隨著移動(dòng)技術(shù)以及數(shù)字化技術(shù)的飛速發(fā)展和廣泛應(yīng)用，各類便攜式、多功能、可移動(dòng)智能終端的普及，讓老師和學(xué)生分別對(duì)移動(dòng)辦公和移動(dòng)學(xué)習(xí)提出了更高的要求，建設(shè)新一代支持移動(dòng)辦公和移動(dòng)學(xué)習(xí)的教育行業(yè)無(wú)線校園網(wǎng)應(yīng)用而生。先進(jìn)的教學(xué)通信網(wǎng)絡(luò)，與時(shí)俱進(jìn)的智能課堂教學(xué)，這一切在北京市普通高中示范校之一的北師大二附中得到了很好的驗(yàn)證。

北京師大二附中始建于1953年，是一所設(shè)備先進(jìn)、師資優(yōu)秀、教學(xué)質(zhì)量高，在國(guó)際上有一定影響力的市重點(diǎn)中學(xué)，現(xiàn)在擁有上千名師生。為了讓移動(dòng)應(yīng)用和傳統(tǒng)教學(xué)、校園生活更好地結(jié)合，北師大二附中決定引進(jìn)部署無(wú)線AP解決方案。經(jīng)過(guò)嚴(yán)格的篩選測(cè)試及行業(yè)各產(chǎn)品對(duì)比分析，北師大二附中最終使用了Aruba產(chǎn)品來(lái)覆蓋包括教學(xué)樓、辦公樓、宿舍、食堂、圖書(shū)館、會(huì)議中心、體育館、室外活動(dòng)區(qū)域，旨在全校實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)覆蓋，全面打造智慧校園。

Aruba無(wú)線解決方案幫助該校實(shí)現(xiàn)了預(yù)期的接入需求， Aruba基于角色和設(shè)備類型的安全策略Clearpass，幫助學(xué)校實(shí)現(xiàn)了對(duì)教師、學(xué)生、訪客三類不同群體的接入控制，取得了很好的效果。

Clearpass是啥東東？

這首先可以從自動(dòng)登錄開(kāi)始談，我們知道對(duì)于校園中的不同身份的群體要登錄到無(wú)線網(wǎng)絡(luò)，需要有不同的角色識(shí)別，Aruba基于角色和設(shè)備類型的安全策略Clearpass，就幫助學(xué)校實(shí)現(xiàn)了對(duì)教師、學(xué)生、訪客三類不同群體的接入控制，取得了很好的效果。

Aruba自動(dòng)登錄功能由ClearPass和ArubaOS激活，使用工作環(huán)境中的Wi-Fi登錄系統(tǒng)自動(dòng)授權(quán)人員進(jìn)入到單點(diǎn)登錄（SSO）支持的應(yīng)用程序中。 Aruba自動(dòng)登錄可以很方便地與現(xiàn)有的SSO身份供應(yīng)商集成，也可獨(dú)立使用。Aruba自動(dòng)登錄消除了繁瑣重復(fù)、令人沮喪的“賬號(hào)-密碼”驗(yàn)證過(guò)程，讓整個(gè)全移動(dòng)網(wǎng)絡(luò)環(huán)境下的人員都能輕松登錄校園應(yīng)用。

Clearpass在北師大二附中的卓越表現(xiàn)

實(shí)現(xiàn)對(duì)學(xué)生的靈活接入控制

Aruba基于用戶、基于時(shí)間、基于地點(diǎn)的訪問(wèn)控制策略功能在北師大二附中發(fā)揮的淋漓盡致，實(shí)現(xiàn)了對(duì)學(xué)生用戶接入網(wǎng)絡(luò)進(jìn)行靈活控制，在教室區(qū)域，只有在中午12:30-13:30、晚上19:30-22:30才可以接入網(wǎng)絡(luò)，其余上課時(shí)間均不允許接入網(wǎng)絡(luò)。由于Aruba內(nèi)置了策略防火墻模塊，可以實(shí)現(xiàn)基于用戶、設(shè)備類型、位置、時(shí)間區(qū)分策略，嚴(yán)格劃分不同的接入權(quán)限，包括限制可以訪問(wèn)哪些網(wǎng)站、可以使用哪些應(yīng)用以及使用的帶寬等。
 
