蓝海卓越校园全光网络无线认证计费解决方案成都星锐蓝海网络科技有限公司2021-9目录一、项目背景 (3)二、需求分析 (4)三、校园分析 (6)四、建设目标 (7)五、方案设计原则 (8)六、方案设计说明 (11)6.1方案拓扑图 (11)6.2认证与计费管理主要功能 (15)6.3方案特点 (21)一、项目背景在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。

但随着教学设施的完善，越来越多的便捷式计算机终端被带进了校园，教师和学生对高校校园网的依赖性愈来愈高，“随时随地获取信息”已成为广大师生们的新需求。

而无线校园网络的快速发展与应用，将对学校的教学模式、教学理念及教学管理产生深远的影响，也将对学校教师、学生的学习、生活方式产生积极影响。

无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所，除此之外，校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。

因此，在整个校园内，同一个设备可以在任何时候、任何地方与校园网络连接，不间断地访问校园网络资源。

同时针对学生和教职工家属基于无线网络进行宽带运营，也是高校无线网络建设中考虑的重要环节。

基于校园无线网向不同的用户群体提供不同的无线上网服务，教职工可以基于无线开展教学活动访问某些教育网资源，学生和家属可以基于无线进行付费上网。

而传统无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。

二、需求分析蓝海卓越针对目前高校在无线认证和计费中存在的问题，推出适合高校校园的无线认证计费解决方案，该方案需要满足以下需求：1、全面建设学生宿舍、教师公寓及公共区域的宽带及无线网络接入服务，采取光纤到户的GPON网络组网；2、每间宿舍一个ONU+WiFi一体化设备；3、支持多种认证方式，包括针对教师的AD域认证上网，以及针对宿舍学生和教职工家属的静态用户名密码认证上网；4、支持基于不同的SSID推送不同的Portal认证页面，面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面；5、支持对接学校现有的管理系统数据库或LDAP数据库，教师可以直接在认证页面输入相关AD账户密码进行认证上网；6、学生和教职工家属可以采用付费的方式上网，通过向高校信息中心提供相应的证件办理无线上网套餐，套餐可以按照包月/包年基于时长或者流量进行计费，并通过静态用户名密码的方式认证上网，套餐到期后账户停机；7、可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；8、方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理；9、认证成功后可以实现强制跳转至高校官网或其他指定网站，可以有效的进行宣传和推广；10、所有认证用户均需审计监控；11、部署方便，维护简单，同时对整体设备需要易操作易管理，维护简单；将来增加覆盖范围和用户数量能够方便的进行扩展升级。

三、校园分析学生宿舍基本情况1、楼栋2、楼层3、房间数4、弱电井5、宿舍教师公寓基本情况1、楼栋2、楼层3、房间数4、弱电井5、教师楼四、建设目标1、建设全新的学生宿舍/教师公寓宽带接入网络，提高用户上网体验满意度；2、新建的网络具有稳定运营能力，能根据校园业务需要实现多种方式的灵活计费，根据管理要求制定精确的网络权限；3、能够对上网行为进行精准的可追溯、可查询、可分析；4、需对所有接入用户实现有线无线一体化管理，整体网络建立扁平化网络；5、实现上网实名制认证，提升整体网络的可靠性、使用性和管理性；6、部分情况下，与校园一卡通打通，实现统一收费；7、与支付宝和微信打通，实现自助收费；8、新建网络可应对未来5-10的网络发展。

五、方案设计原则蓝海卓越基于多年的产品运营经验及对无线认证计费运营的深刻理解，针对某高校无线认证计费的需求并结合现有产品推出“蓝海卓越高校校园无线认证计费解决方案”，从打造可管理、可运营的无线认证计费网络的角度出发，致力于为客户建设一个高效可靠、运营成本低的商用无线认证计费网络，使无线认证计费网络部署轻松、可靠、高效。

根据用户需求及用户网络特点，蓝海卓越提供的方案设计遵循以下原则：1、高可靠性在宿舍区域全部采用无源光的PON网络，光纤到户，每间宿舍一个ONU 设备，统一认证，统一管理，统一配置，同时ONU提供WiFi接入；无线网络运行的稳定可靠是接入认证系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，适合7×24不间断运行。

2、技术先进性和实用性在保证满足无线接入认证的同时，又要考虑无线计费系统的先进性，充分考虑到系统应用的现状和未来发展趋势，能够方便的对功能进行扩展。

本次建设采用光纤到户的无源光GPON组网方式，高速、稳定、可承载多种业务。

3、标准开放性支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范以及标准的Radius协议，有利于保证与其它网络及设备之间的平滑连接互通，以及将来网络的扩展；4、灵活性及可扩展性根据未来业务的增长和变化，网络及设备可以平滑地扩容和升级，并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整。

本期项目建设，从有线接入/无线网络信号覆盖、骨干链路建设、安全建设、身份准入系统建设四个方面考虑整个项目的扩展性，做到易扩展，并且做到扩展后所有功能和管理的模式保持不变。

