智慧型校园应用场景

1.智慧型校园应用场景

1.1.场景1：如何实现在校学生通过无线上网后的终端管理？

目前的困惑：

如何实现在校学生通过无线上网后的终端管理？每年大约4000名新生入学，登记这些“学生—机器”的绑定信息，将会是一项不可完成的任务。

目前，大部分学校还没有实现学生终端的管理。原因非常简单，几千或几万台终端，单是登记与维护都是一项不可完成的任务。然而，高校却希望学生账户不被多人共享使用；实现终端接入和传输数据的安全；甚至对学生的上网行为进行监控。这些都需要一个前提条件：学生的身份信息与机器信息需要做紧密的绑定。

目前绝大部分学生和教职工都持有2台或以上的无线终端（笔记本+ 智能手机/平板电脑），也就是全校的移动终端设备将是全校师生数量的2倍。对于如此庞大的数据进行录入和管理，绝非学校IT管理部门所希望看到的。所以，很多学校目前根本没有办法实现终端的管理。

传统上，当无线网络架构设计并部署完成之后，为了使广大终端设备能够接入到无线网络，IT人员必须帮助每个人员配置其终端设备，安装必要的数字证书等等。这在学校无线网络建设过程中往往比网络设备架设和部署更加耗费IT人员的时间和精力。而且这些终端设备在后期使用过程中的维护和故障诊断及排除等等工作也全都要依赖于IT部门。

解决方案：

在Aruba的企业级无线网络整体解决方案中，我们针对这一问题提供了一套ClearPass终端设备安全策略管理系统。利用ClearPass可以构建员工终端设备自助接入配置服务系统，可以让每一名员工在不依赖IT人员协助的前提下，通过ClearPass提供的基于Web的自助服务流程自动完成其终端设备的安全配置，自动加入到学校无线网络安全架构中。

此外，ClearPass还带来一个全新的功能：自动识别不同类型的终端设备，并在终端设备的自助注册配置流程中不仅利用现有的用户数据库进行身份的预认证，而且为每台设备创建独立的安全帐号，对其进行针对性的网络接入安全策略管理。利用这一特点，我们可以精确区分同一个人员所使用的不同终端设备，并对不同的终端设备进行差异化的安全接入策略控制。这使得一个全新的网络接入概念得以在高安全性要求的网络中实现，即BYOD（Bring Your Own Device）。

使用ClearPass终端设备安全管理系统，其设备自动识别和自助注册流程不仅极大地减轻了IT工作人员部署企业无线网络安全架构的工作负担，而且通过自助注册流程自动生成每

台终端设备的安全帐号，此安全帐号自动配置到该终端设备上用于无线网络安全接入认证。完全无需本人记忆或输入。因此实际上即便用户本人也无法获得该帐号用于其它设备。更进一步保障了接入安全性。

Aruba配置：控制器(含PEF防火墙License) + ClearPass (含Onboard模块) ---- 操作简单，程序简明，原有的网络架构无需修改

传统无线厂商配置：控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高，功能分散，架构复杂，需要海量的配置工作。

1.2.场景2：如何限制无线上网后每个账户的终端数量？

目前的困惑：

如何限制无线上网后每个账户的终端数量？保证用户不能随便把账户信息泄漏出去，实现多用户共享账户上网。保证学校在学生上网费用方面的收益。

学生通过无线上网后，可用同一个账户多终端、多用户进行登录。用户可以随便把账户信息泄漏出去，影响学校在学生上网费用方面的收益。

解决方案：

与场景1同理，通过Aruba的ClearPass终端设备安全策略管理系统，利用其中Onboard模块的功能，我们能够让系统自动保存用户设备和账户的绑定信息，从而实现对用户终端数量的管理，限制同一账户所绑定终端的数量。

Aruba配置：控制器 (含PEF防火墙License) + ClearPass (含Onboard模块)

传统无线厂商配置：控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高，功能分散，架构复杂，需要海量的配置工作。

3.3.场景3：如何实现在任何移动终端中的802.1x认证安全？

目前的困惑：

传统的无线校园网中通常用Web认证方式，但是Web认证方式是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP（动态地址分配协议）对用户而言是完全裸露的，容易导致恶意攻击，而校园网一旦受攻击而瘫痪，整个网络也就没法认证了。最安全可靠的方式是采用802.1x认证。然而802.1x认证需要对终端进行复杂的配置，学校IT人员无法对每一台终端进行配置，尤其在终端数量持续暴涨的

今天，所以大部分学校并没有采用这种安全的认证方式。

解决方案：

用Aruba ClearPass Onboard功能可以自动实现802.1X配置，并预配置好所有有线、无线和VPN连接的BYOD和IT管理设备，无论它们使用的是Windows、Mac OS X、iOS 还是Android系统。

利用ClearPass Onboard，教职工只需自己简单注册安全网络接入并把自己的设备载入成为Aruba ClearPass BYOD框架的一部分。

从ClearPass Policy Manager平台集中定义和管理，用户首先会被转到访客或设备注册入网门户。然后ClearPass Onboard会自动检测设备的操作系统以及其它特性，为用户提供合适的配置包。这样就精简了实施有线、无线和VPN设置的方式，可以轻松管理独一无二的设备凭证提供和撤销的过程。无需任何IT人员对于用户终端的配置，极大的减轻了IT人员的工作量，用户自行即可配置接入无线网络。

关键特性：

•自动配置有线和无线端点的网络设置。

•为BYOD和IT管理设备配置独一无二的设备凭证。

•支持Windows、Mac OS X、iOS和Android设备。

•支持撤销具体用户设备上的独有凭证。

•利用ClearPass的分析能力识别出设备类型、制造商和型号。

Aruba配置：控制器 (含PEF防火墙License) + ClearPass (含Onboard模块)

传统无线厂商配置：控制器 + 客户端接入管理系统 (相关大量的License) ---- 系统的集成度不高，功能分散，架构复杂，需要海量的配置工作。