高中部部署 451 个无线网络点,其中高密度 AP:245 个,普通 AP:206 个;初中部部署 208 个无线网络点,其中高密度 AP:135 个,普通 AP:73 个;将采用混合组网的方式先对无线网络相关设备进行汇聚,再通过汇聚交换机接入核心交换机,与计算机网络系统共用核心交换机、防火墙、入侵检测和出口路由器,保障 WIFI 网的安全和网络稳定。WIFI 网采用双核心设计,通过旁挂无线控制器对全网无线 AP 进行控制,出口侧与外部网络相连。
根据每栋建筑特点,无线终端数量等进行无线网规划,每层弱 电间部署 POE 无线网接入交换机,为 AP 进行供电及数据回传。
无线网络需求统计表略,详见附件。
1、无线网络设计原则
本项目,覆盖范围广、AP 数量多,WLAN 信道规划的好坏,将影响到各区域无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也将影响到无线网络的用户上网。
1、频点划分
为保证信道之间不相互干扰,各区域无线网对 WLAN 信道进行统一规划并实施。此次 WLAN 系统设计拟应用两个频段:2.4GHz 和 5.0GHz。2.4G 频段具体频率范围为 2.4~2.4835GHz 的连续频谱,信道编号 1~14,非重叠信道共有三个,选取 1、6、11 这三个非重叠信道。5.0G 频段分配的频谱并不连续,主要有两段:5.15~5.35GHz、5.725GHz~5.85GHz。不重叠信道在 5.15~5.35GHz 频段有 8 个,分别为 36、40、44、48、52、56、60、64;在 5.725GHz~5.85GHz 频段有 4 个,分别为 149、153、157、161,根据实际部署情况,选择相应的非重叠信道。
2、信道覆盖
WLAN 信道规划需遵循两个原则:蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、可以选择 2.4G/5G 单频或双频覆盖。AP 交替使用 2.4G 的 1、6、11 信道及 5.8G 的信道,避免信号相互干扰;此次项目都采用双频 AP,可以启用双频进行覆盖,以便提供更好的接入能力。
3、漫游规划
为保证校园网络的使用体验,需要无线网络保证良好的漫游效果,漫游是指用户在部署了 WLAN 网络的场所移动时,用户终端可以从一个 AP 的覆盖范围移动到另一个 AP 的覆盖范围,用户无需重新登录和认证,即“一次认证,多次有效;一地认证,多地有效”可以有效的保证用户在同一栋大楼上无线信号的漫游切换。同时也提供三层漫游功能,保证用户进行跨区域、跨网段的漫游
2、场景化无线覆盖设计
2.1 教室办公场景覆盖
此类场景属于学校内常见场景,比如普通教室、开阔办公室、会议室、实验室等。这类区域师生人数较多,环境相对开阔且面积较大;无线不仅要承载师生办公业务、同时学生还会使用无线访问流媒体、下载文件等,对无线设备的性能提出了较高要求。因此,在此类环境中使用支持 802.11 ac Wave2 协议的吸顶式 AP。既满足此类环境对无线性能的要求,满足老师、学生、访客的日常上网需求。
2.2 室外区域覆盖
室外环境恶劣,部署的设备经常被风吹雨晒,要求室外设备必须有较高强度、防水防雷防尘、安装维护简单等。推荐在学校操场等室外区域使用室外专用 AP 进行无线覆盖,专业级防护能力,支持全封闭防水、防潮、防尘以及防火、防晒,在极端恶劣的室外环境中仍可正常使用,可有效避免室外恶劣天气和环境影响。
3、无线网络认证设计
无线网络解决方案可以提供多种认证方式,例如安全性较高的 802.1X、CA 证书、Portal Web 认证,以及方便外部人员使用的微信认证、短信认证、APP/邮箱认证、二维码审核认证等方式。对于实际使用的认证方式,可根据具体情况选择使用。
例如对于校园老师以及内部员工来说,推荐使用 802.1X 认证、Portal 账号密码认证等,登录的账号可以为教师姓名、手机号、工号等具有唯一性信息,实现一人一账号自行登录;对于来访人员,推荐使用微信认证、短信认证、二维码认证等认证方式,方便快捷。对于教学设备接入网络可以视情况而定,例如电子书包的平板电脑可以使用 WEB 账号密码认证,也可以使 PSK+MAC 地址白名单认证。
另一方面,学校经常会有外部人员来访,例如上级领导视察工作、家长会议、对外开放参观、社会组织活动等,这部分人员经常有手机端和电脑端无线上网的需求。在无线校园网络设计的时候,针对外部人员,需要充分考虑访客无线接入的便利性以及安全性。例如外来人员重复询问 WI-FI 密码无疑会增加 IT 运维工作的繁琐性,而且影响无线体验感。因此,外部人员认证需要充分考虑用户体验。推荐可以使用微信、短信、二维码认证等方式认证。
3.1 802.1X 认证
802.1x 认证方式在无线接入设备的射频端口这一级对所接入的无线用户进行认证和控制。连接在射频接口上的无线用户设备如果能通过认证,就可以连接无线网络并访问网络中的资源;如果不能通过认证,则无法连接无线网络和访问网络中的资源。
