BRAC方案是我司針對高教客戶推出的方案��,主要解決運營商與高校合作運營網絡的問題���,經過多年實踐���,基本得到廣大高教客戶的一致認可�,各項功能基本成熟。市場上很多客戶需要將BRAC方案與IPoE認證和PPPoE認證結合起來�����,今天就為大家解釋一下原理:
學校在建設高校網絡時�,有時會引入運營商來建設校園網,結果是運營商會直接運營高教學生�;而學校的網絡中心�,實際上是沒有完全管控到學生上網行為的��。而學生上網行為的不可控����,會成為高校的網絡隱患�����。對于這種情況急需要一個既能管控學生上網行為�,還能與運營商良好合作的網絡認證方案�����,這就是BRAC方案的由來���。
▲點擊視頻��,請看《25秒讀懂BRAC方案》
BRAC方案最大的價值是: 7天開通校園網
燕山大學、浙江金融學院:7天完成校園網與多運營商對接不再是夢想
“7天開通校園網”的BRAC方案���,有如下4大特點:
- 1次登錄2次認證
- 內外網邊界清晰
- 權責分明
- 成熟穩定
高校學生的上網行為就是普通家庭的上網行為。BRAC方案的原理是����,把高教客戶當作普通家庭用戶一樣來運營��。
BRAC方案的特點和原理
下圖是標準的BRAC方案認證原理。
BRAC方案由下面幾個角色構成:
終端����、NAS設備��、Portal服務器、RG-SAM+���、RG-RSR77-X
認證方式是WEB認證
它們之間的聯動原理如下:
- 終端通過DHCP獲取IP地址,開始訪問HTTP網站�。
- HTTP請求會首先達到NAS設備�,NAS設備上配置了重定向網址����,該地址指向Portal服務器。NAS收到http請求后��,發現該用戶是未認證用戶�����,所以會回復重定向網址給終端��。
- 終端會訪問該重定向網址,即訪問Portal服務器�。
- Portal服務器會回復認證頁面給終端。
- 終端會在瀏覽器里看到認證頁面���,然后學生在瀏覽器內輸入校園網的賬戶和密碼,一般是學生的一卡通號或學號���。在終端上點擊認證后,學生的校園網賬戶密碼會發送到Portal服務器
- Portal服務器會轉發給NAS設備
- NAS設備再使用Radius協議��,把帳號密碼發給RG-SAM+認證服務器
- RG-SAM+認證服務器保存著學生校園網的賬號和密碼��,會將收到的請求中的賬號密碼與數據庫中保存的賬號密碼做比較�����,發現一致,(此處為brac方案最重要的一步)于是查找該學生校園帳號對應的運營商帳號密碼,找到后���,使用Radius 封裝該學生的運營商賬號密碼,發送到出口RG-RSR77-X路由器。
- RG-RSR77-X作為PPPoE Client, 從收到的Radius中提取運營商帳號密碼,并使用PPPoE報文發送給運營商的BRAS設備。
- 運營商的BRAS設備可以理解為PPPoE Server��,其記錄著學生運營商賬戶信息�����,BRAS設備從PPPoE報文中提取信息�,與數據庫比對����。
對比驗證一致后,于是將“認證成功”消息依次發送給RG-RSR77-X路由器->RG-SAM+->NAS-> Portal->終端��。之后����,學生就能在瀏覽器里看到認證成功的頁面,于是可以正常瀏覽網頁���,上網打游戲了��。
以上便是一個典型的BRAC認證過程:
- 1次登錄2次認證
- 1次登錄是指:在學生看來��,自己只輸入了一次賬戶密碼����、點擊了一次認證按鈕�,于是認證成功,正常上網。
- 2次認證是指:
- a. 首先是RG-SAM+認證���,判斷學生發來的校園網賬號密碼是否正確
- b. 其次是運營商的BRAS設備認證,判斷RG-RSR77-X路由器發來的運營商賬號密碼是否正確
以上便是BRAC方案的核心特點
BRAC方案結合IPoE認證
注意,上面BRAC方案的1次認證��,是WEB認證�。只要將NAS設備更換為RG-RSR77-X路由器即可完成。這里的RG-RSR77-X路由器 是作為1次認證的NAS設備,原BRAC方案中的出口路由器不做變化��。這樣改造后��,BRAC方案的組網設備就是2臺RG-RSR77-X路由器��,一臺做內網IPoE認證,另一臺是連接外網做PPPoE代撥�。這樣變化后�����,校園網就能使用IPoE認證了。
如圖中所示���,認證過程沒有變化,只是認證方式換成了IPoE認證,就可以繼承一些IPoE的特性了����,比如防代理����、防仿冒等���。大學宿舍里�����,學生會用小路由器私接做代理,仿冒MAC�����,逃費漏費��。 結合IPoE認證后�,會提高宿舍�����、校園網絡的安全性�;同時認證方式保持不變���,用戶無感知網絡改造過程����。
BRAC方案結合PPPoE認證
與結合IPoE認證類似,還是要把原方案中的NAS設備換成RG-RSR77-X路由器���,此時網絡中就有2臺RG-RSR77-X。一臺原出口充當PPPoE代撥�����。另一臺是NAS���,同時充當PPPoE Server 角色����,直接為學生服務�����,學生使用普通電腦或小路由器做PPPoE Client���,在電腦上創建撥號連接�,校園網賬號密碼以PPPoE報文的形式,發送給RG-RSR77-X路由器����,然后轉發給RG-SAM+�,做第一次認證��;然后將該學生對應的運營商賬號密碼發送給出口的RG-RSR77-X路由器���,再轉發給運營商的BRAS設備�����,由BRAS設備做第二次認證。認證成功后����,將消息回復經由出口處的RG-RSR77-X路由器->RG-SAM+->NAS角色的RG-RSR77-X路由器-> 終端�����,于是學生就可以上網聊天打游戲了。
目前在學校家屬區會用到PPPoE撥號認證�����,一般是使用小路由器�����,設置自動撥號,這樣就可以讓老人孩子打開電腦直接上網了���,不用讓他們關注繁瑣的認證步驟。
可以看到BRAC方案在結合PPPoE認證方案后�����,發揮出了更大的作用��,提供更友好的用戶體驗
如下便是此篇文章的視頻講解版:
發布時間:2018-07-31
