■高晶

北京師大二附中始建于1953年，是一所設(shè)備先進、師資優(yōu)秀、教學(xué)質(zhì)量高，在國際上有一定影響力的市重點中學(xué)，是北京市首批重點建設(shè)的普通高中示范校之一。隨著移動技術(shù)以及數(shù)字化技術(shù)的飛速發(fā)展和廣泛應(yīng)用，各類便攜式、多功能、可移動智能終端的普及，老師和學(xué)生分別對移動辦公和移動學(xué)習(xí)提出了更高的要求，建設(shè)新一代支持移動辦公和移動學(xué)習(xí)的教育行業(yè)無線校園網(wǎng)應(yīng)用而生。

北京師大二附中擁有上千名師生，建設(shè)先進的教學(xué)通信網(wǎng)絡(luò)，與時俱進地利用智能課堂教學(xué)，滿足全校師生的移動化辦公和生活需求，是北師大二附中IT 管理部門一直亟待解決的問題。

為了讓移動應(yīng)用和傳統(tǒng)教學(xué)、校園生活更好地結(jié)合，北師大二附中決定引進部署無線AP 解決方案。經(jīng)過嚴格的篩選測試及行業(yè)各產(chǎn)品對比分析，北師大二附中最終使用了Aruba產(chǎn)品來覆蓋包括教學(xué)樓、辦公樓、宿舍、食堂、圖書館、會議中心、體育館、室外活動區(qū)域，旨在全校實現(xiàn)無線網(wǎng)絡(luò)覆蓋，全面打造智慧校園。

帶來的好處

利用高達1.9G 速率的802.11ac 的AP-225，實現(xiàn)高速、高性能網(wǎng)絡(luò)覆蓋；

使用Aruba 7200 無線控制器，負責(zé)全校網(wǎng)絡(luò)統(tǒng)一的配置、管理與協(xié)調(diào)，提供了可靠性保障；

通過ClearPass 無線安全接入系統(tǒng)，方便師生可以隨時隨地從校園任何位置獲得安全的無縫網(wǎng)絡(luò)接入，從而提高辦公和學(xué)習(xí)效率；

使用綜合網(wǎng)絡(luò)管理系統(tǒng)Airwave 優(yōu)化無線網(wǎng)絡(luò)管理，通過Wi-Fi 可視化并控制統(tǒng)一通信，通過一個界面輕松管理不同階段的無線網(wǎng)絡(luò)設(shè)備，降低了成本。

北京師大二附中致力于建設(shè)高效、安全、智能的移動教學(xué)網(wǎng)絡(luò)，為全校師生提供靈活的校園網(wǎng)接入服務(wù)，Aruba 無線解決方案幫助該校實現(xiàn)了預(yù)期的接入需求，Aruba 基于角色和設(shè)備類型的安全策略Clearpass，幫助學(xué)校實現(xiàn)了對教師、學(xué)生、訪客三類不同群體的接入控制，取得了很好的效果。

對學(xué)生的靈活接入控制

Aruba 基于用戶、基于時間、基于地點的訪問控制策略功能在北師大二附中發(fā)揮的淋漓盡致，實現(xiàn)了對學(xué)生用戶接入網(wǎng)絡(luò)進行靈活控制，在教室區(qū)域，只有在中午12:30-13:30、晚上19:30-22:30 才可以接入網(wǎng)絡(luò)，其余上課時間均不允許接入網(wǎng)絡(luò)。由于Aruba 內(nèi)置了策略防火墻模塊，可以實現(xiàn)基于用戶、設(shè)備類型、位置、時間區(qū)分策略，嚴格劃分不同的接入權(quán)限，包括限制可以訪問哪些網(wǎng)站、可以使用哪些應(yīng)用以及使用的帶寬等。

對數(shù)字班iPad 的靈活入網(wǎng)認證

學(xué)校為數(shù)字班共配發(fā)iPad，該iPad 會在上課時隨機發(fā)給學(xué)生，所以希望學(xué)生在連接同一個SSID 時，使用自帶的設(shè)備需要輸入賬號進行認證，而使用學(xué)校的iPad 則無需認證；Aruba 基于MAC+Portal 的雙因素認證實現(xiàn)了該功能，事先將iPad 的MAC 填入ClearPass 的靜態(tài)主機列表，iPad 在連接時，會首先通過MAC 認證而接入網(wǎng)絡(luò)，無需再次彈出Portal 認證，并且該設(shè)備不受接入時間和地點的控制，所有時間段均可上網(wǎng)；而使用學(xué)生自帶的設(shè)備時，會直接彈出Portal，并且受接入時間段控制。

對教室APPLE TV 的嚴格控制

北師大二附中各班級在上課時均使用APPLE TV 進行投影，由于APPLE TV 自身的技術(shù)限制，原來在使用胖AP 時，每個班級的AP 需要規(guī)劃不同的SSID，并且指定到不同的VLAN，才能實現(xiàn)連入本班AP的用戶只能搜索到本班的APPLE TV，這種方式顯然是非常麻煩的。Aruba 獨有的AirGroup 功能，可以讓APPLE TV 跨3層發(fā)現(xiàn)，也可以組播轉(zhuǎn)單播，減小網(wǎng)絡(luò)開銷，還可以根據(jù)防火墻功專門將某一個APPLE TV 共享給某一個人或某一組人，提高訪問的安全策略控制。

“Aruba ClearPass+無線控制器”提供了強大的AirGroup功能，可以在ClearPass 設(shè)置靈活的APPLE TV 共享策略，本次設(shè)置了基于位置來共享APPLE TV，即連入該班級的用戶只能搜索到該班級的APPLE TV，這樣該班級的APPLE TV就不會被其他地方的人搜索到，預(yù)防了APPLE TV 被濫用的可能性。

對教師的無感知認證

由于使用Portal 認證時，每次都需要無線用戶在認證頁面上手工填寫用戶名和密碼。因此，無線用戶在上網(wǎng)過程中，由于在線狀態(tài)超時或者用戶主動離線等因素，經(jīng)常需要重復(fù)填寫帳號和密碼，才能完成再次認證的過程，這大大降低了用戶體驗。

Aruba ClearPass 無感知認證實現(xiàn)了在Poral 認證后自動基于MAC 地址的緩存功能，自動登記了該用戶名對應(yīng)的設(shè)備（MAC 地址）列表，使無線用戶既獲得MAC 無感知認證的便利性，又解決了MAC 認證的可管理性問題。

設(shè)置每個用戶帳號可以綁定的MAC 地址數(shù)量，在連接教師SSID 登陸時，只可以使用自己的用戶名登陸幾個個終端，超過限定數(shù)量時不能再登陸，以避免帳號的濫用；

為了提高網(wǎng)絡(luò)安全性，ClearPass 上設(shè)置每次MAC 地址緩存后可以進行MAC 無感知認證，從而實現(xiàn)對MAC 地址與用戶帳號綁定關(guān)系的周期性確認。

對訪客的賬號自助注冊

北師大二附中由于經(jīng)常會有其他學(xué)校的師生來參觀學(xué)習(xí)，訪客流量和流動性都很大，因此，為了減輕網(wǎng)絡(luò)管理的負擔(dān)，采用ClearPass 訪客自助注冊功能來實現(xiàn)訪客上網(wǎng)帳號的管理。訪客來到學(xué)校連接訪客SSID 后，通過訪問自助注冊頁面，并填寫相關(guān)信息，可以自助生成顧客帳號，訪客帳號的有效期預(yù)先設(shè)定了2 種，一種為長期有效，供在學(xué)校進修的外校老師使用，供來學(xué)校短期拜訪的訪客使用，效果非常好。