智慧型校园应用场景
1.智慧型校园应用场景
1.1.场景1:如何实现在校学生通过无线上网后的终端管理?
目前的困惑:
如何实现在校学生通过无线上网后的终端管理?每年大约4000名新生入学,登记这些“学生—机器”的绑定信息,将会是一项不可完成的任务。
目前,大部分学校还没有实现学生终端的管理。原因非常简单,几千或几万台终端,单是登记与维护都是一项不可完成的任务。然而,高校却希望学生账户不被多人共享使用;实现终端接入和传输数据的安全;甚至对学生的上网行为进行监控。这些都需要一个前提条件:学生的身份信息与机器信息需要做紧密的绑定。
目前绝大部分学生和教职工都持有2台或以上的无线终端(笔记本+ 智能手机/平板电脑),也就是全校的移动终端设备将是全校师生数量的2倍。对于如此庞大的数据进行录入和管理,绝非学校IT管理部门所希望看到的。所以,很多学校目前根本没有办法实现终端的管理。
传统上,当无线网络架构设计并部署完成之后,为了使广大终端设备能够接入到无线网络,IT人员必须帮助每个人员配置其终端设备,安装必要的数字证书等等。这在学校无线网络建设过程中往往比网络设备架设和部署更加耗费IT人员的时间和精力。而且这些终端设备在后期使用过程中的维护和故障诊断及排除等等工作也全都要依赖于IT部门。
解决方案:
在Aruba的企业级无线网络整体解决方案中,我们针对这一问题提供了一套ClearPass终端设备安全策略管理系统。利用ClearPass可以构建员工终端设备自助接入配置服务系统,可以让每一名员工在不依赖IT人员协助的前提下,通过ClearPass提供的基于Web的自助服务流程自动完成其终端设备的安全配置,自动加入到学校无线网络安全架构中。
此外,ClearPass还带来一个全新的功能:自动识别不同类型的终端设备,并在终端设备的自助注册配置流程中不仅利用现有的用户数据库进行身份的预认证,而且为每台设备创建独立的安全帐号,对其进行针对性的网络接入安全策略管理。利用这一特点,我们可以精确区分同一个人员所使用的不同终端设备,并对不同的终端设备进行差异化的安全接入策略控制。这使得一个全新的网络接入概念得以在高安全性要求的网络中实现,即BYOD(Bring Your Own Device)。
使用ClearPass终端设备安全管理系统,其设备自动识别和自助注册流程不仅极大地减轻了IT工作人员部署企业无线网络安全架构的工作负担,而且通过自助注册流程自动生成每
台终端设备的安全帐号,此安全帐号自动配置到该终端设备上用于无线网络安全接入认证。完全无需本人记忆或输入。因此实际上即便用户本人也无法获得该帐号用于其它设备。更进一步保障了接入安全性。
Aruba配置:控制器(含PEF防火墙License) + ClearPass (含Onboard模块) ---- 操作简单,程序简明,原有的网络架构无需修改
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高,功能分散,架构复杂,需要海量的配置工作。
1.2.场景2:如何限制无线上网后每个账户的终端数量?
目前的困惑:
如何限制无线上网后每个账户的终端数量?保证用户不能随便把账户信息泄漏出去,实现多用户共享账户上网。保证学校在学生上网费用方面的收益。
学生通过无线上网后,可用同一个账户多终端、多用户进行登录。用户可以随便把账户信息泄漏出去,影响学校在学生上网费用方面的收益。
解决方案:
与场景1同理,通过Aruba的ClearPass终端设备安全策略管理系统,利用其中Onboard模块的功能,我们能够让系统自动保存用户设备和账户的绑定信息,从而实现对用户终端数量的管理,限制同一账户所绑定终端的数量。
Aruba配置:控制器 (含PEF防火墙License) + ClearPass (含Onboard模块)
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高,功能分散,架构复杂,需要海量的配置工作。
3.3.场景3:如何实现在任何移动终端中的802.1x认证安全?
