【精心整理】某某大学多运营商共建共享共校园网络方案

谢谢
北向接口：深澜侧根据相应策略上送radius报文至电信、移动、联通等运营商 AAA进行认证、授权、计费。
认证：有线学生宿舍区使用pppoe认证，教学办公区及无线区采用 dhcp+portal的认证方式，认证控制点在Bras上，有线宿舍区认证体系采用 radius+coa作为主要的承载协议，无线认证采用dhcp+Portal接入，认证控制 点在bras上，认证采用portal+radius+coa协议作为主要承载协议。无需代理 用户采用本地认证。
绩效指标：项目选择有严格的投入产出比要求、业务部门和市场人员 有明确的任务指标和考核方式。
需求分析--师生
教工需求：办公区免费上网、高速的出口带宽体验。
学生需求：充分的自主选择、方便的体验、便捷的自助服务，及时的 故障报修。
访客授权：会议、培训等场景访客用户开通。
网络设计
校园网的组成：一张统一业务承载网包含以下 宿舍区有线网 教学区有线网 WLAN 无线网 及各基于IP网络的各专网
（3）其他：有线教学区、宿舍区、无线区域不同认证方式的需求。
需求分析--运营商
运营商需求：
投资合作：运营商网络服务覆盖高校校园范围和服务、注重可持续合 作、优先选择符合集团采购列表的设备。
业务发展：获取最终用户数据信息，提供用户差异化、个性化产品， 提升在高校的竞争力和品牌覆盖，开拓和培养4G业务客户群、获得更 多的语音、数据和增值业务收入。
用户正常访问网络
用户下线流程
PC
swtich
bras
本地AAA服务器
远程AAA服务器
用户提交下线（或bras检测用户下线）
时间轴
bras封装radius报文计费结束报文到AAA
本地AAA代理至远程AAA 远程AAA回应并下线
本地AAA回应并下线
用户断开网络
业务流程（有南向接口）
1、师生通过各运营商营业厅办理、退订融合理套餐、单宽业务；交费、改密等； 2、营业员核对身份证件，录入运营商crm系统； 3、省boss系统自动将用户信息同步到学校用户系统，身份证号与学号/一卡通号关联； 4、用户通过有线或无线方式进行认证，使用学号/工号/一卡通号作为用户名； 5、学校本地AAA进行用户名转换，将转换后的用户名发到运营商AAA进行认证； 6、认证通过，用户上网，用户下网，产生明细； 7、账期结束，本地结算程序根据结算规则，扣除用户费用，使用清零； 8、校方根据结算费用，和运营商进行分成，如果校方账期与运营商账期不一致（运营商账期为自
7、校方有权针对学生的作息时间管理，周日至周四23:00 – 6:00 实行断网（节假日除 外）。
8、各运营商需要赠送办公网的带宽。
合作规范---收费标准
由校方制定收费指导原则，满足运营商业务开展的合理的差异 化竞争之需求。
运营商 电信 联通 移动 电移信动 联通 移动
最低带宽 4M 4M 4M 8M 8M 8M
硬件
服务器 重定向服务器 Portal aaa 自服务服务器 数据库服务器 接口服务器
数量 *2 *4 *2 *2 *2 *2
存储
*1
备份服务器
*1
负载均衡
*2
防火墙
*1
型号 服务器 虚拟机 服务器 虚拟机 服务器 虚拟机
虚拟机 硬件 硬件
推荐配置 志强5620或以上8G或以上 内存（也可虚拟机） 2核cpu或以上1G或以上内 存（也可虚拟机） 志强5620或以上8G以上内 存（也可虚拟机） 2核cpu或以上1G或以上内 存（也可虚拟机） 1000M光纤卡（也可虚拟 机） 2核cpu或以上1G或以上内 存（可选、也可虚拟机） 磁盘50G（也可虚拟机） 500G+2T
5、各运营商负责各自的上网行为审计功能，由学校的校园网认证计费系统提供radius 或syslog等接口进行对接，实现实名制日志审计。
6、运营商在校园开展网络经营活动必须接受学校的统一管理和相应要求，并保证自协 议签订后不在校园内架设网络线路（包括有线、WiFi、2G、3G、4G），否则校方可 根据违规情况进行业务暂定等。
同的域用户走不同的出口。 或bras提前配置不同的地址池（cuc、cmcc、ctc），AAA服务器在用户
认证通过后根据账号下发公有88号Framed-Pool属性（cuc、cmcc、 ctc），用户拿到相应的地址，出口设备根据源地址进行路由。 本地AAA服务器作为radius proxy模式部署，具体认证简要流程见下图。
为AAA、portal提供负载 均衡（可选） 为api服务器提供dnat （可选）
