RG—SAM系统在高校校园网中的应用及常见问题处理

锐捷网络IPv6校园网解决方案V1.0星网锐捷网络有限公司版权所有侵权必究目录1 锐捷在IPv6的进展与成果 (1)2 锐捷IPv6校园网组网方案 (2)2.1 升级现有IPv4网络方案 (2)2.2 新建IPv6网络方案 (4)2.3 IPv6校园网网络安全规划 (5)2.3.1 设备级别的防护-CPP (5)2.3.2 全局安全网络-GSN (6)2.4 IPv6的计费运营解决方案 (7)3 解决方案的特色和优势 (8)4 结束语 (9)1 锐捷在IPv6的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商，持续服务高校校园信息化长达10年，为校园网的下一代互联网的建设提供了完整的解决方案。

锐捷网络作为教育行业第一民族品牌，肩负下一代互联网在校园网的推广应用使命，围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作，掌握了下一代互联网的多项关键技术，核心操作系统RGOS具有完全自主知识产权，取得了丰富的成果：●2002年，锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能，实现了RFC2460、2461、2463等协议，并提供IPv6静态路由。

●2003年，锐捷获得国家计委（现国家发改委）投资的IPv6软件产业化项目，通过IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。

●2004年，锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机S6800E系列。

●2005年，锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系列，同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证，标志着锐捷产品的IPv6功能的成熟。

●2006年，推出的RG-S8600产品全分布式ASIC硬件支持IPv6，并推出全新的模块化操作系统RGOS10.x，产品开始全面支持IPv6。

●2007年，获得IPv6 Ready第二阶段金牌认证，及国家IPv6信产部入网证书，锐捷全线IPv6产品全球范围内实现规模销售。

锐捷万兆交换机部署校园网案例随着我国教育信息化工程的深入，我国高等院校已基本完成教学、科研、图书馆等部门的网络建设；高校学生宿舍网已成为高校信息化的下一个建设重点。

目前，高校学生宿舍网建设主要呈现出两大特点：一方面，信息点多、网络规模大；另一个方面，为了全面满足广大学生学习和生活需要、提供高质量的网络服务，并且避免滥用网络带来的危害，学生宿舍网络建设提出了诸如可管理、高安全、灵活计费等要求。

针对宿舍网络建设特点，锐捷网络（原实达网络）与湖南农业大学携手建成了以第二代万兆交换机为核心、应用802.1X技术实现网络大规模认证计费功能的高校宿舍网，其规划、设计、建设对于当前大学校园网具有很好的示范意义。

下面就向大家介绍一下湖南农业大学宿舍网络建设的项目情况。

项目建设背景湖南农业大学作为国家重点大学，也是我国较早加入教育信息化建设队伍的高校之一。

经过几年的信息化建设，学校的教学、科研、图书馆等部门的网络建设已基本完成；为了进一步推动校园网建设的发展，扩大校园网的覆盖面，改善学生的学习条件，为学生创造一个更为便利的学习环境，湖南农业大学决定启动该校校园网二期工程――学生宿舍网项目。

湖南农业大学学生宿舍网需要对几千个节点进行管理，这其中存在的监控、认证、计费等各种问题十分复杂；所以学校的建网目标是将学校的21栋学生公寓、3000个信息点进行连接，在实现网络资源共享、方便学生生活学习的同时，轻松实现灵活的认证计费功能，真正做到“以网养网”。

具体项目实施关于此项目的具体组网方案的制定，湖南农业大学主要提出了以下几方面的需求：第一，核心交换机需要具备高处理能力，考虑到作为网络核心的交换机需要承担大量的数据交换任务，因此对交换机的性能及稳定性提出了很高的要求；第二，接入层采用堆叠交换机，具有千兆扩展槽，同时要具有三层扩展能力；在网络接入层，网络设备需要支持基于MAC地址802.1X功能和基于端口802.1X 功能，以此保证账号的唯一性；同时，支持远程telnet管理、mib-II及远程开关交换机端口功能；此外还要求适应大量用户并发认证及复杂的工作环境等；第三，能解决学生用户使用代理服务器的问题；能记录用户上网的信息；能解决学生IP地址冲突问题；第四，方案需要支持标准的Radius（Remote Authentication Dial In User Service，远程拨入用户认证服务）认证计费，可连接多种接入设备。

