项目背景

     现有网络有线和无线业务是简单的叠加，无法做到有线无线管理统一，有线无线认证统一，有线无线数据转发统一。整个校园网人为的分成了有线网络、无线网络、行政办公网、宿舍网等，不利于统一的管理和运维。

     现有网络在用户管理上，有线用户分配静态地址，无线用户动态获取地址，采用校园网出口网关认证，只是满足了基本的网络互联互通的需求，但缺乏相应的精细化管理手段：

     1）网络没有准入的控制，用户只要接上网络，就能获得校园网的使用权，整个访问过程没有对用户接入终端，接入位置，接入的业务有线或无线等接入信息的纪录，容易导致网络的无序使用，难以进行有效的定位溯源。

     2）对用户的监控和管理不方便，对不同的用户采取不同的运维策略（例如带宽、访问权限等）比较困难。容易出现网络带宽被大量占用，重要应用得不到带宽保障等问题。

     只能实现出校园网时的认证，依赖于源IP地址判断用户是否已认证，容易遭受仿冒源IP地址攻击，只能通过是否有流量来判断用户是否下线，容易误判、计费不准确。

方案设计

● 总体设计

  新增Radius服务器和Portal服务器组建学校自己的后台AAA系统，由核心BRAS配合AAA系统实现对所有用户认证、计费和授权控制。用户接入校园网后，免费访问校内资源，需要访问校外资源时由BRAS自动重定向到Portal服务器认证界面，认证通过后才能访问校外资源，并提供用户访问报表统计，为保证可靠性，AAA系统采用双机部署。

● 业务融合

     AAA作为校园内统一的账号认证管理，对有线和无线用户融合统一认证和管理，有线与无线上网账号共用，权限一致。在整个校园中，具有网络权限的用户可以在任何一个地点，实现一致性的网络访问，无论是使用PC还是其他智能终端，都可以使用统一的账号认证登陆，并且在无线AP覆盖范围内，实现园区内的无缝漫游。

● 精细化运营

     由AAA统一管理整个学校接入用户的上网权限，全网采用实名认证，对每个认证的用户根据用户身份、用户终端类型、上线时段、接入位置等多维度信息进行精确的权限管理和控制，配合BRAS实现包括下发不同的访问权限、QoS优先级、业务带宽、选路策略等，充分保障个性化的用户体验。

● 收益保障

     采用运营商租用学校基础网络的模式引入运营商的合作运营。将学校AAA系统通过标准的radius proxy协议与运营商AAA系统进行对接，通过学校AAA系统与学校核心BRAS的联动，使得校内用户能够自主选择不同的运营商或者校园网出口访问互联网。同时具备了网络出口链路冗余的功能，任何一条出口链路中断都不会带来灾难性的后果。

       通过和运营商合作运营，一方面在保障学校对用户资源管控的基础上，实现了校园网出口流量的分流，提高了用户的上网体验，同时使得学校的收益快速增长；另一方面也帮助运营商更好的扩展手机和宽带业务，保障了运营商获取投资收益的诉求。