Aruba助力北師大二附中建設高安全性智能移動網絡
責編:admin |2014-07-14 14:26:07用戶需求
北京師大二附中始建于1953年,是一所設備先進、師資優秀、教學質量高,在國際上有一定影響力的市重點中學,是北京市首批重點建設的普通高中示范校之一。隨著移動技術以及數字化技術的飛速發展和廣泛應用,各類便攜式、多功能、可移動智能終端的普及,老師和學生分別對移動辦公和移動學習提出了更高的要求,建設新一代支持移動辦公和移動學習的教育行業無線校園網應用而生。
北京師大二附中擁有上千名師生,建設先進的教學通信網絡,與時俱進地利用智能課堂教學,滿足全校師生的移動化辦公和生活需求,是北師大二附中IT管理部門一直亟待解決的問題。
為了讓移動應用和傳統教學、校園生活更好地結合,北師大二附中決定引進部署無線AP解決方案。經過嚴格的篩選測試及行業各產品對比分析,北師大二附中最終使用了Aruba產品來覆蓋包括教學樓、辦公樓、宿舍、食堂、圖書館、會議中心、體育館、室外活動區域,旨在全校實現無線網絡覆蓋,全面打造智慧校園。
帶來的好處
利用高達1.9G速率的802.11ac的AP-225,實現高速、高性能網絡覆蓋;
使用Aruba 7200無線控制器,負責全校網絡統一的配置、管理與協調,提供了可靠性保障;
通過ClearPass無線安全接入系統,方便師生可以隨時隨地從校園任何位置獲得安全的無縫網絡接入,從而提高辦公和學習效率;
使用綜合網絡管理系統Airwave優化無線網絡管理,通過Wi-Fi可視化并控制統一通信,通過一個界面輕松管理不同階段的無線網絡設備,降低了成本。
北京師大二附中致力于建設高效、安全、智能的移動教學網絡,為全校師生提供靈活的校園網接入服務,Aruba無線解決方案幫助該校實現了預期的接入需求, Aruba基于角色和設備類型的安全策略Clearpass,幫助學校實現了對教師、學生、訪客三類不同群體的接入控制,取得了很好的效果。
對學生的靈活接入控制
Aruba基于用戶、基于時間、基于地點的訪問控制策略功能在北師大二附中發揮的淋漓盡致,實現了對學生用戶接入網絡進行靈活控制,在教室區域,只有在中午12:30-13:30、晚上19:30-22:30才可以接入網絡,其余上課時間均不允許接入網絡。由于Aruba內置了策略防火墻模塊,可以實現基于用戶、設備類型、位置、時間區分策略,嚴格劃分不同的接入權限,包括限制可以訪問哪些網站、可以使用哪些應用以及使用的帶寬等。
對數字班iPad的靈活入網認證
學校為數字班共配發iPad,該iPad會在上課時隨機發給學生,所以希望學生在連接同一個SSID時,使用自帶的設備需要輸入賬號進行認證,而使用學校的iPad則無需認證;Aruba基于MAC+Portal的雙因素認證實現了該功能,事先將iPad的MAC填入ClearPass的靜態主機列表,iPad在連接時,會首先通過MAC認證而接入網絡,無需再次彈出Portal認證,并且該設備不受接入時間和地點的控制,所有時間段均可上網;而使用學生自帶的設備時,會直接彈出Portal,并且受接入時間段控制。
對教室APPLE TV的嚴格控制
北師大二附中各班級在上課時均使用APPLE TV進行投影,由于APPLE TV自身的技術限制,原來在使用胖AP時,每個班級的AP需要規劃不同的SSID,并且指定到不同的VLAN,才能實現連入本班AP的用戶只能搜索到本班的APPLE TV,這種方式顯然是非常麻煩的。Aruba獨有的AirGroup功能,可以讓APPLE TV跨3層發現,也可以組播轉單播,減小網絡開銷,還可以根據防火墻功專門將某一個APPLE TV共享給某一個人或某一組人,提高訪問的安全策略控制。
“Aruba ClearPass+無線控制器”提供了強大的AirGroup功能,可以在ClearPass設置靈活的APPLE TV共享策略,本次設置了基于位置來共享APPLE TV,即連入該班級的用戶只能搜索到該班級的APPLE TV,這樣該班級的APPLE TV就不會被其他地方的人搜索到,預防了 APPLE TV被濫用的可能性。
對教師的無感知認證
由于使用Portal認證時,每次都需要無線用戶在認證頁面上手工填寫用戶名和密碼。因此,無線用戶在上網過程中,由于在線狀態超時或者用戶主動離線等因素,經常需要重復填寫帳號和密碼,才能完成再次認證的過程,這大大降低了用戶體驗。
Aruba ClearPass無感知認證實現了在Poral認證后自動基于MAC地址的緩存功能,自動登記了該用戶名對應的設備(MAC地址)列表,使無線用戶既獲得MAC無感知認證的便利性,又解決了MAC認證的可管理性問題。
設置每個用戶帳號可以綁定的MAC地址數量,在連接教師SSID登陸時,只可以使用自己的用戶名登陸幾個個終端,超過限定數量時不能再登陸,以避免帳號的濫用;
為了提高網絡安全性,ClearPass上設置每次MAC地址緩存后可以進行MAC無感知認證,從而實現對MAC地址與用戶帳號綁定關系的周期性確認。
對訪客的賬號自助注冊
北師大二附中由于經常會有其他學校的師生來參觀學習,訪客流量和流動性都很大,因此,為了減輕網絡管理的負擔,采用ClearPass訪客自助注冊功能來實現訪客上網帳號的管理。訪客來到學校連接訪客SSID后,通過訪問自助注冊頁面,并填寫相關信息,可以自助生成顧客帳號,訪客帳號的有效期預先設定了兩種,一種為長期有效,供在學校進修的外校老師使用,供來學校短期拜訪的訪客使用,效果非常好。
Aruba ClearPass(訪客管理)為美國總統夫人米歇爾訪問團參觀北師大二附中,提供無線網接入保障。