校园网络问题解决方法大全, 校园网络问题解决方法大全网络中心网管传播学院05师范陈土益一、宿舍端口或网卡问题1、连接时显示初始化网卡信息失败解决方法：有可能是网卡被禁用了，打开在控制面板－网络连接－本地连接，把网卡启用，如果不是被网卡禁用，一般是重装网卡驱动就可以了，如果是独立网卡，可以把网卡拔出来重新插进去或者换一个PCI插槽一般都可以的了，还不行的话，重新安装认证软件，再不行就尝试系统重装2、网卡坏了解决方法：买一个独立网卡，一般是20-40元3、本地连接打X，有可能是网卡设置了全双工，但由于不支持全双工，导致打X解决方法：改为半双工即可4、无法上网，客户端软件提示“找不到可用的网卡”解决方法：（1）如果是用旧的认证软件尽量不要选择客户端软件随系统自动启动；（2）查看设备管理器中是否有你的以太网网卡，其安装是否正确，是否启用；（3）尝试更新网卡驱动程序。

（4）如果是比较旧的电脑，可以采用把网卡拔出来后用橡皮擦檫干净其根脚重新插入或插入另外一个PCI插槽看看。

5、直接把电脑网卡用网线接到宿舍端口，显示没有接上故障原因：端口还没有开通解决方法：网上报修，联系网管开通6、宿舍端口坏了或者有问题了，上不了网，要换的。

解决方法：网上报修，请联系网管来更换二、认证失败（一）、认证失败，用户如果掌握这些知识可以自己解决的1、重装系统后上不了网IP其他都正确,但不知道为什么就是验证通不过,上不了网，老是认证失败故障原因：一般可能是认证模式选错了。

解决方法：一旦遇到认证失败，首先应该看看自己认证模式有没有选择正确，步骤是：双击认证软件――设置――认证模式设置――选择：使用Ruijie私有组播地址发送认证请求2、认证显示用户名或密码出错，上不了网解决方法：自己填写错误故要查看自己有没有填错，若自己改了认证密码后忘记密码，可以叫网管帮自己再改成自己容易记的认证软件，有时是学校服务器数据更新中（概率很少）3、无法上网，客户端软件一直停留在“正在验证用户名和密码”，怎么办？说明认证服务器忙，请耐心多试几次，若长时间不成功可能是认证服务器的问题，此时请报网络中心。

11、可限制用户认证客户端程序的类型和版本号，可自动升级认证客户端程序，防止客户端被破解。

12、强大的黑名单管理功能，可将各种恶意用户加入黑名单或强制用户下线；并提供灵活的查询功能，可根据帐号、IP地址、MAC地址和时间段等方式进行反向追踪，合理保障网络秩序。

13、支持公用服务的认证，保证在用户在帐号欠费的条件下可以实现自助服务，如冲值等。

14、支持普通包月、包月限时长、包月限流量、计天、计时长和计流量等多种计费策略，配合交换机的802.1x协议时，建议使用包月或计天的计费策略。

15、支持预付费和后付费等方式，并支持优惠时段设置，如对周末、法定公休日等优惠时段进行定制优惠收费，提高收费策略灵活性。

16、支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。

17、安全严格的管理员和安全组管理，保证管理员权限的同时，提供了灵活的权限定制方式，可实现分级管理，权限细化到第三级菜单。

18、AGTS的用户管理模式，通过完整的组策略，将系统中的服务、计费策略、接入控制、接入时段、帐号模板、用户组等概念将系统中使用的功能进行全面系统组织，不仅有利于系统配置和管理，也有利于理解和学习系统。

19、提供强大的批量处理功能，包括批量开户、销户、修改、缴费和暂停等功能，降低管理工作量。

20、提供强大的分组管理功能，可按院系（专业）、学籍号、年级、部门、楼号等类型进行分类，并支持自定义。

21、强大的帐务管理功能，专门提供针对用户的帐务管理和针对管理员的营帐管理，提供日、月、年营业报表生成和打印功能，支持手动和自动两种出帐方式。

22、提供详细的用户在线信息表、用户上网日志记录和查询功能，包括用户帐号、IP地址、MAC地址、时间信息、NAS-IP、NAS-PORT、DNS配置信息等，方便管理和对帐。

