运营商校园网解决方案汇报

运营商校园网解决方案日期：2010-10密级：内部公开杭州华三通信技术有限公司目录校园网市场分析与战略H3C校园网解决方案H3C校园网案例和产品介绍万大二、大三在校生约1200多万普通本专科高校学生约2450万562.5438.664.6手机用户非手机用户手机开销一般开销在校生移动电话渗透率95%，ARPU60元，占生活消费比10%校园市场是各大运营商竞争的焦点，同时也是3G竞争的制高点。1500所高校，校园市场年收入超过100亿元并且不断递增校园网模式运营商投入产出分析综合考虑:运营商每年收入为以上几点之和，为96+283.2+28.32=407.52万元。而且毕业的学生如果保留手机号码，其话费将远超过59元/月的校园用户平均消费水平，同时在校学生还可通过亲情号拉动非校园用户对189号码的使用。电信利用宽带进入学校，绑定用户，即保住了宽带的战略高地，又抢占了移动的手机消费，一举两得。2G宽带收入（万元）移动话费收入（万元）附加值收入（万元）运营商总收入（万元）备注未采用校园网模式16000160附加值收入为校园网用户离开校园后保留移动号码所带来的收入采用校园网模式96283.228.32407.52校园网给学校带来的好处电信校园网模式之前：电信定义的目标学校多是二三类学校，这类学校有很多都无教育网，有的学校自己建设了校园网，但出口带宽控制在运营商手里，基本在100M级别，学生上网慢，投诉多，学校在宽带运营这块基本没什么收入。电信校园网模式之后：电信免费升级学校出口带宽（一般直接上升到1G-2G），学校在此并无开支，但是，电信对学生按升级后的速率收取宽带费，并给学校分成（以1万人的学校，开通60%，每人每年宽带费300元，电信给20%分成，学校每年净分红36万元），学校在无任何投入的情况下大大提升了在宽带方面的收入。另外学生投诉少，学校硬件设施得到改善。目录校园网市场分析与战略H3C校园网解决方案H3C校园网案例和产品介绍校园一体化网关解决方案业务：一卡通融合认证计费合作分成建设趋势：网络与流量优化一体化出口网关IPv6管理和维护：防一拖NURL过滤基于应用的带宽控制定时开关网络服务行为审计校园网建设：网络结构和流量优化城域网教学管理系统图书馆系统教学区图书馆学生宿舍…校园网系统运营商承建校园网核心网核心网教育网80%20%80%城域网教学管理系统图书馆系统教学区图书馆学生宿舍…校园网系统运营商承建校园网核心网核心网教育网80%20%按照流量2/8原则，80%流量迂回城域网流量负载大校内资源安全访问，无流量迂回校园出口流量精细化管控满足校园个性化需求，深度运营当前校园网出口方案的问题：多厂家难以统一管理，设备数量多难以统一管理不同业务由不同厂家设备处理，难以整合，难以形成统一策略；糖葫芦式叠加，增加故障点；需要更多功能时，还要继续“摞补丁”InternetCERNET防火墙：Cisco、H3C、飞塔IPS/IDS：H3C、Cisco、天融信无线控制器：H3C、Cisco流控：Cisco、深信服、H3C计费网关：城市热点、深澜软件校园网建设：校园一体化出口网关一体化出口网关方案优势：大大简化组网复杂度增强可靠性，减少故障点管理更简单平滑扩容InternetCERNET内网子网1内网子网2内网子网N内网子网1内网子网2内网子网N校园网建设：IPv6成为基本要求AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道AP：DNS6DHCPclient6无线控制器：ACL6DNS6TraceRT6Telnet6TFTPIPv6FTPIPv6DHCPclient6Ping6无线交换机支持MLDSnooping配合现有IPv6有线网络，实现IPv6组播业务无线组网支持IPv6环境IPv6管理IPv6组播不仅仅是IPv6透传城域网/Internet运营计费平台无线接入区教学区图书馆学生宿舍有线接入区校园侧运营商侧一体化网关国家发改委发文要求各校园网必须支持IPv6IPv4的地址即将用光，“狼”真的来了交换机办公系统图书馆系统学生系统、代理主机（安装了代理软件，双网卡，或IE设置代理）发起网络访问请求一体化网关3、iNode完成安全策略检查，并定期上报客户端行为信息到UAM2、iMCUAM对用户进行认证，对合法用户控制网络访问权限，并下发安全检查策略。4、UAM定期分析客户端行为，一旦检测到违规，立即下发策略到iNode客户端，强制代理主机下线。校园网管理：防一拖N，防IE代理通过iNode客户端和UAM认证服务器配合，支持防双网卡、私设代理、IE代理等通过此方案可以彻底校园网代理问题。校园网管理：地址转换和安全策略城域网/Internet运营计费平台无线接入区教学区图书馆学生宿舍校园内网校园侧运营商侧一体化网关FW交换机办公系统图书馆系统NAT和安全策略：FW实现NAT地址转换，并提供NAT日志功能。FW部署防攻击策略，防止校园网ARP攻击，DHCP攻击，以及DDoS等攻击。FW部署内网安全防护策略，限制外网访问的协议和端口号等。教育网应用协议感知应用流量感知用户行为感知上网内容感知即时升级的特征库细粒度应用流量控制根据五元组精确控制根据时间段精确控制URL过滤、内容过滤黑名单记录访问信息用户应用使用分析用户行为的纵深分析应用流量的纵深分析应用识别应用控制行为审计校园网管理：应用层控制网关、基于应用的带宽分配、带宽借用：上行、下行最大/保证带宽、最大会话数、通道优先级2、基于应用的Qos标记：IP优先级、DSCP标识在应用流量分析、流量控制基础上，进一步丰富流量管理方案，保障校园网关键业务转发。