高校校园网极简运营解决方案

亮点2：
用户信息统一在核心设备上，根据网关端口+ VLAN 号快速定位终端用户。
VLAN1 to VLAN 2000
VLAN2001 to VLAN
4000
AP
AP
亮点3：
接入、汇聚设备只要支持VLAN和Trunk 口功能， 升级改造、新增网络成本最低
每接入VLAN1 to VLAN 24/48
支持Super VLAN、QinQ等多种隔离方案
认证
打开
BRAS
Portal
用户
流程 浏览器
重定向
推送页面
认证
8台Portal服务器群
BRAS设备 重定向
问题
无法实现降噪，极大影响用户体验
分析
在无线环境下，用户会预先连接到网络，这个时候所有软 件均以为已连接到网络，因此自动通过80端口发送大量请 求（俗称“网络噪声”）；
“网络噪声” 请求均会转发到Portal系统上，导致Portal 服务器宕机。
http流
业内领先的防护机制，保障用户最快上网认证速率
Internet SNC网管
AC
CERNET 认证服务器
AC
拒绝转发
Newton18000交换机能够屏蔽非法认证报文， 保护Portal/认证服务器免受攻击，保障用户上网 认证体验，即使在高峰期也能不受影响。
标准浏览器认证报文，放行通过；
非法认证报文，被屏蔽拦截；
1小时切换IPv6（IPv6大网关、 OSPFv3）
启动有线扁平化割接（同济、办公） 目前华中科技大学有线已割接8千人 上线
自由选择 AP与交换 保护现有投资
认证快，体验好 认证速率提高10倍
不掉线，无投诉
解决原H3C 75E网关能力 不足问题
一体化组件，持续升级 不扯皮不推诿
清华
问题：5月：常掉线，寻求方案，并尝试多个 品牌
技术创新，变革未来
高校校园网极简运营解决方案
极致的认证体验
自动关联
>1W人 集中认证
移动 终端
6:4 非认证 噪声
无线网络的复杂度在提升
无线网建设中的普遍性问题
用户老掉线
ARP/ND表项的激增导致原核心交换机表项不足，例如1个6000用 户的网络规模，实际某学校设备的表项却消耗了18K（传统网络设 备的表项在8K-16K）；由于移动的特征（例如学生教室），导致D HCP地址池快速耗尽，地址获取不到；
在SAM自助平台生成二维码
担保人
访客扫描二维码/编号 即可认证入网
扫一扫 访客也简单
华科遇到的麻烦
协调难（多 厂家对接）
采购烦
认证慢（AC性能不足）
老掉线（ARP表 项不足）
N18K上架（2014年1月），3台AP割接，测试方案 验证
锐捷621台AP割接，15个区域，在线2500人
H3C 1171个AP割接 27个区域，同时在线8000人
“10万级”终端 有线/无线统一认证，统一网关，网络架构扁平化
Newton 18000 提供统一网关：
170K ARP 17万IPv4 终端 120K ND 12万IPv6 终端
9万IPv4IPv6双栈
全球最高网关能力，业界目前水平10倍， 确保各类终端接入
1个网络1台设备
Bras方案无法适应无线环境（武汉某211、浙江某211、甘肃某211等）
保护投资
功能对比表
接入层 汇聚层 核心层
认证功能 安全策略 IP地址管理 路由管理 安全和IP路由 认证功能
传统架构
需要 需要 需要 需要 需要 部分需要
极简架构
无 无 无 无 需要 需要
用户安全隔离（Vlan或QinQ），网络安全问题少
核心设备
网关 核心设备物理端口
SUPER VLAN： 4001
简60%
简50%
简60%
节省人力
•改造前：有人员增加需求，网管数量需要翻倍 •改造后：老师管核心，学生管接入，无增加需求 •未来做无线：仅增加学生网管的数量即可
降低了现在校园网的整体TCO 减轻了支撑无线服务的资源限制
可根据用户的场景需要，进行相应的技术选择。
降低校园网整体TCO
节省资金
•改造前：有接入升级需求，￥3000/台 •改造后：接入只需支持vlan，无需再投入 •未来做无线：只增加或替换坏的，￥1000/台
降低技术门槛
•改造前：接入维护人员要培养和锻炼近半年 •改造后：接入维护人员只需培训和熟悉2个月 •未来做无线：对接入维护人员要求不高
AP
AP
AP
AP
32核超强CPU
8核专用于认证
1000终端/S
业界目前水平3—10倍
3秒 用户认证感受“分割线”
4核CPU
2核处理Web降噪
<50毫秒认证页弹出
业界目前水平20倍以上
<1秒 超出用户认证期望
Web/802.1x 无感知
免认证，无感自动连接
“0”秒上网，入网即在网
授权二维码 管理员
认ห้องสมุดไป่ตู้体验差
3秒钟Por tal页面的弹出是用户体验的分水岭，而由于web噪声及po rtal、ac性能（噪声也都需要送CPU处理）的问题导致用户体验差。
维护升级难
AC+AP+Portal+Raduiis服务器这是一套整体解决方案，要想获 得良好的用户体验和持续的定制化能力，那就是需要绑定厂商， 如果是分期建设的无线，用户将如何选择？
测试 : 7月：N18K割接上线
观察：11月：2万在线V4用户，无掉线、满意
正在进行：IPv6切换准备、有线扁平化 目前已割接1万 IPV6用户
简单的运营保障
极简设计，简化有线网运维
Internet SNC网管
AC
AP
AP
CERNET 认证服务器
AC
核心层
汇聚层
接入层
AP
AP
极简架构基本特征
1. 核心设备作为集中认证网关 2. 核心设备完成安全策略配置、管理 3. 接入、汇聚层设备仅进行二层转发
同时噪声收敛时间非常长，根据客户反馈有时服务器重启 后需7-8个小时才能收敛完毕
1、武汉某211：经过多次宕机后，方案演变为MX960+8台Portal+深澜认证+F5负载均衡设备模 式； 2、浙江某211：防火墙部署在Portal服务器与BRAS之间进行降噪处理，由于是补丁性方案，因此 客户经常会掉线，导致体验较差 3、甘肃某211：寻求方案中
AP1
同汇聚A互联
SUPER VLAN： 4002
AP2
同汇聚B互联
SUBVLAN对应下 层设备VLAN
SUBVLAN : 1~2000
SUBVLAN : 2001~4000
TRUNK
AP2
TRUNK
AP1
用户通过VLAN/QinQ技术隔离，实现每用户隔离， 亮点1： 网络更加安全和可靠
节点接入区网 络