一、项目背景

在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。但随着教学设施的完善，越来越多的便捷式计算机终端被带进了校园，教师和学生对高校校园网的依赖性愈来愈高，“随时随地获取信息”已成为广大师生们的新需求。而无线校园网络的快速发展与应用，将对学校的教学模式、教学理念及教学管理产生深远的影响，也将对学校教师、学生的学习、生活方式产生积极影响。 

无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所，除此之外，校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。因此，在整个校园内，同一个设备可以在任何时候、任何地方与校园网络连接，不间断地访问校园网络资源。

同时针对学生和教职工家属基于无线网络进行宽带运营，也是高校无线网络建设中考虑的重要环节。基于校园无线网向不同的用户群体提供不同的无线上网服务，教职工可以基于无线开展教学活动访问某些教育网资源，学生和家属可以基于无线进行付费上网。而传统无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。

二、问题及需求分析

现状：维护繁、投入繁、整合繁

当前高校校园网由于网络规模、用户规模、管理及运营策略越来越繁，导致了支撑校园网服务的资源投入变得越来越复杂，这又使得高校信息部门受限于现有的资源很难提供更加丰富的服务内容、保障更加稳定的服务质量，所以说校园网当前面临的规模“繁”、投入“繁“、”整合“繁的现状引发了诸多的烦恼。

挑战：维护烦、投入烦

老师烦维护

对于高校信息部门负责日常运维的老师来说规模“繁“带来的烦恼主要集中在接入网设备和认证计费用户的管理，特别是各项运营及管理功能策略都部署在接入设备上时，这种维护”烦“更加显著。主要表现在三个方面：

如果学生通过互联网查询或者其它渠道获得了接入网设备的登陆账号，很容易就修改设备配置，从而获得免认证甚至无限制的接入到网络，从而造成服务不公平的负面影响，而这种人为隐患由于接入设备数量庞大（例如：上千台）老师无法控制。

校园网新业务的部署需要端到端的配置，这是庞大的接入网给维护老师带来巨大的工作量，不但耗费极大的时间、精力，还会造成业务上线慢，用户评价降低的影响。

同样由于功能、策略部署在接入网设备上，对接入网网管的技术要求就会相对较高，普通的学生网管其实很难完全胜任，因此一旦当接入网故障或安全事件频发时，学生网管就很难快速定位、分析和处理事件，大部分的工作都将由信息部门的技术骨干和维护老师来承担，不但会造成处理不及时，也会降低用户体验度，导致服务质量和服务响应收到影响。

领导烦投入

对于高校信息部门领导来说支撑“繁“带来的烦恼主要集中在如何在少量的资金投入下，通过现有的人员和技术储备快速的支撑起当前的校园网信息服务，并且当无线校园网建设纳入到下一步工作计划后，这种投入”烦“更加显著。主要也表现在三个方面：

当校园网的各项管理、运营、服务策略都分布在接入网设备上时，这些设备的商务成本会相对较高。当接入网设备的数量成百上千台时，整个接入网就会耗费大量的资金，极大的压缩无线校园网建设的设备采购和服务内容、服务体验建设的资金预算，信息部门领导在校园网服务转型的过程中就会受限于资金投入。

当前校园网常见的维护人力资源配置，一般是2-3千用户配置1个网管老师和4个学生网管，但是当无线校园网建设完成之后，1个用户会存在多个终端的现象，而接入网设备也从有线交换机维护扩展到有线/无线接入设备的维护，这种配置就很难满足需求了。信息部门领导在人力资源的配置和储备上至少要在现有基础上扩充一倍。

以前校园网的接入维护，有大量的工作是由学生网管承担，在上岗之前只需要经过1个月左右的培训，让学生了解基本的Vlan、STP、路由等配置即可。但是现在学生还需要增加对接入控制、认证计费、安全检测等技术的学习，需要培训和实习近半年才有可能独立承担大部分工作，而当无线校园网建设完成后，又会增加WiFi网优、Web认证、无线漫游等技术门槛，学生网管培养和实习的周期将会越来越长，独立工作的可能性越来越小，人员的技术储备和质量要求越来越高。

针对目前高校在网络、认证、用户管理中存在的问题，蓝海卓越推出适合高校校园的有线无线认证计费解决方案，该方案需要满足以下需求：

1. 全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务，采取光纤到户的GPON网络组网；

2. 每间宿舍一个ONU+WiFi一体化设备；

3. 支持多种认证方式，包括针对教师的AD域认证上网，以及针对宿舍学生和教职工家属的静态用户名密码认证上网；

4. 支持基于不同的SSID推送不同的Portal认证页面，面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面；

5. 支持对接学校现有的管理系统数据库或LDAP数据库，教师可以直接在认证页面输入相关AD账户密码进行认证上网；

6. 学生和教职工家属可以采用付费的方式上网，通过向高校信息中心提供相应的证件办理无线上网套餐，套餐可以按照包月/包年基于时长或者流量进行计费，并通过静态用户名密码的方式认证上网，套餐到期后账户停机；

