一、?項目需求

1.1 項目需求分析

• 無線網絡無縫覆蓋

中小學網絡建設目前還處于較為落后的階段，課堂、機房大多還是采用有線網絡，無線網絡也只是簡單的用于辦公室給老師辦公。近年來，中小學希望推進無線校園網絡建設，每間普通教室、專用教室、教室辦公室實現無線網絡覆蓋。無線熱點覆蓋主要教學場所，為移動學習提供環境支撐。創新實驗室要建設便于學生開展創新體驗、實踐、探究和互動的實驗環境和無線網絡環境。

• 無線上網安全有保證

應上級要求各個院校開展重要信息系統的等級保護工作，繼續做好網絡與信息安全技術保障工作。無論是國家還是各個院校，都希望校園網絡有全面的安全保障，防止因重教學資料外泄或者丟失，而造成嚴重的教學事故。

• ?無線網絡快速穩定

隨著教育信息化的推動，電子書包的推廣，中小學對于無線網絡快速性和穩定性的要求也越來越高，根據某報告顯示，67.23%的人認為WIFI聯網的最大問題是速度慢，不論是學生還是老師都希望在學習中擁有一個良好的上網體驗，因此，校園部署的無線網絡，必須從多方面考慮用戶的體驗性，不僅需要在上網過程中提供穩定、快速的互聯網訪問服務，保障學生、老師使用無線網絡上網時不掉線、不卡頓，滿足日常上網應用。

• 上網行為管理

傳統的校園無線網絡無法做到對于上網人員的權限進行管控，在學校建設普教無線網的過程中，也急需要一些手段對學生的上網行為管理，保障學生學習的效果，同時對于教師的上網行為進行管理，保證教師的教學效率。

• 運營維護便捷

傳統的中小幼信息化建設普遍落后，設備老化、管理困難、維護成本高，學校在推動信息化建設的過程中，急需要簡化網絡結構，最大程度上降低了建設成本、運維成本。

• 電子書包場景建設

信息技術與教育教學過程深度融合以及傳統教育模式的改革，促使移動化的學習終端、學習平臺、電子書包逐漸進入人們視線，目前電子書包在全國各地頻繁開展試點，針對中小學教育領域，電子書包幾經完善，目前已經日趨成熟；終端PAD的移動特性，對普教校園無線建設提出了迫切需求。

• 后期網絡建設可擴展

普教無線網絡的建設只是教育信息化的一個基礎架構，為了能夠應對今后普教行業對于無線網絡的更多的需求，比如響應公安部安全建設號召，實現校園的監控覆蓋；拓展網絡空間進行學習等等，這需要我們保證在當前實際以及可見的未來發展的基礎上建設高性價比的WLAN，為了保證無線網絡的可擴展性，保護學校的投資，需要在方案構架、產品選型、系統容量與處理能力方面能升級換代，這樣不僅能充分保護原有資源，而且具有較高的性價比。

二、?設計方案

2.1?設計原則

• ?良好的體驗性

隨著普教WLAN建設進程的推進，無線終端、電子書包使用的普及，用戶對于上網的要求越來越苛刻，校園部署的無線網絡，必須從多方面考慮用戶的體驗性，不僅需要在上網過程中提供穩定、快速的互聯網訪問服務，保障師生使用無線網絡上網時不掉線、不卡頓，滿足日常上網應用，還需要在老師、學生員工無線接入時提供簡單安全的認證方式，為師生帶來良好的上網體驗。

• 安全性

滿足校園內上網的同時還需要滿足無線網絡使用的安全性，我們從用戶從接入、信息傳遞、數據管理三方面出發，全面保證了校園用戶上網的安全性，存儲數據的安全性，同時上網行為審計功能滿足公安部頒發的第82號令，可以實現記錄并留存用戶注冊信息、記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施以及記錄、跟蹤網絡運行狀態，監測、記錄網絡安全事件等安全審計功能。

