华为敏捷校园网解决方案设计.docx
《华为敏捷校园网解决方案设计.docx》由会员分享,可在线阅读,更多相关《华为敏捷校园网解决方案设计.docx(18页珍藏版)》请在冰豆网上搜索。
华为敏捷校园网解决方案设计
华为敏捷校园网方案销售拓展指导
摘要:
本文从技术角度分析了中国区校园网(主要针对高校或高职)的网络运维管理和应用的痛点,针对客户特点和需求,简要总结了华为网络解决方案基本打法,以及竞争对手的方案对比分析。
供拓展参考。
日期
修订版本
描述
作者
2015-11-18
V5.0
完成初稿
徐锐00210443/康鹏龙00298930
华为高校网络解决方案销售指导书
1高校网络市场介绍
1.1高校网络市场空间
根据《教育发展纲要》要求,国家要进一步深化教育信息化,加大对信息化建设的投入,预计2015年教育信息化的投资规模为460亿,其中网络设备超50亿,网络设备占比教育信息化投资近11%。
其中全国高校校园网总投资预计达25亿,随着纲要的贯彻落实,整个教育行业网络投资将以每年20%以上递增。
全国共有2500多所高等院校,近年来在无线网络发展的带动下,校园网持续有建设需求,建设主要动力如下:
●升级改造:
很多院校核心、接入设备面临在网运行超过6年的升级改造需求;
●新校区建设:
院校的扩招及升级,院校之间的合并等带来新校区建设需求;
●无线网改造:
移动办公、学习的需求,移动终端发展的态势等,促使校方除了需要承建办公无线还需要对宿舍区及整个校区进行无线覆盖,部分院校之前由运营商承建经营的无线网由于体验差服务水平低下等原因也需要校方进行替换,无线网覆盖整个校区乃至替代有线接入网已成趋势;
●教育信息化趋势:
国家十二五规划及中长期发展纲要强调了对教育信息化加大投入,以及智慧教育云平台,数字化校园应用,新一代IPv6校园网等先进信息化理念促使网络进行改造。
1.2聚焦高校市场的重要性
高校校园网是我司企业网市场重要拓展方向,其原因在于:
●教育行业在国内是个非常优质的市场,宏观经济冷热对这个市场影响不大,近年来,随着政府预算中逐年增加教育行业投入比重,信息化的资金投入呈持续的增长的态势,市场容量也随着扩大;
●高教是国家教育战略中最重要的环节,高校园区网市场也是整个教育网络市场占比最大的部分,超过50%,相比较我司目前的市场份额,待挖掘市场空间巨大;
●教育行业决策链特点是注重圈子市场,决策链条清晰,重点争取对象集中在网络与信息中心主任和主管信息化的副校长,特别是大型高校,很适合High-touch模式,我司容易上手,且项目颗粒较大,非常值得投入;
●高校在一个地区通常具有很重要的地位,一所重点高校的成功可以复制到本地其他教育领域,且教育行业在政府领域具有指标性意义,高校的成功可以提升我司在整个政府与公共事业领域的形象与品牌;
●一般知名高校的信息中心负责人通常也是相关领域学术权威,经常会担当本地政府方案设计专家顾问小组、招投标评标专家池的成员,得到高校用户认可将可以在本地的政府行业项目中得到很大的隐形收益。
1.3高校校园网特点
高校校园网络与其他行业园区网相比,有很大的差异,主要体现在高校园区的复杂性,如下:
●业务复杂:
校园网除提供基本的互联网上网业务,还必须承担教学科研以及管理办公业务,视频组播、VoD点播、视频监控等多种复杂业务并存,它们彼此独立又统一承载于同一张物理网络中;此外高校校园网还必须支持IPv6,是IPv6最大规模成熟应用的领域;
●管理复杂:
