Aruba建设安全可靠的西安欧亚学院无线校园网

用户需求
 
西安欧亚学院成立于1995年,是一所经国家教育部批准,以管理、经济为主,艺术、文学、教育、工学等协调发展的国际化应用型普通本科高校。
 
—陕西唯一一所国家教育体制改革试点院校
 
2010年10月,国务院办公厅印发《关于开展国家教育体制改革试点的通知》(国发办[2010]48号文),确定西安欧亚学院为民办教育改革试点单位,也是陕西唯一一所列入国家教育体制改革试点项目的民办高校。
 
—全国唯一一所获批国家教育信息化试点民办院校
 
西安欧亚学院正式被批准为国家教育信息化本科院校信息化试点单位,全国共有70 多所高校入选,其中包括清华、北大、复旦等985 高校,西安欧亚学院是全国唯一一所获批的民办高校,陕西省共有两所高校获批。
 
根据西安欧亚学院信息化建设规划,为增强信息化对一线教学工作的支持,同时推进BB系统在教学中的使用。学校对教学楼、办公楼、图书馆、体育馆等区域进行了无线网络覆盖。
 
带来的好处
 
使用2台Aruba 7210无线控制器,实现高性能的冗余备份,提供了可靠性保障;
 
通过Aruba无线控制器配置的状态防火墙实现基于用户身份的差异化访问控制策略和带宽管理策略;
 
通过ClearPass无线安全接入系统,实现全校师生的无感知认证;
 
通过ClearPass开放式API接口,实现用户账号与校园统一认证平台的自动同步。
 
Aruba为西安欧亚学院设计了一套安全、灵活和易于扩展的高性能无线校园网络,并通过独特的Master-Local控制器集群技术实现了控制器的冗余热备功能。
 
对学生和老师的差异化访问控制
 
Aruba无线控制器支持“Role”base安全角色管理,可以实现同一台笔记本用两个不同用户名登录无线网络可以获得不同的带宽、Vlan及访问策略,也可以实现不同的无线类型的终端获得不同的role。
 
西安欧亚学院利用此功能实现了对学生和老师的差异化访问控制,学生只允许访问校园内部资源和教育网资源,而对老师的网络访问不做限制。
 
对学生和教师的无感知认证
 
由于使用Portal认证时,每次都需要无线用户在认证页面上手工填写用户名和密码。因此,无线用户在上网过程中,由于在线状态超时或者用户主动离线等因素,经常需要重复填写帐号和密码,才能完成再次认证的过程,这大大降低了用户体验。
 
Aruba ClearPass无感知认证实现了在Poral认证后自动基于MAC地址的缓存功能,自动登记了该用户名对应的设备(MAC地址)列表,使无线用户既获得MAC无感知认证的便利性,又解决了MAC认证的可管理性问题。
 
设置每个用户帐号可以绑定的MAC地址数量,只可以使用自己的用户名登陆几个终端,超过限定数量时不能再登陆,以避免帐号的滥用,同时针对学生和老师,设置了不同的终端数量限制;
 
为了提高网络安全性,ClearPass上设置了每次MAC地址缓存后可以进行MAC无感知认证的时长,从而实现对MAC地址与用户帐号绑定关系的周期性确认,并且针对学生和老师,设置了不同的无感知认证周期。
 
无线用户认证账号与校园统一认证平台的自动同步
 
为了保持校园认证账号的一致性,学校决定无线认证系统与校园统一认证平台采用同一用户名和密码,并且用户通过统一认证平台修改密码后,其密码要求自动同步到无线认证系统。
 
经过对校园统一认证平台修改密码页面进行二次开发,在用户修改密码时,一方面更改公共平台数据库中的用户密码,同时通过无线认证系统Clearpass提供的XML API接口将用户信息添加到无线认证系统,如果此用户已经存在,就会修改此用户的密码以及其他的相关信息,如果该用户不存在,无线认证系统会添加此用户。新生报到后,通过此页面修改密码时,该新生的账号将自动添加到无线认证系统,不需要管理员手动添加。