当前位置: 首页 > 解决方案 > 无线认证准入 > 中小学网络准入认证方案中小学网络准入认证方案

中小学网络准入认证方案

一、关于校园认证


互联网技术的飞速发展使得网络服务已涵盖到工作、生活的各个方面,多种多样的网络服务、无处不在的应用和信息交流,使得国民经济的运行、各行各业的生产和人们的生活越来越依赖于网络这个交流平台,校园网也同样如此。

校园网是教育信息化建设的基础设施 随着近年来国家对教育信息化建设投入的增加,中国校园网开始进入高速发展阶段,规模不断扩大,应用领域日益增多,而众多信息系统的建设为教学科研、实验实习、行政管理、娱乐生活提供了一个方便、快捷、稳定、安全、高效的信息交流和资源共享平台。随着网络技术的不断发展,其应用服务已经深入教学科研、行政管理及师生员工工作、学习和生活的各个方面。多种多样的网络服务及各式智能网络终端的使用,对校园网不断提出新的要求。

但是网络高速发展也带来了很多问题,主要表现在网络资源不能合理分配、非校园网用户的接入影响了正常网络秩序,以及校园网内部信息的安全等。

在当前有线网络及无线网络共存的形势下,如何选择符合校园网需求的认证系统,以满足用户使用各种智能终端,安全、便捷的享受校园网服务,是园网建设和管理必须面对和解决的重要问题。

面对这些问题,各学校都采用了用户认证接入系统,可以在一定程度上确保网络服务只能由校园网合法用户使用,从而对网络秩序的建立、资源的合理分配和网络信息的安全起到了保障作用。

随着信息化建设的不断推进,网络应用已经遍及教学科研、行政管理、师生员工学习和生活的方方面面:从学生报到后的食宿安排、每学期开学的排课选课,到教师上课安排教室、联系实验实习,教学名师网上授课、课件查询与答疑,行政单位发送、接收通知公告和办公文件、科研项目管理,到实验数据的处理和资源利用与支配,以及后勤保障等,基本涵盖了学校正常运行的所有机构和行为。

国家相关法规对网络管理的要求

根据国家网络安全管理的相关法规,互联网使用单位必须落实上网人员身份认证和日志留存等相关技术措施,并对上网内容和网上行为提供审计功能。因此,上网人员身份认证和日志留存是国家对互联网安全管理的强制规定。

有利于网络地址的规划使用

校园网为师生的教学科研、行政管理和学习生活提供网络服务及互联网资源,其中IP地址是连接网络的基本需要,相当于用户的网络身份号码。但有的用户基于各种原因,在没有得到网络管理人员许可的情况下,擅自更改自己的IP地址,造成其他用户网络中断的现象时有发生。实行认证制度,将每一位用户的用户名、口令和唯一的IP地址绑定,对于IP地址的规划、利用和避免地址资源浪费起到了重要作用。

有利于规范用户上网行为,降低网络资源浪费

由于规模和用户不断增加,为了确保校园网能够稳定、正常运行,学校每年都要投入大量经费以支付出口线路租用和网络设备的升级维护。流量数据的分析表明,生活娱乐方面的网络应用占据了较多带宽资源,使教学科研和行政管理等受到了很大影响。本着更好的实现校园网规范化管理,合理利用现有网络带宽资源和降低运行成本的目的,必须对出口总流量进行控制,将网络资源向教学、科研和行政管理倾斜,生活娱乐等方面消耗带宽资源的租赁费用由用户自行承担,在不以盈利为目地的前提下对校园网用户实行认证计费,是有效控制网络资源分配的重要手段。

常见的认证技术

目前,校园网认证计费系统主要有三种认证技术

Ø PPPoE认证

Ø Web+ Portal(网页)认证

Ø 802.1x认证

这三种认证利用不同的运行平台和技术特点在应用方面具有各自的优势,但是由于智能终端的应用广泛性,PPPoE认证和802.1x认证的方式,已经不太适用于广大中小学校园网络,目前最佳的认证方式为Web+Portal认证

Web+Portal是一种业务类型的认证,这种认证方式不需要特定的客户端软件来执行。终端设备连接到网络通过DHCP服务获得一个IP地址,登陆到指定的Portal Server认证页面进行用户名和密码认证,Portal Server得到用户信息与后台认证服务器通信验证并完成认证过程

在校园的公共场所如图书馆、体育馆、操场、会议室、道路和露天休息区域等地方,已经实现无线网络信号覆盖的区域,各类智能终端都可以通过连接校园网无线信号发起申请,登陆到指定的Portal Server认证页面进行用户名和密码认证,当认证通过后便可以进入校园网服务体系

 

二、需求定义

1. 56所小学校园网络准入认证,老师上网,学生不允许接入互联网

2. 有线无线认证统一认证,采用PORTAL认证的方式进行上网准入控制

3. 每学校单独接入互联网,教育局统一管控老师帐号

4. 后期可能采用对接管理系统的数据库进行身份认证

5. 同一个帐号,允许多个终端同时在线,超过允许在线数后,将先上的用户踢下线

6. 用户接入网络,认证后才可访问学校的内网资源和外网资源。

 

