华为敏捷校园网解决方案Word格式.docx

1、 教育行业决策链特点是注重圈子市场，决策链条清晰，重点争取对象集中在网络与信息中心主任和主管信息化的副校长，特别是大型高校，很适合High-touch模式，我司容易上手，且项目颗粒较大，非常值得投入； 高校在一个地区通常具有很重要的地位，一所重点高校的成功可以复制到本地其他教育领域，且教育行业在政府领域具有指标性意义，高校的成功可以提升我司在整个政府与公共事业领域的形象与品牌； 一般知名高校的信息中心负责人通常也是相关领域学术权威，经常会担当本地政府方案设计专家顾问小组、招投标评标专家池的成员，得到高校用户认可将可以在本地的政府行业项目中得到很大的隐形收益。1.3 高校校园网特点高校校园网络与

2、其他行业园区网相比，有很大的差异，主要体现在高校园区的复杂性，如下： 业务复杂：校园网除提供基本的互联网上网业务,还必须承担教学科研以及管理办公业务，视频组播、VoD点播、视频监控等多种复杂业务并存，它们彼此独立又统一承载于同一张物理网络中；此外高校校园网还必须支持IPv6，是IPv6最大规模成熟应用的领域； 管理复杂：用户人数大于一般园区网，且以学生居多，这类人群好奇叛逆冲动且维权意识强，在为他们提供个性化服务同时，还需要对上网行为施行严格的管理，并应对各种网络突发事故以及网络安全威胁；校园接入层存在大量终端，如何实时掌握终端状态，定位终端位置，从而迅速进行网络故障排障和避免安全事件扩大；

3、结构复杂：校园网分为教学区和生活区两部分，功能和结构各有差异且互相关联，两部分都各自有有线与无线的需求。同时在办公教学区，存在包括安防监控、图书馆、一卡通、视讯等多个形态各异的逻辑专网。对网络维护工作来说是一项繁琐的工程； 运营复杂：校园互联网出口依赖运营商，之间存在复杂且紧密的联系，经常还需要跟多家运营商共同来实现运营，存在多种复杂的计费方式。除此之外，校园网必须要体现公益和科研性质，在收费、免费及增值服务方面需要有一个度的把控。2 华为高校网络解决方案介绍2.1 高校网络痛点与需求总结如前所述，高校校园网的复杂性远高于其他普通企业园区网，在面对复杂的校园网运维挑战同时，高校网络信息中心的维

4、护团队人力有限，在经验和能力上与运营商存在差距，因此把握客户痛点，提供解决实际问题的方案，是项目成功的关键。对于传统高校校园网，总结的痛点如下所述： 对于H3C/锐捷承建的基于802.1x方案的校园网，终端维护困难，升级工作量庞大； H3C/锐捷出于竞争考虑人为使其认证系统与第三方交换机/WLAN不兼容，造成事实上接入交换机/WLAN强绑定的政策，校方有被绑架的不快； 为了实现接入/汇聚层隔离和终端精准定位，需要交换机上产生大量的vlan/QinQ配置，极大地增加了网络部署的成本； 传统校园网络，由于存在大量的接入、汇聚设备，规划、部署、维护工作量极为庞大； 学生思想和言论较活跃，对上网行为监

5、管以及行为追溯提出更高挑战； 传统汇聚起三层网络广播域过大，存在环网风暴风险； 需要灵活可行的计费手段，并与运营商网络对接，提供合理义务与利润分配的方案； 无线网络校园覆盖效果不好，特别是宿舍内学生普遍反馈经常电线； 网络老化，掉线率高，学生通报故障以后缺乏定位手段，学生感受不好；2.2 总体方案及设备选型建议高校网络如前所述，形态、结构和承载业务都比较复杂，无法一概而论。但总的说来，一般都分为生活区和教学区两部分分别建设，生活区一般是指学生宿舍和教职工家属，这个区域强调实名认证、多运营商共运营、隔离防攻击、精细化服务、安全可溯源；教学区强调灵活可扩展、技术先进性、虚拟化、有线无线一体化、高可

