中兴通讯承建湛江师范学院校园网方案

　　三、方案特色及关键业务开展

　　1.结构清晰、架构可靠的宽带组网策略

　　

　　图3 湛江师范学院校园网组网方案

　　网络结构层次清晰合理，核心层、汇聚层、接入层各司其职，有效保证各项业务的开展实施。接入层以上全部采用全光纤设计，保证访问速度，减少时延缓慢。同时，学校内重要地点均进行双归属负载均衡链路设计。

　　2.分权/分域统一网管的特色功能

　　

　　图4 湛江师范学院校园网分权/分域统一网管方案

　　通过图3可以看到，完整统一网管平台软、硬件均放置于校方，根据实际需求可开放不同级别的权限，完成性能管理、配置管理、记账功能、故障管理、安全管理等功能。

　　同时，湛江电信侧可以增加高级别权限的用户端，通过穿越城域网访问校内的管理平台，完成高级别的权限：配置管理、记账功能、故障管理等功能。

　　3.完善的认证及记账模式

　　

　　图5 湛江师范学院校园网完善的认证及计费策略

　　针对学校的特殊性，本方案制定了相应的灵活权限与计费策略：

　　——针对内网权限的用户：通过加装802.1X的PC客户端直接通过合法的账户密码登陆内网，802.1X服务器端进行相应，确定其合法性。如果合法，则分配IP地址，可以实现内网的浏览；

　　——针对外网权限的用户：第一、通过加装的PC客户端直接通过合法的账户密码登陆，802.1X服务器端进行合法性验证、防私接策略；第二、外网访问认证进程在后台同时运行，AAA以及RADIUS完成相应认证和计费策略实施。

　　4.视频教学业务实施策略

　　针对校内视频教学业务的开展，本方案提出以下策略：从核心层、汇聚层到接入层设备全程支持组播协议。通过用户发起组播请求，可经过VLAN的划分进行用户请求认证，因此汇聚层设备可以开通Selective QinQ。

　　针对视频教学的实施策略建议如下：

　　——校内用户先行接受基于802.1X的合法性验证，通过验证后方可浏览内网和访问校内的媒体服务器群组；

　　——针对湛江师范学院的实际地理情况，建议保持两套媒体平台分别放置在新老两个校区的核心设备侧，这样可以保障用户的浏览带宽以及重要资源的冗余备份；

　　——校方在自身的媒体服务器的WEB建设中，可以具备用户浏览账户认证、计费管理、浏览记录管理、用户自助平台等基本功能，方便学生的同时进行有效管理。

　　5.校内“一卡通”业务及银行卡关联服务策略

　　

　　图6 校内一卡通、银行卡关联策略

　　针对本次校园网工程，涉及计费和款项记账、划账等特殊性要求，中兴通讯进行如下规划和建设：

　　——校内的“一卡通”策略：连接上有两种方式，第一、利用AAA/RADIUA系统在Cisco7609侧出口，在校园网内部完成信息共享和互操作；第二、利用AAA/RADIUS系统的外向CDR接口直接通过专线方式与既有的“一卡通”平台相连；

　　——校园网中“一卡通”关联平台实现的功能：

　　-进行关联一卡通账户在校园网浏览费用上的扣款、记账功能；

　　-进行校园网用户对一卡通账户的操作和管理：自助查询、自助开户、冲值、管理以及可能的其他增值服务消费；

　　-整理和汇总学生用户的浏览消费账户，并按照一定周期（24小时）传送协议银行——广东发展银行进行校内一卡通与银行卡的冲值扣款等功能。

　　-校方的AAA/RADIUS系统利用CDR外向系统接口，连接广东发展银行湛江师范学院代办点，链路方式根据银行方面实际情况确定，目前为2M专线接入。

　　6.学生/用户入网及消费保障的特色推广模式

　　根据湛江师范学院用户用户数量大、使用业务频繁、用户上网地点可变性、消费谨慎且灵活定制等特点，建议校园网针对学生的开户及便利发展业务等基本需求出发，采取如略：

　　（1）内网权限学生开户：结合学校教务部门的统计，确定合法学生的范围。根据现有信息在802.1X和AAA/RADIUS系统进行内网账户名和初始密码设定；

　　（2）外网权限学生开户：有四种方式可供灵活选择：

　　——利用校内固定代办点进行冲值卡的购买，冲值卡购买后需经自助平台激活方可以使用，进行账户冲值；

　　——结合校方当前的“一卡通”平台，直接实现在校园网自助平台上进行“一卡通”与上网计费关联功能，方便而且快捷；

　　——AAA/RADIUS系统侧直接进行操作处理：这种方式适用于高级别或者特殊类用户，例如校方领导、老师以及部分管理人员；

　　——特殊地点或者场所不经过认证直接可使用，例如在校方领导办公室、实验楼、图书馆等地点。

　　（3）计费模式：针对学生的特点，实施“包月为主，灵活订购为辅”的策略。

　　7.防代理、防私接的特色策略

　　作为校园网的主导用户，学生以其灵活性、好动性以及自我挑战性注定了校园网将是一个必须安全接受各种考验的网络，中兴通讯紧密结合学生自身特点和建网经验，制定并实施了一套非常有效的防止代理防止私接的策略：

　　

　　图7 校园网防代理、私接策略

　　——HUB私接：合法用户通过802.1x认证及响应，可以随时具备合法权限浏览内外非法用户虽然可以直接物理接入网络，但无法实现802.1x的合法响应，因而无法具备入网权限。

　　——非法代理用户：虽然可以避过802.1x的合法性检测，但是由于自身双网卡的启用，中兴通讯的802.1x服务器端会发现并侦测到合法用户启用非法双网卡代理，进而通过802.1x协议调用和客户端自动封闭代理功能，或者将合法用户也暂时取消上网权限，直至用户取消非法代理。

　　四、结束语

　　中兴通讯凭借先进的电信级数据设备和丰富的校园网建设经验，与湛江师范学院携手，共同建设全国最大“新时期校园网”。通过细致的需求分析和富有特色的策略，中兴通讯将湛江师范学院校园网建成网络清晰、业务丰富、安全可靠、计费灵活的精品校园网，为推动中国教育信息化发展助一臂之力。