■高晶
北京师大二附中始建于1953年,是一所设备先进、师资优秀、教学质量高,在国际上有一定影响力的市重点中学,是北京市首批重点建设的普通高中示范校之一。随着移动技术以及数字化技术的飞速发展和广泛应用,各类便携式、多功能、可移动智能终端的普及,老师和学生分别对移动办公和移动学习提出了更高的要求,建设新一代支持移动办公和移动学习的教育行业无线校园网应用而生。
北京师大二附中拥有上千名师生,建设先进的教学通信网络,与时俱进地利用智能课堂教学,满足全校师生的移动化办公和生活需求,是北师大二附中IT 管理部门一直亟待解决的问题。
为了让移动应用和传统教学、校园生活更好地结合,北师大二附中决定引进部署无线AP 解决方案。经过严格的筛选测试及行业各产品对比分析,北师大二附中最终使用了Aruba产品来覆盖包括教学楼、办公楼、宿舍、食堂、图书馆、会议中心、体育馆、室外活动区域,旨在全校实现无线网络覆盖,全面打造智慧校园。
利用高达1.9G 速率的802.11ac 的AP-225,实现高速、高性能网络覆盖;
使用Aruba 7200 无线控制器,负责全校网络统一的配置、管理与协调,提供了可靠性保障;
通过ClearPass 无线安全接入系统,方便师生可以随时随地从校园任何位置获得安全的无缝网络接入,从而提高办公和学习效率;
使用综合网络管理系统Airwave 优化无线网络管理,通过Wi-Fi 可视化并控制统一通信,通过一个界面轻松管理不同阶段的无线网络设备,降低了成本。
北京师大二附中致力于建设高效、安全、智能的移动教学网络,为全校师生提供灵活的校园网接入服务,Aruba 无线解决方案帮助该校实现了预期的接入需求,Aruba 基于角色和设备类型的安全策略Clearpass,帮助学校实现了对教师、学生、访客三类不同群体的接入控制,取得了很好的效果。
Aruba 基于用户、基于时间、基于地点的访问控制策略功能在北师大二附中发挥的淋漓尽致,实现了对学生用户接入网络进行灵活控制,在教室区域,只有在中午12:30-13:30、晚上19:30-22:30 才可以接入网络,其余上课时间均不允许接入网络。由于Aruba 内置了策略防火墙模块,可以实现基于用户、设备类型、位置、时间区分策略,严格划分不同的接入权限,包括限制可以访问哪些网站、可以使用哪些应用以及使用的带宽等。
学校为数字班共配发iPad,该iPad 会在上课时随机发给学生,所以希望学生在连接同一个SSID 时,使用自带的设备需要输入账号进行认证,而使用学校的iPad 则无需认证;Aruba 基于MAC+Portal 的双因素认证实现了该功能,事先将iPad 的MAC 填入ClearPass 的静态主机列表,iPad 在连接时,会首先通过MAC 认证而接入网络,无需再次弹出Portal 认证,并且该设备不受接入时间和地点的控制,所有时间段均可上网;而使用学生自带的设备时,会直接弹出Portal,并且受接入时间段控制。
北师大二附中各班级在上课时均使用APPLE TV 进行投影,由于APPLE TV 自身的技术限制,原来在使用胖AP 时,每个班级的AP 需要规划不同的SSID,并且指定到不同的VLAN,才能实现连入本班AP的用户只能搜索到本班的APPLE TV,这种方式显然是非常麻烦的。Aruba 独有的AirGroup 功能,可以让APPLE TV 跨3层发现,也可以组播转单播,减小网络开销,还可以根据防火墙功专门将某一个APPLE TV 共享给某一个人或某一组人,提高访问的安全策略控制。
“Aruba ClearPass+无线控制器”提供了强大的AirGroup功能,可以在ClearPass 设置灵活的APPLE TV 共享策略,本次设置了基于位置来共享APPLE TV,即连入该班级的用户只能搜索到该班级的APPLE TV,这样该班级的APPLE TV就不会被其他地方的人搜索到,预防了APPLE TV 被滥用的可能性。
由于使用Portal 认证时,每次都需要无线用户在认证页面上手工填写用户名和密码。因此,无线用户在上网过程中,由于在线状态超时或者用户主动离线等因素,经常需要重复填写帐号和密码,才能完成再次认证的过程,这大大降低了用户体验。
Aruba ClearPass 无感知认证实现了在Poral 认证后自动基于MAC 地址的缓存功能,自动登记了该用户名对应的设备(MAC 地址)列表,使无线用户既获得MAC 无感知认证的便利性,又解决了MAC 认证的可管理性问题。
设置每个用户帐号可以绑定的MAC 地址数量,在连接教师SSID 登陆时,只可以使用自己的用户名登陆几个个终端,超过限定数量时不能再登陆,以避免帐号的滥用;
为了提高网络安全性,ClearPass 上设置每次MAC 地址缓存后可以进行MAC 无感知认证,从而实现对MAC 地址与用户帐号绑定关系的周期性确认。
北师大二附中由于经常会有其他学校的师生来参观学习,访客流量和流动性都很大,因此,为了减轻网络管理的负担,采用ClearPass 访客自助注册功能来实现访客上网帐号的管理。访客来到学校连接访客SSID 后,通过访问自助注册页面,并填写相关信息,可以自助生成顾客帐号,访客帐号的有效期预先设定了2 种,一种为长期有效,供在学校进修的外校老师使用,供来学校短期拜访的访客使用,效果非常好。