【行业技术前线】 搞事情？BRAC方案结合IPoE和PPPoE（多视频）

BRAC方案是我司针对高教客户推出的方案，主要解决运营商与高校合作运营网络的问题，经过多年实践，基本得到广大高教客户的一致认可，各项功能基本成熟。市场上很多客户需要将BRAC方案与IPoE认证和PPPoE认证结合起来，今天就为大家解释一下原理：

学校在建设高校网络时，有时会引入运营商来建设校园网，结果是运营商会直接运营高教学生；而学校的网络中心，实际上是没有完全管控到学生上网行为的。而学生上网行为的不可控，会成为高校的网络隐患。对于这种情况急需要一个既能管控学生上网行为，还能与运营商良好合作的网络认证方案，这就是BRAC方案的由来。

▲点击视频，请看《25秒读懂BRAC方案》

       BRAC方案最大的价值是： 7天开通校园网

       燕山大学、浙江金融学院：7天完成校园网与多运营商对接不再是梦想

       “7天开通校园网”的BRAC方案，有如下4大特点：

•        1次登录2次认证
•        内外网边界清晰
•        权责分明
•        成熟稳定

       高校学生的上网行为就是普通家庭的上网行为。BRAC方案的原理是，把高教客户当作普通家庭用户一样来运营。

BRAC方案的特点和原理

       下图是标准的BRAC方案认证原理。

       BRAC方案由下面几个角色构成：

终端、NAS设备、Portal服务器、RG-SAM+、RG-RSR77-X

认证方式是WEB认证

它们之间的联动原理如下：

1. 终端通过DHCP获取IP地址，开始访问HTTP网站。
    
2. HTTP请求会首先达到NAS设备，NAS设备上配置了重定向网址，该地址指向Portal服务器。NAS收到http请求后，发现该用户是未认证用户，所以会回复重定向网址给终端。
    
3. 终端会访问该重定向网址，即访问Portal服务器。
    
4. Portal服务器会回复认证页面给终端。
    
5. 终端会在浏览器里看到认证页面，然后学生在浏览器内输入校园网的账户和密码，一般是学生的一卡通号或学号。在终端上点击认证后，学生的校园网账户密码会发送到Portal服务器
    
6. Portal服务器会转发给NAS设备
    
7. NAS设备再使用Radius协议，把帐号密码发给RG－SAM+认证服务器
    
8. RG－SAM+认证服务器保存着学生校园网的账号和密码，会将收到的请求中的账号密码与数据库中保存的账号密码做比较，发现一致，（此处为brac方案最重要的一步）于是查找该学生校园帐号对应的运营商帐号密码，找到后，使用Radius 封装该学生的运营商账号密码，发送到出口RG-RSR77-X路由器。
    
9. RG-RSR77-X作为PPPoE Client， 从收到的Radius中提取运营商帐号密码，并使用PPPoE报文发送给运营商的BRAS设备。
    
10. 运营商的BRAS设备可以理解为PPPoE Server，其记录着学生运营商账户信息，BRAS设备从PPPoE报文中提取信息，与数据库比对。

对比验证一致后，于是将“认证成功”消息依次发送给RG-RSR77-X路由器－>RG-SAM+->NAS-> Portal->终端。之后，学生就能在浏览器里看到认证成功的页面，于是可以正常浏览网页，上网打游戏了。

以上便是一个典型的BRAC认证过程：

• 1次登录2次认证
   
• 1次登录是指：在学生看来，自己只输入了一次账户密码、点击了一次认证按钮，于是认证成功，正常上网。
   
• 2次认证是指：
• a.    首先是RG-SAM+认证，判断学生发来的校园网账号密码是否正确
• b.    其次是运营商的BRAS设备认证，判断RG-RSR77-X路由器发来的运营商账号密码是否正确
  
  以上便是BRAC方案的核心特点

注意，上面BRAC方案的1次认证，是WEB认证。只要将NAS设备更换为RG-RSR77-X路由器即可完成。这里的RG-RSR77-X路由器 是作为1次认证的NAS设备，原BRAC方案中的出口路由器不做变化。这样改造后，BRAC方案的组网设备就是2台RG-RSR77-X路由器，一台做内网IPoE认证，另一台是连接外网做PPPoE代拨。这样变化后，校园网就能使用IPoE认证了。

如图中所示，认证过程没有变化，只是认证方式换成了IPoE认证，就可以继承一些IPoE的特性了，比如防代理、防仿冒等。大学宿舍里，学生会用小路由器私接做代理，仿冒MAC，逃费漏费。 结合IPoE认证后，会提高宿舍、校园网络的安全性；同时认证方式保持不变，用户无感知网络改造过程。
 

BRAC方案结合PPPoE认证

与结合IPoE认证类似，还是要把原方案中的NAS设备换成RG-RSR77-X路由器，此时网络中就有2台RG-RSR77-X。一台原出口充当PPPoE代拨。另一台是NAS，同时充当PPPoE Server 角色，直接为学生服务，学生使用普通电脑或小路由器做PPPoE Client，在电脑上创建拨号连接，校园网账号密码以PPPoE报文的形式，发送给RG-RSR77-X路由器，然后转发给RG－SAM+，做第一次认证；然后将该学生对应的运营商账号密码发送给出口的RG-RSR77-X路由器，再转发给运营商的BRAS设备，由BRAS设备做第二次认证。认证成功后，将消息回复经由出口处的RG-RSR77-X路由器->RG-SAM+->NAS角色的RG-RSR77-X路由器－> 终端，于是学生就可以上网聊天打游戏了。

目前在学校家属区会用到PPPoE拨号认证，一般是使用小路由器，设置自动拨号，这样就可以让老人孩子打开电脑直接上网了，不用让他们关注繁琐的认证步骤。

可以看到BRAC方案在结合PPPoE认证方案后，发挥出了更大的作用，提供更友好的用户体验

如下便是此篇文章的视频讲解版：