目前的困惑:
传统的无线校园网中通常用Web认证方式,但是Web认证方式是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP(动态地址分配协议)对用户而言是完全裸露的,容易导致恶意攻击,而校园网一旦受攻击而瘫痪,整个网络也就没法认证了。最安全可靠的方式是采用802.1x认证。然而802.1x认证需要对终端进行复杂的配置,学校IT人员无法对每一台终端进行配置,尤其在终端数量持续暴涨的
今天,所以大部分学校并没有采用这种安全的认证方式。
解决方案:
用Aruba ClearPass Onboard功能可以自动实现802.1X配置,并预配置好所有有线、无线和VPN连接的BYOD和IT管理设备,无论它们使用的是Windows、Mac OS X、iOS 还是Android系统。
利用ClearPass Onboard,教职工只需自己简单注册安全网络接入并把自己的设备载入成为Aruba ClearPass BYOD框架的一部分。
从ClearPass Policy Manager平台集中定义和管理,用户首先会被转到访客或设备注册入网门户。然后ClearPass Onboard会自动检测设备的操作系统以及其它特性,为用户提供合适的配置包。这样就精简了实施有线、无线和VPN设置的方式,可以轻松管理独一无二的设备凭证提供和撤销的过程。无需任何IT人员对于用户终端的配置,极大的减轻了IT人员的工作量,用户自行即可配置接入无线网络。
关键特性:
?自动配置有线和无线端点的网络设置。
?为BYOD和IT管理设备配置独一无二的设备凭证。
?支持Windows、Mac OS X、iOS和Android设备。
?支持撤销具体用户设备上的独有凭证。
?利用ClearPass的分析能力识别出设备类型、制造商和型号。
Aruba配置:控制器 (含PEF防火墙License) + ClearPass (含Onboard模块)
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高,功能分散,架构复杂,需要海量的配置工作。
3.4.场景4:如何实现同一SSID中,对终端进行识别与差异化的策略推送?
目前的困惑:
如何实现无线网络智能化的终端角色管理?如何实现在同一SSID中,对终端进行差异化的识别与策略推送?
很多校园的网络,为了区分用户登记、区分应用,不得不把无线网络分为多个逻辑的子网,广播多个SSID,后台再把不同的SSID绑定到固网的VLAN中,架构比较复杂和死板。解决方案:
Aruba可以根据多维的因素,对终端进行基于角色的灵活安全控制与管理,包括用户的身份信息(保存在后台数据库当中)、终端的设备类型(如IOS、Android、Windows、Mac和Linux等)、相关的应用、接入网络的时间、接入网络的位置。
简单举个例子:学校希望在教学楼图书馆中,控制学生用户在周一至周五的早上8:00到晚上22:00,可以使用iPad 访问Internet的HTTP网页,而其他网络应用则不允许使用;同时,可以使用Windows Laptop访问校内资源,不允许访问Internet。Aruba可以通过控制器的用户状态防火墙功能来简单实现。
Aruba配置:控制器 (含PEF防火墙License)
传统无线厂商配置:控制器+ 客户端接入管理系统(相关大量的License),但基本还是无法实现角色管理,只是基于VLAN的概念绑定多SSID来实现部分功能。
3.5.场景5:在无线网络中如何实现防火墙功能?
目前的困惑:
目前,在很多校园无线网络当中实现防火墙保护功能,学校IT人员只能考虑在网络出口或者控制器旁部署一台防火墙来实现。对于已经进入内部的无线用户则毫无办法。
解决方案:
Aruba在无线控制器上集成了经过ICSA(国际计算机安全联盟)认证的用户状态防火墙,这个用户状态防火墙是以用户,而不仅仅是IP 地址为验证方法的,从而可以基于每个无线网络用户的身份角色定制与其他用户完全不同的安全策略、带宽策略及QoS策略,实现完全以用户为中心的、不依赖于网络参数(如VLAN、IP地址等)的用户安全策略管理。
Aruba配置:控制器 (含PEF防火墙License)
传统无线厂商配置:控制器 + 防火墙(硬件)
3.6.场景6:如何实现用户通过无线上网后上网行为的分析?