AAA软件设计（A）
南向接口：电信、移动、联通等运营商crm系统侧开户后联动 webservice协议同步至api服务器，api服务器再与数据库服务器进行 联动。（如运营商因各种因素制约，无法部署，可采用设计B）
北向接口：深澜侧根据相应策略上送radius报文至电信、移动、联通 等运营商AAA进行认证、授权、计费。
然月，校方为根据用户首次上线时间生成），则根据账期内用户明细进行统计。
业务流程（无南向接口）
1、校园网账户通过学校统一身份认证系统在校内认证计费系统中同步生成； 2、师生通过各运营商营业厅办理、退订融合理套餐、单宽业务；交费、改密等； 3、营业员核对身份证件，录入运营商crm系统，并告知用户手机号和手机密码； 4、师生登录学校AAA自服务系统，进行学号/手机号密码绑定； 4、用户通过有线或无线方式进行认证，使用学号作为用户名使用统一身份认证密码作为密码； 5、学校本地AAA进行用户名转换，将转换后的用户名发到运营商AAA进行认证； 6、认证通过，用户开始使用，用户结束使用，产生明细； 7、校方根据账期内用户使用明细进行统计分成。
计费方式 包月 包月 包月 包月 包月 包月
基础费用（元） 20.0 20.0 20.0 40.0 40.0 40.0
费用区间（元） 16.0-24.0 16.0-24.0 16.0-24.0 16.0-24.0 16.0-24.0 16.0-24.0
调整幅度 上下20% 上下20% 上下20% 上下20% 上下20% 上下20%
授权：PPPOE根据不同业务下发对应的地址池、dns模板，无线根据 不同的业务下发相应的的策略。无需代理用户采用本地授权。
计费：采用各运营线各自计费、本地AAA记录相应上网明细。无需代 理用户采用本地计费。
南向接口---数据共享融合
AAA软件设计（B）
账号绑定：学生通过自助服务系统进行学工号、手机账号、手机密码的绑定。
2、出口防火墙功由校方统一提供，光纤接口为万兆和千兆。
3、各运营商AAA系统需对校方AAA服务器进行nas_ip授权，并提供各AAA服务器ip和 接入秘钥。
4、各运营商的CRM系统需与校园网认证计费系统提供的webservice接口进行对接，实 现账号绑定、续费、业务开通、业务变更、停机等功能（尽可能提供）。
授权：PPPOE根据不同业务下发对应的地址池、dns模板，无线根据不同的 业务下发相应的的策略。无需代理用户采用本地授权。
计费：采用各运营线各自计费、本地AAA记录相应上网明细。无需代理用户 采用本地计费。
通过自服务绑定手机、密码
技术实现--流程
bras和下游接入设备采用二层接口连接。 bras提前配置联通、移动、电信认证域（@cuc、@cmcc、@ctc），不
用户上线流程
PC
swtich
用户提交认证
bras
本地AAA服务器
bras封装radius报文提交认证
远程AAA服务器
时间轴
本地AAA修改用户名、密码并代理到相应radius报文提交认证
远程AAA返回认证通过报文并下发属性 本地AAA返回认证通过报文，并去掉远程属性、执行本地下发属性 用户认证成功，并创建PPPOE通道
用户开户、续费流程
营业厅 用户至运营商营业厅办理开户、续费
crm平 台
crm api服务器 本地ap用户资料同步到crm api服务器 crm api服务器根据本地api接口规范送到本地api服务器
收益分成
合作规范---准入要求
1、各运营商负责各自的出口线路，各运营商根据业务需求情况提供，建议提供10G链 路。
网络拓扑示意图
省AAA
省AAA
省AAA
电信出口 移动出口
联通出口
教学区出口
电信内网 移动内网 联通内网
Router Bras
Router Bras
Firewall
Firewall
负载均衡
学生宿舍区
教学办公区 无线接入
Porta l服务 器*4
AAA 服务
器*2
Db服 务器
*2
AAA服务器群
AAA平台设计
2核cpu或以上1G或以上内 存（也可虚拟机） f5或redware
至少5个1000M端口
备注 教工区Ipoe认证重定向 （主、备）（可选） 集群（wlan）（可选）
Ipoe、pppoe、wlan认证 服务器集群（必选） 用户自服务主、备（可选）
主、备（可选）
主、备（可选）
数据库服务器500G，备份 2T（可选） ftp服务器（可选）
需求分析--网络中心
