总23期
Solution    方案解读
Solution    方案解读
BRAS:让校园网体验“牛”转乾坤
文/周保旺

高校校园网一直是网络技术创新应用的前沿阵地,从IPv6到SDN,从Wi-Fi 6到5G……用一个广告词来形容,就是遥遥领先。以IPv6为例,早在20年前,国内高校即开始了IPv6实验系统的开发,同时得益于CNGI-CERNET2项目的推进,高校校园网首先实现了IPv6网络的普及。然而,IPv6时代的校园网络在使用体验方面却不尽如人意。

随着IPv6的改造越来越深入,无线终端越来越多,校园网络变得异常复杂和难以处理, IPv6地址过长带来的登录问题、IPv6的安全备份问题以及无线的漫游认证,都在困扰校园网的使用者和网络维护者。如何才能拥有一张方便快捷、安全、高可靠的校园网,成为了困扰师生和管理者最大的问题。

紫光股份旗下新华三集团的BRAS方案针对校园网IPv6改造、无线校园建设面临的一系列问题提出了新的解决之道,不仅可以提供一个稳定可靠的校园网,也可以很好地解决校园网面临的诸多新问题。

校园网典型架构图

一次认证,双栈放行

在校园网的建设过程中往往会产生一大堆认证网关、准入网关、准出网关、有线网关、无线网关……IPv6改造后,又分为IPv4网关和IPv6网关。不仅用户配置复杂,出现问题后设备定位也是难题。新华三集团的BRAS方案集成全部认证方式,并且实现一次认证自动配置并放行IPv6,管理和使用起来非常方便。

过去,为方便一些教授访问校园网,往往给他们分配一个固定的IPv4地址。然而,进入IPv6时代后,不同于IPv4地址的4段十进制数字,IPv6地址一般用8段十六进制数字表示,冗长且复杂,手动配置、访问难以记忆的IPv6地址对师生而言是个巨大的挑战,很多老教授对此苦不堪言。

新华三集团的BRAS方案可以在静态IPv4登录完成后,自动分配IPv6地址,直接完成IPv6网络访问,用户只需要用简单的IPv4地址登录一次。对于学生来说,部署“一次认证,IPv4和IPv6同时放行”的功能,在同时访问IPv4网站和访问IPv6网站时也只需要登录一次。

Web认证如今已被广泛应用,用户访问互联网时自动弹出认证页面。然而,随着浏览器和Web应用默认使用HTTPS安全连接,问题出现了:很多高校校园网设备无法识别HTTPS网址,导致师生访问HTTPS地址无法弹出认证页面,需要手动修改为HTTP网址,不仅麻烦还降低了信息传输的安全性。通过新华三集团的BRAS解决方案部署“HTTPS认证弹页面”功能,当师生访问HTTPS地址时就可以正常弹出认证页面。

总体来看,新华三集团的BRAS方案可以在同一个端口上部署不同的认证方式(PPPoE、IPoE、Web、802.1X),可以让用户灵活选择认证方式。对网络安全要求不高的情况下,用户可以选择无感知认证,不论用户和BRAS之间为二层网络还是三层网络,都能够完成无感知认证;对网络安全要求较高的情况下,用户可选择802.1X认证,既保护用户访问的安全性,也增加可以开机自动认证。同时,所有的认证方式都支持部署为PUPV方式,为每个用户和每个终端提供更加精细化的管控能力,防止终端仿冒、病毒扩散等。

无缝漫游,时刻在线

无线网络覆盖出现死角或漫游认证机制不完善都可能造成网络访问的中断。学生移动观看在线视频时出现卡顿、中断等不稳定现象,一般都是上述两个原因导致的。受物理环境和空口环境不确定性变化的影响,无线网络优化是一个持续的过程;而AC间漫游认证则可以通过部署新华三集团的BRAS方案一次性完美解决。在BRAS上开启“认证漫游”功能,可以保障无线终端在访问网络的过程中,不论是跨VLAN、跨端口、跨板卡甚至是跨设备,都可以做到无感知的认证漫游,不会出现认证掉线。

双机热备,安全可靠

如果校园网在IPv6改造时没有考虑BRAS热备,一旦发生核心设备发生单点故障,师生们都无法通过IPv6上网,且网管老师不仅需要紧急排障,还要保障系统在短时间内大量用户发送认证请求的压力下正常运行。新华三集团的BRAS方案在认证节点提供IRF2功能,将两台BRAS设备虚拟化成为一台设备,对外统一提供IPv4/IPv6双栈的认证、限速、计费能力,不仅可以简化组网结构,还可以提升链路或者设备故障时的网络可靠性。

随着互联网软件工具在师生群体中的普及,网络常常面临一些新的意想不到的挑战。例如时下流行的网盘类工具,一般默认开机启动,当学生正常启动电脑还未登录认证时,网盘会持续向Portal服务器发送报文,造成Portal服务器响应慢甚至宕机。新华三集团的BRAS方案可以在CR16000-F上开启防降噪功能,通过对HTTP、HTTPS认证报文的每用户限速,减少攻击报文对Portal等服务器带来攻击隐患的同时,也不会影响其他用户的使用体验。

此外,面对智慧校园建设过程中接入校园网的一些哑终端,一般的网管软件无法监测其工作状态,往往都是使用这些设备的师生发现问题去投诉后,管理员才能知道故障发生。而新华三集团的BRAS设备可以通过各种激活在线功能,向哑终端发送IPv6报文,实时感知哑终端的状态,避免出现哑终端断网无法感知而被师生投诉的情况。

架构不变,保护投资

校园网的网络复杂程度高,用户类型丰富,终端数量多,业务种类多,极大地增加了问题发生后的响应时间以及问题定位的难度。新华三集团依托在校园网领域和运营商BRAS领域丰富的经验和技术积累,以及可靠的服务保证能力,可以在保证现网架构不变的情况下,最大限度地维持师生们使用网络的习惯和方式,提升了校园网络的数据处理能力、用户处理能力、终端控制能力,简化校园网运维管理。

对于学生来说,不论在教室、宿舍、实验室,还是有线环境、无线环境,新华三集团BRAS方案都可以配置相同的权限;对于网管老师来说,不论是新建项目还是网络改造,都可以最大限度地保持原有网络结构,不论是二层网络还是三层网络,确保老师原有的使用习惯。

观点

BRAS方案是校园网中最重要也是最为复杂的一环。随着IPv6改造、智慧校园2.0建设、无线业务的发展、在线业务的井喷,都对校园网BRAS提出了更高的要求。作为数字化解决方案领导者,新华三集团将继续深耕教育市场,挖掘客户需求,致力于为校园网用户提供更好的BRAS解决方案,为高校的教育信息化2.0和新阶段智慧校园建设添砖加瓦。

分享到
关闭