高校校园网极简运营解决方案极致的认证体验移动终端无线网络的复杂度在提升自动关联 >1W 人 集中认证6:4 非认证 噪声“10万级”终端有线/无线统一认证，统一网关，网络架构扁平化Newton 18000提供统一网关：170K ARP 17万IPv4 终端120K ND 12万IPv6 终端9万IPv4IPv6双栈全球最高网关能力，业界目前水平10倍，确保各类终端接入1个网络1台设备Bras方案无法适应无线环境（武汉某211、浙江某211、甘肃某211等）BRAS设备⏹在无线环境下，用户会预先连接到网络，这个时候所有软件均以为已连接到网络，因此自动通过80端口发送大量请求（俗称“网络噪声”）；⏹“网络噪声”请求均会转发到Portal系统上，导致Portal 服务器宕机。

⏹同时噪声收敛时间非常长，根据客户反馈有时服务器重启后需7-8个小时才能收敛完毕http流重定向8台Portal服务器群打开浏览器BRAS重定向Portal推送页面用户认证认证流程问题无法实现降噪，极大影响用户体验分析1、武汉某211：经过多次宕机后，方案演变为MX960+8台Portal+深澜认证+F5负载均衡设备模式；2、浙江某211：防火墙部署在Portal服务器与BRAS之间进行降噪处理，由于是补丁性方案，因此客户经常会掉线，导致体验较差Internet认证服务器 SNC 网管 AC AP AC APAP AP CERNET 拒绝转发8核专用于认证1000终端/S3秒 用户认证感受“分割线”业界目前水平3—10倍32核超强CPU2核处理Web降噪<50毫秒认证页弹出4核CPU业界目前水平20倍以上<1秒超出用户认证期望Web/802.1x 无感知免认证，无感自动连接“0”秒上网，入网即在网授权二维码在SAM 自助平台生成二维码管理员担保人访客扫描二维码/编号即可认证入网扫一扫访客也简单认证慢（AC性能不足）协调难（多厂家对接）华科遇到的麻烦采购烦老掉线（ARP表项不足）N18K上架（2014年1月），3台AP割接，测试方案验证锐捷621台AP割接，15个区域，在线2500人H3C 1171个AP割接 27个区域，同时在线8000人1小时切换IPv6（IPv6大网关、OSPFv3）启动有线扁平化割接（同济、办公）目前华中科技大学有线已割接8千人上线一体化组件，持续升级不扯皮不推诿自由选择 AP 与交换保护现有投资认证快，体验好认证速率提高10倍不掉线，无投诉解决原H3C 75E 网关能力不足问题正在进行：IPv6切换准备、有线扁平化目前已割接1万 IPV6用户观察：11月：2万在线V4用户，无掉线、满意测试 : 7月：N18K 割接上线问题：5月：常掉线，寻求方案，并尝试多个品牌简单的运营保障Internet认证服务器SNC 网管ACAPACAPAP AP CERNET接入层汇聚层核心层 功能对比表传统架构 极简架构接入层认证功能 需要 无 安全策略 需要 无 汇聚层IP 地址管理 需要 无 路由管理 需要 无 核心层安全和IP 路由需要需要认证功能 部分需要 需要极简架构基本特征1.核心设备作为集中认证网关2.核心设备完成安全策略配置、管理3.接入、汇聚层设备仅进行二层转发保护投资网关 SUPER VLAN ： 4001 SUPER VLAN ：4002 核心设备物理端口AP1同汇聚A 互联AP2同汇聚B 互联SUBVLAN 对应下层设备VLAN SUBVLAN : 1~2000 SUBVLAN : 2001~4000AP1核心设备TRUNKTRUNKVLAN2001 to VLAN4000VLAN1 to VLAN 2000 亮点2：亮点1： 亮点3：节点接入区网络APAP支持每接入VLAN1 to VLAN 24/48节省资金•改造前：有接入升级需求，￥3000/台•改造后：接入只需支持vlan，无需再投入•未来做无线：只增加或替换坏的，￥1000/台简60% 简50% 节省人力•改造前：有人员增加需求，网管数量需要翻倍•改造后：老师管核心，学生管接入，无增加需求•未来做无线：仅增加学生网管的数量即可简60%降低技术门槛•改造前：接入维护人员要培养和锻炼近半年•改造后：接入维护人员只需培训和熟悉2个月•未来做无线：对接入维护人员要求不高降低了现在校园网的整体TCO减轻了支撑无线服务的资源限制降低校园网整体TCON18K SVLAN/QinQ/天然隔离SNC免费组件发现分组规划配置ACS配置翻译Tr069远程升级SNC自动散列SDN保护口互访SD卡升级随着极简进入更多的场景，仍在进一步演进中…..