此外為了避免日益猖狂的虛假釣魚WIFI，防止犯罪分子通過架設一個與校園WiFi熱點同名的WiFi網絡，吸引用戶通過移動設備接入該網絡，竊取用戶的資料、銀行賬戶、網絡支付賬戶密碼等，AP擁有防釣魚系統，可以對非法熱點進行反制，保證校內用戶使用網絡的安全。

• 管理便捷性

采用了極致運維管理策略，能夠對學校所有無線接入設備進行統一認證、統一集中管理，使維護管理更加便捷；功能“all in one”為學校降低了無線建設成本。

• 可擴展性

基礎無線網絡推動著教育信息化的發展，伴隨著電子書包的出現，電子白板、在線課堂、數字化實驗室、電子閱卷、一卡通、電子班牌等基于無線網絡的應用的需求也越來越多；公安部對未來校園安全的要求越來越大，校園監控的數量要求也會加大，方便布線解約成本的無線監控將會成為未來保障校園安全的校園衛士；所以我們在設計校園基礎無線網絡時，為了保證無線網絡的可擴展性，保護學校單位的投資，需要在方案構架、產品選型、系統容量與處理能力方面能升級換代，這樣不僅能充分保護原有資源，而且具有較高的性價比。

2.2 網絡架構設計

無線控制器部署在網絡核心層，不改變原有網絡架構，對校園全網AP進行集中管理和控制，并提供安全準入、數據加密、安全隔離、三層無縫漫游、上網行為管理、審計等豐富的應用功能。

無線AP主要負責接入網絡部分，將AP部署在所需無線覆蓋區域內，物理分布在辦公區、電子書包教室，各覆蓋區域內AP通過有線連接至POE交換機。

POE交換機主要負責網絡中的數據交換以及為AP提供電源輸入，部署在樓層弱電間。

三、?無線校園網技術解決方案

3.1安全的無線網絡設計

3.1.1無線接入前的安全認證

3.1.1.1?教師接入認證

• 802.1X認證

采用802.1x認證，學生、老師接入時即需要認證。用戶可采用安全證書、用戶名口令作為接入網絡的憑據，認證通過的用戶才允許接入網絡。業內皆知802.1x在用戶終端設備上配置極其復雜，無疑給用戶使用和IT管理員增加了大量的配置工作，提供了企業級認證的自動配置工具，終端用戶無須管理員協助，通過開放性wlan下載自動配置工具，一鍵安裝即可輕松接入校園網絡，既安全又便捷。

• Portal賬號密碼認證

采用Portal賬號密碼認證，老師接入時即需要認證，登錄的賬號可以為教師姓名、手機號、工號等具有唯一性信息，實現一人一賬號自行登錄。

• ?賬號自注冊認證

選擇賬號自注冊認證，預先導入手機號碼，用戶在首次登陸時選擇賬號激活，并自己設置賬號和密碼，激活后輸入賬號密碼登陸即可。同時，賬號首次登陸時綁定手機號，當賬號在新終端登陸時，需要輸入短信驗證碼，解決用戶web認證的安全問題，綁定手機號碼的用戶（包括賬號自注冊以及賬號與手機號綁定）以及綁定郵箱的用戶，可以自助修改密碼或找回密碼，無需通過IT管理員。

• ?CA證書認證

支持自建CA頒發證書和管理，證書分發可通過自動配置工具統一打包一鍵完成安裝，也支持用戶通過web下載、管理員通過郵件分發，簡單且快捷。

支持和政府內部的用戶認證服務器進行身份認證，只需要在配置頁面上配置對接信息即可以和LDAP、AD域、Radius等校園內部的用戶身份數據庫進行快速的身份校驗，既安全且可靠。

企業級認證支持本地內部數據庫服務器，本地數據庫支持認證終結到控制器上，可滿足沒有內部身份認證服務器的政府部門。

3.1.1.2?訪客接入認證

校園經常會有來訪人員或者上級領導視察工作，這部分人員經常有手機端和電腦端無線上網的需求，在無線校園網絡設計的時候，需要充分考慮訪客無線接入的便利性以及安全性，不是每一個訪客過來都是問“這里的wifi密碼多少”。

