一、項(xiàng)目背景

在信息迅猛發(fā)展的今天，國內(nèi)所有高校均實(shí)現(xiàn)了有線校園的建設(shè)。但隨著教學(xué)設(shè)施的完善，越來越多的便捷式計(jì)算機(jī)終端被帶進(jìn)了校園，教師和學(xué)生對高校校園網(wǎng)的依賴性愈來愈高，“隨時(shí)隨地獲取信息”已成為廣大師生們的新需求。而無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，將對學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理產(chǎn)生深遠(yuǎn)的影響，也將對學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生積極影響。 

無線局域網(wǎng)絡(luò)不僅可以覆蓋課堂、教室、宿舍、閱覽室等經(jīng)常使用網(wǎng)絡(luò)的場所，除此之外，校園的草坪、操場、學(xué)生宿舍、家屬區(qū)、教學(xué)樓更是無線網(wǎng)絡(luò)發(fā)揮功效的場所。因此，在整個(gè)校園內(nèi)，同一個(gè)設(shè)備可以在任何時(shí)候、任何地方與校園網(wǎng)絡(luò)連接，不間斷地訪問校園網(wǎng)絡(luò)資源。

同時(shí)針對學(xué)生和教職工家屬基于無線網(wǎng)絡(luò)進(jìn)行寬帶運(yùn)營，也是高校無線網(wǎng)絡(luò)建設(shè)中考慮的重要環(huán)節(jié)?；谛@無線網(wǎng)向不同的用戶群體提供不同的無線上網(wǎng)服務(wù)，教職工可以基于無線開展教學(xué)活動訪問某些教育網(wǎng)資源，學(xué)生和家屬可以基于無線進(jìn)行付費(fèi)上網(wǎng)。而傳統(tǒng)無線網(wǎng)絡(luò)的接入方式，用戶上網(wǎng)需要得知無線密碼或者不需要密碼直接接入到無線網(wǎng)絡(luò)中，不僅在安全上存在一定的隱患，網(wǎng)絡(luò)運(yùn)行也不夠穩(wěn)定更不能對接入用戶進(jìn)行管理控制，實(shí)際操作起來也不夠方便，使無線網(wǎng)絡(luò)的效果大打折扣。因此如何部署一套可運(yùn)營、可管理、可靠高效的無線網(wǎng)絡(luò)已經(jīng)成為校園無線網(wǎng)絡(luò)建設(shè)的當(dāng)務(wù)之急。

二、需求分析

藍(lán)海卓越針對目前高校在無線認(rèn)證和計(jì)費(fèi)中存在的問題，推出適合高校校園的無線認(rèn)證計(jì)費(fèi)解決方案，該方案需要滿足以下需求：

1、支持多種認(rèn)證方式，包括針對教師的AD域認(rèn)證上網(wǎng)，以及針對宿舍學(xué)生和教職工家屬的靜態(tài)用戶名密碼認(rèn)證上網(wǎng)；

2、支持基于不同的SSID推送不同的Portal認(rèn)證頁面，面向開展教學(xué)活動的教師和上網(wǎng)沖浪的學(xué)生及教職工家屬推送不同的認(rèn)證頁面；

3、支持對接學(xué)校現(xiàn)有的管理系統(tǒng)數(shù)據(jù)庫或LDAP數(shù)據(jù)庫，教師可以直接在認(rèn)證頁面輸入相關(guān)AD賬戶密碼進(jìn)行認(rèn)證上網(wǎng)；

4、學(xué)生和教職工家屬可以采用付費(fèi)的方式上網(wǎng)，通過向高校信息中心提供相應(yīng)的證件辦理無線上網(wǎng)套餐，套餐可以按照包月/包年基于時(shí)長或者流量進(jìn)行計(jì)費(fèi)，并通過靜態(tài)用戶名密碼的方式認(rèn)證上網(wǎng)，套餐到期后賬戶停機(jī)；

5、可以對認(rèn)證頁面、認(rèn)證成功頁面進(jìn)行高度定制，支持多種網(wǎng)頁設(shè)計(jì)語言，以實(shí)現(xiàn)對認(rèn)證頁面自由設(shè)計(jì)的需求；

6、方便管理，能夠?qū)崿F(xiàn)對接入無線網(wǎng)絡(luò)中的用戶進(jìn)行上網(wǎng)時(shí)間、上傳下載速度及認(rèn)證有效期等方面控制管理；

7、認(rèn)證成功后可以實(shí)現(xiàn)強(qiáng)制跳轉(zhuǎn)至高校官網(wǎng)或其他指定網(wǎng)站，可以有效的進(jìn)行宣傳和推廣；

部署方便，維護(hù)簡單，同時(shí)對整體設(shè)備需要易操作易管理，維護(hù)簡單；將來增加覆蓋范圍和用戶數(shù)量能夠方便的進(jìn)行擴(kuò)展升級。

三、方案詳細(xì)說明

藍(lán)海卓越結(jié)合廣泛的無線認(rèn)證計(jì)費(fèi)市場需求，推出藍(lán)海卓越Portal無線認(rèn)證系統(tǒng)及AC、AP等無線網(wǎng)絡(luò)產(chǎn)品，最大限度的滿足現(xiàn)有無線認(rèn)證計(jì)費(fèi)的市場需求。通過藍(lán)海卓越Portal系列產(chǎn)品，用戶可以方便的組建無線認(rèn)證網(wǎng)絡(luò)，實(shí)現(xiàn)WEB認(rèn)證、認(rèn)證頁面自定義等功能；通過藍(lán)海卓越計(jì)費(fèi)管理系統(tǒng)，實(shí)現(xiàn)用戶管理、套餐管理等功能。