“0”部署“0”上线“0”替换IPV6极简网络传统架构核心*2IPV6配置IPV6路由IPV6安全IPV6配置、IPV6路由部署汇聚(20)无需配置IPV6配置、IPV6路由接入(500)无需配置安全改造蜕变1（月）→ 1（天）15年专家经验积累经验“120”到“3”锐捷自动化巡检工具自动巡 检工具专家级运维经验3分钟 巡检一键 收集设备状态监控VSU +VSD可靠性的保障业务隔离的保障最大支持4虚1 最大支持1虚12资源池化按需分配动力强劲多虚一单台10万以上用户规模可靠性成指数上升一卡通财务实验网IPv6一虚多业务专网的安全隔离Newton 18000绿色融合 DCB、FCoE、8项节能设计资源池化VSU、TRILL、L2GRE、VEPA按需分配SDN、VSD、虚机安全迁移灵活扩展 CLOS、超低延时、T级单板（40G,100G) 云数据中心云园区网云架构网络简单的运营管理适应代理路由器部署习惯适合管控要求 •防代理 •安全审计 •消息发布 •自助服务•自助故障处理避免客户端影响自由 选择场景最合适的认证技术学生 宿舍区 802.1X办公区 Portal教职工家属区 PPPoE有线、无线，各种主机、终端统一身份认证轻松入网精细化控制（同一账号在线数量和终端类型）一张网络一套认证选择最为成熟可靠的SAM认证计费系统开放和兼容服务800家高校客户，承载1000万学生用户兼容思科、H3C、华为、中兴、Juniper等多厂商的交换和BRAS设备I3 4 5 2平滑升级从2002年的V1.0版本到2014年的V3.98版本，经历了校园网12年的持续演进精细化运营 结合学校的网络现状，从终端用户、上网方式、终端类型、上网区域、计费方式流程人性化开户方式多样，缴费方式灵活，用户信息自助修改，销户方式简单，日常持续创新用户监管可视化，网上营业厅缴费，高教ICT1280040%,1000计费策略类别计费策略说明计天普通计天X元/天，付款后，自动连续按天扣费自助分段开通 X元/天，预存待扣款，付费后，自助开通，可以选择需要一次开通的天数，分段开通当天不使用不扣费 X元/天，付费后，使用一天扣一天的费用，不使用则不扣费包月纯包月X元/月，不限时间不限流量，自动按月连续扣费包月限时长 X元/月/X小时，时长用完后当月暂停包月限流量X元/天/XM流量，可以有效应对P2P的广泛应用有线包月无线限/计流量有线包月，无线限流量X元/月，无线限流量有线包月，无线计流量X元/月，无线Y元/ZM流量计费自定义包年、包季度、流量计费（校内、外，国内、外，上、下行）分段计费、分地区计费、分服务计费收益 32灵活的合作模式学校可控可管可查固移融合模式 多运营商模式 单运营商模式 网关认证模式 运营商租用模式 全网统一账号认证 全网统一管理 多运营商接入管理 募集网络建设资金 运营商对账报表 灵活的运营商业务支持促进手机放号及业务 运营商系统无缝对接 客户端防逃费 本地号段限定租用模式，解决投资收益压力 让学校与运营商 合作运营更灵活学校能更好、更灵活 的管理用户和网络更有力的促进业务发展以及收益增长I321、出口带宽少了怎么办？2、网络持续优化资金缺乏怎么办？选择最为开放的认证运营平台•福建师范大学•集美大学•江苏师范大学•扬州大学•贵州财经大学•海南经贸大学•宁夏医科大学•山东建筑大学•山东英才学院•齐鲁工业大学•山东交通大学•山东政治青年学院采用标准的Radius Proxy与三大运营商Boss的合作运营在运营商Boss只需要将SAM作为NAS设备添加即可选择最为开放的认证运营平台✧PPPoE/IPoE认证：ME60，MX960，城市热点长安大学、第四军医大学、华侨大学、哈尔滨工业大学、安徽工程学院等✧兼容接入交换机：南京师范、广州中医药、华中科技大学、宁夏医科大✧兼容认证计费系统：城市热点、CAMS、深澜✧LDAP：中山大学、云南师范大学、山东建大✧提供Webservice接口，开放50多个接口，支持与新开普、新中新、金智等一卡通设备和数字化校选择最能保障学校收益的运营方案RG-ASME（防代理盒子）◆保护收益，防逃费, 提升20%开户数◆核心旁路部署，不改拓扑◆无需客户端支持，灵活选择最适合的认证方式◆实时更新特征库◆“聪明”识别算法，误判率＜1%◆支持Web、802.1x、PPPoE等认证方案★ ★ ★ ★ ★★★ ★ ★★★ ★ 辽宁联通郑州经贸山东移动西安理工宁波联通河北科技大学河北邢台学院 贵州财经贵州民族阳江联通佛三联通泉州理工 《河北科技大学》 高校ICT 项目3.14部署，累计抓到逃费用户2000；5.20上踢线策略，到9.1新增开户数922 代理可截止9月1日之前，新增开户数992，营收增加（28万/年）《郑州经贸学院》 以网养网4.21：部署，累计抓到逃费用户500；5.4上黑名单策略，到6.17部署新增开户数1000主任：代理可控、旧机装机率提升，营收增加（30万/年，该数据持续刷新）《佛山联通三水广工》企业ICT 项目8.30部署，累计抓到逃费用户200，截止9月份开户数比预期增加700人市联通：代理可控、旧机装机率提升，向省联通极力推荐销售：赶紧立项，我们好下单20%自助 大厅自助 停号自助 恢复自助套餐变更账务 流水终端优先级互联网自助大厅 没有排队24小时服务选择最简化运营的运营方案极简运营自由，开放，简单，最佳体验简单到只管一台设备接入维护只关注通断自由选择产品和服务获得最佳的用户体验移动互联网时代的高校网络60+高教用户已共同选择构建极简校园网共享美好未来。