目前的困惑:
在很多校园网络当中,已经可以实现上网行为分析的功能。然而这些上网行为分析的功能一般都是通过第三方的上网行为管理设备来实现。另外,在无线网络当中,要通过这些上网行为管理设备对终端使用网络的行为进行分析,一般要求无线网络把数据的转发模式改为AP 本地转发。因为只有这样,用户的信息才能完全透传到上网行为管理的设备中去。这样一来,由于用户数据没有终结在无线控制器上,控制器再也无法对用户流量进行监控以及QoS的优化,很多对无线用户的管控功能也会随之失去。为了实现对无线用户的上网行为分析,付出的代价实在不少。
解决方案:
Aruba实现对无线用户的上网行为分析,将会是一件非常简单的事情,在Aruba 7200控制器当中,已经集成了Aruba AppRF技术,这项技术将使得控制器直接能够收集所有无线用户的上网行为,对学生上网的历史行为能够追踪并统计,从而生成报表或者通过Dashboard直接显示出来。使用Aruba AppRF技术的7200系列控制器能够深入分析第4层到第7层的流量并采取智能分析,从而识别多种新类型的应用程序并进行分类。许多Web 应用程序使用相同端口与客户端通信,通常是基于HTTP出现。Aruba AppRF技术可以解析目标地址,以识别Facebook、Twitter、Box、WebEx 以及成百上千个各种独特的应用程序。对于加密流量,7200系列移动控制器中的AppRF 技术采用启发式方法,检查流量中的模式,
从而标识或指明各种独有的通信应用程序,例如Microsoft Lync。对于不安全的URL网站,我们只需要在7200移动控制器中添加需要阻断的网址即可。在未来的版本中,Aruba AppRF功能会检测到更多类型基于国内使用的应用程序。
Aruba配置:控制器 (7200控制器,含PEF防火墙License)
传统无线厂商配置:控制器+ 第三方上网行为管理系统(硬件)---- 为了上网行为管理的精度更高,无线网络的数据转发模式需要改为本地转发,无线控制器将会丧失大量的终端管控功能,应用无法得到优化和保护。另外,网络拓扑的改变,也将带来额外的人力成本。无线网络的架构变得受限,灵活性大幅降低。
3.7.场景7:如何获取用户终端类型和操作系统的信息?
目前的困惑:
终端的类型以及相应操作系统的信息,对于学校了解与分析教职工使用终端的情况,非常有帮助。然后,校方可以根据本校设备类型的情况和分布比例,对某些系统或者设备分配特定资源,或者根据终端发展的趋势,对网络策略进行相对应的调正。
解决方案:
Aruba控制器OS可以简单的实现终端类型和操作系统的识别功能,以便对不同终端设
定不同网络策略。而其他友商则可能需要结合其他系统来提供这项功能。
Aruba配置:控制器 (含PEF防火墙License)
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License)
3.8.场景8:如何实现多厂家有线、无线网络的统一管理?
目前的困惑:
很多高校由于各种各样的原因,网络中存在着多个厂家的设备产品,包括有线交换机和胖AP、瘦AP网络等,每一套设备都需要部署自己的网管软件,费时、费力、难以统一兼顾。解决方案:
网络维护方面需要具有一个可以统一管理有线无线的网管平台,并且可以管理多家不同厂商兼容原有与未来的产品,能提供基于无线终端的历史数据,定位追踪能力。无线管理能提供详细热图,可以跟踪每个 AP 与交换机的端口连接,可以观察每个机柜的设备状态等历史数据,保证一年的历史数据作为网络的基准数据。ARUBA的AirWave无线管理套件提供了对业界绝大多数无线网络产品的支持能力。举个例,系统可以对所有的主流胖AP和Cisco瘦AP进行统一的系统和用户管理,使多厂商产品构成的无线网络成为一个综合管理、策略一致、界面统一的有机整体,同时通过内置的VisualRF模块和RAPIDs模块为用户提供可视化的无线射频分析、终端定位追踪以及无线入侵保护功能。
Aruba AirWave目前可以管理Aruba全系列产品,包括有线接入管理器2500/3500、室外MESH产品、IAP产品、RAP产品等,还能管理Cisco、Motorola的胖瘦AP产品。最重要的,AirWave还能管理有线交换机,包括Cisco、Juniper、HP等交换机产品。
Aruba配置:AirWave管理系统(支持多厂家网络设备的管控)
传统无线厂商配置:普通网管系统(网管功能单一,基本上只能管控本厂家的网络产品)
3.9.场景9:如何实现非法AP的检测、阻断与频谱分析?
