智慧校园解决方案

1、智慧校园解决方案深圳市华XX科技有限公司目录高校典型案例分析4高校无线建设背景1高校无线安全解决方案高校无线网络风险分析23高校建设无线网络成为必然的趋势为广大师生工作、学习、生活提供准确、及时、有效的信息服务促进学校与其他学校之间的信息共享实现校园对外信息服务，创新高校教学新方法优化学校教学、科研和管理水平 高校无线二、农村信息化解决方案市场需求终端电脑便携WiFi语音个人/商用/专用具备RJ45接口终端不到30%终端市场的进化移动、无线、易用、富媒体、海量应用数据语音视频定位协作互联商业移动应用的演进宽带网络和计算机学生间的协作教师的鼓励和指导中国教育现代化 三通两平台宽带网络校校通教学资

2、源班班通网络空间人人通教育资源公共服务平台教育管理信息系统平台未来的教育云教育老师主导，学生是主体，发挥学生主动性变“老师教”为“用资源教”课堂是师生互动的场所课堂是学生学会学习的场所课堂是学生合作探索的场所课堂是学与教智慧充分发展的场所未来的教育数字化校园现在昨天未来移动一卡通智能终端PassBook、NFC正在普及传统一卡通畅想移动数字校园移动一卡通现在未来基于WLAN定位的Geo-Fancing信息围栏基于位置的信息推送：报告楼有讲座！主楼外装修，请绕行！昨天电子公告栏畅想移动数字校园位置公告栏现在昨天未来点名基于WLAN定位的签到服务基于位置的考勤服务。大家究竟在上课还是在玩游戏？优秀

3、选修课的客观评价。畅想移动数字校园考勤与优秀课程评选现在昨天未来体检智能终端、穿戴设备、WLAN定位后台数据普查高校学生体质。分析学习、运动、喜好热点。监督推荐健康生活习惯。畅想移动数字校园德智体全面发展现在昨天未来一个人攻关基于社交网络、位置、移动的协作网络学习空间网络科研空间多种协作手段畅想移动数字校园学习、科研协作体育系手机拍摄媒体系剪辑编辑医学系分析研究联合研究报告畅想移动数字校园学习、科研协作现在昨天未来传统教学、科研网络教学空间延伸的教案延伸的教室延伸的图书馆延伸的学校畅想移动数字校园自学习配合自服务和学生入校系统，实现学生一卡通账户与自带设备的绑定。接入认证EAP交互WPA2-P

4、EAPRadius策略中心重定向策略用户注册判断未注册完成注册重认证无感知上线用户策略数据访问用户注册判断注册IT自服务-BYOD/BYOC注册与管理教学楼科技文献阅览室科技文献阅览室认证/策略/Portal图书馆区域：一卡通ID认证分配阅览室网段IP地址下发阅览室统一策略教学楼区域：Portal上预约阅览室坐席、时间预约成功，告知时间一卡通ID认证分配阅览室网段IP地址下发阅览室统一策略IT自服务-数字图书馆高校典型案例分析4高校无线建设背景1高校无线安全解决方案高校无线网络风险分析23非法用户获得AC、AP、交换机等WLAN系统设备地址后，将终端设置为相同地址段IP，实现免费上网WLAN

5、AC对外访问策略控制不严格，DNS端口可被利用实现免费上网WLAN设备管理IP地址段与普通WLAN用户IP地址段未作有效隔离。AC公网地址访问策略不严格管理AC设备未采用S加密形式，账号口令明文传输被窃听设备自身存在安全漏洞、脆弱性，可被利用控制操作用户账号密码盗用网络滥用设备被利用WLAN认证计费系统与其他系统明文传送用户账号信息维护人员可以方便得到用户账号密码信息WLAN用户密码生成机制不严谨存在大量弱口令不法分子私自架设AP钓鱼盗取用户账号密码Portal易遭受网页篡改、拒绝服务攻击等安全威胁AC多采用WEB管理，易遭受DDos攻击AC针对AP的WLAN划分不严格，易遭受ARP等泛洪攻击

6、，造成网络带宽拥塞，性能瘫痪AC作为用户分配IP地址的DHCP Server，易遭受泛洪DoS攻击网络不可用高校无线网络运营风险服务器集群区域部署有无线网络，内部人员可以通过无线连接到服务器，不发分子可以通过密码破解，进入无线网络，直接访问内部数据。1服务器区域工作人员如果为了方便搭建AP，或者电脑开启AP功能，外部人员可以通过AP访问内部网络，造成数据泄露。2不法分子通过窃取密码，登录网络平台的无线网络，进入管理平台篡改网络信息，造成网络瘫痪或更严重后果。35高校无线网络风险4在教学楼、图书馆等人员密集区域容易存在钓鱼AP，上网者连接这些非法AP导致网银密码、邮件账号等被盗，给师生带来经济损

