项目背景

目前复旦大学不同校区的宿舍网分别由学校和不同的运营商独立建设运营，存在如下问题：

    1、不同校区的宿舍网需要采用不同的账号和认证方式上网，用户缺乏自主选择权且体验度不高：

    2、在运营商承建校区，由于学生是通过PPPOE客户端直接拨入运营商BRAS，经运营商的AAA平台认证后通过运营商的独立出口访问互联网，学校无法对各家运营商在学校的开户数量和用户信息进行有效监管。

    3、现有方式下，运营商承建校区的互联网出口都是由其承建运营商提供的独立出口，无法做到出口带宽的统一监测和调度，学校也无法对用户的上网数据进行统一有效的监管、记录留存和挖掘使用。

方案设计

● 总体设计

     按照统一规划、分步实施的原则，复旦大学宿舍网的改造分阶段逐步进行，本期项目作为第一阶段先在邯郸主校区搭建学校自有的宿舍网统一认证运营平台和多家运营商对接，在保证用户自主选择运营商套餐基础上，实现准入准出一体化的IPOE接入认证，实现对邯郸主校区用户的上网数据统一的监管分析、记录留存。本期项目组网设计如下：

     本期项目的重要目标就是实现一套物理网基础上学校和多家运营商的合作运营，能让学生根据自己使用的套餐资费，选择不同运营商的出口和服务，在提升用户体验的同时促进运营商之间的良性竞争。

     从技术角度看，运营商和高校合作运营，实际上是学校AAA系统和运营商radius之间的认证、计费对接过程，在具体的实现方式上，校园网内部的AAA系统作为Radius Client通过标准的radius协议与各家运营商AAA系统对接，区分校园网用户和运营商用户，主要是看账务由哪个系统来管理。

● 认证流程

     学校AAA系统采用标准Radius协议与运营商的radius平台对接后，用户在接入认证过程中BRAS发起Portal重定向，重定向至portal服务器，Portal服务器推送Portal页面，Portal页面中可以选择校园网或运营商出口，用户输入账号密码并选择域名。AAA系统基于域名进行判断，若为校园网认证，则在本地AAA系统完成认证后访问校园网，若为运营商认证，由AAA系统完成校园网账号向运营商账号转换过程并送往运营商认证平台认证。认证通过后运营商下发带宽属性至校内AAA系统，最终中继至BRAS进行用户互联网的访问控制。用户基本认证流程如下图所示：

      (1)用户在AAA系统自助服务平台绑定学号与运营商账号；

      (2)用户发起访问外网或内网的请求，BRAS完成Portal重定向；

      (3)用户在Portal页面中输入一卡通账号及密码密码并选择出口；

      (4)认证计费平台完成对用户 的本地认证，认证通过后查询后台绑定的运营商账号密码，向电信平台发起Radius认证；

      (5)电信平台返回认证成功报文（携带带宽属性），给校内AAA系统；

      (6)AAA系统将认证成功报文回复给BRAS，BRAS基于域名进行链路选择并且执行运营商下发的带宽模板。

      (7)用户正常上网。

● 用户的IPoE认证和精细化管理

       本期项目改造后，用户只需采用IPoE认证方式接入，用户在接入校园网的同时即可根据账号权限访问互联网，无需再使用PPPOE拨号，并且用户在自服平台做了账号绑定的操作后，AAA系统自动会将校园网账号翻译成运营商账号送往运营商认证，用户无需记忆多套用户名和密码，并且这种方式下，用户的手机等移动终端的对互联网的访问也不再受限制。

       AAA系统在用户接入认证的同时记录准入日志：包括用户账号、终端设备类型、终端MAC地址、获取的IP地址、所在的具体位置（通过QinQ标签实现物理位置信息采集）等多种信息，并可通过五元组（用户身份、接入方式、终端类型、接入时间、接入地点）的灵活组合定义不同用户的访问策略。配合BRAS对用户实现访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。

       1）在学校自建校区，学生有线无线终端统一采用校园网账号通过IPOE方式访问校园网和互联网，无法自主选择运营商的套餐上网，在特定运营商的承建校区，学生也无法自主选择其他运营商的套餐上网。

       2）在运营商承建校区，学生有线无线终端可直接访问校园网，但访问互联网时，需采用运营商账号并通过PPPOE客户端拨号的方式访问。一方面造成学生需记忆多个账号及采用不同的上网方式，另一方面受安装PPPOE拨号客户端的限制，学生的手机、PAD等移动终端难以通过WIFI访问互联网。