概述：

隨著學校對現(xiàn)代信息化建設的投入越來越大，越來越多的業(yè)務已經(jīng)承載在校園網(wǎng)中為學生老師提供大量的應用。這些業(yè)務系統(tǒng)對于學校來說雖然是一個相對開放的網(wǎng)絡，但是學校并不是一個天然的網(wǎng)吧，需要對任何接入的終端用戶實施有效的管理，目前校園一般具有兩種管理策略：基于身份認證的準入管理和基于身份認證的準出管理，兩者功能不一，前者通過身份驗證授權用戶訪問校園網(wǎng)，實現(xiàn)了入網(wǎng)即認證，而后者則授權用戶訪問internet，并配合流控及計費完成學校對于用戶的精細化管理。很顯然基于身份認證的準出管理無法保障校園內網(wǎng)的安全性，所以要做到有效的校內安全管理，準入認證必不可少，H3C通過對高校準入認證的問題提出了自己的集中式認證（AOC）方案。

挑戰(zhàn)：

校園安全一直是各高校信息部門最為關注的問題，這些安全問題大量來自與ARP攻擊、ND攻擊等，同時也面臨著校園用戶在外或在內BBS論壇上發(fā)標非法言論或其他網(wǎng)絡違規(guī)行為，解決這一問題最好的解決方案就是做用戶之間的隔離，同時做實名制的接入認證。但是由于802.1q vlan僅僅只支持4K個用戶VLAN所以使得在每個用戶隔離上遇到了瓶頸，同時由于對于學校的入口-----接入交換機，大多僅僅支持802.1X認證，每個登錄用戶都需要安裝客戶端才能進行認證為用戶添加了不便，即使后期通過設備升級支持portal認證，也將面臨大量配置的問題。面對這么多問題，學校急需一種既能保障其校園網(wǎng)安全，又能簡單運維，且能與出口認證互相配合的認證方式。

解決方案及價值實現(xiàn)

H3C充分了解用戶的需求，并提出了自己的集中式portal認證解決方案，很好的滿足了用戶安全管理、簡單運維等需求。此套方案中整一個校園網(wǎng)處于一個大二層的架構中，用戶與用戶實現(xiàn)了二層的隔離，核心作為三層網(wǎng)關和認證接入點為用戶提供三層轉發(fā)及認證等功能。

安全的基準PUPV：

此方案中利用了QINQ的雙層VLAN特性，將接入層設備的用戶VLAN嵌套在外層VLAN中，實現(xiàn)了4K*4K個用戶VLAN的擴展，使得能很好的滿足學校用戶與用戶之間隔離的需求，從根本上斷絕了ARP/ND攻擊保障了校園網(wǎng)絡的安全性。

IPv6簡單升級

對于老校區(qū)的改造，升級IPv6一直是一件痛苦的事情，傳統(tǒng)方式學校需要對于接入或者匯聚進行升級以獲得設備對于雙棧協(xié)議的支持，而大量的接入與匯聚改造不僅增加了設備的采購成本，同時重新配置如此龐大的設備也讓學校運維人員望而卻步，而在集中式認證的組網(wǎng)方式下，所有的匯聚、接入均處于一個大二層的環(huán)境，實現(xiàn)了IPv6的自然透傳。這樣不僅節(jié)約了用戶的成本，還使得用戶配置大大簡化，極好的契合了目前高校的需求。

雙網(wǎng)融合統(tǒng)一認證

面對大量無線校園網(wǎng)的落地，無線的認證如何能與有線認證融合將是管理員們所關心的問題，H3C集中式portal解決方案通過核心集中式認證的方式很好的解決了無線網(wǎng)認證與有線網(wǎng)融合的問題，所有無線網(wǎng)路的流量會通過AC透傳至核心交換機做集中式的portal認證使得無線網(wǎng)的認證擴展更為簡單，同時配合H3C無線BYOD的方案，相信能為高校用戶提供更為精細化的管理和控制。