6、靠。总体而言，生活区强调精细化可运营，教学区强调敏捷校园。需要根据实际项目情况确定，并不是绝对如此划分，很多情况下两者是互相关联的。典型的高校校园网方案总体拓扑如下：网络层次和位置和推荐产品如下所述：区域部署位置设备选型说明案例校园出口区域互联网路由器NE系列一般出口都使用防火墙，但在超大型高校可使用NE路由器出口南开防火墙USG9500系列出口带宽超过万兆的情况使用高端墙；卖点在于基于用户和业务管控、流控、负载均衡、选路及NAT等北大USG6600系列下一代防火墙，出口带宽在万兆以下的情况使用。西南民大远程安全访问网关SVN5600SVN5800系列部署于出口DMZ区，主要作用是用实现远程认

7、证、远程访问。包括学校领导、教职员出差进行办公；校外学生访问校内资源，比如图书馆资源。上海科大园区核心区域BRASME60作为BRAS高端产品部署在大型高校园区核心作为集中式部署的用户业务网关，实现用户管理以及认证计费功能。卖点：超大容量用户管理、较高的用户上线认证速率、IPv6用户认证管理、丰富的业务管控能。南大、南开、西交大、湖工大、西南民大、西南财大等S12700敏捷多业务网关作为校园的核心交换设备实现L2/L3转发的同时，满足普通高校认证计费功能；可应用于校园网有线无线用户与业务融合管控。卖点:随板AC、随板统一用户管理、业务随行、SVF、高可靠（CSS2+随板AC 1+N备份）。香港

8、中文大学、南开大学楼层汇聚汇聚交换机S12704/S97/S7700系列为节约光纤部署成本，通常将多个楼宇的业务进行汇聚，推荐采用S12704/97/77交换机做楼层汇聚，业务集中管控场景采用二层组网透传，业务分布式场景可作分布式认证网关，此时集成以上核心交换机所有敏捷特性。CSS2/CSS集群高可靠、SVF接入层虚拟化，有线无线深度融合。西南民大、东华大学S5720EI/HI系列可作为多个楼层间的小汇聚交换机采用S5720EI/HI汇聚，万兆上行云南大学各接入单元接入交换机S5700LI/S5720SI系列千兆接入采用57LI/5720SI，卖点：零配置开局、策略联动、SVF、堆叠等湖工大、

9、西南民大无线接入智能AP4x/5x/6x/7x系列、面板式AP2x、敏分AP9430DN教学楼、办公楼、图书馆等推荐采用11ac AP4x/5x系列；宿舍区推荐采用敏分AP9430DN/面板AP2x/智分AP9330DN；报告厅、大礼堂、体育馆等高密场景推荐采用11ac AP5x/AP7x高性能（Tolly）、高密覆盖、网规网优、绿色节能云南大学、武汉大学、南开大学、中科大AC设备主推S127的随板AC功能，用户规模超出随板AC性能时，采用ACU2进行AP管理。4K AP管理能力，1Tbps转发性能、节约AC硬件成本，减少运维点和故障点。方案选型参见：随板AC销售指导策略 云南大学、南开大学、

10、武汉大学、西南民大上海科技大学数据中心核心交换机CE12800系列数据中心核心交换机，主推弹性、虚拟和品质云网络给客户带来的价值。西南民大、西安交大CE5800/S5700系列一般采用千兆汇聚，光口使用58，电口使用57交换机实现端口汇聚功能西安交大数据中心出口安全设备USG9500部署于数据中心出口，一般使用透传模式部署，对数据中心内的服务器起到整体安全保护作用。无特殊情况下是必须部署项。南京大学业务管理软件网管eSight统一网管，强调IT和IP的融合业务管理与控制Agile Controller主要用于不计费的场景，教学区或包月的校园网。用于业务、用户和策略的管控上海科大、香港中文大学第