目前的困惑:
随着无线WIFI设备的广泛应用,无线信号到处都是。大学尤其是宿舍安装了成百上千的
家用型AP。家用型AP发射的信号会对无线校园网架设的AP产生极大的信号干扰,同时,
家用型AP本身非常弱的认证方式与加密对于无线校园网也是极大的威胁。企图盗窃机密信息
或者造成网络中断的攻击者能够轻而易举的攻破家用型AP连接到校园网内。因此无线控制器
必须能够提供完善的无线攻击和入侵检测及保护机制,以防止恶意终端发起的各种“拒绝服务”
攻击和未经授权的非法AP入侵网络所造成的安全隐患。由于绝大部分的无线设备都没有侦测无线入侵的功能,所以当遭受到像无线DOS攻击时,网络管理员往往会误以为是无线信号受干扰或AP出现不稳定情况,导致正常用户的无线连接莫名其妙地中断,间接影响到无线网络所承载的各种业务应用的质量。
解决方案:
在Aruba无线网络解决方案中,每一个无线AP都具有多功能性,在为无线用户提供无线网络接入服务的同时,还可以作为无线攻击和入侵防范系统的探测器,对网络中可能出现的攻击和入侵行为进行实时的监测。与此同时,在整个无线网络的中心,无线控制器则采用专有的网络处理器对无线AP收集到的网络攻击信息进行分析,通过无线控制器内置的无线攻击模式库,实时检测异常的无线数据帧,当无线控制器侦测出网络中存在无线攻击时,它会记录和显示无线攻击的类型,并对无线攻击做出自动保护响应。网管人员亦可开启自动保护机制,阻止无线终端通过非法AP连接到网内或者被诱骗到假冒AP上。这些非法的无线连接会被周边最接近的AP所发出的802.11 De-Auth包所切断。802.11 De-Auth包会不停地发出直到在线的无线终端的无线连接被打断为止。
此外,Aruba无线系统支持频谱分析功能,可以根据实时无线电波扫描结果对现场无线电环境作出实时分析。并且支持无线场景重现功能,可以将实时的无线电波扫描结果记录下来并且进行回放,方便在事后对之前的无线电环境进行分析。
Aruba:控制器 (含RFP 入侵检测与频谱分析License)
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License)
3.10.场景10:如何随时随地的移动办公及移动课堂?
目前的困惑:
无线网络的移动性给我们的生活带来无比便利,
随着移动生活习惯的形成,需要在我们生活中及教
学中提供更全面的无线接入,完全的移动性。传统
的无线网络限制了我们在这方面的需求。
解决方案:
使用Aruba Networks 的Remote AP,可以
在除了学校办公室及教学楼无线接入外,上下班途
中的校车以及出差所到的酒店或者校外学者会谈时,
提供完全的移动。
校车内无线接入
XX大学以后可能会拥有校车,每天几十次的校车往返,教职员工在校车上对无线存在需求,Aruba无线网络解决方案不仅支持跨二、三层网络进行AP的零配置快速部署。而且提供独有的Remote AP部署技术,可以通过Internet将无线覆盖延伸到世界任何角落。Remote AP 可以利用Internet资源自动建立IPSec tunnel将远程的无线用户安全地连接回无线控制器所在的网络中心。从而使用户无论身在何处,均能够获得无缝的无线网络覆盖。
校车上可以使用远程无线接入点RAP3,RAP3有一个3G网卡插口,可以通过3G网络回联到学校核心机房的无线控制器,与无线控制器建立安全的IPSec隧道,并广播出和在学校内部同样的SSID,连接该SSID就等于连入内网,可以使用内网办公资源。并且RAP3还有2个以太网接口,可以连接没有无线网卡的设备,例如打印机等设备。
老师出差无线接入
出差人员可以使用RAP2,RAP2 具有两个以太网插口,可以通过家里的ADSL或小区宽带回联到学校核心机房的无线控制器,与无线控制器建立安全的IPSec隧道,并广播出和在学校内部同样的SSID,连接该SSID就等于连入内网,可以使用内网办公资源,并且学校内的安全策略也下发到远程网络。
随时随地的移动课堂
学生及老师可以通过无线网络使用智能手机或者iPad,访问相应的APP,来进行网上教学,访问相应的教学服务器及相关教学内容。
教师随时随地的查看学生答题状态
Aruba:Remote AP
传统无线厂商配置:很少有这种Remote AP,大部分不能连接3G上网卡。
3.11.场景11:如何实现无线网络访客的自助接入?