11、可限制用户认证客户端程序的类型和版本号，可自动升级认证客户端程序，防止客户端被破解。

12、强大的黑名单管理功能，可将各种恶意用户加入黑名单或强制用户下线；并提供灵活的查询功能，可根据帐号、IP地址、MAC地址和时间段等方式进行反向追踪，合理保障网络秩序。

13、支持公用服务的认证，保证在用户在帐号欠费的条件下可以实现自助服务，如冲值等。

14、支持普通包月、包月限时长、包月限流量、计天、计时长和计流量等多种计费策略，配合交换机的802.1x协议时，建议使用包月或计天的计费策略。

15、支持预付费和后付费等方式，并支持优惠时段设置，如对周末、法定公休日等优惠时段进行定制优惠收费，提高收费策略灵活性。

16、支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。

17、安全严格的管理员和安全组管理，保证管理员权限的同时，提供了灵活的权限定制方式，可实现分级管理，权限细化到第三级菜单。

18、AGTS的用户管理模式，通过完整的组策略，将系统中的服务、计费策略、接入控制、接入时段、帐号模板、用户组等概念将系统中使用的功能进行全面系统组织，不仅有利于系统配置和管理，也有利于理解和学习系统。

19、提供强大的批量处理功能，包括批量开户、销户、修改、缴费和暂停等功能，降低管理工作量。

20、提供强大的分组管理功能，可按院系（专业）、学籍号、年级、部门、楼号等类型进行分类，并支持自定义。

21、强大的帐务管理功能，专门提供针对用户的帐务管理和针对管理员的营帐管理，提供日、月、年营业报表生成和打印功能，支持手动和自动两种出帐方式。

22、提供详细的用户在线信息表、用户上网日志记录和查询功能，包括用户帐号、IP地址、MAC地址、时间信息、NAS-IP、NAS-PORT、DNS配置信息等，方便管理和对帐。