11、三方认证计费系统推荐销售，用于计费的场景，主要是在精细化运营场景。深澜和城市热点这两家在教育界有较多经验的厂商，特别是多运营商对接的场景，推荐使用。3 高校网络方案拓展策略3.1 高校网络方案拓展基本策略当前国内高校网络市场主要格局以华三、锐捷和我司为主，部分重点院校现网有不少思科、Juniper存量；细分到当前的重点无线网络，目前格局是华三、锐捷为主，13年之前部分重点院校办公区有思科、Aruba的较多存量；我司尽管已经取得了南开、武大等部分重点高校的突破，在重点高校领域较华三、Aruba甚至思科均有不小差距，在普通高校的市场占比也低于华三、锐捷。以精细化可运营校园网方案为尖刀，为高校提供适

12、合的并且有差异化的运营方案，借此突破华三、锐捷等在高校的垄断与封锁，站在客户角度，校园核心网关承载着校园网运营的重任，是校园网络中首要重点建设保障。我司ME60、S127等核心网关产品已经在众多重点高校取得突破，解决方案角度认证计费网关的HQos层次化调度、DAA基于目的地址计费、有线无线深度融合集中管控、敏捷接入业务随行等特性均能满足高校精细化运营的要求。在校园无线覆盖的产品层面，华为除了拥有基于目前主流的11ac标准的放装AP外，也对教育行业做了定制化的产品，比如针对宿舍场景的敏捷分布式AP以及面板AP；针对无线覆盖对体验要求高的特点，华为也有专门的团队以及针对性的网管工具对测试、网规、网

13、优等各个环节进行保障。在无线标准层面，华为除了是11ac标准的主要制定者外，在未来的11ax无线标准中，华为同样也是标准的领导者。除此之外，华为敏捷网络的诸多特性也可以根据客户网络建设需求加以应用。比如，校园网基础承载方面，有线无线深度融合、业务随行等特性极其符合高校网络需求；校园数据中心方面，华为提供的弹性、简单、开放的特性也完全契合高校对数据中心建设的需求；学校出口的安全保障方面，基于用户的行为追踪、基于业务的策略保障及选路等特性，极大保障了高校大用户量的溯源及体验。从公司的角度，华为在教育行业的拓展也有独特的优势，具体表现在： 华为高度重视高校市场，特别制定了华为众教育战略，针对这块市场

14、从政策支撑、营销、产品与解决方案、以及服务全方位的投入，愿意跟客户长期合作，一起共同营造教育市场； 华为在运营商领域已经营二十多年，拥有很成熟的运营经验，结合校园网的实际可提供整套高校运营的解决方案，并愿意与高校共同探讨与定制化有校园特色的运营方案； 华为与电信、广电运营商以及大ISP如淘宝、腾讯、XX等都有紧密的合作，很方便与他们建立联系，通过校企合作为学生提供更好的互联网接入以及增值服务。3.2 认证计费网关选型指导策略对于校园网整网改造的项目，我们通过精细化运营这一理念打动客户，与客户找到共同语言，迅速拉近与客户距离，结合我司在运营领域的经验，依托解决方案和产品的优势找到突破口，配合敏捷

15、网络的理念带动周边产品的进入，从而实现整网突破。对于实际校园网项目，通常只涉及部分领域，分场景策略描述如下： 认证计费网关认证计费网关是高校实现精细化运营管理的核心组件，作为有线和无线用户业务网关、承担认证、流量统计及计费、策略精细化运营管理等功能。目前华为在高校认证计费网关有几种选型策略： 主推S12700做为校园网认证计费网关，同时可实现有线无线深度融合，包括有线无线用户统一认证管理、业务统一转发、有线无线网络统一运维。适用场景：中等规模院校的集中接入认证，师生用户规模约在2.5万以下（按照60%并发，无线用户并发上线70人/s估算的规模。实际可部署场景跟用户并发率以及有线无线的分布比率密

