引子
对于北师大二附中的教职工或者访客来说,他们有一个共同的感受,,学校的无线网络有点神奇,上课时间均不允许接入网络,但并不是一刀切,需求接入,例如数字班配发的iPad,学生自带设备以及访客的是设备还是可以自动接入,超时或者主动离线后,不需要重复填写帐号和密码,就可以完成再次认证,……一句话,这个无线网络有点神奇。
项目需求和带来的好处
为了让移动应用和传统教学、校园生活更好地结合,北师大二附中决定引进部署无线AP解决方案。经过严格的筛选测试及行业各产品对比分析,北师大二附中最终使用了Aruba产品来覆盖包括教学楼、办公楼、宿舍、食堂、图书馆、会议中心、体育馆、室外活动区域,旨在全校实现无线网络覆盖,全面打造智慧校园。
l 利用高达1.9G速率的802.11ac的AP-225,实现高速、高性能网络覆盖;
l 使用Aruba 7200无线控制器,负责全校网络统一的配置、管理与协调,提供了可靠性保障;
l 通过ClearPass无线安全接入系统,方便师生可以随时随地从校园任何位置获得安全的无缝网络接入,从而提高办公和学习效率;
l 使用综合网络管理系统Airwave优化无线网络管理,通过Wi-Fi可视化并控制统一通信,通过一个界面轻松管理不同阶段的无线网络设备,降低了成本。
北京师大二附中致力于建设高效、安全、智能的移动教学网络,为全校师生提供灵活的校园网接入服务,Aruba无线解决方案帮助该校实现了预期的接入需求, Aruba基于角色和设备类型的安全策略Clearpass,帮助学校实现了对教师、学生、访客三类不同群体的接入控制,取得了很好的效果。
对学生的灵活接入控制
Aruba基于用户、基于时间、基于地点的访问控制策略功能在北师大二附中发挥的淋漓尽致,实现了对学生用户接入网络进行灵活控制,在教室区域,只有在中午12:30-13:30、晚上19:30-22:30才可以接入网络,其余上课时间均不允许接入网络。由于Aruba内置了策略防火墙模块,可以实现基于用户、设备类型、位置、时间区分策略,严格划分不同的接入权限,包括限制可以访问哪些网站、可以使用哪些应用以及使用的带宽等。
对数字班iPad的灵活入网认证
学校为数字班共配发iPad,该iPad会在上课时随机发给学生,所以希望学生在连接同一个SSID时,使用自带的设备需要输入账号进行认证,而使用学校的iPad则无需认证;Aruba基于MAC+Portal的双因素认证实现了该功能,事先将iPad的MAC填入ClearPass的静态主机列表,iPad在连接时,会首先通过MAC认证而接入网络,无需再次弹出Portal认证,并且该设备不受接入时间和地点的控制,所有时间段均可上网;而使用学生自带的设备时,会直接弹出Portal,并且受接入时间段控制。
对教室APPLE TV的严格控制
北师大二附中各班级在上课时均使用APPLE TV进行投影,由于APPLE TV自身的技术限制,原来在使用胖AP时,每个班级的AP需要规划不同的SSID,并且指定到不同的VLAN,才能实现连入本班AP的用户只能搜索到本班的APPLE TV,这种方式显然是非常麻烦的。Aruba独有的AirGroup功能,可以让APPLE TV跨3层发现,也可以组播转单播,减小网络开销,还可以根据防火墙功专门将某一个APPLE TV共享给某一个人或某一组人,提高访问的安全策略控制。
“Aruba ClearPass+无线控制器”提供了强大的AirGroup功能,可以在ClearPass设置灵活的APPLE TV共享策略,本次设置了基于位置来共享APPLE TV,即连入该班级的用户只能搜索到该班级的APPLE TV,这样该班级的APPLE TV就不会被其他地方的人搜索到,预防了 APPLE TV被滥用的可能性。
对教师的无感知认证
由于使用Portal认证时,每次都需要无线用户在认证页面上手工填写用户名和密码。因此,无线用户在上网过程中,由于在线状态超时或者用户主动离线等因素,经常需要重复填写帐号和密码,才能完成再次认证的过程,这大大降低了用户体验。
n Aruba ClearPass无感知认证实现了在Poral认证后自动基于MAC地址的缓存功能,自动登记了该用户名对应的设备(MAC地址)列表,使无线用户既获得MAC无感知认证的便利性,又解决了MAC认证的可管理性问题。
n 设置每个用户帐号可以绑定的MAC地址数量,在连接教师SSID登陆时,只可以使用自己的用户名登陆几个个终端,超过限定数量时不能再登陆,以避免帐号的滥用;
n 为了提高网络安全性,ClearPass上设置每次MAC地址缓存后可以进行MAC无感知认证,从而实现对MAC地址与用户帐号绑定关系的周期性确认。
对访客的账号自助注册
北师大二附中由于经常会有其他学校的师生来参观学习,访客流量和流动性都很大,因此,为了减轻网络管理的负担,采用ClearPass访客自助注册功能来实现访客上网帐号的管理。访客来到学校连接访客SSID后,通过访问自助注册页面,并填写相关信息,可以自助生成顾客帐号,访客帐号的有效期预先设定了两种,一种为长期有效,供在学校进修的外校老师使用,供来学校短期拜访的访客使用,效果非常好。
Aruba ClearPass(访客管理)为美国总统夫人米歇尔访问团参观北师大二附中,提供无线网接入保障。