一、項目背景

在信息迅猛發(fā)展的今天，國內(nèi)所有高校均實現(xiàn)了有線校園的建設(shè)。但隨著教學(xué)設(shè)施的完善，越來越多的便捷式計算機終端被帶進了校園，教師和學(xué)生對高校校園網(wǎng)的依賴性愈來愈高，“隨時隨地獲取信息”已成為廣大師生們的新需求。而無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，將對學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理產(chǎn)生深遠的影響，也將對學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生積極影響。 

無線局域網(wǎng)絡(luò)不僅可以覆蓋課堂、教室、宿舍、閱覽室等經(jīng)常使用網(wǎng)絡(luò)的場所，除此之外，校園的草坪、操場、學(xué)生宿舍、家屬區(qū)、教學(xué)樓更是無線網(wǎng)絡(luò)發(fā)揮功效的場所。因此，在整個校園內(nèi)，同一個設(shè)備可以在任何時候、任何地方與校園網(wǎng)絡(luò)連接，不間斷地訪問校園網(wǎng)絡(luò)資源。

同時針對學(xué)生和教職工家屬基于無線網(wǎng)絡(luò)進行寬帶運營，也是高校無線網(wǎng)絡(luò)建設(shè)中考慮的重要環(huán)節(jié)?；谛@無線網(wǎng)向不同的用戶群體提供不同的無線上網(wǎng)服務(wù)，教職工可以基于無線開展教學(xué)活動訪問某些教育網(wǎng)資源，學(xué)生和家屬可以基于無線進行付費上網(wǎng)。而傳統(tǒng)無線網(wǎng)絡(luò)的接入方式，用戶上網(wǎng)需要得知無線密碼或者不需要密碼直接接入到無線網(wǎng)絡(luò)中，不僅在安全上存在一定的隱患，網(wǎng)絡(luò)運行也不夠穩(wěn)定更不能對接入用戶進行管理控制，實際操作起來也不夠方便，使無線網(wǎng)絡(luò)的效果大打折扣。因此如何部署一套可運營、可管理、可靠高效的無線網(wǎng)絡(luò)已經(jīng)成為校園無線網(wǎng)絡(luò)建設(shè)的當(dāng)務(wù)之急。

二、需求分析

藍海卓越針對目前高校在無線認證和計費中存在的問題，推出適合高校校園的無線認證計費解決方案，該方案需要滿足以下需求：

1、支持多種認證方式，包括針對教師的AD域認證上網(wǎng)，以及針對宿舍學(xué)生和教職工家屬的靜態(tài)用戶名密碼認證上網(wǎng)；

2、支持基于不同的SSID推送不同的Portal認證頁面，面向開展教學(xué)活動的教師和上網(wǎng)沖浪的學(xué)生及教職工家屬推送不同的認證頁面；

3、支持對接學(xué)?，F(xiàn)有的管理系統(tǒng)數(shù)據(jù)庫或LDAP數(shù)據(jù)庫，教師可以直接在認證頁面輸入相關(guān)AD賬戶密碼進行認證上網(wǎng)；

4、學(xué)生和教職工家屬可以采用付費的方式上網(wǎng)，通過向高校信息中心提供相應(yīng)的證件辦理無線上網(wǎng)套餐，套餐可以按照包月/包年基于時長或者流量進行計費，并通過靜態(tài)用戶名密碼的方式認證上網(wǎng)，套餐到期后賬戶停機；

5、可以對認證頁面、認證成功頁面進行高度定制，支持多種網(wǎng)頁設(shè)計語言，以實現(xiàn)對認證頁面自由設(shè)計的需求；

6、方便管理，能夠?qū)崿F(xiàn)對接入無線網(wǎng)絡(luò)中的用戶進行上網(wǎng)時間、上傳下載速度及認證有效期等方面控制管理；

7、認證成功后可以實現(xiàn)強制跳轉(zhuǎn)至高校官網(wǎng)或其他指定網(wǎng)站，可以有效的進行宣傳和推廣；

部署方便，維護簡單，同時對整體設(shè)備需要易操作易管理，維護簡單；將來增加覆蓋范圍和用戶數(shù)量能夠方便的進行擴展升級。

三、方案詳細說明

藍海卓越結(jié)合廣泛的無線認證計費市場需求，推出藍海卓越Portal無線認證系統(tǒng)及AC、AP等無線網(wǎng)絡(luò)產(chǎn)品，最大限度的滿足現(xiàn)有無線認證計費的市場需求。通過藍海卓越Portal系列產(chǎn)品，用戶可以方便的組建無線認證網(wǎng)絡(luò)，實現(xiàn)WEB認證、認證頁面自定義等功能；通過藍海卓越計費管理系統(tǒng)，實現(xiàn)用戶管理、套餐管理等功能。

