1. 当前校园已经有校园内部的无线网络和准入系统、DHCP、防代理服务器等。

2. 校园的VIP用户接入移动的大网，并进行收费。

3. VIP用户需要进行PORTAL认证计费。

需求如下：

1. 为学校的VIP用户增加上网认证功能。

2. 运营商为每个学生帐号提供一个拨号帐号，校园有6000个学生，则提供6000个拨号帐号。

3. 学生在内网上网，采用PORTAL认证的方式，但是通过认证网关后，转换为拨号方式上网。

4. 所有的学生均可上网，因此不需要考虑防代理私接的问题。

5. 所有的帐号是一对一的使用代理拨号的模式映射到移动的BRAS上，因此日志记录由 运营商的LOG记录，学校无需考虑。

6. 无需考虑MAC无感知认证，但每一次认证需要保持会话24小时，在24小时内无需重复认证。

7. 学生的学号和移动提供的宽带帐号需要一一对应的进行绑定。

8.所有的认证需要在校园认证平台实现，再通过BRAS与 运营商AAA对接认证。

校园认证平台部署如下：

用户上网流程示意图

校园认证的场景及流程说明：

1.  运营商为学校的学生提供6000个校园帐号，该帐号可以通过PPPOE方式拨号至移动BRAS。

2. 学校将 运营商提供的帐号批量导入校园认证平台，并为每个帐号分配对应的学生帐号，帐号为学生学号。

3. 第一步：学生上网时，连接WIFI，自动获取DHCP地址；

4. 第二步：通过校园防火墙进行路由，将用户的上网IP段路由线认证网关；

5. 第三步：认证网关对上网用户的上网请求进行重定向至PORTAL服务器，在用户的上网终端弹出PORTAL页面；学生在PORTAL认证页面输入学号和密码，PORTAL服务器向认证网关发起挑战；

6. 第四步：认证网关收到PORTAL服务器发来的挑战信息，并将挑战信息中携带的用户名和密码向RADIUS服务器发起认证；RADIUS对用户信息进行PORTAL认证，认证成功后，将拨号用户名和密码信息返回给认证网关；

7. 第五步：认证网关收到拨号信息后，执行代理拨号，使用返回的拨号用户名和密码向移动的BRAS发起PPPOE拨号请求；

8. 第六步： 运营商的BRAS收到拨号请求后，将拨号请求发送至省公司AAA进行认证；

9. 第七步：认证通过后，省公司AAA将认证通过信息返回给 运营商的BRAS；

10. 第八步： 运营商的BRAS将认证成功结果返回给认证网关；

11. 第九步：认证网关接收到认证成功结果后，打通用户的路由，用户可以正常访问互联网。

12. 任何一个认证不通过，则会在该步骤拒绝用户，上网认证返回失败信息。