《运营商校园网解决方案汇报课件》由会员分享,可在线阅读,更多相关《运营商校园网解决方案汇报课件(38页珍藏版)》请在金锄头文库上搜索。
1、运营商校园网解决方案,日期:2010-10,密级:内部公开,目 录,校园网市场分析与战略 H3C校园网解决方案 H3C校园网案例和产品介绍,普通高校-校园网市场容量分析,2830万在校生,计划招新生629万,毕业生611万,大二、大三在校生约1200多万,普通本专科高校学生约2450万,在校生移动电话渗透率95%, ARPU 60元,占生活消费比10%,新增市场,固有市场,校园市场是各大运营商竞争的焦点,同时也是3G竞争的制高点。,1500所高校,校园市场年收入超过100亿元并且不断递增,校园网模式运营商投入产出分析,综合考虑: 运营商每年收入为以上几点之和,为96+283.2+28.32=4
2、07.52万元。而且毕业的学生如果保留手机号码,其话费将远超过59元/月的校园用户平均消费水平,同时在校学生还可通过亲情号拉动非校园用户对189号码的使用。电信利用宽带进入学校,绑定用户,即保住了宽带的战略高地,又抢占了移动的手机消费,一举两得。,校园网给学校带来的好处,电信校园网模式之前: 电信定义的目标学校多是二三类学校,这类学校有很多都无教育网,有的学校自己建设了校园网,但出口带宽控制在运营商手里,基本在100M级别,学生上网慢,投诉多,学校在宽带运营这块基本没什么收入。 电信校园网模式之后: 电信免费升级学校出口带宽(一般直接上升到1G-2G),学校在此并无开支,但是,电信对学生按升级
3、后的速率收取宽带费,并给学校分成(以1万人的学校,开通60%,每人每年宽带费300元,电信给20%分成,学校每年净分红36万元),学校在无任何投入的情况下大大提升了在宽带方面的收入。另外学生投诉少,学校硬件设施得到改善。,目 录,校园网市场分析与战略 H3C校园网解决方案 H3C校园网案例和产品介绍,校园一体化网关解决方案,业 务: 一卡通融合 认证计费 合作分成,建 设趋势: 网络与流量优化 一体化出口网关 IPv6,管 理 和 维护: 防一拖N URL过滤 基于应用的带宽控制 定时开关网络服务 行为审计,校园网建设:网络结构和流量优化,城域网,教学管理系统,图书馆系统,教学区,图书馆,学生
4、宿舍,校园网系统,运营商承建校园网,核心网,核心网,教育网,80%,20%,80%,城域网,教学管理系统,图书馆系统,教学区,图书馆,学生宿舍,校园网系统,运营商承建校园网,核心网,核心网,教育网,80%,20%,按照流量2/8原则,80%流量迂回 城域网流量负载大,校内资源安全访问,无流量迂回 校园出口流量精细化管控 满足校园个性化需求,深度运营,当前校园网出口方案的问题: 多厂家难以统一管理,设备数量多难以统一管理 不同业务由不同厂家设备处理,难以整合,难以形成统一策略; 糖葫芦式叠加,增加故障点; 需要更多功能时,还要继续“摞补丁”,Internet CERNET,防火墙:Cisco、H
5、3C、飞塔,IPS/IDS:H3C、Cisco、天融信,无线控制器:H3C、Cisco,流控:Cisco、深信服、H3C,计费网关:城市热点、深澜软件,校园网建设:校园一体化出口网关,一体化出口网关方案优势: 大大简化组网复杂度 增强可靠性,减少故障点 管理更简单 平滑扩容,Internet CERNET,内网子网1,内网子网2,内网子网N,内网子网1,内网子网2,内网子网N,校园网建设:IPv6成为基本要求,城域网/Internet,运营计费平台,无线接入区,教学区,图书馆,学生宿舍,有线接入区,校园侧,运营商侧,一体化网关,国家发改委发文要求各校园网必须支持IPv6 IPv4的地址即将用光
