一、项目背景

在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。但随着教学设施的完善，越来越多的便捷式计算机终端被带进了校园，教师和学生对高校校园网的依赖性愈来愈高，“随时随地获取信息”已成为广大师生们的新需求。而无线校园网络的快速发展与应用，将对学校的教学模式、教学理念及教学管理产生深远的影响，也将对学校教师、学生的学习、生活方式产生积极影响。 

无线局域网络不仅可以覆盖课堂、教室、宿舍、阅览室等经常使用网络的场所，除此之外，校园的草坪、操场、学生宿舍、家属区、教学楼更是无线网络发挥功效的场所。因此，在整个校园内，同一个设备可以在任何时候、任何地方与校园网络连接，不间断地访问校园网络资源。

同时针对学生和教职工家属基于无线网络进行宽带运营，也是高校无线网络建设中考虑的重要环节。基于校园无线网向不同的用户群体提供不同的无线上网服务，教职工可以基于无线开展教学活动访问某些教育网资源，学生和家属可以基于无线进行付费上网。而传统无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园无线网络建设的当务之急。

二、需求分析

蓝海卓越针对目前高校在无线认证和计费中存在的问题，推出适合高校校园的无线认证计费解决方案，该方案需要满足以下需求：

1、支持多种认证方式，包括针对教师的AD域认证上网，以及针对宿舍学生和教职工家属的静态用户名密码认证上网；

2、支持基于不同的SSID推送不同的Portal认证页面，面向开展教学活动的教师和上网冲浪的学生及教职工家属推送不同的认证页面；

3、支持对接学校现有的管理系统数据库或LDAP数据库，教师可以直接在认证页面输入相关AD账户密码进行认证上网；

4、学生和教职工家属可以采用付费的方式上网，通过向高校信息中心提供相应的证件办理无线上网套餐，套餐可以按照包月/包年基于时长或者流量进行计费，并通过静态用户名密码的方式认证上网，套餐到期后账户停机；

5、可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；

6、方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理；

7、认证成功后可以实现强制跳转至高校官网或其他指定网站，可以有效的进行宣传和推广；

部署方便，维护简单，同时对整体设备需要易操作易管理，维护简单；将来增加覆盖范围和用户数量能够方便的进行扩展升级。

三、方案详细说明

蓝海卓越结合广泛的无线认证计费市场需求，推出蓝海卓越Portal无线认证系统及AC、AP等无线网络产品，最大限度的满足现有无线认证计费的市场需求。通过蓝海卓越Portal系列产品，用户可以方便的组建无线认证网络，实现WEB认证、认证页面自定义等功能；通过蓝海卓越计费管理系统，实现用户管理、套餐管理等功能。

三、方案拓扑图

蓝海卓越无线认证系统主要由：移动终端（智能手机、平板电脑、笔记本等）、AC控制器、AP、蓝海卓越Portal服务器、蓝海卓越Radius服务器以及高校管理系统/AD域服务器组成。在整体方案中，它们充当的角色分别如下：

1、移动终端：用户使用手机、平板等移动终端设备连接到校园WLAN无线网络中；

2、AP：无线接入点，实现一定区域内无线信号的覆盖；

3、AC控制器：集中控制管理所有AP设备，根据需求建立针对教师教学和学生家属的两个SSID；

4、蓝海卓越Portal服务器：同AC设备对接，实现Portal认证页面的弹出和无线认证流程，认证页面支持任意网页语言进行定制设计，针对不同的SSID推送不同的认证页面；

5、蓝海卓越计费管理服务器：负责对学生和家属无线上网用户进行开户和套餐管理，并通过Portal认证页面实现认证上网；

6、高校管理系统/AD域：采用高效现有的数据库或者AD域数据库，对接蓝海卓越Portal服务器中的Radius系统，以便教师基于AD域账户通过教师SSID进行认证上网。

四、关键点：

1. AC/AP是独立运行。

2. 所有的网络连接通过三层交换机上传到认证网关进行认证

3. 所有的认证需要通过校园认证平台认证后才可上网

4. 学校需要进行上网认证

5. 学校需要进行MAC无感知认证

6. 学生上网需要自注册，自助交费

7. 有可能需要给老师提供免费帐号

8. 有可能需要绑定学生卡帐号

五、校园认证的场景及流程：

1. 学生连接WIFI，弹出PORTAL页面。

2. 学生在PORTAL页面点击自注册，在校园认证平台完成注册和缴费，认证网关校园认证平台做白名单处理，以方便用户在未交费前可以注册及缴费。（此场景下，校园认证平台需要可以连接微信和支付宝的服务器）

3. 学生注册完成后，可以在PORTAL页面点击按纽，进行绑定操作，即将用户帐号和学生证号或手机号进行绑定，以便在后期认证过程中，输入任意一种帐号即可进行认证。

4. 学生在弹出的页面输入帐号密码认证，校园认证平台，自动将该用户的MAC地址进行记录，与帐号绑定，并交认证结果返回给认证网关。

5. 学生离开网络，平台上将用户下线，当学生再次连接时，流控网关自动识别到用户上线，与校园认证平台联动，使MAC无感知功能生效，自动帮助学生进行认证上网。

6. 如果校园网络是二层网络，即AP到流控网关均是二层网络架构，则流控网关与校园认证平台直接进行MAC无感知认证。

7. 学生帐号到期，MAC无感知失效，重新弹出认证页面，学生通过PORTAL页面跳转到自助系统进行交费。

8. 采用流控网关内置的防代理功能实现，防止一个用户交费，共享给多个用户上网。

六、自助开户示意图：