校园网络现状
学校网络复杂,有学校方投建的公共网络、办公网络,重在提升学校信息化建设,方便教师办公和教书育人。现今大多数学校已经实现了互联网信息化,但是在管理方面存在在着诸多的问题,最为突出的就是针对用户的互联网管理。这其中涉及到带宽资源的合理分配,网络安全,实名上网,合法上网,互联网行为合法性监控等诸多问题。
身份无法实名管理
为了满足学生的上网需求,部分学校建设了校园网公共WiFi,采用WiFi密码方式上网,学生只需要输入公共的WiFi密码即可使用网络,无需任何身份信息登记均可使用网络。这就难免WiFi密码泄露给不相关人员使用,更有甚者校外不相关人员或者不法分子通过蹭网软件使用学校网络,使用学校网络的身份信息无法登记和管理。
运营商费用昂贵
运营商提供的套餐网络资源远远不能满足学生的视频、游戏、娱乐等,运营商直接购买的网络资源费用普遍较高,超出学生的实际消费水平。
网络资源无法合理应用
没有有效的带宽控制策略,内部网络的用户没有合理的进行资源的划分。教师通过网络正常教学、学生正常学习都无法得到保障,大大降低了教学和学习效率。
网络安全措施不完善
复杂的网络架构也增加了网络维护的工作量,同时内部的网络环境也出现诸如ARP攻击,共享资源访问安全性等问题,为网络安全带来了隐患。
溯源难度大
由于用户用户数量众多,而用户的互联网操作行为无法做到有效的监管和审查。一些敏感的信息和非法的互联网操作在发生以后,无法做到有效的责任追查,就会对学校的声誉造成一些不好的影响,影响了学校的正常教学。
用户信息分散
庞大的用户数为用户信息管理带了诸多的问题,需要大量的人力和时间登记,查询等。
校园网总体设计原则
稳定/安全性
做为针对用户主要的网络应用,需要满足大流量下载,在线视频,网络游戏等大数据的传送。针对不同的运营商网络都需要及时响应和达到高质量的访问效果。根据用户互联网应用的复杂性,要应对互联网上的攻击行为,同时针对内网有意或无意的攻击要到实行有效积极的安全策略。
实用性/先进性
采用先进成熟的技术和设备,满足当前业务需求,兼顾未来的业务需求。尽可能采用先进的技术、设备和材料,以适应高速的数据传输需求,使整个系统在一段时间内保持技术的先进性,并具有良好的发展潜力,以适应未来业务发展和技术升级的需要。
设计标准化
在网络系统整体设计,基于国际标准和国家颁布的有关标准,包括各种建筑、网络设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范,从而为未来的业务发展和设备增容奠定基础。
经济性/投资保护
应以较高的性能价格比建设网络,使资金的产出/投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供较高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
针对用户的用户数量巨大,有采取有效的互联网接入审计措施。保证互联网的安全和稳定,能够合理的分配互联网带宽资源。同时对用户用户的互联网接入的合法性进行有效的审计,对其互联网应用进行有效的监控,防止敏感的互联网行为,从而达到互联网访问的合理性。
网络结构及流程
组网拓扑图
单项目本地计费部署拓扑图
多项目远端集中计费拓扑图
认证流程图
网络方案特点
形象展示
终端设备连接无线WiFi信号,AC或者BAS强制推送展示画面和认证页面,提示需要认证才能上网,如图:
多种终端接入
根据学校老师或者用户的终端设备不一样,提供了多种认证方式:支持所有终端设备(手机、平板、笔记本、PC等)PORTAL认证(WEB认证);支持普通PC或者笔记本的有线和无线的PPPOE认证。