16、切相关，具体的性能指标计算可参考随板AC销售指导策略），方案拓扑见下图所示。 对于全校接入用户规模超过S12700用户接入能力，优先推荐采用分布式认证计费方案，认证计费网关下沉至汇聚交换机（S12704/S7700 SRUH）, 可按宿舍区、办公区、教学区等来进行用户划分。方案见下图所示： 针对需要使用PPPoE进行计费运营场景，采用ME60来实现认证计费网关。3.3 用户管理及计费平台的选型策略认证网关需要跟认证及策略服务器（或认证计费平台）对接，设备选型策略分如下几种情况： 对于使用S127作为认证网关的场景，首选我司自研的Agile Controller作为用户认证服务及策略中心，特别是

17、不需计费的校园网场景，S127配合Agile Controller，是典型的敏捷园区配置，可更好的体现我司整网优势特别是业务随行特性，并且有利于整网向SDN的平滑演进； 对于有计费需求的场景，推荐仍然使用Agile Controller，同时对接第三方的计费服务器，当前测试过的有深澜和城市热点；对于客户明确对业务随行有需求准备实际部署，但预算只能承担第三方服务器的情况，可以视情况申请商务优惠； 对于认证计费网关是ME60需要计费的情况，仅推荐第三方认证计费服务器，目前深澜和城市热点跟我司目前合作良好，技术沟通的渠道顺畅，成功案例也比较多，作为首选推荐；除此之外的厂家，只要是基于标准Radius

18、协议的，基本可以实现对接。3.4 随板AC销售指导策略产品销售策略 主力销售S12700，S7700（SRUH），S5720-HI；版本销售策略 S12700 4K用户终端以下可选择默认发货版本V2R7C00（已GA），4K用户终端以上请选择V2R7C20版本（TR5：2015.09.30）。 V2R7C20版本为受限发布版本，配置器不可选择，如需要请联系殷玉楼（00130915），V2R7C20版本将在V2R9C00版本（2016Q2 GA）统一收编。 S7700（SRUH）需要使用V2R8C00版本（15年10月中旬GA）。随板AC产品选型要点 高校园区一般基于终端接入规模、AC可靠性等选

19、择X1E/ACU2板卡数量。ACU2和X1E可部署规格如下表：产品纯802.1x认证场景或802.1x+Portal认证并存场景纯Portal/Portal+MAC认证场景有线用户终端并发规模（Z值参考）无线用户终端并发规模S12712/12708 30K10K15KS127045KS9712/9706（SRUC/SRUD）20KS7700（SRUH）S7712/7706（SRUA/SRUB）3K1K2KS5720HI6K 有线无线选型原则 如果同时存在有线、无线用户接入，请基于以下原则选择：假设并发有线用户终端数X，并发无线用户终端数Y，整机有线用户终端规模为Z（参见上表标识）。（1）如果无

20、线用户采用Portal认证，则需满足X+1.5Y Z；（2）如果无线用户采用802.1X认证，则需满足X+2Y Z。（3）如果802.1x和Portal认证并存时，则按照802.1x的公式计算。ACU2选型要点用户规模超出随板AC性能，统一采用ACU2来实现。纯802.1x认证场景802.1x+Portal混合认证场景ACU2（单块）无线用户终端规模：3.5 华为高校网络方案竞争及引导策略针对客户的痛点以及我司的竞争优势，在高校的拓展的引导策略如下表所述：客户痛点引导策略网络架构不灵活，管控受限，易被运营商和厂商绑架，扩展性差；强调基于SDN的开放融合：面向接入层开放，面向认证策略系统开放，面

21、向运营商开放，以极好的兼容性和可扩展性与友商形成对比。对有线无线融合的场景难以实现精细化管理及精确流量计费；针对锐捷的方案复杂且封闭，需要叠加多个设备和板卡联动，兼容性差，配置维护工作量较大。引导S127的统一用户接入和策略管理，随板AC和随板用户管理的功能。宿舍网络隔离不好，容易导致网络攻击，存在环网风险且ARP过多；引导部署端口隔离东西向流量，通过策略联动方式在核心网关做认证，所有流量在中心网关集中转发；校园大量802.1X认证方式实现端口安全的控制，但是需要在每个端口上配置1x认证，维护工作量巨大；而集中式Portal认证又使得接入端口无条件开放，带来安全隐患引导策略联动敏捷接入方案，在

