有声小说,风凌天下,完结小说

服務(wù)熱線：13674137480

設(shè)為首頁加入收藏

歡迎光臨北京奧智威源科技有限公司！

網(wǎng)站首頁 ⊙ 解決方案 ⊙ 教育行業(yè)

當(dāng)前位置：

教育行業(yè)解決方案

Solution

1、靈活的策略控制（分區(qū)域、分時(shí)段、分用戶、分設(shè)備進(jìn)行策略控制）
要進(jìn)行全校的無線網(wǎng)絡(luò)建設(shè)，需要按整體規(guī)劃，實(shí)施靈活、詳細(xì)的安全策略，無線用戶在校園的不同區(qū)域接入無線網(wǎng)，享有不同的安全策略；在不同時(shí)段接入無線網(wǎng)，享有不同的安全策略，不同的用戶類型，不同的終端設(shè)備接入無線網(wǎng)，也享有不同的安全策略。
比如一個(gè)學(xué)生，使用他的手機(jī)在教學(xué)樓區(qū)域，只能享有1 M的帶寬，但他在宿舍區(qū)使用相同的賬號登錄無線網(wǎng)，可以享有4M的帶寬。
比如同樣是學(xué)生，在教學(xué)樓區(qū)域，在上課時(shí)間段，9：00-12：00 AM， 14：00-16：00，當(dāng)他訪問無線網(wǎng)時(shí)，不能看視頻，不能訪問微博，QQ等社交應(yīng)用，在非這些時(shí)間段內(nèi)，則可以。比如同樣是在教學(xué)樓內(nèi)，同樣一個(gè)SSID，如果是學(xué)生賬號接入，不能訪問校園網(wǎng)內(nèi)的某些地址段，但如果是教師賬號接入的話，則不受影響。再比如一個(gè)老師，使用他的無線上網(wǎng)賬號，當(dāng)他使用PC登錄時(shí)，可以訪問校園網(wǎng)內(nèi)的教務(wù)管理系統(tǒng)，但如果他使用該賬號用手機(jī)登錄時(shí)，則不允許訪問教務(wù)管理系統(tǒng)。
通過以上描述的應(yīng)用場景進(jìn)行靈活的安全策略控制，進(jìn)一步保障無線校園網(wǎng)的安全。
2、采用學(xué)校獨(dú)立建網(wǎng)的建設(shè)模式（多運(yùn)營商租用校內(nèi)網(wǎng)絡(luò)）
當(dāng)前無線校園網(wǎng)絡(luò)的建設(shè)通常包括：（1）與運(yùn)營商合作建設(shè) （2）學(xué)校獨(dú)立建設(shè)兩種模式。
（1）與運(yùn)營商合作建設(shè)模式
所謂與運(yùn)營商合作建設(shè)，就是在無線校園網(wǎng)建設(shè)的過程中，由某一家運(yùn)營商出資建設(shè)無線網(wǎng)絡(luò)，實(shí)現(xiàn)特定區(qū)域的無線覆蓋，運(yùn)營商寬帶業(yè)務(wù)和校園內(nèi)網(wǎng)應(yīng)用共享系統(tǒng)容量。
運(yùn)營商建設(shè)無線網(wǎng)絡(luò)的出發(fā)點(diǎn)是擴(kuò)大運(yùn)營商無線寬帶業(yè)務(wù)的覆蓋范圍，因此其網(wǎng)絡(luò)設(shè)計(jì)理念往往是以滿足無線寬帶用戶上網(wǎng)，通過時(shí)長或流量進(jìn)行計(jì)費(fèi)。
優(yōu)點(diǎn)：
設(shè)備由運(yùn)營商提供，學(xué)校不需要任何投資，就可以實(shí)現(xiàn)無線網(wǎng)絡(luò)覆蓋。
缺點(diǎn)：