7. 可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；

8. 方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理；

9. 认证成功后可以实现强制跳转至高校官网或其他指定网站，可以有效的进行宣传和推广；

10. 所有认证用户均需审计监控；

11. 部署方便，维护简单，同时对整体设备需要易操作易管理，维护简单；将来增加覆盖范围和用户数量能够方便的进行扩展升级。

三、建设目标

1、建设全新的学生宿舍/教师公寓宽带接入网络，提高用户上网体验满意度；

2、新建的网络具有稳定运营能力，能根据校园业务需要实现多种方式的灵活计费，根据管理要求制定精确的网络权限；

3、能够对上网行为进行精准的可追溯、可查询、可分析；

4、需对所有接入用户实现有线无线一体化管理，整体网络建立扁平化网络；

5、实现上网实名制认证，提升整体网络的可靠性、使用性和管理性；

6、部分情况下，与校园一卡通打通，实现统一收费；

7、与支付宝和微信打通，实现自助收费；

8、新建网络可应对未来5-10的网络发展。

四、校园运营模式

1. 典型自运营模式

典型自运营模式，通常是由学校或三方运营商建设及维护，是由校园运营商建设校园网，由三大运营商提供带宽和帐号接入到校园出口，校园运营商为学生提供上网帐号，学生在客户端使用802.1x、IPoE、Portal、PPPoE等方式与代拨网关交互认证，并与RADIUS计费系统对接实现认证计费功能。

典型自运营模式中，三大运营商只需提供线路带宽，所有的运营及收费均由校园内运营商自行完成。

优点：学校自主可控，收费策略可自定义，与校园内系统打通方便统一收费。

缺点：无法与手机号码绑定，销售融合套餐，会损失部分用户。

2. PPPoE代拨模式

PPPoE一对一代拨，是由校园运营商建设校园网，由三大运营商提供带宽和帐号接入到校园出口，校园运营商为学生提供上网帐号，学生在客户端使用802.1x、IPoE、Portal、PPPoE等方式与代拨网关建立认证连接，再通过代拨网关自动转换为运营商帐号密码，实现一对一代拨上网。

一对一代拨所有的收费由三大运营商收取，由校园运营商和三大运营商共同控制学生的上网认证，最终进行收入分帐。

      3.PPPoE代拨高校运营商合作运营模式

        校方：

Ø Ø允许运营商向学生放号，运营商向学生销售融合套餐，使用该套餐的学生，可以免费使用校园WIFI网络

Ø Ø运营商将学生的手机号和对应的宽带帐号提供给学校，学校在计费系统上绑定

Ø Ø学生通过PORTAL认证认证，认证通过后，代拨网关帮助学生进行代理拨号，进行一对一的上网

Ø Ø学生网络欠费，代拨失效，学生也就不能使用WIFI了

Ø Ø运营商收到学生的融合套餐网费，按一定规则和比例分给学校运营方

        好处：

Ø Ø运营商可以开多个融合套餐用户，完成公司KPI

Ø Ø学生使用手机，通常是每个月续费，不存在寒假暑假的停机问题

Ø Ø运营商无需投资校WIFI网络建设，只需给校方分成即可，实现轻资产快速扩

        运营方：

Ø 负责学生互联网服务日常客服

Ø 运营商出口日常维护

        双方分帐方式：

Ø 分账依据：达到累计时长流量门槛的活跃用户量

Ø 分账比例：用户套餐的一定比例

PPPOE代拨可以采用如下几种合作方式进行：

(1) 校园自建模式

适用于已有校园网，或是全部校园内网由运营商或校园自建，但是三大运营商都需要接入，校园允许三大运营商接入，在学校自已的代拨网关上，分别对三家运营商进行代拨选路。

适用于希望拥有自主权、管理权和统一账户管理需求的学校。

模式优点：

Ø 校园运营商可以引入三大运营商，校园内所有的学生都可以自由选择任何一家运营商使用，三大运营商根据开户情况，向校园运营商进行收入分成，校园运营商可以实现极高的开户率。

Ø 学校只需部署一套代拨网关+AAA认证。

Ø 校方无需对校园网络进行改动，通过部署代拨网关——AAA认证计费平台认证，即可完成PPPoE代拨、智能选路。

Ø 校方无需与运营商对接开发。

(2) 运营商投资模式 

        对接校方原认证计费系统

适用于校园网络原有核心设备不支持基于账号后缀选路，需要通过增加代拨网关和认证计费平台，对准出的学生用户进行上网认证及选路。

运营商新进入时，需要保持原有校园内准准入认证计费平台和数据不动，新增加代拨网关和认证计费平台。

需要访问互联网的用户，校园进行准入认证后，将该部分用户的路由指向新的代拨网关，代拨网关对这部分用户进行认证，并将认证请求发给认证计费平台，认证计费平台通过识别用户的后缀名称，对用户进行选路操作，并将选路结果返回给代拨网关，由代拨网关实现不同的帐号，到不同的运营商线路进行认证上网。

模式优点：无需更改校园原有的网络。原有的网络和认证可以做为准入系统使用。新增加一家运营商，则可以增加一套代拨网关+计费。或是使用一个计费对接多个代拨网关，实现多运营商代拨选路。

(3) 家宽聚合出口模式

    适用于需要解决校园网出口痛点的学校

    带宽不足带来的隐性问题

Ø 校园带宽一直属于校园瓶颈，每年针对校园出口的需求越来越大；

Ø 传统的大带宽业务专线，由于费用等原因，无法逐年无限增多；

Ø 为了弥补校园带宽不足，采用各种优化策略进行辅助，造成管理越来越复杂；

Ø 串接优化控制设备越来越多，维护成本高，各种串接设备性能差异大；

Ø 随着控制优化策略愈发增多、故障点、管理成本凸显；

Ø 负载控制策略越来越复杂，负载效果不理想，流量计费管理成本高；

        专线和家宽的区别：

Ø toB企业专线：昂贵，维护和升级成本高

Ø toC家宽：便宜，需要托管给运营商（包括给学生放号），但带来学生管理问题

        而通过家宽聚合出口的模式，可以解决以上问题。