1. 方案背景

校園網(wǎng)建設(shè)已經(jīng)有十多年歷史了，多數(shù)學(xué)校校園網(wǎng)建設(shè)已經(jīng)形成規(guī)模，但校園網(wǎng)運(yùn)營狀況不是很理想。很多學(xué)校的校園網(wǎng)，都存在設(shè)備老化、品牌混雜、私拉亂接、病毒泛濫、網(wǎng)絡(luò)攻擊等現(xiàn)象，網(wǎng)管中心忙于應(yīng)付網(wǎng)絡(luò)突發(fā)故障。加上幾年院校合并，幾張校園網(wǎng)拼成一張校園網(wǎng)，導(dǎo)致很多院校的校園網(wǎng)運(yùn)行不穩(wěn)用戶身份認(rèn)證和計(jì)費(fèi)困難。

目前校園網(wǎng)認(rèn)證計(jì)費(fèi)存在：多廠家交換機(jī)，統(tǒng)一認(rèn)證計(jì)費(fèi)存在技術(shù)困難；認(rèn)證計(jì)費(fèi)不準(zhǔn)，不能按流量計(jì)費(fèi)。校園網(wǎng)迫切的需要一套計(jì)費(fèi)系統(tǒng)，可運(yùn)營易管理的網(wǎng)絡(luò)。

2.解決方案

2.1 組網(wǎng)方案

校園網(wǎng)包括的信息點(diǎn)數(shù)量較多，采用核心、接入二層的扁平化網(wǎng)絡(luò)層次，出口防火墻與核心交換機(jī)之間部署B(yǎng)RAS設(shè)備，實(shí)現(xiàn)上網(wǎng)用戶的接入認(rèn)證。本架構(gòu)模型如圖：

1） 核心層
在典型的層次化模式中，組件間通過核心層互聯(lián)，核心用作網(wǎng)絡(luò)骨干。鑒于各組件都依賴核心進(jìn)行連接，因此，核心必須速度很快且可靠性高。現(xiàn)在的硬件加速系統(tǒng)具備以線速提供復(fù)雜業(yè)務(wù)的潛能。建議在網(wǎng)絡(luò)核心采用“越簡單越好”的方法。核心配置可降低配置復(fù)雜性，從而減少出現(xiàn)運(yùn)行錯(cuò)誤的幾率。
核心層用于承擔(dān)校園網(wǎng)各分布區(qū)域的子網(wǎng)互連。核心層是整個(gè)網(wǎng)絡(luò)可用性和可靠性的關(guān)鍵，需要進(jìn)行各關(guān)鍵設(shè)備和關(guān)鍵器件的冗余，由于核心層主要承擔(dān)校園網(wǎng)內(nèi)各子網(wǎng)的互連和數(shù)據(jù)流量的融合和貫通，同時(shí)承擔(dān)各單位到Internet的接入，故必須能滿足大業(yè)務(wù)橫向流量的性能要求，也要滿足出縱向業(yè)務(wù)流量的性能和功能要求。
基于以上的基本數(shù)據(jù)流量模型分析，采用1臺(tái)高性能的BRAS設(shè)備和2臺(tái)核心交換機(jī)組成的縱向橫向設(shè)備分離的模型作為核心層的網(wǎng)絡(luò)架構(gòu)。

2） 接入層　  

主要承擔(dān)各信息點(diǎn)的接入。接入層要求為各信息點(diǎn)提供百兆帶寬的接入，實(shí)現(xiàn)無阻塞快速的數(shù)據(jù)接入。接入層交換機(jī)通過千兆鏈路上連到所屬子網(wǎng)的匯聚交換機(jī)上。為了在接入層就啟用較好的防ARP攻擊等策略，同時(shí)考慮到校園網(wǎng)的技術(shù)前瞻性，接入層交換機(jī)采用具備ACL功能的智能二層交換機(jī)，并且通過千兆鏈路和匯聚層交換機(jī)互通。 

2.2 用戶接入方式規(guī)劃

1）內(nèi)網(wǎng)訪問—只認(rèn)證不計(jì)費(fèi)
校園使用的認(rèn)證計(jì)費(fèi)系統(tǒng)，只針對(duì)上校園外網(wǎng)進(jìn)行計(jì)費(fèi)，對(duì)學(xué)院內(nèi)部網(wǎng)絡(luò)資源一般免費(fèi)。校園內(nèi)網(wǎng)的主要用途之一是承載師生和教職工家屬等對(duì)內(nèi)網(wǎng)各類應(yīng)用服務(wù)的訪問，比如FTP服務(wù)、VOD點(diǎn)播、課件下載/上傳、校園網(wǎng)站瀏覽/BBS等，因此校園網(wǎng)首先要保障信息點(diǎn)對(duì)內(nèi)部服務(wù)器區(qū)域的無阻塞訪問。

2）外網(wǎng)訪問—PPPoE+AAA
校園網(wǎng)的另一主要用途是實(shí)現(xiàn)學(xué)生、教職工、家屬對(duì)外網(wǎng)的訪問，包括Internet和Cernet的訪問。由于Internet接入是付費(fèi)的，因此用戶對(duì)外網(wǎng)特別是Internet的訪問需要進(jìn)行嚴(yán)格的管理，實(shí)施針對(duì)用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA）管理，不僅能提升校園網(wǎng)使用的安全性，還能打造出可運(yùn)營的新一代校園網(wǎng)，實(shí)現(xiàn)信息基礎(chǔ)設(shè)施的良好投資回報(bào)率。 

3.方案總結(jié)

本方案解決了校園網(wǎng)存在多廠家交換機(jī)，不易統(tǒng)一認(rèn)證計(jì)費(fèi)的技術(shù)難題。

1.計(jì)費(fèi)精確
不僅可以按時(shí)長，分不同時(shí)段計(jì)費(fèi)外，還可按精確流量計(jì)費(fèi)。符合用戶習(xí)慣，用戶容易接受。PPP連接是點(diǎn)對(duì)點(diǎn)連接，克服了局域網(wǎng)共享連接病毒的泛濫。 

2.BRAS集中認(rèn)證
設(shè)備與認(rèn)證計(jì)費(fèi)系統(tǒng)無關(guān)，擺脫802.1x網(wǎng)絡(luò)設(shè)備與認(rèn)證計(jì)費(fèi)系統(tǒng)綁定，降低建網(wǎng)投資。接入層設(shè)備與業(yè)務(wù)無關(guān)，便于新業(yè)務(wù)開展 

3.管理便捷
可為不同用戶定制服務(wù)，分配各自的獨(dú)享帶寬，提供差異化運(yùn)營服務(wù)。 

4.支持QoS
提供平滑的QoS，可區(qū)分不同業(yè)務(wù)，有效管理出口流量，抑制P2P流量和病毒引起的突發(fā)流量。 

5.防代理功能
專用客戶端支持防代理功能，可防止資費(fèi)流失。
校園網(wǎng)的運(yùn)營方式類似于運(yùn)營商，各大運(yùn)營商普遍采用PPPoE認(rèn)證技術(shù)，因此，可以跟隨運(yùn)營商，享受后續(xù)的技術(shù)更新。在運(yùn)營商普遍采用PPPoE實(shí)現(xiàn)家庭用戶接入的情況下，校園網(wǎng)用戶更容易適應(yīng)這種方式。