一、背景介绍
运营商更加主动地加入校园网建设
学校用户每人都有学号,同时学号会用于校园网接入和审计凭证。而运营商网络账号一般为固话或手机号码。那么:
1、运营商想要发展手机用户并进军校园网,账号问题怎么破?让学校放弃已有的认证凭证使用手机号?
2、学校和运营商都需要对网络进行审计和监控,那么用户凭证怎么做到统一识别和管理?
3、校园网会接入不同的运营商线路,如何保证不同的运营商用户数据能够正确转发到相应的运营商线路?同时怎么做到用户限速?
BRAC解决方案可解决!
1、账号对接和同步
BRAC解决方案在不改变学校现有的接入凭证信息(学号)情况下,在校园网SAM上把学生账号和运营商为学生开通的账号进行绑定。认证时学生使用学号进行认证,校园网SAM收到内网学号认证时,会把该学号对应的运营商账号发往出口路由器,由出口路由器代理向运营商Radius服务器进行认证。
2、选路问题
校园网SAM会向出口路由器同步账号的用户组信息,使用基础联动功能实现选路
3、限速问题
出口路由器向运营商认证时,运营商会为该账号创建一个虚拟通道,在运营商处网关设备上已经存在对该账号的限速策略。因此在出口设备上不用再进行限速配置。
二、设备角色(具体参见“02 BRAC认证原理介绍” 章节 )
BRAC(Broadband
Remote Access Concentrator,宽带远程访问集中器)解决方案一般由五个基本角色组成:终端用户、内网认证设备、校园网SAM、出口BRAC设备和运营商BRAS设备。
终端用户
校园网的接入终端
内网认证设备
用于对校园网的接入终端进行认证,将账号信息传输给校园网SAM。一般有WEB、802.1X等认证方式。
校园网SAM
保存有校园网账号和运营商账号的对应关系,执行两次认证:校园网账号认证和运营商BRAS设备认证。只有SAM运营商组件支持。
出口BRAC设备
向运营商BRAS设备发起PPPOE拨号认证,创建用户上网通道,同时为内网用户提供正确的选路、DNS等策略。只有RSR77-X系列设备支持。
运营商BRAS设备
即PPPOE
Server,与学校的出口BRAC设备进行协商和建立PPPOE通道。
三、认证过程
认证过程可以概括成“一次登录,两次认证”,详细认证流程如下,以内网使用WEB认证为例:
1) 用户PC接入网络,触发N18K进行WEB认证流程。
2) 交换机N18k通过radius协议与sam交互web认证信息。
3) 如果SAM验证校园网账号WEB认证失败,那么回复WEB认证失败信息给N18K,认证结束。
4) 如果SAM验证校园网账号WEB认证通过,SAM不会立马回复认证通过报文给N18K,而是通过radius报文触发brac设备(RSR77-x)开始pppoe拨号。
5) RSR77-x拦截SAM发给运营商radius设备的认证报文,根据报文中的“运营商名称”信息,指定某个接口发起PPPOE认证。
6) 认证成功后RSR77-X通知SAM认证通过,同时RSR77-X上会自动建立起内网IP地址和PPPOE隧道地址一对一的NAT策略。
7) SAM收到RSR77-X的认证成功报文,向N18K回复WEB认证成功。用户上线成功。
8) 已认证的用户上网数据通过内网到达RSR77-X,RSR77-X执行基于智能选路、DNS策略和NAT转换等转发功能。
9)内网用户下线,SAM发送radius报文触发brac设备(RSR77-X)拆除该账号PPPOE隧道,清除该账号的转发信息。用户成功下线。
