运营商校园网解决方案汇报.ppt

资源描述

《运营商校园网解决方案汇报.ppt》由会员分享，可在线阅读，更多相关《运营商校园网解决方案汇报.ppt（38页珍藏版）》请在三一文库上搜索。

1、运营商校园网解决方案,日期：2010-10,密级：内部公开,杭州华三通信技术有限公司,目录,校园网市场分析与战略 H3C校园网解决方案 H3C校园网案例和产品介绍,普通高校-校园网市场容量分析,2830万在校生,计划招新生629万,毕业生611万,大二、大三在校生约1200多万,普通本专科高校学生约2450万,在校生移动电话渗透率95%， ARPU 60元，占生活消费比10%,新增市场,固有市场,校园市场是各大运营商竞争的焦点，同时也是3G竞争的制高点。,1500所高校，校园市场年收入超过100亿元并且不断递增,校园网模式运营商投入产出分析,综合考虑: 运营商每年收入为以上几点之和，为96+

2、283.2+28.32=407.52万元。而且毕业的学生如果保留手机号码，其话费将远超过59元/月的校园用户平均消费水平，同时在校学生还可通过亲情号拉动非校园用户对189号码的使用。电信利用宽带进入学校，绑定用户，即保住了宽带的战略高地，又抢占了移动的手机消费，一举两得。,校园网给学校带来的好处,电信校园网模式之前：电信定义的目标学校多是二三类学校，这类学校有很多都无教育网，有的学校自己建设了校园网，但出口带宽控制在运营商手里，基本在100M级别，学生上网慢，投诉多，学校在宽带运营这块基本没什么收入。电信校园网模式之后：电信免费升级学校出口带宽（一般直接上升到1G-2G），学校在此并无开

3、支，但是，电信对学生按升级后的速率收取宽带费，并给学校分成（以1万人的学校，开通60%，每人每年宽带费300元，电信给20%分成，学校每年净分红36万元），学校在无任何投入的情况下大大提升了在宽带方面的收入。另外学生投诉少，学校硬件设施得到改善。,目录,校园网市场分析与战略 H3C校园网解决方案 H3C校园网案例和产品介绍,校园一体化网关解决方案,业务：一卡通融合认证计费合作分成,建设趋势：网络与流量优化一体化出口网关 IPv6,管理和维护：防一拖N URL过滤基于应用的带宽控制定时开关网络服务行为审计,校园网建设：网络结构和流量优化,城域网,教学管理系统,图书馆

4、系统,教学区,图书馆,学生宿舍,校园网系统,运营商承建校园网,核心网,核心网,教育网,80%,20%,80%,城域网,教学管理系统,图书馆系统,教学区,图书馆,学生宿舍,校园网系统,运营商承建校园网,核心网,核心网,教育网,80%,20%,按照流量2/8原则，80%流量迂回城域网流量负载大,校内资源安全访问，无流量迂回校园出口流量精细化管控满足校园个性化需求，深度运营,当前校园网出口方案的问题：多厂家难以统一管理，设备数量多难以统一管理不同业务由不同厂家设备处理，难以整合，难以形成统一策略；糖葫芦式叠加，增加故障点；需要更多功能时，还要继续“摞补丁”,Internet CERNE

5、T,防火墙：Cisco、H3C、飞塔,IPS/IDS：H3C、Cisco、天融信,无线控制器：H3C、Cisco,流控：Cisco、深信服、H3C,计费网关：城市热点、深澜软件,校园网建设：校园一体化出口网关,一体化出口网关方案优势：大大简化组网复杂度增强可靠性，减少故障点管理更简单平滑扩容,Internet CERNET,内网子网1,内网子网2,内网子网N,内网子网1,内网子网2,内网子网N,校园网建设：IPv6成为基本要求,城域网/Internet,运营计费平台,无线接入区,教学区,图书馆,学生宿舍,有线接入区,校园侧,运营商侧,一体化网关,国家发改委发文要求各校园网必须支持IPv

6、6 IPv4的地址即将用光，“狼”真的来了,交换机,办公系统,图书馆系统,学生系统,教育网,运营商,IMC UAM,iNode,iNode,iNode,1、代理主机（安装了代理软件，双网卡，或IE设置代理）发起网络访问请求,一体化网关,3、iNode完成安全策略检查，并定期上报客户端行为信息到UAM,2、iMC UAM对用户进行认证，对合法用户控制网络访问权限，并下发安全检查策略。,4、UAM定期分析客户端行为，一旦检测到违规，立即下发策略到iNode客户端，强制代理主机下线。,校园网管理：防一拖N，防IE代理,通过iNode客户端和UAM认证服务器配合，支持防双网卡、私设代理、IE代理等通