三、网络拓扑

中小学网络准入认证方案(图1)

四、方案说明:

1. 每学校采用一台流控网关设备接入互联网,互联网线路由学校直接向电信公司申请

2. 流控网关下接主交换机,学校的内网服务器,无线AC控制器及其他内网资源均通过有线方式接入主交换机

3. 主交换机上接NAC准备控制器,NAC准备设备下接POE交换机,无线AP和有线电脑之间同时在交换机上接入,混和组网,交换机上无需划分VLAN

4. 所有的用户上网均采用PORTAL认证的方式进行,同时支持帐号密码认证、手机短信认证、自注册认证和微信认证等方式

5. 统一认证准入系统,接入教育局机房,学校的NAC设备通过网络与教育局机房的统一认证准入系统对接,实现多种认证方式

6. 统一认证准入系统,与教育局的数据库系统对接,通过接口读取认证用户信息,实现用户统一管理。每认证成功一次,就将用户认证数据写入统一认证准入系统

7. 可以采用与公众号对接,实现微信认证

 

五、认证方式及说明

1、帐号密码认证

PORTAL认证,需要NAC与统一认证准入系统联动实现认证,流程为:

Ø 用户终端接入网络,自动弹出PORTAL页面

Ø 用户需要在页面输入帐号密码进行身份认证

Ø 认证成功,系统下发认证参数配置,授权用户的权限配置

Ø 用户正常访问互联网

Ø 认证成功后,通过设置MAC无感知认证方式,让用户终端接入认证,无需再次弹出PORTAL页面,实现全自动认证。提升用户上网体验。

Ø 如果用户更换了终端设备,则会重新弹出PORTAL页面,要求用户输入帐号密码进行认证。

2、方案说明

1. 每学校采用一台流控网关设备接入互联网,互联网线路由学校直接向电信公司申请

2. 流控网关下接主交换机,学校的内网服务器,无线AC控制器及其他内网资源均通过有线方式接入主交换机

3. 主交换机上接NAC准备控制器,NAC准备设备下接POE交换机,无线AP和有线电脑之间同时在交换机上接入,混和组网,交换机上无需划分VLAN

4. 所有的用户上网均采用PORTAL认证的方式进行,同时支持帐号密码认证、手机短信认证、自注册认证和微信认证等方式

5. 统一认证准入系统,接入教育局机房,学校的NAC设备通过网络与教育局机房的统一认证准入系统对接,实现多种认证方式

6. 统一认证准入系统,与教育局的数据库系统对接,通过接口读取认证用户信息,实现用户统一管理。每认证成功一次,就将用户认证数据写入统一认证准入系统

7. 可以采用与公众号对接,实现微信认证

 

3. MAC无感知认证

MAC无感知认证,与所有的认证方式进行配合使用,其基本流程如下:

Ø 用户首次认证,则统一认证准入系统将用户的MAC地址进行记录

Ø 用户再次连接网络,NAC会将接收到用户的上网请求(NAC与用户必须是在同一个二层网络),接收到后,NAC设备会把用户的MAC地址向统一认证准入系统提交认证

Ø 统一认证准入系统接收到NAC发来的认证请求,判断该用户状态为合法正常用户后,对用户进行放行操作,用户可正常上网

Ø 整个过程,用户从连入网络,到认证成功,费时约1-2秒,由于所有的认证是由NAC设备发起并完成 ,用户的上网终端不会有任何提示和PORTAL页面弹出,用户感觉是正常的上网,无需认证。但是在平台上,是可以看到用户完成了认证,能看到用户终端的在线状态。便于管理和统计

 

4. MAC绑定认证

Ø 统一认证准入系统,支持对用户的上网终端MAC地址进行绑定

Ø 用户终端绑定可以在1-99个之间,自由设定

Ø 管理员在设定了MAC绑定后,无需手动进行绑定,用户在第一次认证成功后,自动绑定

Ø 绑定的终端数满了后,系统不再自动绑定新的MAC地址,如果用户更换了上网终端,需要由管理员手动清除该用户的MAC地址,或由用户通过自助系统清除绑定的MAC,以实现新终端的MAC绑定

 

5. PORTAL页面的编辑

统一认证准入系统的PORTAL模板页面,支持多种编辑和修改方式,包括:

Ø WEB管理页面,编辑图片和文字、链接

Ø 自定义模板上传

Ø 现有模板下载后修改编辑

Ø WEB管理页面对模板进行源码编辑

Ø 支持PC模板和手机模板分开编辑,在手机和PC上展示不同的内容


中小学网络准入认证方案(图2)

中小学网络准入认证方案(图3)


地址:成都市一环路南一段12号  电话:028-86679789  手机:13980098139
Copyright © 2020-2025 成都星锐蓝海网络科技有限公司 版权所有  ICP备案号:蜀ICP备09030039号-2