雨滴科技yudear.com

【行业技术前线】 搞事情?BRAC方案结合IPoE和PPPoE(多视频)

BRAC方案是我司针对高教客户推出的方案,主要解决运营商与高校合作运营网络的问题,经过多年实践,基本得到广大高教客户的一致认可,各项功能基本成熟。市场上很多客户需要将BRAC方案与IPoE认证和PPPoE认证结合起来,今天就为大家解释一下原理:

学校在建设高校网络时,有时会引入运营商来建设校园网,结果是运营商会直接运营高教学生;而学校的网络中心,实际上是没有完全管控到学生上网行为的。而学生上网行为的不可控,会成为高校的网络隐患。对于这种情况急需要一个既能管控学生上网行为,还能与运营商良好合作的网络认证方案,这就是BRAC方案的由来。

点击视频,请看《25秒读懂BRAC方案》

BRAC方案  的价值是:

7天开通校园网

燕山大学、浙江金融学院:7天完成校园网与多运营商对接不再是梦想

“7天开通校园网”的BRAC方案,有如下4大特点:

1

1次登录2次认证

2

内外网边界清晰

3

权责分明

4

成熟稳定

高校学生的上网行为就是普通家庭的上网行为。BRAC方案的原理是,把高教客户当作普通家庭用户一样来运营。

BRAC方案的特点和原理

下图是标准的BRAC方案认证原理。

BRAC方案由下面几个角色构成:

终端、NAS设备、Portal服务器、RG-SAM+、RG-RSR77-X

认证方式是WEB认证

它们之间的联动原理如下:

1

终端通过DHCP获取IP地址,开始访问HTTP网站。

2

HTTP请求会首先达到NAS设备,NAS设备上配置了重定向网址,该地址指向Portal服务器。NAS收到http请求后,发现该用户是未认证用户,所以会回复重定向网址给终端。

3

终端会访问该重定向网址,即访问Portal服务器。

4

Portal服务器会回复认证页面给终端。

5

终端会在浏览器里看到认证页面,然后学生在浏览器内输入校园网的账户和密码,一般是学生的一卡通号或学号。在终端上点击认证后,学生的校园网账户密码会发送到Portal服务器

6

Portal服务器会转发给NAS设备

7

NAS设备再使用Radius协议,把帐号密码发给RG-SAM+认证服务器

8

RG-SAM+认证服务器保存着学生校园网的账号和密码,会将收到的请求中的账号密码与数据库中保存的账号密码做比较,发现一致,(此处为brac方案最重要的一步)于是查找该学生校园帐号对应的运营商帐号密码,找到后,使用Radius 封装该学生的运营商账号密码,发送到出口RG-RSR77-X路由器。

9

RG-RSR77-X作为PPPoE Client, 从收到的Radius中提取运营商帐号密码,并使用PPPoE报文发送给运营商的BRAS设备。

10

运营商的BRAS设备可以理解为PPPoE Server,其记录着学生运营商账户信息,BRAS设备从PPPoE报文中提取信息,与数据库比对。

对比验证一致后,于是将“认证成功”消息依次发送给RG-RSR77-X路由器->RG-SAM+->NAS-> Portal->终端。之后,学生就能在浏览器里看到认证成功的页面,于是可以正常浏览网页,上网打游戏了。

以上便是一个典型的BRAC认证过程:

1次登录2次认证

1次登录是指:在学生看来,自己只输入了一次账户密码、点击了一次认证按钮,于是认证成功,正常上网。

2次认证是指:

a.    首先是RG-SAM+认证,判断学生发来的校园网账号密码是否正确

b.    其次是运营商的BRAS设备认证,判断RG-RSR77-X路由器发来的运营商账号密码是否正确

以上便是BRAC方案的核心特点

BRAC方案结合IPoE认证

注意,上面BRAC方案的1次认证,是WEB认证。只要将NAS设备更换为RG-RSR77-X路由器即可完成。这里的RG-RSR77-X路由器 是作为1次认证的NAS设备,原BRAC方案中的出口路由器不做变化。这样改造后,BRAC方案的组网设备就是2台RG-RSR77-X路由器,一台做内网IPoE认证,另一台是连接外网做PPPoE代拨。这样变化后,校园网就能使用IPoE认证了。

如图中所示,认证过程没有变化,只是认证方式换成了IPoE认证,就可以继承一些IPoE的特性了,比如防代理、防仿冒等。大学宿舍里,学生会用小路由器私接做代理,仿冒MAC,逃费漏费。 结合IPoE认证后,会提高宿舍、校园网络的安全性;同时认证方式保持不变,用户无感知网络改造过程.

BRAC方案结合PPPoE认证

与结合IPoE认证类似,还是要把原方案中的NAS设备换成RG-RSR77-X路由器,此时网络中就有2台RG-RSR77-X。一台原出口充当PPPoE代拨。另一台是NAS,同时充当PPPoE Server 角色,直接为学生服务,学生使用普通电脑或小路由器做PPPoE Client,在电脑上创建拨号连接,校园网账号密码以PPPoE报文的形式,发送给RG-RSR77-X路由器,然后转发给RG-SAM+,做第一次认证;然后将该学生对应的运营商账号密码发送给出口的RG-RSR77-X路由器,再转发给运营商的BRAS设备,由BRAS设备做第二次认证。认证成功后,将消息回复经由出口处的RG-RSR77-X路由器->RG-SAM+->NAS角色的RG-RSR77-X路由器-> 终端,于是学生就可以上网聊天打游戏了。

目前在学校家属区会用到PPPoE拨号认证,一般是使用小路由器,设置自动拨号,这样就可以让老人孩子打开电脑直接上网了,不用让他们关注繁琐的认证步骤

可以看到BRAC方案在结合PPPoE认证方案后,发挥出了更大的作用,提供更友好的用户体验

如下便是此篇文章的视频讲解版:

有奖征集

锐捷网络的RG-RSR77-X路由器在校园网出口、BRAC方案与极简网关认证方案里已得到广泛而成熟的应用,它的稳定运行、支持高并发等特点相信已经得到很多朋友的喜爱。在回复区留言,分享RG-RSR77-X的故事(包括但不限于X天开通校园网,同时支持XX人并发认证,出口稳定运行XX天),点赞前三名有精美奖品:

一等奖:

果儿电子蓝牙音箱 听歌32小时

二等奖:

小米迷你充电宝 仅9.9m薄

三等奖:

获德国红点设计奖的

PowerCube魔方插座

发表回复