7、过此方案可以彻底校园网代理问题。,校园网管理：地址转换和安全策略,城域网/Internet,运营计费平台,无线接入区,教学区,图书馆,学生宿舍,校园内网,校园侧,运营商侧,一体化网关 FW,交换机,办公系统,图书馆系统,NAT和安全策略： FW实现NAT地址转换，并提供NAT日志功能。 FW部署防攻击策略，防止校园网ARP攻击，DHCP攻击，以及DDoS等攻击。 FW部署内网安全防护策略，限制外网访问的协议和端口号等。,教育网,应用协议感知应用流量感知用户行为感知上网内容感知即时升级的特征库,细粒度应用流量控制根据五元组精确控制根据时间段精确控制 URL过滤、内容过滤黑名单,记录

8、访问信息用户应用使用分析用户行为的纵深分析应用流量的纵深分析,应用识别,应用控制,行为审计,校园网管理：应用层控制网关,H3C ACG,LAN,VPN - 200Mbps,视频会议 - 100Mbps,Internet - 100Mbps,Others - 100Mbps,1、基于应用的带宽分配、带宽借用：上行、下行最大/保证带宽、最大会话数、通道优先级,2、基于应用的Qos标记：IP优先级、DSCP标识,在应用流量分析、流量控制基础上，进一步丰富流量管理方案，保障校园网关键业务转发。,校园网管理：基于应用的带宽控制实现精细化运营,用户不能访问带有“sex”的URL地址,FTP/邮件过滤

9、，避免信息泄露,Internet,校园网,针对非法网站访问，通过URL过滤、关键字过虑，避免因访问反动、色情网站造成政治和安全的隐患可通过主机、正则表达式、关键字等设置URL库,过滤掉无关的Java Applet/Active组件,校园网管理： URL过滤,ACG,一体化网关,运营商网,教育网,校园网管理：定时开关网络实现绿色节能,学校网管,校园网,城域网,运营商网管人员,学校网管：校长要求我们的网络必争在晚上十一点以后关闭运营商网管：关闭电源？关闭交换机？,学校网管：老师的网络在晚上十一点不能关闭运营商网管：？,支持基于射频接口的关闭 AC上一条命令解决,支持基于SSID的关闭每AP

10、每年至少可节约11KW,单用户流量快照：针对高流量用户、服务器，详细了解有业务趋势、分布、流量明细，是否有必要制定流量控制策略、是否有必要实行带宽保障策略用户组流量分析：流量复杂的宿舍楼道，使用情况如何，是否有违规应用、带宽滥用,Top用户流量分析：哪些用户流量最大，快速发现异常流量,是否存在恶意流量，服务器性能使用如何,哪些用户的流量最大；哪类P2P下载、网络游戏流量最大；应该控制哪类业务流量,X楼道网络经常“抽风”，哪些用户、业务导致，如何制定有效的流量控制策略,校园网维护：可视化流量分析,校园网管理：ACG实现用户行为审计,城域网/Internet,运营计费平台,校园侧,运

11、营商侧,一体化网关,IAG,ACG,FW,用户认证,NAT,ACG支持简单的 “用户行为审计”功能: 1)基于IP地址反查用户名 2)审计日志的导入导出、自动备份 3)对URL访问、FTP应用、SMTP/POP3、MSN/QQ等的行为分析和审计管理,ACG Manager,通过交换机镜像radius报文或radius服务器发送radius报文到ACG Manager，以便ACG Manager掌握用户名信息,校园网,教学区,办公OA,运营商校园驻地网,交换机,办公系统,学生宿舍,流控,校园网业务：校园一卡通系统融合,上网用户,POS机缴费,缴费用户,校园一卡通服务器,iMC认证服务器,iMC或

12、第三方认证计费系统：学校出口网关使用Radius协议同iMC通信，直接使用iMC的用户数据系统。iMC和运营商OCS系统互通，同步账户信息。一卡通系统：iMC使用LDAP协议同一卡通系统对接，目前可以和Sun、IBM以及微软LDAP服务器及在此基础上二次开发的一卡通系统对接用户通过一卡通缴纳上网费用，实现宽带上网和校园信息系统的无缝融合。案例：西南交通大学、南京大学,Portal Server,Radius,运营商网络,运营商认证计费系统,一体化网关,校园网业务：校园网合作分成,UAM通过Radius Proxy，转发用户的认证请求到运营商计费平台认证，无需生成本地数据库。,多业务网关(

