华为融合校园网BRAS解决方案

安全认证
量身定做的计费策略方案
高度灵活
按时长
• 按时长计费
计费运营 应用控制
学生场景
灵活BRAS
按流量
• 按流量计费
• 按月/按学期/按时间断 • 定期活动资费优惠
• 基础流量免费，超出计费 • 多用户共享帐号
教师场景
包月
家属场景
• 不同带宽套餐
老三样儿
HUAWEI TECHNOLOGIES CO., LTD.
家属区
学生公寓
图书馆
安全认证 计费运营
教学区
办公区
无线区
应用控制
不同区域不同需求、多个外网出口、认证计费、最大的密度、好奇萌动的青年……
全国1/4网民在校园、1X客户端最长6个月被破解
安全、运营
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 4
HUAWEI TECHNOLOGIES CO., LTD.
BRAS上部署DPI插卡，加强业型分析
检测视频/P2P应用，并进行限制或将应用流量记录在报表中 避免P2P等应用占用大量带宽 可以按时间/站点/用户来统计流量/连接数，记录在报表中，并 给出流量排名和用户使用情况分析统计
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 19
全球首款第四代BRAS
高性能
支持40GBRAS单板，256K用户，单板 512K业务队列；
第四代（40G，2009）
40G 线卡
1000/s上线速度是业界的5倍
高可靠性
业界唯一实现多机热备（BRAS Pool）， 全球超过28000台部署，运行稳定
ME60-X16/X8/X3
持续发展
Page 13
安全认证
用户行为溯源
Internet CERNET
计费运营 应用控制
对于学生用户的一些违规网络行为，需要进行追溯，快 速准确寻找到违规行为的责任人
用户信息记录：用户名、vlanID、交换机端口、AP位置、时间、UL
用户名/接入点/IP/端口/时间，记录在案
BRAS做NAT时在IP/Port表项中加入用户名，在扩展Radius属性中 加入，上报Radius服务器
华为保密信息，未经授权禁止扩散
Page 5
安全认证
1X认证分析（MAC认证、IPOE）
Internet CERNET
计费运营 应用控制
优 缺
安全策略灵活部署 准入型认证，网络保护度高
安装客户端，维护成本高 应用程序间兼容问题 开放端口型认证，抗攻击差 新兴媒体设备认证难度大（强制心跳）
自动维护系统能力，用户信息获取方便
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 2
校园网络的演变
面向教学的公益网络
科研、教学、生活、社交一体化的运营网络
Today---
社会化网络时代
Late 90s---
互联网时代
---Early 90s
• 多类型移动终端 • 高清远程教学、视频点播、云服务、 社交网络、移动互联网… • Web2.0
华为保密信息，未经授权禁止扩散
Page 10
安全认证
创新的计费方式（按目的地址计费DAA）
Internet CERNET
计费运营 应用控制
Internet流量 资费较高
Cernet/国内流量 资费较低
校园网中访问内网、Cernet、国内网络、国际网络的流量， 产生的运营商资费有区别，需要按地址进行计费，并能以套 餐形式体现
认证前端口半开放(先获得IP)，抗攻击差 安全和策略部署难度大 下线问题需要解决
综合能力好，移动终端支持度高，发展前景好
适用：一般类企业场景，配合合理的vlan规 划可以覆盖多数场景
IP地址获得
身份认证
内部横向流量
出口流量
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
对于违规行为，可根据公网地址/端口号在Radius服务器日志中 获取到用户名，直接定位到用户
违规用户
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 14
方案总结
Internet
NE40E
CERNET
ME60 BRAS
1、分区认证，有效隔离 2、有线无线统一认证 3、精细化灵活计费 4、带宽策略控制 5、行为可溯保障
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 11
安全认证
HQoS精确控制校园网业务流量
业务区分 不同的业务进不 同的队列 (SP/wrr) 用户区分 映射不同的用 户 (WFQ) 用户组区分 不同的设备 Vlan group schedulers (WFQ) 子接口区分 不同子接口 Subinterface scheduler (RR) 端口区分
架构成熟稳定，满足客户后续业务发展
第三代（10G，2004）
4*10G 不线速
全面支持IPv6
良好的对接能力
已经被深澜、城市热点、信利、 其他厂商产品
20G线卡
佳建…等国内主力业务平台所集成。
1*10G不线速
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 20
AP7110DN AP6310SN
AC6605
ACU For S9700/S7700
eSight :
数据中心交换机 全系列以太 网交换机
CloudEngine12800 CloudEngine 5800/6800
园区核心交换机
万兆汇聚交换机
千兆接入交换机
百兆接入交换机
SMB交换机
S9700
S7700
HG80x0/ 81xx/82xx
Eudemon 200E/1000E/8000E
SVN 2000/5000
NIP2000/5000
ME60 X3/X8/X16
BTS
Terminal
DBS 3900
WDM
MSTP/Hybrid MSTP
微波
统 一 网 络 管 理
光传输&微 波
OSN1800 OSN3800 OSN6800 OSN8800 Metro100/1000 OSN 500/550 OSN1500 OSN2500 OSN3500/7500/9560 RTN910 RTN950 RTN980
S9300
S5300
S3300
办公设备
办公区
宿舍区、家属区
移动
精细化运维 高安全运维 简易化运维
Ipoe、MAC
MAC MAC
802.1X Pppoe+QinQ web
