一、 概述

1.1 项目需求

无线网络无缝覆盖

中小学网络建设目前还处于较为落后的阶段，课堂、机房大多还是采用有线网络，无线网络也只是简单的用于办公室给老师办公。近年来，中小学希望推进无线校园网络建设，每间普通教室、专用教室、教室办公室实现无线网络覆盖。无线热点覆盖主要教学场所，为移动学习提供环境支撑。创新实验室要建设便于学生开展创新体验、实践、探究和互动的实验环境和无线网络环境。

无线上网安全有保证

应上级要求各个院校开展重要信息系统的等级保护工作，继续做好网络与信息安全技术保障工作。无论是国家还是各个院校，都希望校园网络有全面的安全保障，防止因重教学资料外泄或者丢失，而造成严重的教学事故。

无线网络快速稳定

随着教育信息化的推动，电子书包的推广，中小学对于无线网络快速性和稳定性的要求也越来越高，根据某报告显示，67.23%的人认为WIFI联网的最大问题是速度慢，不论是学生还是老师都希望在学习中拥有一个良好的上网体验，因此，校园部署的无线网络，必须从多方面考虑用户的体验性，不仅需要在上网过程中提供稳定、快速的互联网访问服务，保障学生、老师使用无线网络上网时不掉线、不卡顿，满足日常上网应用。

上网行为管理

传统的校园无线网络无法做到对于上网人员的权限进行管控，在学校建设普教无线网的过程中，也急需要一些手段对学生的上网行为管理，保障学生学习的效果，同时对于教师的上网行为进行管理，保证教师的教学效率。

运营维护便捷

传统的中小幼信息化建设普遍落后，设备老化、管理困难、维护成本高，学校在推动信息化建设的过程中，急需要简化网络结构，最大程度上降低了建设成本、运维成本。

电子书包场景建设

信息技术与教育教学过程深度融合以及传统教育模式的改革，促使移动化的学习终端、学习平台、电子书包逐渐进入人们视线，目前电子书包在全国各地频繁开展试点，针对中小学教育领域，电子书包几经完善，目前已经日趋成熟；终端PAD的移动特性，对普教校园无线建设提出了迫切需求。

后期网络建设可扩展

普教无线网络的建设只是教育信息化的一个基础架构，为了能够应对今后普教行业对于无线网络的更多的需求，比如响应公安部安全建设号召，实现校园的监控覆盖；拓展网络空间进行学习等等，这需要我们保证在当前实际以及可见的未来发展的基础上建设高性价比的WLAN，为了保证无线网络的可扩展性，保护学校的投资，需要在方案构架、产品选型、系统容量与处理能力方面能升级换代，这样不仅能充分保护原有资源，而且具有较高的性价比。

1.2校园无线建设难度分析

 设备要求

普教WLAN的覆盖主要是在教学区、办公区、教学功能区、校园公共运动区的无线网络覆盖，教学区要求AP具有高性能，能满足60-100人左右电子书包场景的无线使用，保证电子书包使用的快捷的稳定；办公区场景要求稳定快速上网的同时，为乐提升办公效率，还要满足对于办公人员上网权限的控制；大礼堂属于高密场景，需要保证其接入人员正常带宽吞吐和上网速度；校园园区属于室外场景，对于设备要求室外AP能很好的支持防水、防潮、防雷、防尘以及防火、防晒等。

综上所述，普教需要降低建设运营成本，集无线控制器、消息推送、上网行为管理、流量控制、上网行为审计、防火墙、网络管理等多功能于一体的无线设备。

施工难度

此项目涉及到校园各个区域，包括办公楼、教学楼、PE楼等不同区域的无线网络覆盖，其工程覆盖范围大、工程量大、场景需求多、建设规划急等等，是我们目前面对的一大挑战。

二、 设计方案

2.1 设计原则

 良好的体验性

随着普教WLAN建设进程的推进，无线终端、电子书包使用的普及，用户对于上网的要求越来越苛刻，校园部署的无线网络，必须从多方面考虑用户的体验性，不仅需要在上网过程中提供稳定、快速的互联网访问服务，保障师生使用无线网络上网时不掉线、不卡顿，满足日常上网应用，还需要在老师、学生员工无线接入时提供简单安全的认证方式，为师生带来良好的上网体验。

 安全性

满足校园内上网的同时还需要满足无线网络使用的安全性，我们从用户从接入、信息传递、数据管理三方面出发，全面保证了校园用户上网的安全性，存储数据的安全性，同时上网行为审计功能满足公安部颁发的第82号令，可以实现记录并留存用户注册信息、记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施以及记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

此外为了避免日益猖狂的虚假钓鱼WIFI，防止犯罪分子通过架设一个与校园WiFi热点同名的WiFi网络，吸引用户通过移动设备接入该网络，窃取用户的资料、银行账户、网络支付账户密码等，AP拥有防钓鱼系统，可以对非法热点进行反制，保证校内用户使用网络的安全。

管理便捷性

采用了极致运维管理策略，能够对学校所有无线接入设备进行统一认证、统一集中管理，使维护管理更加便捷；功能“all in one”为学校降低了无线建设成本。

可扩展性

基础无线网络推动着教育信息化的发展，伴随着电子书包的出现，电子白板、在线课堂、数字化实验室、电子阅卷、一卡通、电子班牌等基于无线网络的应用的需求也越来越多；公安部对未来校园安全的要求越来越大，校园监控的数量要求也会加大，方便布线解约成本的无线监控将会成为未来保障校园安全的校园卫士；所以我们在设计校园基础无线网络时，为了保证无线网络的可扩展性，保护学校单位的投资，需要在方案构架、产品选型、系统容量与处理能力方面能升级换代，这样不仅能充分保护原有资源，而且具有较高的性价比。

