校園網解決方案

隨著國家大力發展職業教育，職教規模逐漸增大，師生的數量不斷增加，教學內容與教學手段不斷豐富，校企合作與實訓課程等業務開展如火如荼。在這樣的環境下，對學校的資源進行整合，實現資源大集中是發展趨勢，解決了當前校園信息化建設存在的業務沒有拉通、信息流程割裂、資源重復投入等問題。

云計算的思想很好的解決了這些問題，它是一種新的IT資源提供模式，幫學校以新的方式組織割裂的信息，按需向各部門、各院系交付定制化的服務，消除IT短板。這種模式的出現，校園網成為用戶獲取資源的通道，傳統校園網面臨了新的要求。

需求與挑戰

業務部門的安全隔離

業務服務的集中化，是將OA、教學、財務、各部門內數據等業務系統集中。校園網絡作為統一的承載平臺，需要對不同的業務進行通道劃分和用戶識別，實現校園網的動態授權和差異化控制策略。

云計算對性能、可靠、管理提出了更高的要求

通道的作用是提供用戶訪問資源的管道，其易用性體現在三個方面：首先是高速，用戶能夠無阻塞的訪問服務；其次是可靠，用戶能夠隨時訪問，通道發生故障也不會影響用戶使用；再然后是易管理，管理人員能夠從繁瑣的管理中脫離出來，將精力放到業務的建設中去。

無線接入的要求

多種智能終端的使用、信息的隨時隨地獲取對校園無線接入提出了要求，但伴隨著無線用戶規模劇增、信號干擾、覆蓋不到位、大流量業務的開展、上行帶寬不足等問題逐一暴露，無線校園網的優化成為迫在眉睫的問題。

支持IPv6的要求

一方面是IPv4地址已經基本無地址池可分配，一方面是不斷增長的終端對IP地址的需求，傳統NAT解決方法又面臨管理復雜，應用限制等問題，IPv6的引入勢在必行。

出口的安全性

校園網出口是數字校園最寶貴、最稀缺的資源，每年會付出數十萬真是上百萬的經費租用鏈路，由于存在資源爭用的情況，重要業務和重要使用者的往往得不到服務質量保障。另一層面，出口是安全威脅的必經之路，成為校園安全防御工作的重點區域。

校園網解決方案

H3C根據校園網的業務發展及云趨勢的研究成果，對校園網的方案設計從業務隔離、無線接入、IPv6、出口安全幾個維度進行了革新，同時兼顧方案的高性能、高可靠和易管理的特點。

H3C創新性的提出了虛擬園區網的概念，通過將VPN與VLAN映射，將校園網劃分為多個邏輯隔離的通道，虛擬通道既能達到與物理通道等同的安全保證，也可靈活控制某條虛擬通道中的業務對其他虛擬通道的訪問。

校園云通道的部署

通道的建設起于用戶接入、止于網絡核心，H3C引入網絡虛擬化技術IRF2簡化云通道的部署。通過將多臺設備虛擬化為一臺設備，消除了生成樹和VRRP等協議，大大簡化了網絡拓撲，從而減輕網絡管理工作量。虛擬化后的設備都能參與工作，提升了通道的轉發性能，且發生故障時能在毫秒級別自愈，保證系統的可靠性。

無線校園2.0

在無線速度上，802.11n可提供最大300M的接入速率，H3C提供目前業界性能最高的萬兆無線控制器，最高處理能力可達40G。

在信號覆蓋上，H3C針對無線在學生宿舍、圖書館、教室等高密區域遇到的干擾問題，通過降低用戶和AP功率、優化不同樓層信道、優化天線、過濾干擾、優化接入速率、降低低速用戶影響等方式對無線校園網進行全面優化。

在天線部署上，H3C推出了特有的“定制美化天線”部署方案，將具有特定外觀的美化天線在宿舍內安裝，結合雙頻的多通道覆蓋，有效的解決了學生宿舍無線部署中的各類頑癥。

在無線安全上，H3C采用ASIC+多核CPU架構來提升無線安全。針對鏈路層的Flood、Null data等由專業芯片防護，針對網絡層的ARP欺騙等由AC來完成。另外，通過對802.11i和中國安全標準WAPI的支持，全面提升無線校園的安全性。

IPv6接入

IPv6的部署除了在設備上要求能夠識別并處理IPv6協議族外，在IPv6校園安全及IPv6用戶管理方面可借鑒IPv4校園的經驗，并作出改善。

在IPv4/IPv6雙棧環境中，各種攻擊漏洞依然存在，問題的根源大多與非法主機接入有關，清華大學提出的SAVI技術（源地址認證提高）是一個很好的解決方案。通過在有線和無線網絡中部署SAVI，校園IPv6地址再也不能被客戶端隨意修改或者被黑客控制，減少校園信息化管理的風險。

針對用戶的接入管理則采取IPv6 WEB認證的方式。H3C的認證系統采用標準的Radius協議作為系統核心協議，屏蔽了各種接入方式的差異，可適配各種網絡環境，達到單點登錄的目的。

基于角色的出口統一管理

基于角色的多業務整合

面對校園網出口的多種業務需求，包括網絡異常流量分析、區分業務優先級的帶寬管理、安全防御攻擊、用戶上網行為審計管理、運營計費管理、多IPS出口負載均衡管理提供了整合型的解決方案。解決方案基于用戶的身份和角色，從“看”、“疏”、“防”、“審”、“營”、“優”六個維度，將錯綜復雜的校園網出口管理要求實現了綜合管理。

高性能、可彈性擴容的方案

解決方案依托于SecBlade技術實現集成式安全部署，將性能從“千兆級”提升至“超萬兆級”，在用戶規模不斷擴大時，平滑擴容提升處理能力，不會因為產品性能形態固定而無法保護投資。同時不同的組件可分期部署，避免投資壓力。

穩定可靠的管理方案

SecBlade集成式部署方案將原有校園網出口多種設備的多故障點降至最低，即使在SecBlade板卡出現故障時，逃生功能實現業務流量的二層回退，業務不中斷。

基于角色的校園網出口統一管理方案，利用SecBlade技術將校園網出口的多個管理環節進行整合，以強大的處理性能、平滑擴容能力、極高的可靠性，為校園網出口管理提供全新的技術實現方式，有效的幫助學校提升用戶整體使用滿意度。

H3C校園網解決方案優勢

? 基于MPLS VPN的校園通道隔離技術：基于VPN的隔離技術具有業務隔離性高、擴展性好、技術成熟等優點，同時部署時極大減少了ACL策略的控制，降低了出錯的可能性和安全漏洞；

? 基于IRF的網絡虛擬化技術：部署了虛擬化的網絡結構簡單，便于簡化校園網方案的設計，提升校園網可靠性和使用效率，簡化管理復雜度；

? 無線校園2.0：H3C針對無線校園建設過程中遇到的主要問題給出了全面解決方案，包括有線無線一體化方案，端到端的802.11n覆蓋方案，無線接入高密度抗干擾方案，無線信號覆蓋優化方案，端到端的IPv6方案等；

? SAVI技術：有線的SAVI技術升級正如火如荼，而無線用戶同樣需要認證。無線接入設備必須能夠了解每一個用戶的在線狀態，了解其對應的MAC、密鑰等信息。H3C實現了對無線網絡的SAVI，實現IPv6綁定、AP間用戶漫游記MAC地址的安全防護等。

? 基于角色的出口統一管理：基于用戶的身份和角色，從“看”、“疏”、“防”、“審”、“營”、“優”六個維度，將錯綜復雜的校園網出口管理要求實現了綜合管理