooping、STP、端口隔離、SAVI等功能，交換機數量多，配置管理繁瑣；STP收斂時間長、配置不當電腦插拔便會造成重新刷新MAC表項，導致大量廣播報文沖擊設備。盡量簡化匯聚、接入的功能、增強用戶隔離性用戶管理問題應用多樣，應用中帶著各類病毒，不停沖擊校園網絡；ARP攻擊、特洛伊木馬、仿冒網關攻擊，廣播攻擊；攻擊難防范，除了問題難定位！學校內部未建立安全隔離、接入管理的機制，校內網用戶攻擊、篡改內部服務器，來無影去無蹤；甚至出現了修改期末成績的生態(tài)鏈！學生缺少社會經驗，煽動性強，校園論壇經常成為不法分子發(fā)動言論的途徑，未經認證的用戶在論壇發(fā)表言論，出現事情無法回溯，責任由誰來擔？校園網運營管理的基石---認證認證點分類準出認證準入認證部署位置校園網出口校園網核心層校園網接入層核心功能/附加功能用戶訪問外網權限檢查用戶外網行為實名審計基于用戶的流量計費管理基于用戶的帶寬控制用戶訪問內網權限檢查用戶內網行為實名審計安全控制綁定/隔離安全合規(guī)檢查訪問權限下發(fā)計費符合校園需求的計費策略定制流控融合運維精細化運營方便運維簡單運維準入、準出802.1x、Web基于時長的計費IPv4、IPv6有線、無線準入和準出融合802.1x和Web融合基于流量的計費IPv4和IPv6融合有線、無線準入和準出融合多種認證技術的融合基于流量的計費基于應用的帶寬管理IPv4和IPv6一體化有線、無線BYOD準入或準出的認證802.1x基于時長的計費IPv4有線被動主動服務價值現狀

粗放的管理目標

精細化的管理精細化運營的校園網精細化并不意味著管理及配置的繁瑣H3C扁平化方案構建大二層架構—BRAS認證Internet/CERNET準入Radius服務器（H3C）Portal服務器（H3C）接入交換機匯聚交換機L2L3BRASAPDHCP服務器全網二層隔離準出計費網關/出口BRAS準出認證服務器用戶準入信息上報認證控制點二層載荷c3100RADIUS報文大二層網絡帶來的好處OSPFL2L3L2L3接入認證方式分布式802.1X接入設備必須支持1X認證功能配置維護工作量大控制力度粗集中式PPPoE或Portal認證弱化接入匯聚設備功能配置維護工作量小精細化用戶控制力度傳統架構大二層網絡架構組網方式VRRP、IRFSTP防止環(huán)路安全問題（ARP攻擊影響大）IRF2簡化組網，無須開啟VRRP、STP協議QinQ組網，PUPV，安全性高勝出勝出大二層的穩(wěn)定性---IRF智能彈性架構多達4臺BrasAAA中心采用跨設備聚合的方式連接，配置簡化設備之間通過IRF協議，虛擬化成一臺用戶可以從任意一個BRAS上線，兩個虛擬化的BRAS系統共享同一個控制平面，用戶信息通過擴設備板間通信協議（我司IRF的構建協議）來同步用戶Session信息。主框與備框之間采用MAD心跳檢測。主框down后，備框通過MAD檢測到后立即升為主框，沿用原來主框的配置繼續(xù)運行，Session表原來就已經同步，無需更新支持PPPoE、IPoE用戶的備份Internet二層網絡IRF2組網方式的優(yōu)勢虛擬化技術，天然無環(huán)路組網