6、,“狼”真的来了,交换机,办公系统,图书馆系统,学生系统,教育网,运营商,IMC UAM,iNode,iNode,iNode,1、代理主机(安装了代理软件,双网卡,或IE设置代理)发起网络访问请求,一体化网关,3、iNode完成安全策略检查,并定期上报客户端行为信息到UAM,2、iMC UAM对用户进行认证,对合法用户控制网络访问权限,并下发安全检查策略。,4、UAM定期分析客户端行为,一旦检测到违规,立即下发策略到iNode客户端,强制代理主机下线。,校园网管理:防一拖N,防IE代理,通过iNode客户端和UAM认证服务器配合,支持防双网卡、私设代理、IE代理等 通过此方案可以彻底校园网代理
7、问题。,校园网管理:地址转换和安全策略,城域网/Internet,运营计费平台,无线接入区,教学区,图书馆,学生宿舍,校园内网,校园侧,运营商侧,一体化网关 FW,交换机,办公系统,图书馆系统,NAT和安全策略: FW实现NAT地址转换,并提供NAT日志功能。 FW部署防攻击策略,防止校园网ARP攻击,DHCP攻击,以及DDoS等攻击。 FW部署内网安全防护策略,限制外网访问的协议和端口号等。,教育网,应用协议感知 应用流量感知 用户行为感知 上网内容感知 即时升级的特征库,细粒度应用流量控制 根据五元组精确控制 根据时间段精确控制 URL过滤、内容过滤 黑名单,记录访问信息 用户应用使用分析
8、 用户行为的纵深分析 应用流量的纵深分析,应用识别,应用控制,行为审计,校园网管理:应用层控制网关,H3C ACG,LAN,VPN - 200Mbps,视频会议 - 100Mbps,Internet - 100Mbps,Others - 100Mbps,1、基于应用的带宽分配、带宽借用:上行、下行最大/保证带宽、最大会话数、通道优先级,2、基于应用的Qos标记:IP优先级、DSCP标识,在应用流量分析、流量控制基础上,进一步丰富流量管理方案,保障校园网关键业务转发。,校园网管理:基于应用的带宽控制实现精细化运营,用户不能访问带有“sex”的URL地址,FTP/邮件过滤,避免信息泄露,Inter
9、net,校园网,针对非法网站访问,通过URL过滤、关键字过虑,避免因访问反动、色情网站造成政治和安全的隐患 可通过主机、正则表达式、关键字等设置URL库,过滤掉无关的Java Applet/Active组件,校园网管理: URL过滤,ACG,一体化网关,运营商网,教育网,校园网管理:定时开关网络实现绿色节能,学校网管,校园网,城域网,运营商网管人员,学校网管:校长要求我们的网络必争在晚上十一点以后关闭 运营商网管:关闭电源?关闭交换机?,学校网管:老师的网络在晚上十一点不能关闭 运营商网管:?,支持基于射频接口的关闭 AC上一条命令解决,支持基于SSID的关闭 每AP每年至少可节约11KW,单
10、用户流量快照:针对高流量用户、服务器,详细了解有业务趋势、分布、流量明细,是否有必要制定流量控制策略、是否有必要实行带宽保障策略 用户组流量分析:流量复杂的宿舍楼道,使用情况如何,是否有违规应用、带宽滥用,Top用户流量分析:哪些用户流量最大,快速发现异常流量,是否存在恶意 流量,服务器性能 使用如何,哪些用户的流量最大; 哪类P2P下载、网络游戏流量最大; 应该控制哪类业务流量,X楼道网络经常“抽风”, 哪些用户、业务导致,如何 制定有效的流量控制策略,校园网维护:可视化流量分析,校园网管理:ACG实现用户行为审计,城域网/Internet,运营计费平台,校园侧,运营商侧,一体化网关,IAG
11、,ACG,FW,用户认证,NAT,ACG支持简单的 “用户行为审计”功能: 1)基于IP地址反查用户名 2)审计日志的导入导出、自动备份 3)对URL访问、FTP应用、SMTP/POP3、MSN/QQ等的行为分析和审计管理,ACG Manager,通过交换机镜像radius报文或radius服务器发送radius报文到ACG Manager,以便ACG Manager掌握用户名信息,校园网,教学区,办公OA,运营商校园驻地网,交换机,办公系统,学生宿舍,流控,校园网业务:校园一卡通系统融合,上网用户,POS机缴费,缴费用户,校园一卡通服务器,iMC认证服务器,iMC或第三方认证计费系统:学校出