校园网管理：基于应用的带宽控制实现精细化运营用户不能访问带有“sex”的URL地址FTP/邮件过滤，避免信息泄露Internet校园网针对非法网站访问，通过URL过滤、关键字过虑，避免因访问反动、色情网站造成政治和安全的隐患可通过主机、正则表达式、关键字等设置URL库过滤掉无关的JavaApplet/Active组件校园网管理：URL过滤ACG一体化网关运营商网教育网校园网管理：定时开关网络实现绿色节能学校网管校园网城域网运营商网管人员学校网管：校长要求我们的网络必争在晚上十一点以后关闭运营商网管：关闭电源？关闭交换机？学校网管：老师的网络在晚上十一点不能关闭运营商网管：？支持基于射频接口的关闭AC上一条命令解决支持基于SSID的关闭每AP每年至少可节约11K单用户流量快照：针对高流量用户、服务器，详细了解有业务趋势、分布、流量明细，是否有必要制定流量控制策略、是否有必要实行带宽保障策略用户组流量分析：流量复杂的宿舍楼道，使用情况如何，是否有违规应用、带宽滥用Top用户流量分析：哪些用户流量最大，快速发现异常流量是否存在恶意流量，服务器性能使用如何哪些用户的流量最大；哪类P2P下载、网络游戏流量最大；应该控制哪类业务流量X楼道网络经常“抽风”，哪些用户、业务导致，如何制定有效的流量控制策略校园网维护：可视化流量分析校园网管理：ACG实现用户行为审计城域网/Internet运营计费平台校园侧运营商侧一体化网关IAGACGFW用户认证NATACG支持简单的“用户行为审计”功能:1)基于IP地址反查用户名2)审计日志的导入导出、自动备份3)对URL访问、FTP应用、SMTP/POP3、MSN/QQ等的行为分析和审计管理ACGManager通过交换机镜像radius报文或radius服务器发送radius报文到ACGManager，以便ACGManager掌握用户名信息校园网教学区办公OA运营商校园驻地网交换机办公系统学生宿舍流控校园网业务：校园一卡通系统融合上网用户POS机缴费缴费用户校园一卡通服务器iMC认证服务器iMC或第三方认证计费系统：学校出口网关使用Radius协议同iMC通信，直接使用iMC的用户数据系统。iMC和运营商OCS系统互通，同步账户信息。一卡通系统：iMC使用LDAP协议同一卡通系统对接，目前可以和Sun、IBM以及微软LDAP服务器及在此基础上二次开发的一卡通系统对接用户通过一卡通缴纳上网费用，实现宽带上网和校园信息系统的无缝融合。案例：西南交通大学、南京大学PortalServerRadius运营商网络运营商认证计费系统一体化网关校园网业务：校园网合作分成UAM通过RadiusProxy，转发用户的认证请求到运营商计费平台认证，无需生成本地数据库。多业务网关(AC+IAG+FW)校园综合管理平台校园内网无线接入区教学区图书馆学生宿舍有线接入区交换机办公系统图书馆系统IMC服务器教育网运营商方案一：校园运营计费平台和IMCUAM定期同步数据方案二：IMCUAM通过RadiusProxy，转发用户认证请求到运营商计费平台认证。校园业务：二次认证实现防代理部署方案用户侧安装iNodePortal/802.1x统一认证客户端；校内部署IMCUAM。一体化网关部署AC,IAG和FW插卡，IAG做出口计费网关。校园内网访问有线用户在接入交换机采用802.1x认证，对访问校园网的进行安全准入检查与控制，不做计费；无线用户在AC上进行Portal或802.1x认证，不做计费。有线、无线采用统一iNode客户端。校园网外访问用户访问外网，需再次进行Portal准出认证。认证方式可以采用浏览器页面方式，由IAG配合运营商Portal实现。也可由iNode配合IMCportal实现，但需再部署IMCportal服务器组件。计费策略支持多种计费策略（如限流量包月、优惠时段等）支持自助缴费、充值卡、费用余额查询、包月暂停等用户自助服务一体化网关校园网综合管理平台校园内网无线接入区教学区图书馆学生宿舍有线接入区交换机办公系统图书馆系统IMC服务器教育网运营商网1.有线用户访问内网，在交换机上采用802.1x认证2.无线用户访问内网，在AC上采用Portal认证3.访问外网，需要再次进行Portal认证。附：校园网建设方案典型组网一：普通学校标准型(5000人以下规模学校）城域网/Internet163运营计费平台校园网教学区办公OA运营商校园驻地网校园侧运营商侧一体化网关交换机办公系统学生宿舍教育网IAGFW用户认证NAT方案组成：S76+IAG+FW+ACG主要功能：1）IAG为师生提供认证、计费功能；2）FW提供出口NAT及基本的安全过滤，FW部署基于源地址的策略路由，强制PPPoE用户只能访问校园网。3）ACG提供出口带宽控制，限制P2P、视频等非关键业务流量。ACG业务部署：接入认证学生访问外网，采用PPPoE或Portal认证，并进行计费。学生访问校园内网，不认证，S76直接二层透传。用户IP地址由校方分配，采用私网IP地址。PPPoE/Portal认证FWInternetCERNET城域网校园综合服务平台IAG1访问外网，认证