用户人数大于一般园区网,且以学生居多,这类人群好奇叛逆冲动且维权意识强,在为他们提供个性化服务同时,还需要对上网行为施行严格的管理,并应对各种网络突发事故以及网络安全威胁;校园接入层存在大量终端,如何实时掌握终端状态,定位终端位置,从而迅速进行网络故障排障和避免安全事件扩大;
●结构复杂:
校园网分为教学区和生活区两部分,功能和结构各有差异且互相关联,两部分都各自有有线与无线的需求。
同时在办公教学区,存在包括安防监控、图书馆、一卡通、视讯等多个形态各异的逻辑专网。
对网络维护工作来说是一项繁琐的工程;
●运营复杂:
校园互联网出口依赖运营商,之间存在复杂且紧密的联系,经常还需要跟多家运营商共同来实现运营,存在多种复杂的计费方式。
除此之外,校园网必须要体现公益和科研性质,在收费、免费及增值服务方面需要有一个度的把控。
2华为高校网络解决方案介绍
2.1高校网络痛点与需求总结
如前所述,高校校园网的复杂性远高于其他普通企业园区网,在面对复杂的校园网运维挑战同时,高校网络信息中心的维护团队人力有限,在经验和能力上与运营商存在差距,因此把握客户痛点,提供解决实际问题的方案,是项目成功的关键。
对于传统高校校园网,总结的痛点如下所述:
●对于H3C/锐捷承建的基于802.1x方案的校园网,终端维护困难,升级工作量庞大;
●H3C/锐捷出于竞争考虑人为使其认证系统与第三方交换机/WLAN不兼容,造成事实上接入交换机/WLAN强绑定的政策,校方有被绑架的不快;
●为了实现接入/汇聚层隔离和终端精准定位,需要交换机上产生大量的vlan/QinQ配置,极大地增加了网络部署的成本;
●传统校园网络,由于存在大量的接入、汇聚设备,规划、部署、维护工作量极为庞大;
●学生思想和言论较活跃,对上网行为监管以及行为追溯提出更高挑战;
●传统汇聚起三层网络广播域过大,存在环网风暴风险;
●需要灵活可行的计费手段,并与运营商网络对接,提供合理义务与利润分配的方案;
●无线网络校园覆盖效果不好,特别是宿舍内学生普遍反馈经常电线;
●网络老化,掉线率高,学生通报故障以后缺乏定位手段,学生感受不好;
2.2总体方案及设备选型建议
高校网络如前所述,形态、结构和承载业务都比较复杂,无法一概而论。
但总的说来,一般都分为生活区和教学区两部分分别建设,生活区一般是指学生宿舍和教职工家属,这个区域强调实名认证、多运营商共运营、隔离防攻击、精细化服务、安全可溯源;教学区强调灵活可扩展、技术先进性、虚拟化、有线无线一体化、高可靠。
总体而言,生活区强调精细化可运营,教学区强调敏捷校园。
需要根据实际项目情况确定,并不是绝对如此划分,很多情况下两者是互相关联的。
典型的高校校园网方案总体拓扑如下:
网络层次和位置和推荐产品如下所述:
区域
部署位置
设备选型
说明
案例
校园出口区域
互联网路由器
NE系列
一般出口都使用防火墙,但在超大型高校可使用NE路由器出口
南开
防火墙
USG9500系列
出口带宽超过万兆的情况使用高端墙;卖点在于基于用户和业务管控、流控、负载均衡、选路及NAT等
北大
USG6600系列
下一代防火墙,出口带宽在万兆以下的情况使用。
西南民大
远程安全访问网关
SVN5600SVN5800系列
部署于出口DMZ区,主要作用是用实现远程认证、远程访问。
包括学校领导、教职员出差进行办公;校外学生访问校内资源,比如图书馆资源。
上海科大
园区核心区域
BRAS
ME60
作为BRAS高端产品部署在大型高校园区核心作为集中式部署的用户业务网关,实现用户管理以及认证计费功能。
卖点:
超大容量用户管理、较高的用户上线认证速率、IPv6用户认证管理、丰富的业务管控能。
南大、南开、西交大、湖工大、西南民大、西南财大等
S12700
