管理方案

　　上海财经大学校园网集约式运营方案，不改变原有汇聚层和接入层网络拓扑结构，在BRAS 设备上新增教科网域和运营商域，通过域的不同来区分不同用户。用户既可以选择原有的教科网链路，也可以选择运营商链路。用户在进行身份认证时使用同一个802.1X 客户端，只需要更改用户名并且添加上不同的后缀就可以通过不同的域认证上网。对于运营商域的用户，其访问学校服务器IP 地址段时，直接指向BRAS 认证设备和校园网核心交换机互联的接口，实现其对内网资源的高速访问。

　　网络拓扑图

　　某运营商投入一条万兆光纤出口链路作为运营商域的上联链路，其网络拓扑如图1 所示。

图1 上海财经大学校园网网络拓扑

　　用户身份认证方案

　　用户身份认证协议采用的是802.1X协议，该协议是基于Client/Server 的访问控制和认证协议。该协议具有简洁高效、容易实现、安全可靠等优点。教科网域和运营商域的身份认证信息由BRAS 设备进行区分，然后发往不同的RADIUS 服务器进行认证。其具体认证流程如下：

　　1. 用户客户端发起认证，将用户名、密码、MAC 地址等身份认证信息直接传送给BRAS 设备。

　　2.BRAS 设备根据用户域的不同，将用户身份认证信息进行标准RADIUS 协议封装后发往不同的RADIUS 服务器。教科网域只发送到学校RADIUS 服务器进行认证，运营商域将分别发送到学校RADIUS服务器和运营商RADIUS 服务器进行二次身份认证。

　　3.RADIUS 服务器根据认证策略将收到的用户身份认证信息和数据库中的信息进行比较；如果一致则认证通过，给BRAS设备发送认证通过报文，并下发该用户的QoS 信息等安全策略。

　　4.BRAS 设备收到认证通过报文后，通知用户认证通过，并给用户下发IP 地址。

　　路由规划

　　因为要将教科网域和运营商域的网络流量发往不同的出口链路，同时要保证运营商域用户能够高速访问校内资源，所以采取了默认路由、静态路由和策略路由相结合的路由方案。

　　将BRAS 设备的默认路由指向运营商出口链路，将教科网域的网络流量以源地址策略路由的方式指向教科网出口链路。这样运营商域的网络流量走默认路由到运营商出口链路，教科网域的网络流量走策略路由到教科网出口链路。同时将运营商域用户访问学校服务器资源的网络流量以静态路由的方式指向学校的核心交换机，这样运营商域的用户也可以直接高速访问学校内网资源而不受学校出口防火墙的限制。

　　关键配置

　　在校园网改造过程中，因为网络拓扑结构未发生更改，所以接入层和汇聚层的交换机配置也未进行更改，只是在BRAS设备上添加了运营商域的配置信息，具体如下：

　　新建RADIUS 服务器组：为运营商域创建radius-server group，并指定RADIUS服务器IP 地址、BRAS 设备和RADIUS 服务器之间的通讯密钥以及BRAS 设备和RADIUS 服务器通讯的网络接口地址。

　　新建IP 地址池：为运营商域用户创建了含18*256 个运营商公网IP 地址的地址池并指定网关地址、子网掩码和DNS服务器地址。原有教科网域用户地址池包含32*256 个教科网IP 地址。因为两个地址池的IP 地址都是公网IP 地址，所以无需做NAT（网络地址转换）就可以访问互联网，用户上网体验大大提升。

　　新建域：创建运营商域，指定radiusservergroup、IP 地址池、802.1X 认证模板以及用户异常下线后挂断用户连接的时间间隔。

　　修改用户接入接口配置：指定可接入的QinQ 内层VLAN 和外层VLAN 范围，指定认证方式为802.1X，并将用户计费信息分别发往到学校RADIUS 服务器和运营商RADIUS 服务器。