高校集中式认证方案(AOC)

概述：

随着学校对现代信息化建设的投入越来越大，越来越多的业务已经承载在校园网中为学生老师提供大量的应用。这些业务系统对于学校来说虽然是一个相对开放的网络，但是学校并不是一个天然的网吧，需要对任何接入的终端用户实施有效的管理，目前校园一般具有两种管理策略：基于身份认证的准入管理和基于身份认证的准出管理，两者功能不一，前者通过身份验证授权用户访问校园网，实现了入网即认证，而后者则授权用户访问internet，并配合流控及计费完成学校对于用户的精细化管理。很显然基于身份认证的准出管理无法保障校园内网的安全性，所以要做到有效的校内安全管理，准入认证必不可少，H3C通过对高校准入认证的问题提出了自己的集中式认证（AOC）方案。

挑战：

校园安全一直是各高校信息部门最为关注的问题，这些安全问题大量来自与ARP攻击、ND攻击等，同时也面临着校园用户在外或在内BBS论坛上发标非法言论或其他网络违规行为，解决这一问题最好的解决方案就是做用户之间的隔离，同时做实名制的接入认证。但是由于802.1q vlan仅仅只支持4K个用户VLAN所以使得在每个用户隔离上遇到了瓶颈，同时由于对于学校的入口-----接入交换机，大多仅仅支持802.1X认证，每个登录用户都需要安装客户端才能进行认证为用户添加了不便，即使后期通过设备升级支持portal认证，也将面临大量配置的问题。面对这么多问题，学校急需一种既能保障其校园网安全，又能简单运维，且能与出口认证互相配合的认证方式。

解决方案及价值实现

H3C充分了解用户的需求，并提出了自己的集中式portal认证解决方案，很好的满足了用户安全管理、简单运维等需求。此套方案中整一个校园网处于一个大二层的架构中，用户与用户实现了二层的隔离，核心作为三层网关和认证接入点为用户提供三层转发及认证等功能。

安全的基准PUPV：

此方案中利用了QINQ的双层VLAN特性，将接入层设备的用户VLAN嵌套在外层VLAN中，实现了4K*4K个用户VLAN的扩展，使得能很好的满足学校用户与用户之间隔离的需求，从根本上断绝了ARP/ND攻击保障了校园网络的安全性。

IPv6简单升级

对于老校区的改造，升级IPv6一直是一件痛苦的事情，传统方式学校需要对于接入或者汇聚进行升级以获得设备对于双栈协议的支持，而大量的接入与汇聚改造不仅增加了设备的采购成本，同时重新配置如此庞大的设备也让学校运维人员望而却步，而在集中式认证的组网方式下，所有的汇聚、接入均处于一个大二层的环境，实现了IPv6的自然透传。这样不仅节约了用户的成本，还使得用户配置大大简化，极好的契合了目前高校的需求。

双网融合统一认证

面对大量无线校园网的落地，无线的认证如何能与有线认证融合将是管理员们所关心的问题，H3C集中式portal解决方案通过核心集中式认证的方式很好的解决了无线网认证与有线网融合的问题，所有无线网路的流量会通过AC透传至核心交换机做集中式的portal认证使得无线网的认证扩展更为简单，同时配合H3C无线BYOD的方案，相信能为高校用户提供更为精细化的管理和控制。