您的位置：首页 >公司 >

无线教育城域网如何才能可靠可管可信

来源：时间：2016-08-12

无线教育城域网如何才能可靠可管可信。

2012年3月教育部正式发布了《国家中长期教育改革和发展规划纲要 (2010-2020年)》。基础教育信息化的一个重要任务是建设教育城域网，通过教育城域网实现所有中小学互联互通，共享资料平台。当前，终端智能化对这一任务提出了新的需求。无线教育城域网是依托现有的有线教育城域网，通过在教育局部署无线控制器、在各学校部署无线AP的方式，区县下属学校都能实现随时随地的无线接入，方便师生使用教育业务资源的无线网络。本文将从三个方面重点解释可靠可管可信的无线教育城域网的要素。

实名Wi-Fi上网的重要性

想象你是一位资深人民教师，你的工作除了日常在本校教学，定期还要参加街道、区教育局的活动，进行课程教学交流、竞赛、评卷、会议等活动，长期出没在区里各所学校。那么问题就来了，如果你去到其他学校，经常需要问的一个问题是：Wi-Fi密码是什么?如果对方面露难色，那可能是因为告知你Wi-Fi即获得整个学校网络的通行证。也有情况是一些学校会有一个公共的密码，也就是说，一所学校，动辄几十乃至几百位教师，都是使用相同的密码进行登录。如果是对网络管理稍微资深一点点的学校，那么学校兼任网络/系统管理的老师会设置一个客人网络，给你一个统一密码，内网资源是无法访问的，外网访问却是匿名无法追溯的。

对于教育局的管理者来说，其首要问题是，手头不同应用系统几十套，每一套都有一组不同的用户名密码，并且由于密码策略问题可能需要定期修改，A业务系统修改了密码，B业务系统还不需要修改，C业务系统又需要修改，如斯情况，异常复杂，唯有拿一个小本本把所有凭据记录下来，这样子，安全谈何而起，用户体验又是何其糟糕。当你需要联系某个具体的老师、职员的时候，如果该老师不在你自己的手机通讯录里面，估计只能问底下人员，而下面的人只能打电话去具体某所学校的熟人了解，当然，也可以翻开整个区的教员通讯录，一个一个查。此外，对于教育局来说，提高教学质量的同时，也要预防发生各类意外情况。从网络的角度来说，当有人有意无意获取到学校的公共Wi-Fi密码，那么他只需要在无线覆盖范围内，即可使用学校网络。从心理学的角度来说，匿名会让人更有做坏事的冲动，如果有人使用学校网络进行违法活动、发表不良言论，基本无法对其进行追溯，也就无法追责，这时候根据当前中国的问责制，责任就是由领导来背了。这种事也是要极力避免的。

假如你是一位教育局的网络管理者，在当前情况下，你很有可能面对的是以下现状：区里面有众多以村、镇、社区、街道为单位的学校，其网络各自为政，既无统一连接教育网(部分地区由于校校通工程已经实现教育网连接)，更无法谈及统一的资源平台、教育平台、信息发布平台。并且由于各种原因(编制、预算、人工等等)，基本上要在基层小学配置专门的IT管理员是不现实的，多数情况下，是由学校里面的其他学科老师来兼任，热心的兼职老师也有本职工作，无法时刻到位，况且，既然是兼任，水平也无法保障。

如何打造一个拥有统一入口、具备用户精细管控、实现行为审计、全盘可视可管并且用户体验优秀、增加教学效率的网络?这里我们利用NETGEAR的SSO平台: Single Sign-On单点登录，并且实现实名认证。这是一个可管可控、用户体验优秀的教育城域网的基石。那么何为SSO，以及SSO有何特点?

SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。高度概括下来是这样的一个流程：当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录;根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。那么除了在访问应用系统的时候进行登录，还有没有更加符合使用流程，更加符合逻辑的认证流程?那就是在连接网络的时候即进行SSO认证。这主要是从用户使用网络的场景来说，使用网络的第一步必然是连接到无线网络中来(无论是笔记本电脑还是手机、平板等终端设备)，在最完美的情况下于无线认证的时候即实现SSO，其他系统皆可一次访问，无需再次输入凭据。