敏捷多业务网关作为校园的核心交换设备实现L2/L3转发的同时,满足普通高校认证计费功能;可应用于校园网有线无线用户与业务融合管控。
卖点:
随板AC、随板统一用户管理、业务随行、SVF、高可靠(CSS2+随板AC1+N备份)。
香港中文大学、南开大学
楼层汇聚
汇聚交换机
S12704/S97/S7700系列
为节约光纤部署成本,通常将多个楼宇的业务进行汇聚,推荐采用S12704/97/77交换机做楼层汇聚,业务集中管控场景采用二层组网透传,业务分布式场景可作分布式认证网关,此时集成以上核心交换机所有敏捷特性。
卖点:
CSS2/CSS集群高可靠、SVF接入层虚拟化,有线无线深度融合。
西南民大、东华大学
S5720EI/HI系列
可作为多个楼层间的小汇聚交换机
采用S5720EI/HI汇聚,万兆上行
云南大学
各接入单元
接入交换机
S5700LI/S5720SI系列
千兆接入采用57LI/5720SI,卖点:
零配置开局、策略联动、SVF、堆叠等
湖工大、西南民大
无线接入
智能AP4x/5x/6x/7x系列、面板式AP2x、敏分AP9430DN
教学楼、办公楼、图书馆等推荐采用11acAP4x/5x系列;宿舍区推荐采用敏分AP9430DN/面板AP2x/智分AP9330DN;报告厅、大礼堂、体育馆等高密场景推荐采用11acAP5x/AP7x
卖点:
高性能(Tolly)、高密覆盖、网规网优、绿色节能
云南大学、武汉大学、南开大学、中科大
AC设备
主推S127的随板AC功能,用户规模超出随板AC性能时,采用ACU2进行AP管理。
卖点:
4KAP管理能力,1Tbps转发性能、节约AC硬件成本,减少运维点和故障点。
方案选型参见:
随板AC销售指导策略
云南大学、南开大学、武汉大学、西南民大\上海科技大学
数据中心
核心交换机
CE12800系列
数据中心核心交换机,主推弹性、虚拟和品质云网络给客户带来的价值。
西南民大、西安交大
接入交换机
CE5800/S5700系列
一般采用千兆汇聚,光口使用58,电口使用57交换机实现端口汇聚功能
西安交大
数据中心出口安全设备
USG9500
部署于数据中心出口,一般使用透传模式部署,对数据中心内的服务器起到整体安全保护作用。
无特殊情况下是必须部署项。
南京大学
业务管理软件
网管
eSight
统一网管,强调IT和IP的融合
西南民大
业务管理与控制
AgileController
主要用于不计费的场景,教学区或包月的校园网。
用于业务、用户和策略的管控
上海科大、香港中文大学
第三方认证计费系统
推荐销售,用于计费的场景,主要是在精细化运营场景。
深澜和城市热点这两家在教育界有较多经验的厂商,特别是多运营商对接的场景,推荐使用。
3高校网络方案拓展策略
3.1高校网络方案拓展基本策略
当前国内高校网络市场主要格局以华三、锐捷和我司为主,部分重点院校现网有不少思科、Juniper存量;细分到当前的重点无线网络,目前格局是华三、锐捷为主,13年之前部分重点院校办公区有思科、Aruba的较多存量;我司尽管已经取得了南开、武大等部分重点高校的突破,在重点高校领域较华三、Aruba甚至思科均有不小差距,在普通高校的市场占比也低于华三、锐捷。
以精细化可运营校园网方案为尖刀,为高校提供适合的并且有差异化的运营方案,借此突破华三、锐捷等在高校的垄断与封锁,站在客户角度,校园核心网关承载着校园网运营的重任,是校园网络中首要重点建设保障。
我司ME60、S127等核心网关产品已经在众多重点高校取得突破,解决方案角度认证计费网关的HQos层次化调度、DAA基于目的地址计费、有线无线深度融合集中管控、敏捷接入业务随行等特性均能满足高校精细化运营的要求。