13、AC+IAG+FW),校园综合管理平台,校园内网,无线接入区,教学区,图书馆,学生宿舍,有线接入区,交换机,办公系统,图书馆系统,IMC服务器,教育网,运营商,方案一：校园运营计费平台和IMC UAM定期同步数据,方案二：IMC UAM通过Radius Proxy，转发用户认证请求到运营商计费平台认证。,校园业务：二次认证实现防代理,部署方案用户侧安装iNode Portal/802.1x统一认证客户端；校内部署IMC UAM。一体化网关部署AC,IAG 和FW插卡，IAG做出口计费网关。校园内网访问有线用户在接入交换机采用802.1x认证，对访问校园网的进行安全准入检查与控制，不做

14、计费；无线用户在AC上进行Portal或802.1x认证，不做计费。有线、无线采用统一iNode客户端。校园网外访问用户访问外网，需再次进行Portal准出认证。认证方式可以采用浏览器页面方式，由IAG配合运营商Portal实现。也可由iNode配合IMC portal实现，但需再部署IMC portal服务器组件。计费策略支持多种计费策略（如限流量包月、优惠时段等）支持自助缴费、充值卡、费用余额查询、包月暂停等用户自助服务,一体化网关,校园网综合管理平台,校园内网,无线接入区,教学区,图书馆,学生宿舍,有线接入区,交换机,办公系统,图书馆系统,IMC服务器,教育网,运营商网,

15、1.有线用户访问内网，在交换机上采用802.1x认证,2.无线用户访问内网，在AC上采用Portal认证,3.访问外网，需要再次进行Portal认证。,附：校园网建设方案,典型组网一：普通学校标准型(5000人以下规模学校）,城域网/Internet,163运营计费平台,校园网,教学区,办公OA,运营商校园驻地网,校园侧,运营商侧,一体化网关,交换机,办公系统,学生宿舍,教育网,IAG,FW,用户认证,NAT,方案组成： S76+ IAG+FW+ACG 主要功能： 1）IAG为师生提供认证、计费功能； 2）FW提供出口NAT及基本的安全过滤，FW部署基于源地址的策略路由，强制PPPoE用户只能

16、访问校园网。 3）ACG提供出口带宽控制，限制P2P、视频等非关键业务流量。,ACG,业务部署：接入认证,学生访问外网，采用PPPoE或Portal认证，并进行计费。学生访问校园内网，不认证，S76直接二层透传。用户IP地址由校方分配，采用私网IP地址。,PPPoE/Portal认证,FW,Internet CERNET,城域网,校园综合服务平台,IAG1,访问外网，认证并且计费,访问内网，不认证,校园网,S76交换版,典型组网二：大型学校增强型（5000人以上+对账+防代理）,城域网/Internet,运营计费平台,运营商校园驻地网,校园侧,运营商侧,SR66/多块IAG,交换机,学生宿

17、舍,图书馆系统,利用SR66做互联网认证、计费网关，同时实现NAT地址转换。重点关注PPPoE/Portal的认证性能，以及NAT性能。,校园网,教学区,办公OA,业务部署：接入认证流程,部署方案用户侧安装iNode Portal/802.1x统一认证客户端，校内部署IMC UAM，配合完成防代理功能。一体化网关部署SR66，完成防火墙、认证网关功能。 SR66双出口，认证流和数据流分离，优先保证认证流报文转发。校园内网访问有线用户在接入交换机采用802.1x认证，对访问校园网的进行安全准入检查与控制，不做计费；校园网外访问用户访问外网，需再次进行Portal准出认证。外网访问

18、Portal可以采用浏览器页面方式，由SR66配合运营商Portal实现。计费策略 IAG对Portal用户启用强制域，以区分内网和外网访问用户。学生访问内外网采用不同的域名，以区分是否需要计费。学生访问内网只认证不计费，访问外网需计费。学生访问内网账户，由校方负责开户，但不能访问运营商网络。,SR66,校园网综合管理平台,IMC服务器,运营商网,2.访问外网，需要再次进行Portal认证。,业务数据流,认证流,运营商校园驻地网,学生宿舍,图书馆系统,校园网,教学区,办公OA,1.有线用户访问内网，在交换机上采用802.1x认证,教育网,运营商,IMC UAM,iNode,iNode,i

19、Node,1、代理主机（安装了代理软件，双网卡，或IE设置代理）发起网络访问请求,SR66,3、iNode完成安全策略检查，并定期上报客户端行为信息到UAM,2、iMC UAM对用户进行认证，对合法用户控制网络访问权限，并下发安全检查策略。,4、UAM定期分析客户端行为，一旦检测到违规，立即下发策略到iNode客户端，强制代理主机下线。,业务部署：iNode客户端防一拖N,通过iNode客户端和UAM认证服务器配合，支持防双网卡、私设代理、IE代理等通过此方案可以彻底校园网代理问题。,校园综合管理平台,业务部署：本地计费明细生成,SR66,校园综合管理平台,校园内网,运营商驻地网无线接入区,

