一、?概述

1.1?項目需求

無線網(wǎng)絡無縫覆蓋

中小學網(wǎng)絡建設目前還處于較為落后的階段，課堂、機房大多還是采用有線網(wǎng)絡，無線網(wǎng)絡也只是簡單的用于辦公室給老師辦公。近年來，中小學希望推進無線校園網(wǎng)絡建設，每間普通教室、專用教室、教室辦公室實現(xiàn)無線網(wǎng)絡覆蓋。無線熱點覆蓋主要教學場所，為移動學習提供環(huán)境支撐。創(chuàng)新實驗室要建設便于學生開展創(chuàng)新體驗、實踐、探究和互動的實驗環(huán)境和無線網(wǎng)絡環(huán)境。

無線上網(wǎng)安全有保證

應上級要求各個院校開展重要信息系統(tǒng)的等級保護工作，繼續(xù)做好網(wǎng)絡與信息安全技術保障工作。無論是國家還是各個院校，都希望校園網(wǎng)絡有全面的安全保障，防止因重教學資料外泄或者丟失，而造成嚴重的教學事故。

無線網(wǎng)絡快速穩(wěn)定

隨著教育信息化的推動，電子書包的推廣，中小學對于無線網(wǎng)絡快速性和穩(wěn)定性的要求也越來越高，根據(jù)某報告顯示，67.23%的人認為WIFI聯(lián)網(wǎng)的最大問題是速度慢，不論是學生還是老師都希望在學習中擁有一個良好的上網(wǎng)體驗，因此，校園部署的無線網(wǎng)絡，必須從多方面考慮用戶的體驗性，不僅需要在上網(wǎng)過程中提供穩(wěn)定、快速的互聯(lián)網(wǎng)訪問服務，保障學生、老師使用無線網(wǎng)絡上網(wǎng)時不掉線、不卡頓，滿足日常上網(wǎng)應用。

上網(wǎng)行為管理

傳統(tǒng)的校園無線網(wǎng)絡無法做到對于上網(wǎng)人員的權限進行管控，在學校建設普教無線網(wǎng)的過程中，也急需要一些手段對學生的上網(wǎng)行為管理，保障學生學習的效果，同時對于教師的上網(wǎng)行為進行管理，保證教師的教學效率。

運營維護便捷

傳統(tǒng)的中小幼信息化建設普遍落后，設備老化、管理困難、維護成本高，學校在推動信息化建設的過程中，急需要簡化網(wǎng)絡結構，最大程度上降低了建設成本、運維成本。

電子書包場景建設

信息技術與教育教學過程深度融合以及傳統(tǒng)教育模式的改革，促使移動化的學習終端、學習平臺、電子書包逐漸進入人們視線，目前電子書包在全國各地頻繁開展試點，針對中小學教育領域，電子書包幾經(jīng)完善，目前已經(jīng)日趨成熟；終端PAD的移動特性，對普教校園無線建設提出了迫切需求。

后期網(wǎng)絡建設可擴展

普教無線網(wǎng)絡的建設只是教育信息化的一個基礎架構，為了能夠應對今后普教行業(yè)對于無線網(wǎng)絡的更多的需求，比如響應公安部安全建設號召，實現(xiàn)校園的監(jiān)控覆蓋；拓展網(wǎng)絡空間進行學習等等，這需要我們保證在當前實際以及可見的未來發(fā)展的基礎上建設高性價比的WLAN，為了保證無線網(wǎng)絡的可擴展性，保護學校的投資，需要在方案構架、產(chǎn)品選型、系統(tǒng)容量與處理能力方面能升級換代，這樣不僅能充分保護原有資源，而且具有較高的性價比。

1.2校園無線建設難度分析

?設備要求

普教WLAN的覆蓋主要是在教學區(qū)、辦公區(qū)、教學功能區(qū)、校園公共運動區(qū)的無線網(wǎng)絡覆蓋，教學區(qū)要求AP具有高性能，能滿足60-100人左右電子書包場景的無線使用，保證電子書包使用的快捷的穩(wěn)定；辦公區(qū)場景要求穩(wěn)定快速上網(wǎng)的同時，為樂提升辦公效率，還要滿足對于辦公人員上網(wǎng)權限的控制；大禮堂屬于高密場景，需要保證其接入人員正常帶寬吞吐和上網(wǎng)速度；校園園區(qū)屬于室外場景，對于設備要求室外AP能很好的支持防水、防潮、防雷、防塵以及防火、防曬等。

綜上所述，普教需要降低建設運營成本，集無線控制器、消息推送、上網(wǎng)行為管理、流量控制、上網(wǎng)行為審計、防火墻、網(wǎng)絡管理等多功能于一體的無線設備。

施工難度

此項目涉及到校園各個區(qū)域，包括辦公樓、教學樓、PE樓等不同區(qū)域的無線網(wǎng)絡覆蓋，其工程覆蓋范圍大、工程量大、場景需求多、建設規(guī)劃急等等，是我們目前面對的一大挑戰(zhàn)。