校方需求：
（1）网络及设备：优质可网管的接入层设备，实现用户可变路由及 承载大规模用户的Bras设备，线速转发的出口防火墙设备，及多运营 商的高速的出口带宽。
（2）管理：网络设备的管理权、用户的管理、收益分成管理。主要 体检为统一身份认证，不同用户不同权限，掌握各运营商开户数、活 跃用户数，与教学办公区等网络对接等。
认证：有线学生宿舍区使用pppoe认证，教学办公区及无线区采用 dhcp+portal的认证方式，认证控制点在Bras上，有线宿舍区认证体系 采用radius+coa作为主要的承载协议，无线认证采用dhcp+Portal接入， 认证控制点在bras上，认证采用portal+radius+coa协议作为主要承载 协议。无需代理用户采用本地认证。
合作规范---共维
第三方运维管理公司负责学校Bras以下（不包含Bras），一直到用户端口 （包含用户计算机不能上网等软件故障）的所有维护，以及所需的零配件的更换 等。具体包含以下几个方面：
1、接入、汇聚交换机的配置管理 2、线路的维护维修 3、用户故障答疑与沟通协调 4、校园网建设的协同配合 5、在受控的权限下参与管理学校AAA系统
传统模式中，师生带宽需求与出口带宽租用费用的矛盾，无线终端等 接入与现有校园网络矛盾，学校信息化建设资金投入矛盾，高校与各 运营商合作，从长远来看，对各方来说都是有利的。
在校方、多运营商新型合作模式上，需建设一张可以同时承载多运营 商宽带网络业务的校园接入网络，并设计与之配套的一种可以基于用 户自选各运营商宽带业务的认证、授权、计费管理的系统，从而解决 现阶段高校网络存在的种种矛盾。
合作规范---收益、付款、支出
根据投资、收益原则，由校方与各运营商共同制定收益比例。
付款方式：以校方AAA系统提供具体用户清单（各运营商均可查询），在第 二月15日前，各运营商将分成费用以转账方式汇入学校财务指定的账号。
鉴于三家运营商共享一张接入网，宿舍网运维管理，应采用外包第三方公司 运维管理，由学校从宿舍网的收益分成中，按照每月每用户*元X实际使用用 户总数计算第三方运维管理公司的网络运维费。
某某大学宿舍网多运营商方案
深澜软件 苏涛 taosu@
校园网普遍存在的问题
校园网经过了多年的发展，校园出口带宽从开始的Cernet接入、到运 营商的接入，高校用户上网依赖大部分带宽依赖租用运营商的线路， 随着用户应用快速的增长引发对带宽的需求与运营商带宽租用费用之 间的不可调和的矛盾，近些年来部分高校进行新的探索，通常以某个 运营商签署排他性协议合作建设运营宿舍区域、无线网。随着政策环 境的约束、用户的权益意识提升、市场化竞争的需要，已不可再依赖 垄断和强制的方式发展今后的校园网。新形势下，如何建设一张基于 用户自选运营商宽带业务的校园接入网，提升用户多种接入设备、更 大的管道体验，对校园网络中心而言是一个崭新的课题。
本地aaa服务器作为radiusproxy模式部署具体认证简要流程见下用户上线流程brasbras本地本地aaaaaa服务器服务器用户提交认证用户提交认证用户正常访问网络用户正常访问网络时间轴时间轴pcpcswtichswtich远程远程aaaaaa服务器服务器brasbras封装封装radiusradius报文提交认证报文提交认证本地本地aaaaaa修改用户名密码并代理到相应修改用户名密码并代理到相应radiusradius报文提交认证报文提交认证远程远程aaaaaa返回认证通过报文并下发属性返回认证通过报文并下发属性本地本地aaaaaa返回认证通过报文并去掉远程属性执行本地下发属性返回认证通过报文并去掉远程属性执行本地下发属性用户认证成功并创建用户认证成功并创建pppoepppoe通道通道用户下线流程brasbras本地本地aaaaaa服务器服务器用户提交下线或用户提交下线或brasbras检测用户下线检测用户下线用户断开网络用户断开网络pcpcswtichswtich远程远程aaaaaa服务器服务器brasbras封装封装radiusradius报文计费结束报文到报文计费结束报文到aaaaaa本地本地aaaaaa代理至远程代理至远程aaaaaa远程远程aaaaaa回应并下线回应并下线本地本地aaaaaa回应并下线回应并下线时间轴时间轴业务流程有南向接口8校方根据结算费用和运营商进行分成如果校方账期不运营商账期丌一致运营商账期为自然月校方为根据用户首次上线时间生成则根据账期内用户明细进行统计