从上文不同教育工作者所遇到的问题来看，假如实现SSO，将为所有教师、教育工作者进行实名认证，以手机号码之类的信息为登录ID，设置初始密码，要求各人自助修改密码。如果有新加入的教育工作者，那么在入职的时候只需要申请一个新的账号即可。对于开篇提到的几个用户场景，“资深人民教师”在本校得到自己的账号密码之后，无论去到任意一个校区，皆可自动连接上网络，并且由于整个区域所有学校都是位于同一教育网中，互访资源将会无比简单，并且由于各个学校之间是以教育专线互连，其连接速度将会比因特网要快许多。对于教育局管理者来说，所有教师、工作人员实现SSO，进一步可以做到审批流程系统、邮件系统、报销系统、公告、教育资源平台等等都实现一个用户名、一个密码。由于实名制并且单点登录，结合无感知认证将会实现极高安全性。对于“网络管理者”来说，只需要在一开始批量创建账号密码，此后即可要求用户自助修改密码，由于注册了手机号码，重置密码这种日常有极大需求却又技术含量不高的操作即可完全避免，另外，由于SSO可以详细的记录用户操作日志、访问日志，从此不再需要担心问责问题。

如何打造一个基于SSO系统为基础，具备可管可控可追溯，拥有良好用户体验的网络?NETGEAR深刻的了解到当前无线教育局域网的痛点，以SSO为统一认证平台，以NETGEAR备受好评的无线设备为基础网络，打造用户体验优秀、可管可控的无线教育局域网。

校园网Wi-Fi的IP地址管理

移动互联技术的不断发展以及信息化技术的广泛应用，推动了无线校园网建设的发展和教学方式的改变。依托移动互联网，学校的教学、科研、管理和服务等各项业务变得更加快速便捷，学校师生对无线网络的倚赖程度，已经变得越来越高。很多学校充分利用移动互联、教育资源平台、电子书包、录播系统等平台，为学校、教师和学生提供了多层次的智能化服务。但与此同时，随着无线网络的应用越来越广泛，无线网络的规模也越来越大，相应的对IP地址管理提出了更高的需求。另外随着BYOD办公模式也逐渐普及，很多校园IP地址管理也面临着诸多挑战。

首先是校园网内真实IP地址不够用。实际上，无线网络覆盖在学校早已不是新鲜事儿。短短几年时间，大多数学校都可以提供Wi-Fi连接服务了，有些学校甚至实现了100%的无线网络覆盖。不过，与如火如荼的校园网建设形成鲜明对比的是，师生对学校Wi-Fi的满意度似乎并不高。获取不到IP、或获取到IP地址后上不了网等问题经常成为吐槽对象。主要原因是目前校园网IP地址都是由市教育局统一规划分配，下发到每个区县甚至每所学校的IPv4地址数量本身就非常有限，加上学校Wi-Fi网络建设完成之后，智能移动终端的接入占用掉大量校园网IP地址，使得校园网真实IP地址出现不够用的情况加剧。

其次是IP地址被非法获取。目前大部分学校无线网络没有采用接入认证或者是采用了传统的Portal认证方案，若无线网络没有启用认证，那么校园内所有的移动终端甚至学校周边的部分移动终端都可以拿到合法的IP地址接到校园网络当中;若学校无线网络采用传统的Portal认证方案，那么所有的无线客户端在没有认证之前也都可以获取到一个合法且真实有效的校园网IP地址，即使此时这个终端没有用户名密码进行身份验证，但他已经占用掉了一个合法的校园网IP，这两种情况都会给学校校园网带来极大地安全隐患。

再次是内网失守(用户非法获取到IP地址后在内网的失控)。众所周知，当无线客户端一旦非法获取到校园网的IP地址之后，极有可能对校园网带来安全隐患，特别是校园网的应用服务器进行攻击或数据篡改等，而此时如果该客户端被感染过ARP病毒，那么势必会影响整个校园网的稳定性，严重时会导致网络拥堵甚至瘫痪，影响学校日常教学的正常进行。

最后是校园网私接无线宽带路由器上网。正常情况下接台无线宽带路由器上网本是无可厚非的，但如果在校园网中未经过管理员的允许自己私接一台无线宽带路由器上网，势必会带来严重的影响，大家都知道，市面上几乎所有的无线宽带路由器的局域网口(LAN口)都默认开启了DHCP服务器功能，也就是说只要把该无线宽带路由器的LAN口接入到局域网中，那么该路由器实际上还承担了一个DHCP服务器的角色，即可以自动的为校园网内终端自动分配IP地址，造成IP地址管理混乱、DHCP服务器冲突、IP冲突/盗用等一系列管理上的问题，非常棘手;另外一种情况，可能有些用户会考虑到路由器的外网口(WAN口)接到局域网中，通过NAT转换的模式来实现局域网移动终端共享上网，但在校园网实名制认证的今天，显然也是不符合安全法规了。