2.2 网络架构设计

无线控制器（延用一期）部署在网络核心层，不改变原有网络架构，对校园全网AP进行集中管理和控制，并提供安全准入、数据加密、安全隔离、三层无缝漫游、上网行为管理、审计等丰富的应用功能。

无线AP主要负责接入网络部分，将AP部署在所需无线覆盖区域内，物理分布在办公区、电子书包教室，各覆盖区域内AP通过有线连接至POE交换机。

POE交换机主要负责网络中的数据交换以及为AP提供电源输入，部署在楼层弱电间。

三、 无线校园网技术解决方案

3.1 安全的无线网络设计

3.1.1 无线接入前的安全认证

3.1.1.1 教师接入认证

 802.1X认证

采用802.1x认证，学生、老师接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据，认证通过的用户才允许接入网络。业内皆知802.1x在用户终端设备上配置极其复杂，无疑给用户使用和IT管理员增加了大量的配置工作，提供了企业级认证的自动配置工具，终端用户无须管理员协助，通过开放性wlan下载自动配置工具，一键安装即可轻松接入校园网络，既安全又便捷。

Portal账号密码认证

采用Portal账号密码认证，老师接入时即需要认证，登录的账号可以为教师姓名、手机号、工号等具有唯一性信息，实现一人一账号自行登录。

 账号自注册认证

选择账号自注册认证，预先导入手机号码，用户在首次登陆时选择账号激活，并自己设置账号和密码，激活后输入账号密码登陆即可。同时，账号首次登陆时绑定手机号，当账号在新终端登陆时，需要输入短信验证码，解决用户web认证的安全问题，绑定手机号码的用户（包括账号自注册以及账号与手机号绑定）以及绑定邮箱的用户，可以自助修改密码或找回密码，无需通过IT管理员。

CA证书认证

支持自建CA颁发证书和管理，证书分发可通过自动配置工具统一打包一键完成安装，也支持用户通过web下载、管理员通过邮件分发，简单且快捷。

支持和政府内部的用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等校园内部的用户身份数据库进行快速的身份校验，既安全且可靠。

企业级认证支持本地内部数据库服务器，本地数据库支持认证终结到控制器上，可满足没有内部身份认证服务器的政府部门。

3.1.1.2 访客接入认证

校园经常会有来访人员或者上级领导视察工作，这部分人员经常有手机端和电脑端无线上网的需求，在无线校园网络设计的时候，需要充分考虑访客无线接入的便利性以及安全性，不是每一个访客过来都是问“这里的wifi密码多少”。

微信认证

通过关注“XX学校”官方微信即可免费上网，学校通过微信平台发布教育信息、便民信息、在线查询、公众参与等；

通过学校无线实现微信信息推送，可以根据用户所处的位置、时间段、上网时长等进行推送。

二维码认证

学校访客人员可以通过二维码名片认证，来访连接wifi时手机会弹出二维码，学校工作人员对来访人员通过微信、QQ、云助手等方式扫一下访客二维码，即可对其通过无线审核。同时，可以指定访客使用无线时长，并实现无线网络审

短信认证

短信认证只需要在连接wifi后，通过访客手机接收验证码，输入即可获取上网权限。

3.1.2 使用无线时的安全教学办公

随着互联网的快速发展，如今的互联网资源安全隐患多，看似正常的访问网站，可能在访问反动、色情、赌博等非法网站；因此，上网管理的目标应该是：让上网可视可控。即使是建设无线校园网络，同样需要对师生上网管控措施，限制用户浏览非法、暴力、黄色等不健康网站，并对相关访问做出拦截提示，禁止访问不良网络，防止触犯法律法规。

在校园无线网内部，老师和学生通过无线访问网络，有可能会出现非法网络的情况，给学习带来安全隐患。采用基于应用的访问控制、基于服务的访问控制、URL网页过滤对访问权限进行控制，同时无线控制器内置全国最大的应用识别库和URL库，拥有多达2400多种应用和3000万条URL，并且每周定时更新，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高网络的安全性。

3.1.3 安全合规的上网安全审计

目前，校园网络舆论缺乏管制，看似正常的访问论坛，可能是在诽谤造谣中伤他人；看似正常的发送邮件，可能携带着内部核心资料；需要对师生以及来访访客网络行为审计，对老师以及访客的上网行为进行记录存储备案，包括用户名、IP、时间、链接、内容等，满足《公安部82号令》的安全要求，并且该功能实现无需再搭配第三方专业设备，大大节省校园IT建设成本。

3.1.4 其他安全防护

在校园无线网络里，无论是在连接无线前、使用无线时以及断开无线的时候，都存在无线安全隐患，例如DHCP Snooping、非法钓鱼AP、DDos攻击、ARP欺骗、扫描攻击等安全隐患类型。通过自带的WIPS无线入侵防御系统以及WIDS无线入侵检测系统的双重保险，对上述常见危险攻击进行安全防护，并通过后台可视化页面直观显示，无线网络安全状况一目了然。