由于運(yùn)營商無線網(wǎng)絡(luò)的建設(shè)是以提供無線寬帶上網(wǎng)服務(wù)，實(shí)現(xiàn)寬帶收入為目標(biāo)的，與無線校園網(wǎng)作為校園信息化主體基礎(chǔ)設(shè)施，為各項(xiàng)校園內(nèi)網(wǎng)應(yīng)用（如數(shù)據(jù)共享、校園導(dǎo)航、在線課堂、視頻點(diǎn)播、無線視頻監(jiān)控、無線一卡通等）提供高質(zhì)量傳輸?shù)墓δ苣繕?biāo)存在明顯差異，因此從技術(shù)上難以滿足無線校園網(wǎng)應(yīng)用對高帶寬、快速漫游和網(wǎng)絡(luò)安全特性的需要。
頻率資源是非常有限的不可再生資源，2.4GHz頻率資源被運(yùn)營商占用后，學(xué)校在同一位置將無法再使用相同頻率的設(shè)備，否則將導(dǎo)致嚴(yán)重的相互干擾。因此，為了節(jié)約低廉的設(shè)備投資，而放棄寶貴的頻率資源，并不符合學(xué)校的長遠(yuǎn)利益。
由于網(wǎng)絡(luò)資產(chǎn)屬于運(yùn)營商，并由運(yùn)營商統(tǒng)一管理和維護(hù)，因此學(xué)校在未來網(wǎng)絡(luò)調(diào)整和故障處理時(shí)將處于被動(dòng)地位，不得不向運(yùn)營商申請，并等待運(yùn)營商維護(hù)人員到現(xiàn)場處理，無法對各院系師生的要求作出快速反應(yīng)。
運(yùn)營商從投入成本核算的角度出發(fā)，往往采用較為低端的無線網(wǎng)絡(luò)設(shè)備，在同時(shí)提供運(yùn)營商寬帶業(yè)務(wù)和校園內(nèi)網(wǎng)應(yīng)用的環(huán)境下，既無法確保不同應(yīng)用之間的安全性，又不能保證校園內(nèi)網(wǎng)關(guān)鍵應(yīng)用獲得優(yōu)先級較高的QOS保障，因此將導(dǎo)致運(yùn)營商寬帶業(yè)務(wù)（尤其是基于Internet的P2P應(yīng)用）占用大量帶寬，而校園內(nèi)網(wǎng)應(yīng)用無法正常運(yùn)行的情況。
（2）學(xué)校獨(dú)立建設(shè)模式
所謂學(xué)校獨(dú)立建設(shè)模式，就是在無線校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)的過程中，由學(xué)校獨(dú)立出資建設(shè)無線網(wǎng)絡(luò)，獨(dú)立進(jìn)行設(shè)備選型，實(shí)現(xiàn)特定區(qū)域的無線覆蓋，再與運(yùn)營商進(jìn)行橫向合作的模式。
與運(yùn)營商建設(shè)無線網(wǎng)絡(luò)的出發(fā)點(diǎn)不同，學(xué)校獨(dú)立建設(shè)無線網(wǎng)絡(luò)的目標(biāo)是實(shí)現(xiàn)高性能、高可靠性、多功能的安全無線網(wǎng)絡(luò)覆蓋，從而保障各種校園網(wǎng)絡(luò)應(yīng)用能夠在無線校園網(wǎng)上順利開展，以改善和提升校園信息化水平、校園網(wǎng)對廣大師生的服務(wù)水平、同時(shí)通過信息化水平的改善來進(jìn)一步推動(dòng)教職員工工作效率的不斷提升。因此，學(xué)校獨(dú)立建設(shè)的無線網(wǎng)絡(luò)往往從系統(tǒng)性能、容量、可靠性和安全性等角度出發(fā)，采用蜂窩架構(gòu)部署高性能的企業(yè)級802.11ax無線網(wǎng)絡(luò)。
典型的無線校園網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