20、教学区,图书馆,学生宿舍,运营商驻地网有线接入区,交换机,宿舍,图书馆系统,IMC UAM服务器,运营商,IMC对漫游域的用户认证统一送到校园综合计费平台处理，本地生成计费明细,运营商在校园内部部署AAA服务器，提供校方查看用户明细。校园内部AAA透传公众用户的认证和计费报文到运营商综合管理平台AAA，由运营商网络AAA完成，业务控制点在IAG上。校内IMC可以导出用户上网明细，据此和运营商内部结算费用，可以按照流量或包月结算。校方IMC可以基于用户域名信息，确定转发到运营商计费平台认证，还是在本地认证。同时，校园也可以自行开户，但此类账户仅可访问校园网，不能访问Internet。,目

21、录,校园网市场分析与战略 H3C校园网解决方案 H3C校园网案例和产品介绍,校园网的方案和组件,基本形态：S76+ACG+FW 增强形态：S76+ACG+IAG+FW+AC 组件功能： -S76：出口网关，双线接入教育网和运营商 -ACG: 应用控制网关 -IAG： Portal认证及计费 -FW: Nat私网地址转换，防火墙策略控制 -AC：有线无线一体化,校园网：简单的网络架构,防火墙,BRAS,无线控制器,汇聚交换机,一体化网关,一体化网关具备AC、FW、ACG、BRAS和汇聚交换机的多个功能，简化了网络架构，减少多设备互连产生的故障点设备占用空间小，便于在园区场所安装,应用控制

22、网关,S76+FW+IAG+AC,S76+FW+IAG+AC,S76+FW+IAG+AC,应用案例广东电信“校园网”组网图,校园网,应用案例福建联通泉州纺织学院,学生PPPOE拨号，获取公网IP地址办公区教师DHCP获取私网地址，不认证一卡通，教务管理服务器等通过IPS进行病毒防护等功能，实现对关键服务器的防护。,SecPath F1000-S,S7606,SR6602,SecBlade ACG,H3C WX6103无线控制器*2,分光器,EPON OLT,EPON ONU,CNCNET,原校园网,CERNET,SecPath ACG2000-M,H3C SR6604,CMNET城域网,应

23、用案例内蒙古大学无线校园网,园区出口精细化管控网关:其中SecBlade ACG位于校园网内，针对内蒙古大学无线用户做流量管理，减轻无线AP过多处理视频流、P2P下载等小包文；另一台SecPath ACG2000-M位于移动用户处，为其他高校（后续扩展）的无线统一接入互联网做流量管理,H3C AP,城域CR,城域CR,城域核心层,省网核心,城域SR,多业务无线交换机 AC+BAS+FW,心跳,热区AC,公共热点,公共热点,汇聚交换机,校园1,校园2,校园n,校园1,校园2,校园n,校园1,校园2,校园n,FE,10GE,GE,省网骨干路由器,城域SR,城域SR,热区AC,热区AC,多业务无

24、线交换机 AC+BAS+FW,方案部署：在城域网核心路由器CR旁挂S76多业务交换机，配置AC板卡、BAS板卡、FW板卡等多种业务板，实现无线接入、认证讲费、安全等多种功能。,S7606+AC+BAS+FW,应用案例浙江移动无线校园网,电信“校园网”案例分析,出口带宽免费升级到2G/1G,改变长期困扰学校和学生的上网问题 -敲开学校大门,提供一体化网关安全+无线,学生上网流量可查、可控，还有wifi无线覆盖-学校心动,上网业务收入与学校分成,不用投资，也没有多少管理压力就可以获得收益分成-成交！学校被绑定,189号码作为上网账号,大力促进189放号，缓解了放号压力同时持续获得增值收益-目的,

25、投资与回报,投资情况,学校规模：在校生10000人左右；电信给学校免费升级到2G带宽，成本约为160万元；宽带部分收入给学校20%分成；话费收入不与学校分成；,业务开展,上网30元包月，必须开通话音业务，话音业务有如下三种套餐：包月19元/月包月39元/月包月59元/月,新生入学，业务开通率预计可达60% 宽带总收入=10000X40%X300=180万；除去给学校分成，电信宽带总收入=180X80%=144万；移动话费收入（按照最低档考虑）：电信话费收入=19X6000X12=136.8万；按每年毕业学生1000人，60%不换号，带来的话音收益=1000X60%X19X12=13.6万；电信每年总收入=144+136.8+13.68=294.48万。不仅大量实现了189放号，还获得了更多收入，一举多得！,

展开阅读全文