三、方案拓?fù)鋱D

藍(lán)海卓越無線認(rèn)證系統(tǒng)主要由：移動終端（智能手機(jī)、平板電腦、筆記本等）、AC控制器、AP、藍(lán)海卓越Portal服務(wù)器、藍(lán)海卓越Radius服務(wù)器以及高校管理系統(tǒng)/AD域服務(wù)器組成。在整體方案中，它們充當(dāng)?shù)慕巧謩e如下：

1、移動終端：用戶使用手機(jī)、平板等移動終端設(shè)備連接到校園WLAN無線網(wǎng)絡(luò)中；

2、AP：無線接入點(diǎn)，實(shí)現(xiàn)一定區(qū)域內(nèi)無線信號的覆蓋；

3、AC控制器：集中控制管理所有AP設(shè)備，根據(jù)需求建立針對教師教學(xué)和學(xué)生家屬的兩個(gè)SSID；

4、藍(lán)海卓越Portal服務(wù)器：同AC設(shè)備對接，實(shí)現(xiàn)Portal認(rèn)證頁面的彈出和無線認(rèn)證流程，認(rèn)證頁面支持任意網(wǎng)頁語言進(jìn)行定制設(shè)計(jì)，針對不同的SSID推送不同的認(rèn)證頁面；

5、藍(lán)海卓越計(jì)費(fèi)管理服務(wù)器：負(fù)責(zé)對學(xué)生和家屬無線上網(wǎng)用戶進(jìn)行開戶和套餐管理，并通過Portal認(rèn)證頁面實(shí)現(xiàn)認(rèn)證上網(wǎng)；

6、高校管理系統(tǒng)/AD域：采用高效現(xiàn)有的數(shù)據(jù)庫或者AD域數(shù)據(jù)庫，對接藍(lán)海卓越Portal服務(wù)器中的Radius系統(tǒng)，以便教師基于AD域賬戶通過教師SSID進(jìn)行認(rèn)證上網(wǎng)。

四、關(guān)鍵點(diǎn)：

1. AC/AP是獨(dú)立運(yùn)行。

2. 所有的網(wǎng)絡(luò)連接通過三層交換機(jī)上傳到認(rèn)證網(wǎng)關(guān)進(jìn)行認(rèn)證

3. 所有的認(rèn)證需要通過校園認(rèn)證平臺認(rèn)證后才可上網(wǎng)

4. 學(xué)校需要進(jìn)行上網(wǎng)認(rèn)證

5. 學(xué)校需要進(jìn)行MAC無感知認(rèn)證

6. 學(xué)生上網(wǎng)需要自注冊，自助交費(fèi)

7. 有可能需要給老師提供免費(fèi)帳號

8. 有可能需要綁定學(xué)生卡帳號

五、校園認(rèn)證的場景及流程：

1. 學(xué)生連接WIFI，彈出PORTAL頁面。

2. 學(xué)生在PORTAL頁面點(diǎn)擊自注冊，在校園認(rèn)證平臺完成注冊和繳費(fèi)，認(rèn)證網(wǎng)關(guān)校園認(rèn)證平臺做白名單處理，以方便用戶在未交費(fèi)前可以注冊及繳費(fèi)。（此場景下，校園認(rèn)證平臺需要可以連接微信和支付寶的服務(wù)器）

3. 學(xué)生注冊完成后，可以在PORTAL頁面點(diǎn)擊按紐，進(jìn)行綁定操作，即將用戶帳號和學(xué)生證號或手機(jī)號進(jìn)行綁定，以便在后期認(rèn)證過程中，輸入任意一種帳號即可進(jìn)行認(rèn)證。

4. 學(xué)生在彈出的頁面輸入帳號密碼認(rèn)證，校園認(rèn)證平臺，自動將該用戶的MAC地址進(jìn)行記錄，與帳號綁定，并交認(rèn)證結(jié)果返回給認(rèn)證網(wǎng)關(guān)。

5. 學(xué)生離開網(wǎng)絡(luò)，平臺上將用戶下線，當(dāng)學(xué)生再次連接時(shí)，流控網(wǎng)關(guān)自動識別到用戶上線，與校園認(rèn)證平臺聯(lián)動，使MAC無感知功能生效，自動幫助學(xué)生進(jìn)行認(rèn)證上網(wǎng)。

6. 如果校園網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，即AP到流控網(wǎng)關(guān)均是二層網(wǎng)絡(luò)架構(gòu)，則流控網(wǎng)關(guān)與校園認(rèn)證平臺直接進(jìn)行MAC無感知認(rèn)證。

7. 學(xué)生帳號到期，MAC無感知失效，重新彈出認(rèn)證頁面，學(xué)生通過PORTAL頁面跳轉(zhuǎn)到自助系統(tǒng)進(jìn)行交費(fèi)。

8. 采用流控網(wǎng)關(guān)內(nèi)置的防代理功能實(shí)現(xiàn)，防止一個(gè)用戶交費(fèi)，共享給多個(gè)用戶上網(wǎng)。

六、自助開戶示意圖：