5、可管理性对网络状况实行集中监测、分析，具有对接入用户、设备、网络、流量等进行统计分析和管理的功能。

宿舍区域的全光网络建设，可通过专用网管系统统一管理ONU设备，智能化调配WiFi的功率、信道、ssid等，减少人为过多的介入运维，提升管理效率。

6、完善的安全措施对于本期的网络建设，在保证用户高效、稳定、健康的网络服务同时，网络的安全建设也将是重中之重。

(1)用户接入认证的控制：宿舍用户全部必须实名制认证，接入网络基于WEB认证方式，充分满足各种无线终端的接入。

(2)基于用户的访问策略：不同的用户可能有不同的网络应用访问，包括HTTP、FTP、视频、语音等，针对不同的应用，加以配置不同的行为控制权限，既满足针对不同用户的网络互访的安全性，又可以针对特殊需求（如安全级别较高的领导等）赋予单独的隔离访问，不会受到非法用户的入侵。

(3)受保护的无线数据传输：网络安全事件往往会发生在数据传输阶段，因此，新建成的宿舍网络，将同时满足合法的有线用户与无线接入点的数据传输的安全性，以及有线无线接入点与上行网络的数据传输的安全性。

六、方案设计说明蓝海卓越结合广泛的无线认证计费市场需求，推出蓝海卓越Portal 无线认证系统及流控、AC 、AP 等产品，最大限度的满足现有有线+无线认证计费的市场需求。

通过蓝海卓越Portal 系列产品，用户可以方便的组建无线认证网络，实现WEB 认证、认证页面自定义等功能；通过蓝海卓越计费管理系统，实现用户管理、套餐管理等功能。

6.1方案拓扑图手机、平板防代理服务器运营商AAA 系统OLT分光器ONU+AP ONU+AP 分光器方案使用设备蓝海卓越全光无线网络系统主要由：移动终端（智能手机、平板电脑、笔记本等）、流控网关/流控、ONU/AP、蓝海卓越Portal服务器、蓝海卓越Radius 服务器组成。

在整体方案中，它们充当的角色分别如下：1、移动终端：用户使用手机、平板等移动终端设备连接到校园WLAN无线网络中；2、ONU+AP：无线接入点，实现一定区域内无线信号的覆盖；3、OLT+AC控制器：集中控制管理所有ONU+AP设备，根据需求建立针对教师教学和学生家属的两个SSID；4、蓝海卓越Portal服务器：同AC设备对接，实现Portal认证页面的弹出和无线认证流程，认证页面支持任意网页语言进行定制设计，针对不同的SSID推送不同的认证页面；5、蓝海卓越计费管理服务器：负责对学生和家属无线上网用户进行开户和套餐管理，并通过Portal认证页面实现认证上网。

方案说明1.由于学校上网认证方式为PORTAL认证，为提高可用性，学校网络应进行扁平化设计，本次组网方式采取大二层设计；2.出口部署一台高性能出口认证流控网关设备，负责网络接入，流量优化，应用控制，路由策略路由、服务控制策略选择。

3.流控网关下接OLT设备，OLT通过分光口和光纤与ONU连接。

4.新建网络采用GPON技术，流控网关到用户之间采用GPON无源光网络传输。

传输路径：流控网关-—OLT设备—分光器—ONU终端—终端用户；单纤提供2G带宽。

5.二层的网络结构，确保全网性能均衡，没有瓶颈节点，从接入至核心均实现全线速转发，骨干提供万兆接口，网络后期可升级至万兆。

6.宿舍区域，为了保证网络的安全可靠，为了便于后续扩容，建议为为每个接入用户划分一个QING的二层VLAN，实现严格的端口隔离。

通过OLT交换机透传到流控网关，由流控网关终结两层VLAN。

QINQ VLAN可以实现用户的二层隔离，所有的用户数据都会经过流控网关，方便校园网的统一接入和管理。

7.宿舍区域：每间宿舍一个ONU布放原则，ONU设备自带WiFi功能，对每间宿舍进行无线信号覆盖。

认证及上网流程1.本次宿舍区是大二层组网方式，用户IP由认证网关作为用户网关，并分发IP地址；2.全网统一采用Portal认证方式，用户终端连入网络，自动获取IP地址，并由网关自动重定向到PORTAL服务器指定的PORTAL页面；3.用户在PORTAL页面输入帐号密码，认证成功即可上网；4.后续只要在用户有效期内，用户连入网络，则流控网关会自动向认证服务器发起MAC无感知认证，用户在无感知的情况下，认证成功，直接上网，无需弹出PORTAL页面；5.当用户到期后，MAC无感知失效，则又会弹出PORTAL页面，提醒用户交费；6.所有用户可实现线上充值缴费，支付方式为支付宝和微信；7.用户在任何有网络地方均可接入网络并认证上网，同时经由出口访问互联网；8.访问校内资源无需认证；9.所有用户的上网访问都将被行为审计设备监控，溯源可查；10.通过防代理服务器，检测用户的上网共享行为，并对检测到的用户进行断网惩罚。

认证计费及PORTAL服务器概述在本次项目上投入一套认证计费管理平台+PORTAL服务器部署在学校的中心机房，认证计费支持对接学校数据中心，负责统一认证计费系统实现校内用户的账号开户、收费、资料变更、销户、管理等。

配合流控网关向用户提供差异性收费策略、控制用户的接入时间与速率、统计账务报表以及上网清单等。