優(yōu)點(diǎn)：
由于學(xué)校在獨(dú)立建設(shè)無線網(wǎng)絡(luò)時(shí)是以滿足校園網(wǎng)內(nèi)部應(yīng)用需要為目的的，因此無論從網(wǎng)絡(luò)性能、可靠性和安全性等各個(gè)方面都能夠切實(shí)考慮到各類校園應(yīng)用的實(shí)際特點(diǎn)，從而可以支持這些應(yīng)用能夠在未來真正獲得發(fā)展。
獨(dú)立建設(shè)的無線網(wǎng)絡(luò)可以提供更高的網(wǎng)絡(luò)性能。
采用高性能的802.11ac wave2和802.11ax無線接入點(diǎn)，可以提供1.9Gbps以上的吞吐量，因此能夠滿足電子圖書館、無線視頻監(jiān)控、校園視頻廣播等各種校園應(yīng)用的需要。
獨(dú)立建設(shè)的無線網(wǎng)絡(luò)可以提供更好的安全性。
采用專業(yè)的企業(yè)級多功能無線接入點(diǎn)可以實(shí)現(xiàn)2.4GHz和5.8GHz射頻掃描和入侵保護(hù)功能，能夠及時(shí)發(fā)現(xiàn)校園網(wǎng)中存在的非法AP，并自動(dòng)對其進(jìn)行壓制，以避免外來人員通過這些非法AP侵入校園內(nèi)網(wǎng)。
采用專業(yè)的企業(yè)級無線網(wǎng)絡(luò)產(chǎn)品可以提供內(nèi)嵌的硬件防火墻功能，并能夠與無線連接控制進(jìn)行聯(lián)動(dòng)，因此能夠嚴(yán)格控制每一個(gè)用戶的訪問權(quán)限和帶寬策略，并在發(fā)現(xiàn)違規(guī)用戶或者異常終端時(shí)，自動(dòng)將其斷線，從網(wǎng)絡(luò)中隔離開來，以避免其對網(wǎng)絡(luò)的影響。
采用專業(yè)的企業(yè)級無線網(wǎng)絡(luò)產(chǎn)品還可以提供基于用戶身份的差異化策略控制和帶寬管理功能，使無線校園網(wǎng)的用戶管理更加安全和靈活。而運(yùn)營商建設(shè)網(wǎng)絡(luò)時(shí)出于盡量壓縮成本的考慮，往往采用較為低端的無線網(wǎng)絡(luò)產(chǎn)品，因此通常不能實(shí)現(xiàn)上述用戶管理和控制功能。
網(wǎng)絡(luò)的運(yùn)行、維護(hù)和管理更加方便。
由于網(wǎng)絡(luò)資產(chǎn)屬于學(xué)校，因此學(xué)校擁有對無線網(wǎng)絡(luò)設(shè)備絕對的管理權(quán)，可以根據(jù)校園網(wǎng)應(yīng)用的需要隨時(shí)對無線網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)整和配置變更，快速滿足廣大師生的網(wǎng)絡(luò)連接需求。
由于寶貴的頻率資源保留在學(xué)校內(nèi)部，因此在網(wǎng)絡(luò)優(yōu)化調(diào)整時(shí)可以簡單地通過內(nèi)部規(guī)劃和動(dòng)態(tài)射頻控制技術(shù)在一套系統(tǒng)上實(shí)現(xiàn)頻率資源的重復(fù)利用。
由于網(wǎng)絡(luò)歸屬權(quán)在學(xué)校，因此學(xué)校在與運(yùn)營商的合作談判中可以始終掌握主動(dòng)權(quán)。
在滿足校園內(nèi)網(wǎng)應(yīng)用具有更高優(yōu)先級的前提下，學(xué)校可以與運(yùn)營商談判開通寬帶接入信號，既不影響校園網(wǎng)應(yīng)用的正常穩(wěn)定運(yùn)行，又能滿足運(yùn)營商擴(kuò)大無線寬帶接入范圍的需要，同時(shí)從運(yùn)營商獲得相應(yīng)的回報(bào)（如租金、收入分成、或者免費(fèi)寬帶線路等），從另外一個(gè)方面收回?zé)o線網(wǎng)絡(luò)建設(shè)的投資。
由于企業(yè)級無線網(wǎng)絡(luò)支持多SSID技術(shù)，因此學(xué)校還可以與多家運(yùn)營商同時(shí)談判，同時(shí)開通多家運(yùn)營商的寬帶接入信號，并同時(shí)從多家運(yùn)營商獲得相應(yīng)的回報(bào)。
缺點(diǎn)：
唯一的缺點(diǎn)是學(xué)校需要預(yù)先投資建設(shè)一套高性能的無線網(wǎng)絡(luò)，但是這筆投資可以通過向運(yùn)營商租借無線寬帶信號的方式，或由運(yùn)營商直接出資指定品牌的方式，并在長期內(nèi)獲得持續(xù)、穩(wěn)定的收益。
在學(xué)校的自采無線設(shè)備上為每一個(gè)運(yùn)營商單獨(dú)開一個(gè)或兩個(gè)SSID，無線用戶流量統(tǒng)一經(jīng)AC路由到各運(yùn)營商BRAS設(shè)備。