pppoe+QinQ Pppoe+QinQ web
web Pppoe+QinQ web
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 8
安全认证
常见认证方式对比（没有不好的，只有用的不好的）
技术比较 客户端软件 安全等级 网络灵活度 认证节点 抗攻击能力 安全策略部署 802.1x 需要 中等 高 准入 弱 强 Portal/Web 不需要 高 高 准出 弱 弱 PPPoE 简单 强 低 准入 强 强 IPoE、MAC 不需要 低 高 准入 弱 弱
局域网时代
•台式机 •教学实验、辅助办公 •单机+Telnet
•台式机、便携机 •远程教学、文献检索、学生上网 •Internet、web
高度互联、校园边界模糊
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 3
最复杂的网络
远程教学
业务复杂、人员复杂、政策多变
计费运营 应用控制
用户 VLAN
物理接口 Physical Port scheduler (RR/Shaping)
S
业务
VLAN
物 理 接 口
子 接 口
S
S S S
S
S
Biblioteka Baidu
层次化的QoS解决方案，能够完成接口、子接口、用户组、用户、业务5级调度 可规划：一个系的，一个导师的，一个同学的，一个业务的流量
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 15
随着校园移动性的加强，大BARS将会成为趋势
Internet
CERNET
随着校园移动性的加强，跨区域的移 动将成为普遍现象。小BRAS、分布 认证必然导致大量的用户信息在分部 认证节点频繁同步。实时性，业务随 动性都将成为挑战。大BRAS将成为
发展方向。
计费运营 应用控制
维护成本
部署难度
高
高
低
低
低
高
低
低
对设备要求
最适合使用场景
交换机\BRAS
教师用户
交换机\BRAS
移动终端 外部访客
BRAS设备
学生宿舍 教师家属区
BRAS设备
移动终端 无浏览器哑终端
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 9
西安电子科大
湖北工大
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 18
华为在CERNET2骨干网
CERNET2华为覆盖全国22个重 点区域，占有70%以上份额
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
华为全系列企业网产品
全系列IP产品与解决方案
接入路由& 核心路由& WiFI
AR 200/150
接入路由器 AR G3
核心路由器
WiFi AP
WiFi AC
AR 1200
AR 2200
AR 3200
NE20E-X6
NE40EX3/X8/X16
NE5000E
AP6010 SN/DN
AP6510DN/ AP6610DN
复旦
北师大
宿舍区
数据中心 教学区 图书馆
南航
上海财经
S3700 S7700 S9700 NE40E ME60 BRAS
西南交大
上海交大
华为承建全网校园网升级改造，出口采用2台高性能ME60－X8做宽带多业务接入网关承载 所有校园用户的认证计费业务，提供PPPOE、IPOE、Portal、专线等多种认证接入方式， 满足多类型终端，多计费方式的需求，实现对校园网内不同用户的精细化管理，提升了用户 体验，IPV6、IPV4双平面。
按目的地址(目的网段)区分业务类型，不同业务流量统计
不同业务对应不同费率，实现基于业务的精细化运营， 满足不同运营商差异化费用结算、业务增值等需求
内部资源 访问免费
针对不同目的地址进行差异化带宽控制， 推出不同业务带宽需求的灵活组合套餐，进行差异化运营服务 用户自助服务，用户登录界面，根据自己的需要，自助选购、 激活/去激活各种增值业务策略，降低了高校的运维成本
华为保密信息，未经授权禁止扩散
Page 12
安全认证
特殊流量识别与管控（P2P、游戏网站、非法网站）
Internet CERNET
计费运营 应用控制
校园网学生宿舍中BT/Emule/迅雷/PPTV等P2P应用和 视频/多媒体网站访问，大量占用出口流量 对于学生用户访问与学习无关的站点，特别是上课时间 访问，需要进行合理管控
教学区
办公区
学生公寓
家属区
远程教学
图书馆
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 16
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 17
华为在校园网
湖北工业大学案例
Internet 家属区 CERNET
S6700
S5700/S5710
S3700
S3700POE
S2700
S2700POE
S1700
xPON
防火墙/UTM
OLT ONT
SSL VPN
IDS/IPS
业务网关 BRAS
WiMAX
GSM-R
接入&安全 &业务网关 &无线产品
MxU
MA561x /2x/3x
MA5652 /62/69
MA560x/ MA568x
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 21
Thanks
HUAWEI TECHNOLOGIES CO., LTD.
Page 7
安全认证
PPPOE+QinQ认证分析
Internet CERNET
计费运营 应用控制
优 缺
认证后建立专有隧道，安全性强 横向流量过BRAS，流量监管好 精细化管理能力强
使用专用设备，前期建设成本高 部署相对复杂 网络灵活度小
安全性最好、轻量运维 适用：安全隐患较多，期望简化运维
IP地址获得 身份认证 内部横向流量 出口流量
适用：规矩用户的应用性场景
IP地址获得 身份认证 内部横向流量 出口流量
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息，未经授权禁止扩散
Page 6
安全认证
Web（portal）认证分析
Internet CERNET
计费运营 应用控制
优 缺
无需客户端 增值业务能力强 部署简单