1. 方案背景

校园网建设已经有十多年历史了，多数学校校园网建设已经形成规模，但校园网运营状况不是很理想。很多学校的校园网，都存在设备老化、品牌混杂、私拉乱接、病毒泛滥、网络攻击等现象，网管中心忙于应付网络突发故障。加上几年院校合并，几张校园网拼成一张校园网，导致很多院校的校园网运行不稳用户身份认证和计费困难。

目前校园网认证计费存在：多厂家交换机，统一认证计费存在技术困难；认证计费不准，不能按流量计费。校园网迫切的需要一套计费系统，可运营易管理的网络。

2.解决方案

2.1 组网方案

校园网包括的信息点数量较多，采用核心、接入二层的扁平化网络层次，出口防火墙与核心交换机之间部署BRAS设备，实现上网用户的接入认证。本架构模型如图：

1） 核心层
在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。核心配置可降低配置复杂性，从而减少出现运行错误的几率。
核心层用于承担校园网各分布区域的子网互连。核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。
基于以上的基本数据流量模型分析，采用1台高性能的BRAS设备和2台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。

2） 接入层　  

主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻性，接入层交换机采用具备ACL功能的智能二层交换机，并且通过千兆链路和汇聚层交换机互通。 

2.2 用户接入方式规划

1）内网访问—只认证不计费
校园使用的认证计费系统，只针对上校园外网进行计费，对学院内部网络资源一般免费。校园内网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问，比如FTP服务、VOD点播、课件下载/上传、校园网站浏览/BBS等，因此校园网首先要保障信息点对内部服务器区域的无阻塞访问。

2）外网访问—PPPoE+AAA
校园网的另一主要用途是实现学生、教职工、家属对外网的访问，包括Internet和Cernet的访问。由于Internet接入是付费的，因此用户对外网特别是Internet的访问需要进行严格的管理，实施针对用户的认证、授权、计费（AAA）管理，不仅能提升校园网使用的安全性，还能打造出可运营的新一代校园网，实现信息基础设施的良好投资回报率。 

3.方案总结

本方案解决了校园网存在多厂家交换机，不易统一认证计费的技术难题。

1.计费精确
不仅可以按时长，分不同时段计费外，还可按精确流量计费。符合用户习惯，用户容易接受。PPP连接是点对点连接，克服了局域网共享连接病毒的泛滥。 

2.BRAS集中认证
设备与认证计费系统无关，摆脱802.1x网络设备与认证计费系统绑定，降低建网投资。接入层设备与业务无关，便于新业务开展 

3.管理便捷
可为不同用户定制服务，分配各自的独享带宽，提供差异化运营服务。 

4.支持QoS
提供平滑的QoS，可区分不同业务，有效管理出口流量，抑制P2P流量和病毒引起的突发流量。 

5.防代理功能
专用客户端支持防代理功能，可防止资费流失。
校园网的运营方式类似于运营商，各大运营商普遍采用PPPoE认证技术，因此，可以跟随运营商，享受后续的技术更新。在运营商普遍采用PPPoE实现家庭用户接入的情况下，校园网用户更容易适应这种方式。