在校园无线覆盖的产品层面,华为除了拥有基于目前主流的11ac标准的放装AP外,也对教育行业做了定制化的产品,比如针对宿舍场景的敏捷分布式AP以及面板AP;针对无线覆盖对体验要求高的特点,华为也有专门的团队以及针对性的网管工具对测试、网规、网优等各个环节进行保障。
在无线标准层面,华为除了是11ac标准的主要制定者外,在未来的11ax无线标准中,华为同样也是标准的领导者。
除此之外,华为敏捷网络的诸多特性也可以根据客户网络建设需求加以应用。
比如,校园网基础承载方面,有线无线深度融合、业务随行等特性极其符合高校网络需求;校园数据中心方面,华为提供的弹性、简单、开放的特性也完全契合高校对数据中心建设的需求;学校出口的安全保障方面,基于用户的行为追踪、基于业务的策略保障及选路等特性,极大保障了高校大用户量的溯源及体验。
从公司的角度,华为在教育行业的拓展也有独特的优势,具体表现在:
●华为高度重视高校市场,特别制定了华为众教育战略,针对这块市场从政策支撑、营销、产品与解决方案、以及服务全方位的投入,愿意跟客户长期合作,一起共同营造教育市场;
●华为在运营商领域已经营二十多年,拥有很成熟的运营经验,结合校园网的实际可提供整套高校运营的解决方案,并愿意与高校共同探讨与定制化有校园特色的运营方案;
●华为与电信、广电运营商以及大ISP如淘宝、腾讯、XX等都有紧密的合作,很方便与他们建立联系,通过校企合作为学生提供更好的互联网接入以及增值服务。
3.2认证计费网关选型指导策略
对于校园网整网改造的项目,我们通过精细化运营这一理念打动客户,与客户找到共同语言,迅速拉近与客户距离,结合我司在运营领域的经验,依托解决方案和产品的优势找到突破口,配合敏捷网络的理念带动周边产品的进入,从而实现整网突破。
对于实际校园网项目,通常只涉及部分领域,分场景策略描述如下:
●认证计费网关
认证计费网关是高校实现精细化运营管理的核心组件,作为有线和无线用户业务网关、承担认证、流量统计及计费、策略精细化运营管理等功能。
目前华为在高校认证计费网关有几种选型策略:
⏹主推S12700做为校园网认证计费网关,同时可实现有线无线深度融合,包括有线无线用户统一认证管理、业务统一转发、有线无线网络统一运维。
适用场景:
中等规模院校的集中接入认证,师生用户规模约在2.5万以下(按照60%并发,无线用户并发上线70人/s估算的规模。
实际可部署场景跟用户并发率以及有线无线的分布比率密切相关,具体的性能指标计算可参考随板AC销售指导策略),方案拓扑见下图所示。
⏹对于全校接入用户规模超过S12700用户接入能力,优先推荐采用分布式认证计费方案,认证计费网关下沉至汇聚交换机(S12704/S7700SRUH),可按宿舍区、办公区、教学区等来进行用户划分。
方案见下图所示:
⏹针对需要使用PPPoE进行计费运营场景,采用ME60来实现认证计费网关。
3.3用户管理及计费平台的选型策略
认证网关需要跟认证及策略服务器(或认证计费平台)对接,设备选型策略分如下几种情况:
⏹对于使用S127作为认证网关的场景,首选我司自研的AgileController作为用户认证服务及策略中心,特别是不需计费的校园网场景,S127配合AgileController,是典型的敏捷园区配置,可更好的体现我司整网优势特别是业务随行特性,并且有利于整网向SDN的平滑演进;
⏹对于有计费需求的场景,推荐仍然使用AgileController,同时对接第三方的计费服务器,当前测试过的有深澜和城市热点;对于客户明确对业务随行有需求准备实际部署,但预算只能承担第三方服务器的情况,可以视情况申请商务优惠;