3、無線用戶的安全接入
為了保障無線用戶以及學(xué)校信息資源的安全性，本次采購的無線產(chǎn)品需要支持業(yè)界完善且標(biāo)準(zhǔn)的安全加密及認(rèn)證協(xié)議，如WEP、WPA、WPA2等加密協(xié)議，MAC認(rèn)證、Web Portal認(rèn)證、802.1x認(rèn)證等認(rèn)證方式。
4、用戶無感知認(rèn)證（與認(rèn)證設(shè)備結(jié)合實(shí)現(xiàn)MAC+PORTAL組合認(rèn)證）
Web Portal認(rèn)證的現(xiàn)狀
在各種無線網(wǎng)絡(luò)用戶認(rèn)證方式中，Web Portal認(rèn)證由于具有輕客戶端特性，成為所有無線網(wǎng)絡(luò)部署、尤其是無線校園網(wǎng)部署中使用最為廣泛的認(rèn)證方式。
然而，隨著近年來瀏覽器種類日益多樣化，瀏覽器安全設(shè)置越來越復(fù)雜化，以及OCSP協(xié)議等與HTTPS證書驗(yàn)證問題的出現(xiàn)，Web Portal認(rèn)證也不時(shí)發(fā)生各種由于兼容性、安全性因素引起的Poral推送或者認(rèn)證失敗故障，從而導(dǎo)致用戶投訴增加。
與此同時(shí)，由于Portal認(rèn)證是一種三層認(rèn)證，每次認(rèn)證時(shí)都需要無線用戶在認(rèn)證頁面上手工填寫用戶名和密碼。因此，無線用戶在使用上網(wǎng)過程中，由于在線狀態(tài)超時(shí)、或者用戶主動(dòng)離線等因素，經(jīng)常需要重復(fù)填寫帳號和密碼，以完成再次認(rèn)證的過程，從而使用戶使用的體驗(yàn)下降。
MAC地址認(rèn)證的現(xiàn)狀
為了解決Web Portal認(rèn)證帶來的用戶體驗(yàn)不理想的問題，在安全性要求不高的環(huán)境下（如企業(yè)的訪客上網(wǎng)，以及大學(xué)校園內(nèi)的學(xué)生上網(wǎng)等），有許多用戶正在考慮使用MAC地址認(rèn)證的方式來替代Web Portal認(rèn)證。
MAC地址認(rèn)證是一種無感知認(rèn)證，無線網(wǎng)絡(luò)通過對終端MAC地址的識別來判別該終端是否為合法用戶，不需要手工輸入帳號和密碼，無線用戶的認(rèn)證體驗(yàn)非常好。
但是，在企業(yè)訪客上網(wǎng)以及高校學(xué)生上網(wǎng)這類環(huán)境中啟用MAC地址認(rèn)證存在這巨大的可管理性問題：
用戶數(shù)量龐大，并且具有一定的流動(dòng)性，使得MAC地址庫的維護(hù)幾乎無法實(shí)現(xiàn)
單純的MAC地址認(rèn)證與實(shí)際的用戶帳號和身份之間沒有對應(yīng)關(guān)系，大大增加了在企業(yè)網(wǎng)和校園網(wǎng)上進(jìn)行差異化策略控制和上網(wǎng)安全審計(jì)的難度
Web Portal認(rèn)證與MAC地址認(rèn)證很顯然都有著各自的優(yōu)勢和問題，因此建議在深瀾服務(wù)器上開啟MAC緩存功能，在AC上配置同一SSID下MAC+PORTAL的組合認(rèn)證，使無線用戶既獲得MAC無感知認(rèn)證的便利性，又解決了MAC認(rèn)證的可管理性問題。

業(yè)務(wù)中心

快速鏈接