二、?設計方案

2.1?設計原則

?良好的體驗性

隨著普教WLAN建設進程的推進，無線終端、電子書包使用的普及，用戶對于上網(wǎng)的要求越來越苛刻，校園部署的無線網(wǎng)絡，必須從多方面考慮用戶的體驗性，不僅需要在上網(wǎng)過程中提供穩(wěn)定、快速的互聯(lián)網(wǎng)訪問服務，保障師生使用無線網(wǎng)絡上網(wǎng)時不掉線、不卡頓，滿足日常上網(wǎng)應用，還需要在老師、學生員工無線接入時提供簡單安全的認證方式，為師生帶來良好的上網(wǎng)體驗。

?安全性

滿足校園內(nèi)上網(wǎng)的同時還需要滿足無線網(wǎng)絡使用的安全性，我們從用戶從接入、信息傳遞、數(shù)據(jù)管理三方面出發(fā)，全面保證了校園用戶上網(wǎng)的安全性，存儲數(shù)據(jù)的安全性，同時上網(wǎng)行為審計功能滿足公安部頒發(fā)的第82號令，可以實現(xiàn)記錄并留存用戶注冊信息、記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的技術措施以及記錄、跟蹤網(wǎng)絡運行狀態(tài)，監(jiān)測、記錄網(wǎng)絡安全事件等安全審計功能。

此外為了避免日益猖狂的虛假釣魚WIFI，防止犯罪分子通過架設一個與校園WiFi熱點同名的WiFi網(wǎng)絡，吸引用戶通過移動設備接入該網(wǎng)絡，竊取用戶的資料、銀行賬戶、網(wǎng)絡支付賬戶密碼等，AP擁有防釣魚系統(tǒng)，可以對非法熱點進行反制，保證校內(nèi)用戶使用網(wǎng)絡的安全。

管理便捷性

采用了極致運維管理策略，能夠對學校所有無線接入設備進行統(tǒng)一認證、統(tǒng)一集中管理，使維護管理更加便捷；功能“all in one”為學校降低了無線建設成本。

可擴展性

基礎無線網(wǎng)絡推動著教育信息化的發(fā)展，伴隨著電子書包的出現(xiàn)，電子白板、在線課堂、數(shù)字化實驗室、電子閱卷、一卡通、電子班牌等基于無線網(wǎng)絡的應用的需求也越來越多；公安部對未來校園安全的要求越來越大，校園監(jiān)控的數(shù)量要求也會加大，方便布線解約成本的無線監(jiān)控將會成為未來保障校園安全的校園衛(wèi)士；所以我們在設計校園基礎無線網(wǎng)絡時，為了保證無線網(wǎng)絡的可擴展性，保護學校單位的投資，需要在方案構架、產(chǎn)品選型、系統(tǒng)容量與處理能力方面能升級換代，這樣不僅能充分保護原有資源，而且具有較高的性價比。

2.2?網(wǎng)絡架構設計

無線控制器（延用一期）部署在網(wǎng)絡核心層，不改變原有網(wǎng)絡架構，對校園全網(wǎng)AP進行集中管理和控制，并提供安全準入、數(shù)據(jù)加密、安全隔離、三層無縫漫游、上網(wǎng)行為管理、審計等豐富的應用功能。

無線AP主要負責接入網(wǎng)絡部分，將AP部署在所需無線覆蓋區(qū)域內(nèi)，物理分布在辦公區(qū)、電子書包教室，各覆蓋區(qū)域內(nèi)AP通過有線連接至POE交換機。

POE交換機主要負責網(wǎng)絡中的數(shù)據(jù)交換以及為AP提供電源輸入，部署在樓層弱電間。

三、?無線校園網(wǎng)技術解決方案

3.1?安全的無線網(wǎng)絡設計

3.1.1?無線接入前的安全認證

3.1.1.1?教師接入認證

?802.1X認證

采用802.1x認證，學生、老師接入時即需要認證。用戶可采用安全證書、用戶名口令作為接入網(wǎng)絡的憑據(jù)，認證通過的用戶才允許接入網(wǎng)絡。業(yè)內(nèi)皆知802.1x在用戶終端設備上配置極其復雜，無疑給用戶使用和IT管理員增加了大量的配置工作，提供了企業(yè)級認證的自動配置工具，終端用戶無須管理員協(xié)助，通過開放性wlan下載自動配置工具，一鍵安裝即可輕松接入校園網(wǎng)絡，既安全又便捷。

