BRAC方案是我司针对高教客户推出的方案,主要解决运营商与高校合作运营网络的问题,经过多年实践,基本得到广大高教客户的一致认可,各项功能基本成熟。市场上很多客户需要将BRAC方案与IPoE认证和PPPoE认证结合起来,今天就为大家解释一下原理:
学校在建设高校网络时,有时会引入运营商来建设校园网,结果是运营商会直接运营高教学生;而学校的网络中心,实际上是没有完全管控到学生上网行为的。而学生上网行为的不可控,会成为高校的网络隐患。对于这种情况急需要一个既能管控学生上网行为,还能与运营商良好合作的网络认证方案,这就是BRAC方案的由来。
▲点击视频,请看《25秒读懂BRAC方案》
BRAC方案 的价值是:
7天开通校园网
燕山大学、浙江金融学院:7天完成校园网与多运营商对接不再是梦想
“7天开通校园网”的BRAC方案,有如下4大特点:
1
1次登录2次认证
2
内外网边界清晰
3
权责分明
4
成熟稳定
高校学生的上网行为就是普通家庭的上网行为。BRAC方案的原理是,把高教客户当作普通家庭用户一样来运营。
BRAC方案的特点和原理
下图是标准的BRAC方案认证原理。
BRAC方案由下面几个角色构成:
终端、NAS设备、Portal服务器、RG-SAM+、RG-RSR77-X
认证方式是WEB认证
它们之间的联动原理如下:
1
终端通过DHCP获取IP地址,开始访问HTTP网站。
2
HTTP请求会首先达到NAS设备,NAS设备上配置了重定向网址,该地址指向Portal服务器。NAS收到http请求后,发现该用户是未认证用户,所以会回复重定向网址给终端。
3
终端会访问该重定向网址,即访问Portal服务器。
4
Portal服务器会回复认证页面给终端。
5
终端会在浏览器里看到认证页面,然后学生在浏览器内输入校园网的账户和密码,一般是学生的一卡通号或学号。在终端上点击认证后,学生的校园网账户密码会发送到Portal服务器
6
Portal服务器会转发给NAS设备
7
NAS设备再使用Radius协议,把帐号密码发给RG-SAM+认证服务器
8
RG-SAM+认证服务器保存着学生校园网的账号和密码,会将收到的请求中的账号密码与数据库中保存的账号密码做比较,发现一致,(此处为brac方案最重要的一步)于是查找该学生校园帐号对应的运营商帐号密码,找到后,使用Radius 封装该学生的运营商账号密码,发送到出口RG-RSR77-X路由器。
9
RG-RSR77-X作为PPPoE Client, 从收到的Radius中提取运营商帐号密码,并使用PPPoE报文发送给运营商的BRAS设备。
10
运营商的BRAS设备可以理解为PPPoE Server,其记录着学生运营商账户信息,BRAS设备从PPPoE报文中提取信息,与数据库比对。
对比验证一致后,于是将“认证成功”消息依次发送给RG-RSR77-X路由器->RG-SAM+->NAS-> Portal->终端。之后,学生就能在浏览器里看到认证成功的页面,于是可以正常浏览网页,上网打游戏了。
以上便是一个典型的BRAC认证过程:
1次登录2次认证
1次登录是指:在学生看来,自己只输入了一次账户密码、点击了一次认证按钮,于是认证成功,正常上网。
2次认证是指:
a. 首先是RG-SAM+认证,判断学生发来的校园网账号密码是否正确
b. 其次是运营商的BRAS设备认证,判断RG-RSR77-X路由器发来的运营商账号密码是否正确
以上便是BRAC方案的核心特点
BRAC方案结合IPoE认证
注意,上面BRAC方案的1次认证,是WEB认证。只要将NAS设备更换为RG-RSR77-X路由器即可完成。这里的RG-RSR77-X路由器 是作为1次认证的NAS设备,原BRAC方案中的出口路由器不做变化。这样改造后,BRAC方案的组网设备就是2台RG-RSR77-X路由器,一台做内网IPoE认证,另一台是连接外网做PPPoE代拨。这样变化后,校园网就能使用IPoE认证了。
如图中所示,认证过程没有变化,只是认证方式换成了IPoE认证,就可以继承一些IPoE的特性了,比如防代理、防仿冒等。大学宿舍里,学生会用小路由器私接做代理,仿冒MAC,逃费漏费。 结合IPoE认证后,会提高宿舍、校园网络的安全性;同时认证方式保持不变,用户无感知网络改造过程.
BRAC方案结合PPPoE认证
与结合IPoE认证类似,还是要把原方案中的NAS设备换成RG-RSR77-X路由器,此时网络中就有2台RG-RSR77-X。一台原出口充当PPPoE代拨。另一台是NAS,同时充当PPPoE Server 角色,直接为学生服务,学生使用普通电脑或小路由器做PPPoE Client,在电脑上创建拨号连接,校园网账号密码以PPPoE报文的形式,发送给RG-RSR77-X路由器,然后转发给RG-SAM+,做第一次认证;然后将该学生对应的运营商账号密码发送给出口的RG-RSR77-X路由器,再转发给运营商的BRAS设备,由BRAS设备做第二次认证。认证成功后,将消息回复经由出口处的RG-RSR77-X路由器->RG-SAM+->NAS角色的RG-RSR77-X路由器-> 终端,于是学生就可以上网聊天打游戏了。
目前在学校家属区会用到PPPoE拨号认证,一般是使用小路由器,设置自动拨号,这样就可以让老人孩子打开电脑直接上网了,不用让他们关注繁琐的认证步骤。
可以看到BRAC方案在结合PPPoE认证方案后,发挥出了更大的作用,提供更友好的用户体验
如下便是此篇文章的视频讲解版:
有奖征集
锐捷网络的RG-RSR77-X路由器在校园网出口、BRAC方案与极简网关认证方案里已得到广泛而成熟的应用,它的稳定运行、支持高并发等特点相信已经得到很多朋友的喜爱。在回复区留言,分享RG-RSR77-X的故事(包括但不限于X天开通校园网,同时支持XX人并发认证,出口稳定运行XX天),点赞前三名有精美奖品:
一等奖:
果儿电子蓝牙音箱 听歌32小时
二等奖:
小米迷你充电宝 仅9.9m薄
三等奖:
获德国红点设计奖的
PowerCube魔方插座