22、核心层集中配置认证策略，包括1x和portal，在边缘接入层执行认证策略，让1x的安全性和portal集中认证的便利性两者兼得；我司的独特的敏捷特性。有线交换机数量较多，配置维护工作量巨大。针对锐捷的QinQ/Super Vlan方案，引导使用策略联动敏捷接入方案，采用AC管理AP的理念，S127管理接入层“瘦交换机”，接入层交换机零配置，区域内使用一份配置文件统一下发。接入/汇聚端口隔离，策略集中下发，分布式执行。并且可以根据交换机上报用户位置信息执行快速定位。对于楼层汇聚交换机引导做SVF，将楼道的接入交换机（特别是接AP的POE交换机）通过超级虚拟化的方式实现本区域单点管理。有线port

23、al认证用户直接关机的情况下，无法实时感知，并且需要通过额外的ARP探测来感知，会带来大量网络ARP报文。引导策略联动敏捷接入方案，像AC管理AP一样，接入交换机端口shutdown会及时上报状态让用户下线，避免用户下线但后台还在线的情况。校园业务复杂，用户角色较多，接入方式多样，需要进行精准的管理和权限控制。引导业务随行方案，实现有线无线统一认证接入，通过controller策略矩阵，用自然语言定义用户策略，一键式下发，策略与IP地址解耦，用户位置移动或接入方式变更，不影响权限和策略执行。无线需求剧增，原有无线业务客户感知较差；引导有线无线深度融合，准入准出一次认证，统一用户认证与管理，校园

24、全场景覆盖以及360生命周期管理；宿舍区传统的室内布放覆盖不均匀，学生体验不佳；引导针对宿舍特点开发的敏捷分布式AP，提升无线覆盖质量；有线及无线接入层设备众多，运维管理困难；引导集中控制与转发，符合SDN理念和潮流，简化配置，可扩展性强；引导敏捷特性有线无线深度融合，体现综合优势。学校需要跟运营商实现对接运营；引导Controller与深澜/城市热点配合的多运营商接入方案，提供多校方与多运营商互利共营的方案。引导敏捷业务随行特性，即支持基于用户组出口选路/NAT，支持基于目的地址计费DAA等特性；高校分部门内网络共享问题，如打印机、传真机、服务器等资源需自行管理并实现局域网共享；打印机传真机

25、一般是采用静态IP或者绑定MAC地址。引导采用业务随行的方案，将IT设备所在位置设置成相应的用户组，通过Agile Controller设置访问权限，这样就能确保用户可随时访问本部门IT资源而不是在同一房间才能访问。详细方案参加技术建议书。对学生上网行为管控和网络溯源压力较大；引导业务随行实现Controller和USG/ASG系列安全产品的配合，基于用户的深度流控以及上网行为管理，日志关联分析，以及精确溯源；校园存在多出口的情况下负载均衡实现效果不佳；引导USG防火墙的负载均衡能力，除了实现基于链路的负载均衡，还可根据DNS透明代理方式实现基于运营商链路的负载均衡，效果更好。3.6 分场景案例及对应合同列表客户名称涉及产品是否有案例合同清华大学8台S127平安校园网均有北京大学USG9000校园网出口安全有案例东华大学S127校园核心及汇聚S127、WLAN整网有案例及配置确认函南开大学ME60、WLAN、无线校园覆盖北京理工大学校园核心网关武汉大学WLAN、S127无线校园网东北大学CE128、USG9000有合同上海科技大学天津大学ME60、USG9000、CE128校园网数据核心，数据中心网络，东南大学4台127校园网核心