• 微信認證

通過關注“XX學校”官方微信即可免費上網，學校通過微信平臺發布教育信息、便民信息、在線查詢、公眾參與等；

通過學校無線實現微信信息推送，可以根據用戶所處的位置、時間段、上網時長等進行推送。

• 二維碼認證

學校訪客人員可以通過二維碼名片認證，來訪連接wifi時手機會彈出二維碼，學校工作人員對來訪人員通過微信、QQ、云助手等方式掃一下訪客二維碼，即可對其通過無線審核。同時，可以指定訪客使用無線時長，并實現無線網絡審計。

• 短信認證

短信認證只需要在連接wifi后，通過訪客手機接收驗證碼，輸入即可獲取上網權限。

3.1.2?安全合規的上網安全審計

目前，校園網絡輿論缺乏管制，看似正常的訪問論壇，可能是在誹謗造謠中傷他人；看似正常的發送郵件，可能攜帶著內部核心資料；需要對師生以及來訪訪客網絡行為審計，對老師以及訪客的上網行為進行記錄存儲備案，包括用戶名、IP、時間、鏈接、內容等，滿足《公安部82號令》的安全要求，并且該功能實現無需再搭配第三方專業設備，大大節省校園IT建設成本。

3.2?穩定快速的無線網絡設計

3.2.1精細的流量管控

對校園園區有線無線網絡不同用戶及應用的網絡流量進行管理和劃分，完成帶寬保證和帶寬限制功能。通過基于權限的帶寬管理、基于區域位置的帶寬管理、基于時間的帶寬管理、基于應用的帶寬管理等方式合理分配帶寬權限，保證無線網絡的流暢使用。

3.2.2?無線性能的優化

通過終端時間公平調度、無線空中QoS、802.11e/WMM技術、智能廣播優化、快速漫游等無線性能優化方式，提高AP整體無線性能。

3.2.3?無線射頻的優化

無線射頻優化，通過智能負載均衡、智能射頻優化、無線射頻定時開關閉等，功能有效解決無線網絡由于干擾導致的無線傳輸速率低、丟包等網絡質量問題，將無線網絡的傳輸速度就能夠提升1.5至4倍。

四、?校園解決方案優勢

4.1完善的解決方案

可以提供完善的校園WLAN解決方案，以及全系列、高性能的WLAN網絡設備，擁有千兆、萬兆無線控制器，室內雙頻、室外11AC、面板11AC全系列AP產品；擁有無線控制器集群方案，可適應于超大規模WLAN組網；擁有FIT/FAT一體化解決方案；已在智慧校園、互聯網+金融、智慧景區、移動辦公等廣泛應用，產品解決方案與國內眾多WLAN廠商形成鮮明對比。

4.2?一站式極簡方案

設備采用強勁的X86架構，集無線控制器、用戶認證、營銷推送、客流分析、上網行為管理、流量控制、上網行為審計、防火墻、網絡管理于一體，大大簡化網絡結構，無需增加其他硬件或者軟件平臺，即可滿足各中小學無線網絡建設的要求，極大的降低了建設成本、運維成本。

• ?具有豐富的用戶認證功能，支持802.1x、Portal、CA證書、微信、短信、APP、二維碼等認證方式

• n?高密優化、應用層加速技術、智能負載均衡、二三層無縫漫游等，全面保證用戶無線上網體驗

• n?基于應用、用戶、AP組進行流量通道劃分，保障關鍵業務的帶寬，配合動態流控，提高帶寬利用價值

• n?具有國內最大的應用識別庫，可精準識別2300多種網絡應用，并且根據用戶、用戶組、時間段、接入位置、終端類型等條件進行上網權限設置

• n?具有上網行為審計功能，可審計用戶訪問的URL、郵件、論壇發帖等內容，滿足公安部82號令要求

• n?內置AP熱點地圖，實時查看網絡運行狀態；支持控制器集群統一管理；IT/營銷分權、分級管理

• n?為學校訪客無線網絡提供附加增值功能，可以增加微信關注量，并具有客流分析、用戶偏好分析、人流密度熱力圖等功能