Portal賬號密碼認證

采用Portal賬號密碼認證，老師接入時即需要認證，登錄的賬號可以為教師姓名、手機號、工號等具有唯一性信息，實現(xiàn)一人一賬號自行登錄。

?賬號自注冊認證

選擇賬號自注冊認證，預先導入手機號碼，用戶在首次登陸時選擇賬號激活，并自己設置賬號和密碼，激活后輸入賬號密碼登陸即可。同時，賬號首次登陸時綁定手機號，當賬號在新終端登陸時，需要輸入短信驗證碼，解決用戶web認證的安全問題，綁定手機號碼的用戶（包括賬號自注冊以及賬號與手機號綁定）以及綁定郵箱的用戶，可以自助修改密碼或找回密碼，無需通過IT管理員。

CA證書認證

支持自建CA頒發(fā)證書和管理，證書分發(fā)可通過自動配置工具統(tǒng)一打包一鍵完成安裝，也支持用戶通過web下載、管理員通過郵件分發(fā)，簡單且快捷。

支持和政府內(nèi)部的用戶認證服務器進行身份認證，只需要在配置頁面上配置對接信息即可以和LDAP、AD域、Radius等校園內(nèi)部的用戶身份數(shù)據(jù)庫進行快速的身份校驗，既安全且可靠。

企業(yè)級認證支持本地內(nèi)部數(shù)據(jù)庫服務器，本地數(shù)據(jù)庫支持認證終結到控制器上，可滿足沒有內(nèi)部身份認證服務器的政府部門。

3.1.1.2?訪客接入認證

校園經(jīng)常會有來訪人員或者上級領導視察工作，這部分人員經(jīng)常有手機端和電腦端無線上網(wǎng)的需求，在無線校園網(wǎng)絡設計的時候，需要充分考慮訪客無線接入的便利性以及安全性，不是每一個訪客過來都是問“這里的wifi密碼多少”。

微信認證

通過關注“XX學校”官方微信即可免費上網(wǎng)，學校通過微信平臺發(fā)布教育信息、便民信息、在線查詢、公眾參與等；

通過學校無線實現(xiàn)微信信息推送，可以根據(jù)用戶所處的位置、時間段、上網(wǎng)時長等進行推送。

二維碼認證

學校訪客人員可以通過二維碼名片認證，來訪連接wifi時手機會彈出二維碼，學校工作人員對來訪人員通過微信、QQ、云助手等方式掃一下訪客二維碼，即可對其通過無線審核。同時，可以指定訪客使用無線時長，并實現(xiàn)無線網(wǎng)絡審

短信認證

短信認證只需要在連接wifi后，通過訪客手機接收驗證碼，輸入即可獲取上網(wǎng)權限。

3.1.2?使用無線時的安全教學辦公

隨著互聯(lián)網(wǎng)的快速發(fā)展，如今的互聯(lián)網(wǎng)資源安全隱患多，看似正常的訪問網(wǎng)站，可能在訪問反動、色情、賭博等非法網(wǎng)站；因此，上網(wǎng)管理的目標應該是：讓上網(wǎng)可視可控。即使是建設無線校園網(wǎng)絡，同樣需要對師生上網(wǎng)管控措施，限制用戶瀏覽非法、暴力、黃色等不健康網(wǎng)站，并對相關訪問做出攔截提示，禁止訪問不良網(wǎng)絡，防止觸犯法律法規(guī)。

在校園無線網(wǎng)內(nèi)部，老師和學生通過無線訪問網(wǎng)絡，有可能會出現(xiàn)非法網(wǎng)絡的情況，給學習帶來安全隱患。采用基于應用的訪問控制、基于服務的訪問控制、URL網(wǎng)頁過濾對訪問權限進行控制，同時無線控制器內(nèi)置全國最大的應用識別庫和URL庫，擁有多達2400多種應用和3000萬條URL，并且每周定時更新，能自動識別危險應用和URL，我們可針對這些危險應用和URL進行封堵和控制，從而提高網(wǎng)絡的安全性。

3.1.3?安全合規(guī)的上網(wǎng)安全審計

目前，校園網(wǎng)絡輿論缺乏管制，看似正常的訪問論壇，可能是在誹謗造謠中傷他人；看似正常的發(fā)送郵件，可能攜帶著內(nèi)部核心資料；需要對師生以及來訪訪客網(wǎng)絡行為審計，對老師以及訪客的上網(wǎng)行為進行記錄存儲備案，包括用戶名、IP、時間、鏈接、內(nèi)容等，滿足《公安部82號令》的安全要求，并且該功能實現(xiàn)無需再搭配第三方專業(yè)設備，大大節(jié)省校園IT建設成本。

3.1.4?其他安全防護

在校園無線網(wǎng)絡里，無論是在連接無線前、使用無線時以及斷開無線的時候，都存在無線安全隱患，例如DHCP Snooping、非法釣魚AP、DDos攻擊、ARP欺騙、掃描攻擊等安全隱患類型。通過自帶的WIPS無線入侵防御系統(tǒng)以及WIDS無線入侵檢測系統(tǒng)的雙重保險，對上述常見危險攻擊進行安全防護，并通過后臺可視化頁面直觀顯示，無線網(wǎng)絡安全狀況一目了然。