7、失。行政中心是学校行政工作人员区域，如有人私自登入该无线网络，可以窃取到行政部门的重要文件等信息。6无线网络相对开放，不法分子通过无线网络嗅探等进入网络植入木马进行破坏，更可以对无线网络进行攻击导致无线网络不可用，影响正常教学等工作。高校无线网络风险高校典型案例分析4高校无线建设背景1高校无线安全解决方案高校无线网络风险分析23终端类型接入网速关键技术第一代园区网在中心第二代园区网到楼边第三代园区网进房间专用网络设备VLAN生成树路由三层交换防火墙VPNIDS/IPS无线局域网融合通信10Mbps1990s100Mbps1995s54Mbps1000Mbps2005s1000Mbps1300M

8、bps2015s下一代园区网粘身边！移动终端普及空中接口速率提升移动应用丰富部署管理压力大安全弹性要求高万台2013年平板电脑发货量超过台式电脑！万台100Mbps11Mbps2000s1000Mbps2010s900Mbps校园网演进至何方？使用者管理者无缝覆盖？电磁干扰？施工难度？设备管理？不同距离？多种拓扑？更好用户体验！海量终端海量应用更高网速无线安全移动高低温？应用管控？应用安全？网络安全？用户管控？性能？链路质量？无缝漫游？位置追踪？终端管控？多种场景？行为管控？弹性？下一代园区网挑战解决方案性能安全无缝覆盖高可用移动灵活管理感知数字化移动化校园智能接入多业务部署认证自服务一体化安

9、全无线定位漫游切换高弹性网络集中管理高教解决方案室外图书馆宿舍楼科研办公楼教学楼统一认证AuteView数据中心园区场景环境适应强广覆盖移动性QoS回程宿舍场景高带宽环境感知多业务IT自服务教学、科研场景高带宽环境感知多业务IT自服务高密度场景系统容量组播优化组网控制高校多场景无线覆盖ISM频段网桥：楼宇间互联最高300Mbps、最远70KM高QoS保障动态频率选择、多天线收发WLAN基站+CPE：中距离接入应用场景：岗亭、摄像头等不易布线接入速率：最高百兆接入距离：最远3KM室外AP：智能终端接入无缝漫游：2/3层无缝漫游广覆盖：MRC/ML、逐包功率控制易部署：支持WBS，视距内桥接点对多

10、点点对点摄像头/岗亭/实验室5G室外园区场景大功率+天馈：楼道、楼梯无线覆盖。优势：信号好劣势：不支持定位、双频。应急灯AP：楼道不易布线区域无线覆盖。楼道放装AP：楼道及易穿透墙体无线覆盖。优势：性能好、支持定位、双频密集覆盖：多媒体教室，电子书包多媒体视频应用。面板式AP：宿舍、小办公室部署。优势：信号好、施工快，支持定位。支持智能天线全线支持802.11n802.11ac即将发布环境感知的室内无线接入多手段环境感知的室内无线接入多径空口感知统一认证AuteView集中管理AX系列ACN+1冗余配置数据中心图书馆宿舍教学楼集中认证灵活转发模式选择集中管控、统一升级集中管理控制、灵活转发模式

11、校园网APPOE交换机无线控制器运营商1计费网关运营商2SSID运营商1 SSID校园网SSID(EAP网关）运营商1运营商2校园网认证运营商2计费网关提供运营商租赁服务不同运营商广播不同SSID，独立认证计费校园网用户，学生采用一卡通账户认证、计费宿舍区多业务接入SSID办公SSID学生SSID多媒体示教802.1x-PEAPPortalMACVLAN10VLAN20VLAN30AC地址池A地址池B地址池C带宽A带宽B带宽C应用A组应用B组应用C组多业务部署单一AP多SSID采用不同认证方式单SSID广播域隔离应用独立VLAN应用独立网段QoS带宽控制多业务、多身份控制802.11eDSCP

12、Payload802.1pDSCPPayload802.11eDSCPPayloadDSCPCAPWAP 封装DSCPPayload802.1pDSCPPayload802.1pDSCPCAPWAP 封装DSCPPayload802.1pL2/L3L2/L3基于ACL的DSCP/802.1p修改 无线有线网络QoS统一映射AP空口资源预留高服务质量回程解决方案融合通信解决方案端到端QoS保障！图书馆宿舍教学楼运营商学生校园网学生校园网教师校园网图书馆校园网学生校园网教师校园网图书馆校园网认证/策略/Portal宿舍区域学生Portal教学区域学生Portal不同位置不同Portal和策略不同S