運維方便，跨框聚合鏈路可靠性高，收斂速度快實現用戶粒度的負載分擔，真正的雙機使用，冗余互備設備性能充分利用，邏輯為一臺設備，統一進行配置規(guī)劃

運維方便，一套配置全網受益不需要使用BFD技術加快收斂時間

匯聚交換機為普通設備即可，節(jié)約成本RADIUSportalDB服務器網絡存儲服務器網絡存儲服務器網絡存儲服務

管理服務

管理服務

管理云層虛擬化層服務器資源池網絡資源池存儲資源池RADIUS交付一體化ERPVM即插即用CloudCellS一體化交付方案

VMVM操作系統業(yè)務系統操作系統業(yè)務系統操作系統業(yè)務系統業(yè)務上線一體化裸金屬物理業(yè)務虛擬化業(yè)務1業(yè)務2業(yè)務3業(yè)務勾選+業(yè)務拖拽=部署完成池化業(yè)務編排部署校園網整體規(guī)劃拓撲圖InternetCernet匯聚交換機網絡接入層第三方出口網關/出口BRAS教學樓區(qū)域行政樓區(qū)域學生宿舍家屬區(qū)無線AP接入交換機10G鏈路1G鏈路骨干網核心層核心BRAS云安全網關云數據中心網VMVMVMVM物理服務器云平臺存儲設備學生宿舍家屬區(qū)辦公區(qū)無線控制器學生區(qū)家屬區(qū)服務器交換機IRF2無線區(qū)L3L2QINQ通道學生區(qū)、家屬區(qū)特點扁平化架構大二層的架構，通過QINQ技術將用戶與用戶之間進行隔離，三層網關、認證節(jié)點均在核心設備上；匯聚及接入層作為二層轉發(fā)設備而存在；IPv6業(yè)務升級便利；所有流量都必須經過核心，可以對于所有流量進行管控學生宿舍：每間房間N臺PC，N個信息點、非學校資產安全性無保障、流量以訪問校園數據中心、外網訪問為主，幾乎所有流量都將通過核心設備，出于管理和財務考慮需要強制每人每賬號，防止代理家屬區(qū)：訪問資源類型與學生宿舍類似，但是不需要考慮防止代理功能學生區(qū)、家屬區(qū)InternetCernet宿舍1號樓家屬區(qū)接入交換機10G鏈路1G鏈路寬帶控制層核心BRAS《三層網關/認證節(jié)點》云安全網關云數據中心網VMVMVMVM物理服務器云平臺存儲設備學生宿舍區(qū)家屬區(qū)服務器交換機IRF2L3L2PPPoE認證PPPoE認證Portal認證用戶QINQ管道隔離至核心寬帶接入層大二層網絡宿舍2號樓宿舍3號樓宿舍X號樓家屬區(qū)第三方出口網關/出口BRAS辦公網的特點互訪型架構互訪型傳統架構，需解決同一個房間互訪，及打印機等設備訪問的問題教學樓：每個教室一臺PC，一個信息點，只要進行教學多媒體演示，網絡訪問大多為文件提取，服務器可能在辦公室，也可能在數據中心。辦公樓：每個辦公室一個或兩個信息點，多臺PC、打印機；主要用戶老師和領導的教務辦公；大部分老師不接受客戶端方式上網，網絡訪問以傳輸文件、視頻會議、教務系統訪問、網上資料查詢?yōu)橹?。圖書館：圖書館網絡一般獨立于網絡中心由單獨的單位管理建設，有自己的借閱、認證系統。教學樓InternetCernet匯聚交換機教學樓區(qū)域教學樓區(qū)域圖書館接入交換機10G鏈路1G鏈路骨干網核心層核心BRAS云安全網關云數據中心網VMVMVMVM物理服務器云平臺存儲設備圖書館教學區(qū)圖書館服務器交換機IRF2行政樓區(qū)域行政樓區(qū)域L3L2集中式Portal認證匯聚層portal第三方出口網關/出口BRAS科教辦公大樓認證方案IRF2AAA核心Bras設備出口流量計費Bras準出認證準入認證PCPC打印機PCPC打印機實驗器材實驗室廣播域辦公室二層交換機二層交換機Portal認證網絡共享域打內層VLANtag打外層VLANtagPC目錄校園園區(qū)網建設實戰(zhàn)案例—有線網絡篇校園園區(qū)網建設實戰(zhàn)案例—無線網絡篇典型評分標準引導項目基本概況用戶方：學校新建的高校無線覆蓋（數棟樓，信息點2000個左右），包括：圖書館，行政樓，宿舍區(qū)，教學樓，國際交流中心等及部分室外區(qū)域，項目預算320萬。原核心、匯聚設備思科，接入華三，已購買華三IMC管理軟件，認證計費。參與品牌：H3C、思科、銳捷。1需求分析及整體方案架構2

方案設計及技術優(yōu)勢3

競爭分析提綱校方需求無線部署網絡先進性認證系統1、學生宿舍WLAN部署，需要解決宿舍樓體復雜導致的信號差2、大型階梯教室等終端密集場景的WLAN部署，

需要保障終端數量較多下用戶的使用感知3、風雨操場等室外場景的WLAN部署，需要解決

室外場景下數據回傳困難、設備供電困難的問題以現行需求為基礎，保證滿足現有業(yè)務的同時，需要實現網絡的先進性，以滿足3到5年期間的應用增長在網絡認證系統的管理下，保證網絡可用、可控、可管的同時，又要提高網絡的安全性和易用性教學樓POE交換機無線核心交換機（AC+FW插卡）光纖鏈路圖書館室外部分宿舍區(qū)無線接入點...BYOD系統（認證計費、設備識別、設備管理）Internet核心交換機高校無線網絡拓撲示意圖業(yè)務存儲FC/IP-SAN服務器匯聚交換機①AP與AC建立CAPWAP隧道②AP使用CAPWAP封裝用戶的802.11幀，

通過隧道將802.11幀上送AC③AC解封裝CAPWAP頭，轉換為以太網幀，并作為三層網關終結用戶二層以太網幀，作為Portal認證點為用戶觸發(fā)認證，用戶通過portal頁面提交認證信息。④用戶通過認證系統認證后，即可訪問外網或用戶通過認證系統認證后，即可訪問內網負載均衡2