12、口网关使用Radius协议同iMC通信,直接使用iMC的用户数据系统。iMC和运营商OCS系统互通,同步账户信息。 一卡通系统:iMC使用LDAP协议同一卡通系统对接,目前可以和Sun、IBM以及微软LDAP服务器及在此基础上二次开发的一卡通系统对接 用户通过一卡通缴纳上网费用,实现宽带上网和校园信息系统的无缝融合。 案例:西南交通大学、南京大学,Portal Server,Radius,运营商网络,运营商认证计费系统,一体化网关,校园网业务:校园网合作分成,UAM通过Radius Proxy,转发用户的认证请求到运营商计费平台认证,无需生成本地数据库。,多业务网关(AC+IAG+FW),校园
13、综合管理平台,校园内网,无线接入区,教学区,图书馆,学生宿舍,有线接入区,交换机,办公系统,图书馆系统,IMC服务器,教育网,运营商,方案一:校园运营计费平台和IMC UAM定期同步数据,方案二:IMC UAM通过Radius Proxy,转发用户认证请求到运营商计费平台认证。,校园业务:二次认证实现防代理,部署方案 用户侧安装iNode Portal/802.1x统一认证客户端; 校内部署IMC UAM。 一体化网关部署AC,IAG 和FW插卡,IAG做出口计费网关。 校园内网访问 有线用户在接入交换机采用802.1x认证,对访问校园网的进行安全准入检查与控制,不做计费; 无线用户在AC上进
14、行Portal或802.1x认证,不做计费。 有线、无线采用统一iNode客户端。 校园网外访问 用户访问外网,需再次进行Portal准出认证。 认证方式可以采用浏览器页面方式,由IAG配合运营商Portal实现。也可由iNode配合IMC portal实现,但需再部署IMC portal服务器组件。 计费策略 支持多种计费策略(如限流量包月、优惠时段等) 支持自助缴费、充值卡、费用余额查询、包月暂停等用户自助服务,一体化网关,校园网综合管理平台,校园内网,无线接入区,教学区,图书馆,学生宿舍,有线接入区,交换机,办公系统,图书馆系统,IMC服务器,教育网,运营商网,1.有线用户访问内网,在交
15、换机上采用802.1x认证,2.无线用户访问内网,在AC上采用Portal认证,3.访问外网,需要再次进行Portal认证。,附:校园网建设方案,典型组网一:普通学校标准型(5000人以下规模学校),城域网/Internet,163运营计费平台,校园网,教学区,办公OA,运营商校园驻地网,校园侧,运营商侧,一体化网关,交换机,办公系统,学生宿舍,教育网,IAG,FW,用户认证,NAT,方案组成: S76+ IAG+FW+ACG 主要功能: 1)IAG为师生提供认证、计费功能; 2)FW提供出口NAT及基本的安全过滤,FW部署基于源地址的策略路由,强制PPPoE用户只能访问校园网。 3)ACG提
16、供出口带宽控制,限制P2P、视频等非关键业务流量。,ACG,业务部署:接入认证,学生访问外网,采用PPPoE或Portal认证,并进行计费。 学生访问校园内网,不认证,S76直接二层透传。 用户IP地址由校方分配,采用私网IP地址。,PPPoE/Portal认证,FW,Internet CERNET,城域网,校园综合服务平台,IAG1,访问外网,认证并且计费,访问内网,不认证,校园网,S76交换版,典型组网二:大型学校增强型(5000人以上+对账+防代理),城域网/Internet,运营计费平台,运营商校园驻地网,校园侧,运营商侧,SR66/多块IAG,交换机,学生宿舍,图书馆系统,利用SR66做互联网认证、计费网关,同时实现NAT地址转换。 重点关注PPPoE/Portal的认证性能,以及NAT性能。,校园网,教学区,办公OA,业务部署:接入认证流程,部署方案 用户侧安装iNode Portal/802.1x统一认证客户端,校内部署IMC UAM,配合完成防代理功能。 一体化网关部署SR66,完成防火墙、认证网关功能。 SR66双出口,认证流和数据流分离,优先保证认证流报文转发。 校