三、方案拓撲圖

藍海卓越無線認證系統(tǒng)主要由：移動終端（智能手機、平板電腦、筆記本等）、AC控制器、AP、藍海卓越Portal服務(wù)器、藍海卓越Radius服務(wù)器以及高校管理系統(tǒng)/AD域服務(wù)器組成。在整體方案中，它們充當(dāng)?shù)慕巧謩e如下：

1、移動終端：用戶使用手機、平板等移動終端設(shè)備連接到校園WLAN無線網(wǎng)絡(luò)中；

2、AP：無線接入點，實現(xiàn)一定區(qū)域內(nèi)無線信號的覆蓋；

3、AC控制器：集中控制管理所有AP設(shè)備，根據(jù)需求建立針對教師教學(xué)和學(xué)生家屬的兩個SSID；

4、藍海卓越Portal服務(wù)器：同AC設(shè)備對接，實現(xiàn)Portal認證頁面的彈出和無線認證流程，認證頁面支持任意網(wǎng)頁語言進行定制設(shè)計，針對不同的SSID推送不同的認證頁面；

5、藍海卓越計費管理服務(wù)器：負責(zé)對學(xué)生和家屬無線上網(wǎng)用戶進行開戶和套餐管理，并通過Portal認證頁面實現(xiàn)認證上網(wǎng)；

6、高校管理系統(tǒng)/AD域：采用高效現(xiàn)有的數(shù)據(jù)庫或者AD域數(shù)據(jù)庫，對接藍海卓越Portal服務(wù)器中的Radius系統(tǒng)，以便教師基于AD域賬戶通過教師SSID進行認證上網(wǎng)。

四、關(guān)鍵點：

1. AC/AP是獨立運行。

2. 所有的網(wǎng)絡(luò)連接通過三層交換機上傳到認證網(wǎng)關(guān)進行認證

3. 所有的認證需要通過校園認證平臺認證后才可上網(wǎng)

4. 學(xué)校需要進行上網(wǎng)認證

5. 學(xué)校需要進行MAC無感知認證

6. 學(xué)生上網(wǎng)需要自注冊，自助交費

7. 有可能需要給老師提供免費帳號

8. 有可能需要綁定學(xué)生卡帳號

五、校園認證的場景及流程：

1. 學(xué)生連接WIFI，彈出PORTAL頁面。

2. 學(xué)生在PORTAL頁面點擊自注冊，在校園認證平臺完成注冊和繳費，認證網(wǎng)關(guān)校園認證平臺做白名單處理，以方便用戶在未交費前可以注冊及繳費。（此場景下，校園認證平臺需要可以連接微信和支付寶的服務(wù)器）

3. 學(xué)生注冊完成后，可以在PORTAL頁面點擊按紐，進行綁定操作，即將用戶帳號和學(xué)生證號或手機號進行綁定，以便在后期認證過程中，輸入任意一種帳號即可進行認證。

4. 學(xué)生在彈出的頁面輸入帳號密碼認證，校園認證平臺，自動將該用戶的MAC地址進行記錄，與帳號綁定，并交認證結(jié)果返回給認證網(wǎng)關(guān)。

5. 學(xué)生離開網(wǎng)絡(luò)，平臺上將用戶下線，當(dāng)學(xué)生再次連接時，流控網(wǎng)關(guān)自動識別到用戶上線，與校園認證平臺聯(lián)動，使MAC無感知功能生效，自動幫助學(xué)生進行認證上網(wǎng)。

6. 如果校園網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，即AP到流控網(wǎng)關(guān)均是二層網(wǎng)絡(luò)架構(gòu)，則流控網(wǎng)關(guān)與校園認證平臺直接進行MAC無感知認證。

7. 學(xué)生帳號到期，MAC無感知失效，重新彈出認證頁面，學(xué)生通過PORTAL頁面跳轉(zhuǎn)到自助系統(tǒng)進行交費。

8. 采用流控網(wǎng)關(guān)內(nèi)置的防代理功能實現(xiàn)，防止一個用戶交費，共享給多個用戶上網(wǎng)。

六、自助開戶示意圖：