⏹对于认证计费网关是ME60需要计费的情况,仅推荐第三方认证计费服务器,目前深澜和城市热点跟我司目前合作良好,技术沟通的渠道顺畅,成功案例也比较多,作为首选推荐;除此之外的厂家,只要是基于标准Radius协议的,基本可以实现对接。
3.4随板AC销售指导策略
产品销售策略
●主力销售S12700,S7700(SRUH),S5720-HI;
版本销售策略
●S127004K用户终端以下可选择默认发货版本V2R7C00(已GA),4K用户终端以上请选择V2R7C20版本(TR5:
2015.09.30)。
V2R7C20版本为受限发布版本,配置器不可选择,如需要请联系殷玉楼(00130915),V2R7C20版本将在V2R9C00版本(2016Q2GA)统一收编。
●S7700(SRUH)需要使用V2R8C00版本(15年10月中旬GA)。
随板AC产品选型要点
高校园区一般基于终端接入规模、AC可靠性等选择X1E/ACU2板卡数量。
ACU2和X1E可部署规格如下表:
产品
纯802.1x认证场景或
802.1x+Portal认证并存场景
纯Portal/Portal+MAC认证场景
有线用户终端并发规模(Z值参考)
无线用户终端并发规模
有线用户终端并发规模(Z值参考)
无线用户终端并发规模
S12712/12708
30K
10K
30K
15K
S12704
15K
5K
15K
10K
S9712/9706(SRUC/SRUD)
20K
5K
20K
10K
S7700(SRUH)
15K
5K
15K
10K
S7712/7706(SRUA/SRUB)
3K
1K
3K
2K
S5720HI
6K
2K
6K
2K
⏹有线无线选型原则
如果同时存在有线、无线用户接入,请基于以下原则选择:
假设并发有线用户终端数X,并发无线用户终端数Y,整机有线用户终端规模为Z(参见上表标识)。
(1)如果无线用户采用Portal认证,则需满足X+1.5Y(2)如果无线用户采用802.1X认证,则需满足X+2Y(3)如果802.1x和Portal认证并存时,则按照802.1x的公式计算。
ACU2选型要点
用户规模超出随板AC性能,统一采用ACU2来实现。
产品
纯802.1x认证场景
纯Portal/Portal+MAC认证场景
802.1x+Portal混合认证场景
ACU2(单块)
无线用户终端规模:
5K
无线用户终端规模:
5K
无线用户终端规模:
5K
3.5华为高校网络方案竞争及引导策略
针对客户的痛点以及我司的竞争优势,在高校的拓展的引导策略如下表所述:
客户痛点
引导策略
网络架构不灵活,管控受限,易被运营商和厂商绑架,扩展性差;
强调基于SDN的开放融合:
面向接入层开放,面向认证策略系统开放,面向运营商开放,以极好的兼容性和可扩展性与友商形成对比。
对有线无线融合的场景难以实现精细化管理及精确流量计费;
针对锐捷的方案复杂且封闭,需要叠加多个设备和板卡联动,兼容性差,配置维护工作量较大。
引导S127的统一用户接入和策略管理,随板AC和随板用户管理的功能。
宿舍网络隔离不好,容易导致网络攻击,存在环网风险且ARP过多;
引导部署端口隔离东西向流量,通过策略联动方式在核心网关做认证,所有流量在中心网关集中转发;
校园大量802.1X认证方式实现端口安全的控制,但是需要在每个端口上配置1x认证,维护工作量巨大;而集中式Portal认证又使得接入端口无条件开放,带来安全隐患