對(duì)數(shù)字班iPad的靈活入網(wǎng)認(rèn)證

學(xué)校為數(shù)字班共配發(fā)iPad，該iPad會(huì)在上課時(shí)隨機(jī)發(fā)給學(xué)生，所以希望學(xué)生在連接同一個(gè)SSID時(shí)，使用自帶的設(shè)備需要輸入賬號(hào)進(jìn)行認(rèn)證，而使用學(xué)校的iPad則無(wú)需認(rèn)證；Aruba基于MAC+Portal的雙因素認(rèn)證實(shí)現(xiàn)了該功能，事先將iPad的MAC填入ClearPass的靜態(tài)主機(jī)列表，iPad在連接時(shí)，會(huì)首先通過(guò)MAC認(rèn)證而接入網(wǎng)絡(luò)，無(wú)需再次彈出Portal認(rèn)證，并且該設(shè)備不受接入時(shí)間和地點(diǎn)的控制，所有時(shí)間段均可上網(wǎng)；而使用學(xué)生自帶的設(shè)備時(shí)，會(huì)直接彈出Portal，并且受接入時(shí)間段控制。

對(duì)教室APPLE TV的嚴(yán)格控制

北師大二附中各班級(jí)在上課時(shí)均使用APPLE TV進(jìn)行投影，由于APPLE TV自身的技術(shù)限制，原來(lái)在使用胖AP時(shí)，每個(gè)班級(jí)的AP需要規(guī)劃不同的SSID，并且指定到不同的VLAN，才能實(shí)現(xiàn)連入本班AP的用戶只能搜索到本班的APPLE TV，這種方式顯然是非常麻煩的。Aruba獨(dú)有的AirGroup功能，可以讓APPLE TV跨3層發(fā)現(xiàn)，也可以組播轉(zhuǎn)單播，減小網(wǎng)絡(luò)開(kāi)銷(xiāo)，還可以根據(jù)防火墻功專門(mén)將某一個(gè)APPLE TV共享給某一個(gè)人或某一組人，提高訪問(wèn)的安全策略控制。

“Aruba ClearPass+無(wú)線控制器”提供了強(qiáng)大的AirGroup功能，可以在ClearPass設(shè)置靈活的APPLE TV共享策略，本次設(shè)置了基于位置來(lái)共享APPLE TV，即連入該班級(jí)的用戶只能搜索到該班級(jí)的APPLE TV，這樣該班級(jí)的APPLE TV就不會(huì)被其他地方的人搜索到，預(yù)防了 APPLE TV被濫用的可能性。

對(duì)教師的無(wú)感知認(rèn)證

由于使用Portal認(rèn)證時(shí)，每次都需要無(wú)線用戶在認(rèn)證頁(yè)面上手工填寫(xiě)用戶名和密碼。因此，無(wú)線用戶在上網(wǎng)過(guò)程中，由于在線狀態(tài)超時(shí)或者用戶主動(dòng)離線等因素，經(jīng)常需要重復(fù)填寫(xiě)帳號(hào)和密碼，才能完成再次認(rèn)證的過(guò)程，這大大降低了用戶體驗(yàn)。
? Aruba ClearPass無(wú)感知認(rèn)證實(shí)現(xiàn)了在Poral認(rèn)證后自動(dòng)基于MAC地址的緩存功能，自動(dòng)登記了該用戶名對(duì)應(yīng)的設(shè)備（MAC地址）列表，使無(wú)線用戶既獲得MAC無(wú)感知認(rèn)證的便利性，又解決了MAC認(rèn)證的可管理性問(wèn)題。
? 設(shè)置每個(gè)用戶帳號(hào)可以綁定的MAC地址數(shù)量，在連接教師SSID登陸時(shí)，只可以使用自己的用戶名登陸幾個(gè)個(gè)終端，超過(guò)限定數(shù)量時(shí)不能再登陸，以避免帳號(hào)的濫用；
? 為了提高網(wǎng)絡(luò)安全性，ClearPass上設(shè)置每次MAC地址緩存后可以進(jìn)行MAC無(wú)感知認(rèn)證，從而實(shí)現(xiàn)對(duì)MAC地址與用戶帳號(hào)綁定關(guān)系的周期性確認(rèn)。

對(duì)訪客的賬號(hào)自助注冊(cè)

北師大二附中由于經(jīng)常會(huì)有其他學(xué)校的師生來(lái)參觀學(xué)習(xí)，訪客流量和流動(dòng)性都很大，因此，為了減輕網(wǎng)絡(luò)管理的負(fù)擔(dān)，采用ClearPass訪客自助注冊(cè)功能來(lái)實(shí)現(xiàn)訪客上網(wǎng)帳號(hào)的管理。訪客來(lái)到學(xué)校連接訪客SSID后，通過(guò)訪問(wèn)自助注冊(cè)頁(yè)面，并填寫(xiě)相關(guān)信息，可以自助生成顧客帳號(hào)，訪客帳號(hào)的有效期預(yù)先設(shè)定了兩種，一種為長(zhǎng)期有效，供在學(xué)校進(jìn)修的外校老師使用，