13、SID不同Portal和策略基于位置的业务门户选择MACWPA/WPA2Portal一级权限二级权限三级权限认证因子MAC认证因子ID/CA认证因子ID/CA/Ukey/业务本地访问互联网访问业务访问任意入口层次化认证接入控制MACPortal认证因子MAC认证因子ID/CA/Ukey/业务权限MACPortal认证因子MAC权限MAC有效时间先MAC后Web（Bypass)接入控制有线网络网络管理业务策略中心接入层汇聚层核心层防火墙 IDS/IPS认证无线网络网络管理无线业务策略中心无线认证CAPWAP网络管理业务策略中心接入层汇聚层核心层防火墙 IDS/IPS认证网络管理无线认证CAPWA

14、P一体化核心交换机集成无线控制器多核CPU+FPGA+ASIC高性能CAPWAP处理引擎支持DSR N+1冗余备份。统一用户认证统一安全策略统一业务策略统一网络管理集成CAPWAP引擎分布式处理，无CAPWAP瓶颈基于策略的流量转发一体化核心交换机集成防火墙、IPSAC内置DPI，深度业务识别、更安全、更智能。CUBECloud . Unify .Broadband . Evolution第三代园区补丁式组网性能不足：无线数据处理能力不足。割裂式组网安全性不足。对位置和移动应用关注不足。割裂式组网配置复杂。割裂式组网，弹性不足。第四代园区无线有线一体化组网高无线转发性能：高性能AC:多核CPU

15、+FPGA+ASIC+模块化软件集成CAPWAP引擎一体化交换机，全网无线交换线速。立体化，多维度安全无线侧：支持WAPI、WIDS、WIPS有线侧：防火墙、IPS/IDS、DPI一体化：一体化安全策略关注人和应用、更灵动、更有弹性无线有线一体化组网无线有线一体化纵深安全当前用户数最大用户数(SSID/AP)边界阀值100万并发NAT16万新建技术要点平衡信道终端数量小区边界控制监控非法AP5G优先组播优化广播域隔离地址翻译，减少地址消耗应用场景：多媒体教室，大教室和图书馆，体育馆、礼堂高密度覆盖本地课件资源一体化交换机AP电子书包无线教室电子书包互动式教学，随时提问，随时检查教学效果多媒体示

16、教丰富教学手段、更直观高密度场景无线电子教室解决方案覆盖区域基于用户数量或覆盖范围划分覆盖区域，采用定向天线进行区域覆盖通过下倾角来控制覆盖区域的面积同时部署2.4 GHz 和5 GHz 场馆高密度部署基于定向天线进行部署AP位于坐席位置下方，通过全向天线进行部署场馆高密度部署分布式部署AP位于四角，通过全向天线对中间区域进行覆盖大教室、图书馆阅览室高密度部署应用支持移动查房、检查、PACS支持移动VoIP或视频会议CUBE优势：低于50ms切换支持语音、视频等移动应用认证、加密、QoS、安全配置不丢失漫游切换SSID 教育SSID 教育SSID 教育VLAN ID用户策略PMK同步Clien

17、t二层三层的漫游切换快速安全切换用户策略切换跨网段切换二层、三层漫游切换单一空间多AP覆盖计算信号强度、配合定位系统支持被动、主动定位被动：第三方标签主动：WLAN终端未来提供XML接口人员、设备定位冗余AC控制平面用于CAPWAP隧道倒换用户状态倒换网络服务倒换Portal认证/MAC认证/802.1x认证DHCPDHCP高可靠性部署AC N+1冗余部署生产、备份AC同时在线控制平面同步数据平面倒换无线核心侧高可靠性集中管理热点1汇聚交换机ACPortal认证中心传输网SDH/MSTP/PON互联网中国电信APWIDS/WIPS热点交换机热点NAP热点交换机BRAS核心路由器AC互联网中国移

18、动WAGWLAN网络行为审计IPS漏扫上网行为管理互联网中国联通教育科研网安全保障Web攻击防护Web恶意代码防护Web非授权访问防护Web应用合规Web应用交付网页防篡改基于URL的流量控制Web应用加速多服务器负载均衡网页挂马防护WebShell防护CSRF攻击防护Cookie篡改防护网站盗链防护让Web安全交付变得简单SQL注入攻击防护XSS攻击防护Web恶意扫描防护应用层DoS防护基于URL的访问控制HTTP协议合规敏感信息泄露防护文件上传下载控制Web表单关键字过滤WAGPortal防护上网行为管理流量统计流量控制上网行为管理内容管理用户认证IP管理防火墙多出口路由/NATHA双机热备流量分析控制行为管理内容管理集中管理协议在线更新用户识别上网行为管理修复检查对网络进行全面有效的脆弱性检查 更准确更完善更迅速的漏扫技术对信息资产进行风险评估和管理 为安全隐患的加固和修复提供指导