引导策略联动敏捷接入方案,在核心层集中配置认证策略,包括1x和portal,在边缘接入层执行认证策略,让1x的安全性和portal集中认证的便利性两者兼得;我司的独特的敏捷特性。
有线交换机数量较多,配置维护工作量巨大。
针对锐捷的QinQ/SuperVlan方案,引导使用策略联动敏捷接入方案,采用AC管理AP的理念,S127管理接入层“瘦交换机”,接入层交换机零配置,区域内使用一份配置文件统一下发。
接入/汇聚端口隔离,策略集中下发,分布式执行。
并且可以根据交换机上报用户位置信息执行快速定位。
对于楼层汇聚交换机引导做SVF,将楼道的接入交换机(特别是接AP的POE交换机)通过超级虚拟化的方式实现本区域单点管理。
有线portal认证用户直接关机的情况下,无法实时感知,并且需要通过额外的ARP探测来感知,会带来大量网络ARP报文。
引导策略联动敏捷接入方案,像AC管理AP一样,接入交换机端口shutdown会及时上报状态让用户下线,避免用户下线但后台还在线的情况。
校园业务复杂,用户角色较多,接入方式多样,需要进行精准的管理和权限控制。
引导业务随行方案,实现有线无线统一认证接入,通过controller策略矩阵,用自然语言定义用户策略,一键式下发,策略与IP地址解耦,用户位置移动或接入方式变更,不影响权限和策略执行。
无线需求剧增,原有无线业务客户感知较差;
引导有线无线深度融合,准入准出一次认证,统一用户认证与管理,校园全场景覆盖以及360生命周期管理;
宿舍区传统的室内布放覆盖不均匀,学生体验不佳;
引导针对宿舍特点开发的敏捷分布式AP,提升无线覆盖质量;
有线及无线接入层设备众多,运维管理困难;
引导集中控制与转发,符合SDN理念和潮流,简化配置,可扩展性强;引导敏捷特性有线无线深度融合,体现综合优势。
学校需要跟运营商实现对接运营;
引导Controller与深澜/城市热点配合的多运营商接入方案,提供多校方与多运营商互利共营的方案。
引导敏捷业务随行特性,即支持基于用户组出口选路/NAT,支持基于目的地址计费DAA等特性;
高校分部门内网络共享问题,如打印机、传真机、服务器等资源需自行管理并实现局域网共享;
打印机传真机一般是采用静态IP或者绑定MAC地址。
引导采用业务随行的方案,将IT设备所在位置设置成相应的用户组,通过AgileController设置访问权限,这样就能确保用户可随时访问本部门IT资源而不是在同一房间才能访问。
详细方案参加技术建议书。
对学生上网行为管控和网络溯源压力较大;
引导业务随行实现Controller和USG/ASG系列安全产品的配合,基于用户的深度流控以及上网行为管理,日志关联分析,以及精确溯源;
校园存在多出口的情况下负载均衡实现效果不佳;
引导USG防火墙的负载均衡能力,除了实现基于链路的负载均衡,还可根据DNS透明代理方式实现基于运营商链路的负载均衡,效果更好。
3.6分场景案例及对应合同列表
客户名称
涉及产品
描述
是否有案例合同
清华大学
8台S127
平安校园网
均有
北京大学
USG9000
校园网出口安全
有案例
东华大学
S127
校园核心及汇聚
均有
云南大学
S127、WLAN
整网
有案例及配置确认函
南开大学
ME60、WLAN、
无线校园覆盖
有案例及配置确认函
北京理工大学
ME60
校园核心网关
均有
武汉大学
WLAN、S127
无线校园网
均有
东北大学
CE128、USG9000
数据中心
有合同
上海科技大学
S127
整网
有案例
天津大学
ME60、USG9000、CE128
校园网数据核心,数据中心网络,
有合同
东南大学
4台127
校园网核心
均有
升级会员 