RAAS认证计费系统

·产品简介

Panabit RAAS是一套基于标准Radius的认证、计费和管理的服务系统，系统本着操作简单、使用方便的原则进行研发设计，为网络运营者运营提供了良好的管理手段，适用于学校、企业、政府、酒店以及其他WiFi覆盖场所等场景。RAAS支持同时管理多个学校、企业等用户，设备支持哑终端认证、校园网准入和准出认证，还可以结合Panabit和Panalog提供基于用户的访问控制和日志审计，为用户构建零信任网络架构。

·产品功能

提供IPv4/v6双栈认证

RAAS提供IPv4和IPv6双栈认证，用户只需要输出一次用户和密码，便可以同时实现IPv4和IPv6双栈认证，同时结合Panabit相关的策略，实现基于用户名群组的访问控制、带宽管理、应用路由的功能。

支持无感知认证

RAAS支持无感知认证，用户只有首次登录需要进行Web 认证，再次使用时就不需要再输入用户名密码了，即使用户异常掉线，如：关机重启、意外断网或离开校园无线网区域，当终端再次连接有线网或进入无线网络覆盖区域时均可自动认证，实现用户永远在线。

基于DPI的哑终端认证

对于校园网的打印机、摄像头、IP电话、无线AC、智能门锁等IOT及哑终端的终端类型，Panabit提供MAC地址白名单+终端指纹的模式来进行控制。Panabit通过DPI技术可以设备的终端类型、操作系统、版本、品牌、型号等终端指纹进行甄别，如果发现有Windows/Linux等主机冒充哑终端MAC进行认证，会自动Drop该用户的访问行为，保证了网络的安全。

校园网准入、准出认证

为保障校园网网络安全和信息安全，落实公安部门对校园网络信息安全防护的要求，Panabit RAAS提供校园网准入/准出认证方案，所有用户只有认证后方可访问校内/校外网络。而且只需要一次认证，同时实现IPv4/v6的准入、准出认证，方便便捷。

无缝对接目前认证&计费系统

Panabit RAAS支持Radius Relay功能，通过该功能可以无缝对接学校目前的AAA系统，实现快速上线。同时对于使用一卡通统一身份认证系统的学校，RAAS还支持LDAP对接功能，实现RAAS和统一身份系统的联动。

灵活的套餐计费管理

Panabit RAAS提供活的套餐计费管理：用户可根据实际业务需求灵活创建计费套餐并配置到对应用，同时支持批量创建充值卡功能也为用户在实际业务应用中提供了便利，满足了类似校园网络复杂的计费需求。

便捷的账务记录管理

Panabit RAAS提供了便捷的账务记录管理服务，方便用户随时根据业务需要做账务上的调整，同时系统提供了完整的账务日志，历史账务操作一目了然，满足了用户后期溯源和追责的需求。

支持面对面认证上网

Panabit RAAS支持面对面认证上网，用于多人会议等场景，与会人员只需连接WiFi，在弹出的Portal页面输入临时有效的邀请码即可实现上网，极大节省了时间。

完善的用户管理体系

Panabit RAAS支持同时创建并管理多个学校、企业等用户，拥有完备的用户管理功能，实时的用户信息在同一页面内完整展现，并支持相关快捷操作，极大提升了运维人员的效率。 同时，RAAS支持用户自定义操作员角色并赋予权限，通过角色权限编辑，拥有不同权限的操作员各司其职，在一定程度上规避了很多麻烦。

·高校应用场景

高校用户认证&计费场景：

Panabit RAAS提供IPv4和IPv6双栈认证，用户只需要输出一次用户和密码，便可以同时实现IPv4和IPv6双栈认证。结合Panabit网关设备实现按照教职工、学生等使用对象实现统一身份认证,按照用户身份设置内部资源访问权限，按照时间段设置上网策略,极大降低了内部数据安全的维护成本，同时结合Panabit网关相关的策略，实现基于用户名群组的访问控制、带宽管理、应用路由的功能，使得校园网的管理更加人性化,网络资源分配更加合理,校园网络更加安全高效。

方案优势：

1. 同一终端、一次认证，同时实现了IPv4/v6认证；

2. 支持无感知认证，用户在无线漫游时无需再次认证；

3. 支持基于用户名群组的访问控制、带宽管理、应用路由的功能

4. 上网日志记录在Panalog里，解决IPv4/v6实名制上网问题；

高校准入认证场景

校园网的安全事件，除了来自于互联网外，还有一部分来自于校园网内部，因此对于接入到校园网的设备需要作准入认证，避免外来人员接入到学校有线/无线网络，对服务器进行访问。

为保障校园网网络安全和信息安全，落实公安部门对校园网络信息安全防护的要求，Panabit RAAS提供校园网准入/准出认证方案，所有用户只有认证后方可访问校内/校外网络。而且只需要一次认证，同时实现IPv4/v6的准入、准出认证，方便便捷。

对于校园网的打印机、摄像头、IP电话、无线AC、智能门锁等IOT及哑终端的终端类型，Panabit提供MAC地址白名单+终端指纹的模式来进行控制。Panabit通过DPI技术可以设备的终端类型、操作系统、版本、品牌、型号等终端指纹进行甄别，如果发现有Windows/Linux等主机冒充哑终端MAC进行认证，会自动Drop该用户的访问行为，保证了网络的安全。

方案优势：

   1. 构建零信任网络架构基础；

   2. 数据中心访问，准出一次认证；

   3. IPv4/v6 统一认证；

   4. 专网系统访问控制；

   5. MAC地址白名单+终端指纹的哑终端准入&准出

   6. 专网、数据中心NPM性能监测&分析；

   7. 统一日志收集、管理、分析

高校代拨场景

随着学校办学多样化和网络技术的快速发展，越来越多的高校选择与运营商联合运营，共同建设校园网。通过Panabit代拨方案，可以实现校内账号和运营商账号的对接，既保障校方和运营商双方的管理与运营，又能为学生提供最佳网络体验，同时实现了对学生上网进行监管和审计。通过PPPoE代拨方案，协助高校和运营商高效的部署联合运营，并且全面满足联合运营模式下的多方需求

PPPoE代拨流程

1、用户接入网络时候，通过弹出的Portal认证，输入校内的账号和密码，同时，选择对于的运营商

2、校内的AAA校验用户的校内账号的正确性，正确的话，验证通过，同时，把该用户对应运营商的相关信息发给代拨网关。

3、Panabit代拨网关根据用户选择的服务通过代理接口将绑定的运营商账号发送给运营商BRAS进行PPPoE拨号认证；

4、账号都校验成功后，Panabit将地址进行用户内网IP和代拨成功的IP数据进行一对一NAT转换，实现学生上网的功能。

Panabit代拨优势：

Ø 强悍的NAT性能。Panabit提供单台设备100G吞吐量的NAT性能，完全满足代拨场景。

Ø 解决学校和运营商账号不一致问题。通过Panabit代拨，在校内BRAS使用学校账号，而代拨后接入运营商BRAS时候使用的是运营商PPPoE的账号信息，轻松解决学校和运营商账号不一致的问题。

Ø 解决学生跨运营商访问校内服务器问题。通过Panabit代拨，终端用户获取到的是本地DHCP分配的校内IP地址，可以直接访问到校内服务器，提升学生的体验感

Ø 防私接管理。Panabit可协助运营商检测出同一个帐号下有多少台电脑以及手机等移动终端设备共享着上网；能对非法共享行为用弹出警告、网页阻挡、智能限速等管控方式