方案設計及技術優(yōu)勢1

需求分析及整體方案架構3

競爭分析提綱學生宿舍部署—X-Share樓道2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz2.4GHz5GHz新一代硬幣美化天線高性能AP直接通過柔軟饋纜將2.4Ghz和5Ghz信號延伸到各個房間中去，結合智能天線技術進行精細化覆蓋階梯教室、大型會議室等場景部署階梯教室、大型會議室使用時間學生、教職工均有使用主要以視頻、新聞業(yè)務為主筆記本電腦、手機終端、PAD類終端

空間較開闊。上網時間比較固定群密度大、流量大小包業(yè)務且時間集中終端差異性較大室內空間高峰時段用戶應用終端情況用戶特征1、室內AP—支持11AC

WA4620I-ACN2、智能天線技術解決人群覆蓋問題3、頻譜導航優(yōu)先使用5Ghz豐富的頻段；4、開啟負載均衡5、未來終端發(fā)展情況下可利用11AC滿足未來趨勢室外無線部署距離遠布線難光纖傳輸

MESH對接4G回傳（LTE-FI）LTE-FI方案網絡架構WLAN終端eNodeBSGWPGWMMEAAANodeBRNCSGSNGGSNHLR/HSSInternetACPortalAAA網管3G/4G核心網

WLAN網絡管理隧道數據業(yè)務LTE-FIFITAP組網，AC統一管理，下行802.11n，上行3G/4GLTE接入支持Portal，EAP-SIM/PEAP認證BYOD解決方案，千款終端的智能識別HSS：給LTE-FI終端SIM卡分配專屬的APNPGW：配置專屬APN，識別LTE-FI業(yè)務并接入指定ACAAA：對接入3G/4G核心網的LTE-FI終端進行認證AC：與LTE-FI建立CAPWAP隧道，轉發(fā)WLAN終端業(yè)務流量Portal/AAA：對WLAN終端進行認證和計費網管：對LTE-FI設備集中管理用戶/終端認證管理方案BYOD校園云無線解決方案AP無線網管系統終端？校園云之無縫接入AnyTimeAnyWhereAnyOneAnyDevice“4A”無縫接入隨時可以訪問校園云教室、圖書館、宿舍等任意地點可以訪問校園云學生、老師、領導、訪客可以根據不同的角色進行校園云訪問終端不再局限于PC8：00-18：0018：00-22：00宿舍樓圖書館教學樓學生教師如何針對不同終端、不同的角色基于不同的場景進行管理挑戰(zhàn)！??！H3C終端智能識別技術H3C終端智能識別技術不僅僅能對終端類型的判斷，更能對設備更深層次的“指紋”進行識別MAC

OUI識別技術DHCPoption識別HTTP指紋識別終端設備類型識別根據DHCPOPTION字段識別，最精準的終端識別，無法仿冒根據HTTPUSERAGENT字段識別，可識別設備、操作系統等信息根據根據IEEE分配的OUI字段識別，可判斷終端所屬的廠商簡單識別終端類型、PAD，PHONE、PCH3C無感知認證H3C無感知認證技術在Portal認證的基礎上，通過無線控制器和iMCRadios服務器配合實現的“一次接入，多次使用”的智能終端無感知認證方案，解決了傳統Peap、Portal認證的終端兼容性和易用性難題，Internet無線校園網使用無線認證，不必多次輸入用戶名密碼，只要接入無線即可使用網絡方案亮點：用戶/終端認證管理方案的高可用性負載量H3C負載均衡設備H3C云管理平臺H3CCVK虛擬化平臺服務器集群創(chuàng)建新虛擬機業(yè)務分發(fā)資源動態(tài)擴展2服務器服務器服務器請求業(yè)務負載監(jiān)控平臺業(yè)務負載超限負載監(jiān)控通知虛擬化平臺1虛擬化平臺管理Portal虛擬機業(yè)務訪問者健康檢查當前為CVM的一個模塊Portal虛擬機Portal虛擬機3

競爭分析1需求分析及整體方案架構2

方案設計及技術優(yōu)勢提綱產品及技術分析產品H3CRJ關鍵點無線控制器LSUM3WCMD0RG-M8600-WS插槽數、AP管理數防火墻LSQM2FWBSC1RG-WALL1600-EI防火墻插卡POE接入交換機S5120-24P-EI-D-PWRRG-S2928G-24PRIP路由室內AP一WA4620i-ACN-FITRG-AP530-IAP供電功率室內AP二WA2620i-AGN-FITAP220-E-V2

宿舍APWA2620E-X-FITRG-AP220-E（M）-V2射頻口、雙頻室外APWA2620X-FITRG-AP620-H（C）

無線管理軟件WSM無線組件WLAN組件

終端接入組件License遷移SAMV3.X企業(yè)版終端識別組件EIP組件SAMV3.X企業(yè)版終端識別技術虛擬化組件CAS無DRX引導H3CBYOD