任新勃 发表于:14年08月28日 15:50 [综述] DOIT.com.cn
随着移动技术以及数字化技术的飞速发展和广泛应用,各类便携式、多功能、可移动智能终端的普及,让老师和学生分别对移动办公和移动学习提出了更高的要求,建设新一代支持移动办公和移动学习的教育行业无线校园网应用而生。先进的教学通信网络,与时俱进的智能课堂教学,这一切在北京市普通高中示范校之一的北师大二附中得到了很好的验证。
北京师大二附中始建于1953年,是一所设备先进、师资优秀、教学质量高,在国际上有一定影响力的市重点中学,现在拥有上千名师生。为了让移动应用和传统教学、校园生活更好地结合,北师大二附中决定引进部署无线AP解决方案。经过严格的筛选测试及行业各产品对比分析,北师大二附中最终使用了Aruba产品来覆盖包括教学楼、办公楼、宿舍、食堂、图书馆、会议中心、体育馆、室外活动区域,旨在全校实现无线网络覆盖,全面打造智慧校园。
Aruba无线解决方案帮助该校实现了预期的接入需求, Aruba基于角色和设备类型的安全策略Clearpass,帮助学校实现了对教师、学生、访客三类不同群体的接入控制,取得了很好的效果。
Clearpass是啥东东?
这首先可以从自动登录开始谈,我们知道对于校园中的不同身份的群体要登录到无线网络,需要有不同的角色识别,Aruba基于角色和设备类型的安全策略Clearpass,就帮助学校实现了对教师、学生、访客三类不同群体的接入控制,取得了很好的效果。
Aruba自动登录功能由ClearPass和ArubaOS激活,使用工作环境中的Wi-Fi登录系统自动授权人员进入到单点登录(SSO)支持的应用程序中。 Aruba自动登录可以很方便地与现有的SSO身份供应商集成,也可独立使用。Aruba自动登录消除了繁琐重复、令人沮丧的“账号-密码”验证过程,让整个全移动网络环境下的人员都能轻松登录校园应用。
Clearpass在北师大二附中的卓越表现
实现对学生的灵活接入控制
Aruba基于用户、基于时间、基于地点的访问控制策略功能在北师大二附中发挥的淋漓尽致,实现了对学生用户接入网络进行灵活控制,在教室区域,只有在中午12:30-13:30、晚上19:30-22:30才可以接入网络,其余上课时间均不允许接入网络。由于Aruba内置了策略防火墙模块,可以实现基于用户、设备类型、位置、时间区分策略,严格划分不同的接入权限,包括限制可以访问哪些网站、可以使用哪些应用以及使用的带宽等。
对数字班iPad的灵活入网认证
学校为数字班共配发iPad,该iPad会在上课时随机发给学生,所以希望学生在连接同一个SSID时,使用自带的设备需要输入账号进行认证,而使用学校的iPad则无需认证;Aruba基于MAC+Portal的双因素认证实现了该功能,事先将iPad的MAC填入ClearPass的静态主机列表,iPad在连接时,会首先通过MAC认证而接入网络,无需再次弹出Portal认证,并且该设备不受接入时间和地点的控制,所有时间段均可上网;而使用学生自带的设备时,会直接弹出Portal,并且受接入时间段控制。
对教室APPLE TV的严格控制
北师大二附中各班级在上课时均使用APPLE TV进行投影,由于APPLE TV自身的技术限制,原来在使用胖AP时,每个班级的AP需要规划不同的SSID,并且指定到不同的VLAN,才能实现连入本班AP的用户只能搜索到本班的APPLE TV,这种方式显然是非常麻烦的。Aruba独有的AirGroup功能,可以让APPLE TV跨3层发现,也可以组播转单播,减小网络开销,还可以根据防火墙功专门将某一个APPLE TV共享给某一个人或某一组人,提高访问的安全策略控制。
“Aruba ClearPass+无线控制器”提供了强大的AirGroup功能,可以在ClearPass设置灵活的APPLE TV共享策略,本次设置了基于位置来共享APPLE TV,即连入该班级的用户只能搜索到该班级的APPLE TV,这样该班级的APPLE TV就不会被其他地方的人搜索到,预防了 APPLE TV被滥用的可能性。
对教师的无感知认证
由于使用Portal认证时,每次都需要无线用户在认证页面上手工填写用户名和密码。因此,无线用户在上网过程中,由于在线状态超时或者用户主动离线等因素,经常需要重复填写帐号和密码,才能完成再次认证的过程,这大大降低了用户体验。
? Aruba ClearPass无感知认证实现了在Poral认证后自动基于MAC地址的缓存功能,自动登记了该用户名对应的设备(MAC地址)列表,使无线用户既获得MAC无感知认证的便利性,又解决了MAC认证的可管理性问题。
? 设置每个用户帐号可以绑定的MAC地址数量,在连接教师SSID登陆时,只可以使用自己的用户名登陆几个个终端,超过限定数量时不能再登陆,以避免帐号的滥用;
? 为了提高网络安全性,ClearPass上设置每次MAC地址缓存后可以进行MAC无感知认证,从而实现对MAC地址与用户帐号绑定关系的周期性确认。
对访客的账号自助注册
北师大二附中由于经常会有其他学校的师生来参观学习,访客流量和流动性都很大,因此,为了减轻网络管理的负担,采用ClearPass访客自助注册功能来实现访客上网帐号的管理。访客来到学校连接访客SSID后,通过访问自助注册页面,并填写相关信息,可以自助生成顾客帐号,访客帐号的有效期预先设定了两种,一种为长期有效,供在学校进修的外校老师使用,