因此，要解决以上四大痛点，可以部署NETGEAR公司基于Wi-Fi的准入管理平台。用户首次连接校园网WiFi的时候，会先分配一个虚拟的IP(非校园网IP)给无线终端，只有用户在注册或认证完成，且授权成功的情况下才可以获取到真正的校园网IP地址，该技术方案不需要在移动终端上安装客户端软件或APP、不依赖于终端OS类型，可完美解决校园网IP地址不够用的问题。另外，通过准入管理平台的DHCP指纹识别技术，能自动识别智能手机、平板电脑的系统指纹，可以针对于不同的设备终端分配不同的IP地址，入网终端设备操作系统汇总统计分析等。配合交换机的DAI、ISG和DHCP Snooping等技术，可以解决校园网用户私接无线宽带路由器上网的问题。

总之，校园无线网络的建设并非一蹴而就，而是项涉及无线连接技术、网络管理与安全准入的系统工程，需要智能、可靠和领先的软硬件技术支持，这一点或许可以从NETGEAR公司和普教用户的合作实践中得到参考。

云无线管理模式的优势

无线局域网系统中无线AP的管理目前主要采用两种方式：独立管理和无线控制器统一管理，大家也习惯于根据上述两种方式将AP分为胖AP(FAT AP)和瘦AP(FIT AP)。对于具有一定规模的无线局域网系统，管理人员通常会倾向于采用集中统一管理的方式，在这种情况下，管理人员在企业的数据中心内使用专门部署的系统(通常是专用的硬件设备)来管理和控制企业的无线局域网。现在随着移动互联网应用越来越普及，无线网络部署越来越广泛，无线网络的规模也越来越大，甚至开始出现城域网规模的无线网络部署，例如某些城市的公共Wi-Fi覆盖、教育无线城域网等。在这些情况下，传统的Wi-Fi网络管理方式面临很多问题。

首先从无线网络管理的时间成本上看，传统管理方式非常难于控制。胖AP独立工作的方式自然不用赘述，管理人员需要对每个AP设备分别进行配置和管理，出现故障后也需要更多的排错时间，其管理的时间成本是非常大的。即使是采用无线控制器统一管理的方式，在无线网络规模较大时，同样也需要管理人员付出更多的时间来进行维护。因此无线网络管理人员迫切的需要这些信息：无线网络的详细运行状态，包括AP的工作状态、数据统计;无线客户端的运行数据以及对应的一些统计信息;更多的实时报警信息，为研判无线网络的运行情况提供更多支持。有了这些信息，管理人员对无线网络的管理难度必将大大降低，而管理的粒度则会大大细化。

其次，无论是独立AP的工作模式还是无线控制器统一管理的模式，管理人员都需要到达设备现场才能够进行配置和管理。这种管理方式毫无灵活性可言，在出现网络故障时进行及时响应的难度也非常大。工程师经常不得不应对这样的问题，外地客户反应无线网络出现故障，而且严重影响业务正常运行，要求两小时内进行故障排除，而所有的交通方式都无法实现按时到达现场。而且工程师舟车劳顿的问题，企业管理人员关心的差旅成本问题等都是需要考虑的。如果有一种Wi-Fi管理方式可以提供简单统一的管理界面，以云的方式提供服务，而且能够方便的运行在各种终端包括手机终端上，工程师就可以随时随地的管理到无线网络，从而大大减少出差到现场的情况。

无论是采用何种无线管理方式，需要的人力基本都是和网络的规模成正比的，而人力成本是企业中最主要的成本之一，因此如何降低人力成本就成为无线网络管理的一个重要问题。对于商业连锁机构或者其他具有很多分支机构的组织来讲尤其如此。商业连锁机构无论其采用直营还是加盟方式，都具有以下共同特点：分支机构数量非常多，单个分支机构的规模通常并不大。这样的特点对应到无线网络管理中来将会是灾难性的，因为从成本上考虑，企业难于为每一个分支机构指定专门的无线网络管理人员。从这一点考虑，我们也迫切需要能够有一种一体化的管理方式对整个企业以及所有分支机构的无线网络进行统一管理，从而大大减少网络管理人员的工作量。

综上所述，传统的Wi-Fi管理方式无论从管理的时间、地点以及人力上都是存在问题的，这也是目前大型无线网络管理中最常见的几个难点。对于这些问题的解决，近年来比较好的方式是以云服务的方式提供Wi-Fi管理。

NETGEAR公司已经面向中国市场发布了第一款基于云的IT服务平台——商业云中心。这是一个软件即服务平台(SaaS)，客户可以在云端把设备管理起来，不要求客户预先安装硬件，因此提供了一种经济的方式来建立、供应和管理关键IT服务和设施。而且新的商业云中心BC2.0提供多种统计报表，管理更精细;具备多租户能力，管理更灵活;提供手机端访问能力，接入方式更多样。