目前的困惑:
如果有访客来访,确保学校网络的安全性是重中之重,也不能占用学校IT人员的负担,最好的方式是采用自注册。
利用Aruba ClearPass服务套件Guest,学校用户可以轻松而安全地在学校内部无线架构中创建一套用户体验非常好的访客接入管理服务系统。用于为到访学校办公环境的来宾提供便利服务。该服务内容基本流程包括来宾自助注册申请网络访问,接待人邮件确认来宾申请(可选),来宾注册帐号web、Email、短信通知,来宾帐号自动失效管理、来宾使用情况历史统计等。还可以自定义所需portal页面,灵活实现来宾注册信息收集、来宾注册及登录页面客户化及广告等客户化增值功能。
在Portal认证时能够提供基于角色的帐号与MAC地址自动绑定、以及基于MAC的无感知认证功能,在MAC认证时提供基于LDAP属性的角色返回策略,并且能够基于帐号身份对可以绑定的终端数量和绑定有效期进行差异化定制。可定时重新认证,增加计费精确性。
Aruba配置:控制器+ ClearPass (含Guest模块)
传统无线厂商配置:控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高,功能分散,需要海量的配置工作。
3.12.场景12:如何实现无线网络高质量的校园语音、视频
目前的困惑:
越来越多的校园从单纯的无线数据应用转向VoWLAN以及基于无线的视频流应用,校园对WLAN服务质量(QoS)保证表现出越来越多的需求。然而语音和视频对于网络性能、延迟的高要求使得大多数无线厂商不能做出卓越的表现。
Aruba通过多种方式保障语音和视频的各种应用:Aruba保证语音业务的质量
智能识别语音流量,将语音数据包通过高优先级队列发送;WiFi语音终端;
融合终端(如软电话);
实时监测网络状态,智能优化语音会话和终端分布;
接入允许控制(CAC);
语音终端负载均衡;
提供节电措施,优化终端的待机时间;
调节DTIM(Delivery Traffic Indication Message);ARP Proxy 。
高等教育视频应用的趋势(IPTV)
无线组播技术的特点:
采用最低速率传输;
不提供差错控制(无ACK)。
Aruba对视频组播加以优化
系统资源优化
采用IGMP Snooping技术
需要的AP上发送组播流量
服务质量优化
智能识别组播流量,并通过高优先级队列发送
组播速率优化
实时监测终端速率,智能提升组播的传输速率
实时监测终端数量,智能转换组播和单播流量
Aruba配置:控制器
传统无线厂商配置:低性能的语音和视频质量
3.13.场景13:如何实现校园定位、导航服务与掌上终端
目前的困惑:
传统的无线校园网如果想实现定位与导航,需要额外的定位服务器。
解决方案:
Aruba在控制器上即可轻松实现此功能。利用校园网Portal页面上提供定位和导航服务可以充分利用无线网络内在的定位优势,丰富校园信息平台的信息发布和服务功能,提高校园信息化服务水平。
校园定位服务的实现方式:
校园Portal服务器与无线控制器进行交互,获取无线用户的实时位置信息;
校园Portal服务器根据用户位置信息创建动态网页,并推送到用户桌面。
校园定位服务对无线网络的要求:
1)无线控制器通过Location-API接口提供用户终端的RSSI参数,满足校园网精确定
位的需求
2)无线控制器通过XML-API接口提供用户终端的Location信息,满足校园网一般定
位的需求
目前,国内的上海理工大学“上理门户”校园移动信息门户平台近日登录手机系统,用户可通过“掌上”客户端参观校园实景风景、了解最新上理动态等信息。同时上线的“上理个人书架”云课程学习平台还将手机“变身”移动学习终端,师生将通过手机随时随地获取电子教材、视频公开课等课件资料。
Aruba配置:控制器
传统无线厂商配置:控制器 + 定位服务器(极高成本)