学校认证平台方案
 
一、方案概述
本方案基于蓝海卓越网关设备与计费认证系统，实现校园网用户统一认证、角色权限控制、业务系统分级访问的完整解决方案。方案支持后期华为、锐捷 WIFI 设备平滑接入，满足 1000 人教职工认证规模需求。
 
二、整体架构设计
2.1 网络拓扑架构

三、蓝海卓越网关部署与配置
3.1 硬件部署
推荐设备选型：
l 蓝海卓越 NE-80 系列网关：支持1000 并发用户、PPPoE/Web Portal 多种认证方式
l 蓝海卓越 NSCP-S100系列统一认证平台：内置Radius 服务器、计费引擎、用户管理、分组管理
部署位置：
l 网关串接部署于核心交换机与出口路由器之间
l 采用透明桥模式或路由模式，不改变现有网络拓扑
3.2 核心配置要点
l 在认证网关启用不同的地址池名称，在统一认证平台上配置多个用户组，每个组匹配不同的地址池名称
l 用户通过认证网关，弹出PORTAL页面实现认证，认证成功后，基于用户组权限，下发不同的地址池名称给网关
l 网关接收到地址池名称后，基于预置的地址池策略，对用户进行不同的路由策略指定，不同的用户，根据路由策略，可以实现不同的访问权限
3.3两层访问控制机制
第一层：网关层 IP + 端口控制（蓝海卓越网关实现）
n 基于用户角色下发不同的 地址池名称
n 未授权角色无法到达专业业务系统 IP
n 网关层面阻断非法访问，数据包直接丢弃
第二层：业务系统自身权限验证
n 业务系统保留原有账号密码体系
n 网关通过后仍需业务系统二次验证
n 形成双重安全防护
 
四、 API 接口
蓝海卓越认证系统开放 API 接口供三方系统调用
三方系统对接方式
1. 主动拉取模式：三方系统定时调用 API 获取日志
2. Webhook 推送模式：认证事件实时推送到指定 URL
3. Syslog 模式：网关实时发送 Syslog 日志到日志服务器
 
五、方案优势
1. ✅ 厂商中立：统一认证平台，兼容华为、锐捷等多厂商 WIFI
2. ✅ 精细化授权：基于用户组的访问控制，满足业务系统分级访问
3. ✅ 平滑扩容：从现有 800 人平滑扩展到 1000 人或更高的用户数，无需更换硬件
4. ✅ 标准 API：提供免费  API 接口，支持三方系统对接
5. ✅ 成熟稳定：蓝海卓越网关 + 计费方案已在全国上千所院校规模部署