支持内网PPPOE认证接入,避免内网地址冲突,ARP欺骗。同时支持第三方RADIUS认证接入和管理,支持多点集中认证在一个RADIUS上认证管理。支持多VLAN方式的PPPoE,每个VLAN均可以启用或者不启用PPPoE认证。支持有效的防止二级路由。针对学校人数多,人流量大,内网问题大的问题,我们采取用户宿舍统一使用PPPOE拨号的方式,杜绝二级路由,绑定MAC地址,有效的防范ARP攻击。
主要应用在有点终端设备和笔记本电脑等,应用场景在学校宿舍和教师办公楼等场所。
采用电脑自带客户端拨号上网,商户随意更换电脑或者终端设备拨号即可上网,如图:
移动终端设备认证采用WEB PORTAL认证方式,如图:
便捷、灵活的无线WiFi
在公共区域无线上网是最便捷、灵活的方式。无论你是在教学楼、图书馆、体育场、还是说食堂只要有WiFi信号的区域都可以连接网络。
上网权限控制
PORTAL认证适用于所有设备认证上网(有线PORTAL认证和无线PORTAL认证)。认证网关配合AC、AP设置不同SSID绑定不同的VLAN分配不同IP,获取也是不同的上网权限,针对不同IP分配不同上网速度;同时根据不同角色设置访问权限,教师可以访问所有资源(校园网和互联网),而学生可以有针对性的访问指定部分资源等。
多种认证方式
认证方式提供了账号密码认证、短信、微信、一键认证等认证方式。
账号密码认证
通过用户统一办理的上网账号和密码通过网页认证方式上网,控制用户上网速度、上网时间等,根据用户上网账号进行计费。用户工输入手机号或者学号,做为上网账号,预先设置好上网密码,可以有效把学校用户用网和教师上网分离开来。认证如图:
认证成功后跳转至学校官方网站或者指定网站均可。如图:
短信认证
学校用户输入手机号,做为上网账号,获取验证码,验证码作为上网密码。员工企业专用SSID链接无线获取指定的IP地址段,可以有效把学校用户用网和访客用户分离开来。以便实现企业内部下发通知等。认证如图:
认证成功后跳转至学校官方网站或者指定网站均可。如图:
微信认证
微信认证主要通过关注学校微信公众账号以后获取上网资格和权限。增加学校微信粉丝用户,方便以后发放重要通知、广告通知、安全通知等。只要关注过学校微信账号粉丝无论在学校还是在其他有网络的地方都能收到学校的统一通知内容等,这是一种灵活、零成本的运作模式。
认证成功后跳转至学校官方网站或者指定网站均可。如图:
一键认证
一键认证只需要点击此按钮即可认证成功,认证成功后跳转至学校官方网站或者指定网站均可。
认证成功后跳转至学校官方网站或者指定网站均可。如图:
灵活的计费策略
支持按月、年计费、包时长和流量等方式。支持优惠模板的添加,非常适合学校无线WiFi推广、宣传等。
有效的用户管理和财务管理
用户集中管理与查询
针对学校人数多,人流量大,管理不方便等一些列的问题,ZhuoMai 计费系统采用强大的RADIUS认证管理,可以对所有用户,到期用户,在线用户进行有效的管理和查询。
财务管理
可以有效的记录和管理每天的财务明细,帮助管理者做预算和汇报工作。
数据库自动备份
目前系统支持每天定期进行自动备份,不再需要管理员进行手动的备份了,不仅简化了管理员的工作量,而且从此以后将不再为数据的安全问题而担忧了。
对接第三方数据库
支持对接第三方数据库,如:企业OA办公管理系统、票务管理系统、酒店管理系统、学校学籍管理系统、运营商BOSS系统或者计费系统、商超会员系统等
有效的日志管理
支持查看用户的上网记录,用户何时上线,何时下线均可查看。
支持与第三方日志服务器对接。
认证页面自定义和管理
管理员可以自主修改认证界面的图片、文字内容、背景颜色、链接广告或者商场入口,可以根据实际需求修改页面的样式和布局;页面基于HTML文件自定义编辑。同时支持多个认证广告页面管理和推送。
完全无人值守
支持自助注册账号、自助在线微信、支付宝充值,一键认证,自助查询以及修改密码和自助找回密码。