对于学校内部教职工,推荐采用 802.1x 认证,接入时即需要认证。终端可采用安全证书、用户名口令作为接入网络的凭据,认证通过的用户才允许接入网络。802.1x 在用户终端设备上配置极其复杂,增加大量 IT 配置工作量,针对这个技术痛点,采用企业级认证的自动配置工具,终端用户无须管理员协助,通过开放性 wlan 下载自动配置工具,一键安装即可轻松接入网络,既安全又便捷。
3.2 PORTAL 账号密码认证
对于一般的场景,也推荐采用 Portal 账号密码认证,学校教职工接入时即需要认证,登录的账号可以为姓名、手机号、工号等具有唯一性信息,实现一人一账号自行登录。相比于 802.1X 认证,PORTAL 认证不需要在用户终端安装客户端,更加便捷。
3.3 外部服务器对接认证
学校也可以采用关联外置认证数据库的方式进行认证,兼容的第三方的认证服务器有:Radius 服务器、Portal 服务器、LDAP 服务器、微软 AD 域、数据库(Oracle、Ms-sql(SQL Server)、mySQL)、AS 服务器。
例如学校的人事部门常把本单位职工的基本情况(职工号、姓名、年龄、性别、籍贯、工资、简历等)存放在数据库中,对接数据库做无线认证可以免除额外建立账号的工作。对接学校的人员信息数据库,读取数据库中的员工工号作为上网账号,实现认证。
3.4 MAC 地址认证
对于某些不方便使用账号密码认证的终端,MAC 地址认证是一种很好的选择,这是基于无线终端 MAC 地址的网络访问权限进行控制的认证方法,不需要在终端上安装任何客户端软件,也不需要手动输入用户名或者密码。设备在首次检测到用户的 MAC 地址以后,即启动对该用户的认证操作。配合 MAC 地址黑白名单,规定只有护理终端可以接入无线,其他均为非法设备,保障网络安全。例如在电子书包场景推荐使用 MAC 白名单地址认证。
3.5 二维码认证
学校访客人员可以通过二维码名片认证,来访连接 wifi 时手机会弹出二维码,学校工作人员对来访人员通过微信、QQ 等方式扫一下访客二维码,即可对其通过无线审核。同时,可以指定访客使用无线时长,并实现上网行为审计。
3.6 问卷调查认证
通过满意度调查认证(问卷调查认证),以无线网络认证作为问卷调查或满意度调查的信息收集渠道,不但满足无线网络使用需要,而且使得信息收集更加便捷高效。学校可以设置只有当用户问卷调查完成时才能使用免费的外网无线,相比于传统的纸质问卷,统计更便捷亲民、数据来源更加可靠科学。通过数据统计功能,还可以帮助管理者快速了解问卷整体情况,包括浏览量、填写率、总体满意率、终端类型、性别比例、推送趋势等等。
4、无线网络安全设计
4.1 上网行为管理
如今互联网上的海量教育教学资源和不断更新的教育资讯及教育研究成果,为教师的教学工作带来了很大帮助,学生也非常乐于使用信息化的教学方式。这直接提高了学生的学习兴趣、教师的教学质量和效率。
然而另一方面,教师非工作原因上网的现象也比较普遍,比如非工作需要的聊天,工作时间玩在线游戏,炒股,看电影,网上购物,bt 下载等等。这些不仅影响自己的工作质量和效率,同时也会占用大量带宽,造成网络资源的浪费,从而影响他人正常工作。而教师学生浏览与工作学习无关的网站还有可能遭到病毒及网上攻击,从而为校园网络的安全带来隐患。
那么如何让学生和教师合理的使用网络呢?单纯靠教育引导和使用者的自觉性可能收效甚微,应当考虑如何在网络中增加上网行为管理功能。
在本次无线设计中,拟使用全方面的网络安全方案,通过网络控制器内置的应用识别库,可以精准识别网络主流应用。全面的应用识别也帮助 IT 管理员透彻了解网络应用现状和用户行为,保障管理效果,满足网监要求,符合《互联网安全保护技术措施规定》、《公共场所无线上网安全管理系统》系列标准等相关要求。
除了应用识别功能,无线安全设计还应当注重 URL 的精确识别,通过网络控制器内置的 URL 分类库,能精确识别,有效过滤网页,保护学校网络安全。
有了精确的识别功能,配合丰富灵活的控制策略,即可可针对不同的用户、不同的接入位置、不同的时间段等条件进行人员的上网访问权限控制,通过基于应用层的访问控制,灵活控制人员的上网权限,每一个终端都只能访问已授权访问的系统,防止非法的、未经授权的越权访问,相比于传统的基于 MAC、IP 地址、端口的 ACL 访问控制策略更精准、更强大。
4.2 上网行为审计
目前,校园网络舆论缺乏管制,看似正常的访问论坛,可能是在诽谤造谣中伤他人;看似正常的发送邮件,可能携带着内部核心资料;需要对师生以及来访访客网络行为审计,对老师以及访客的上网行为进行记录存储备案,包括用户名、IP、时间、链接、内容等,满足《公安部 82 号令》的安全要求。通过网络控制器内置行为审计的功能方案,该功能实现无需再搭配第三方审计设备,大大节省校园 IT 建设成本。
4.3 客观网络环境安全
在校园无线网络日常使用环境中,无论是在连接无线前、使用无线时还是断开无线的时候,都存在各种无线安全隐患,例如 DHCP Snooping、非法钓鱼 AP、DDos 攻击、ARP 欺骗、扫描攻击等安全隐患类型。通过自带的 WIPS 无线入侵防御系统以及 WIDS 无线入侵检测系统的双重保险,对上述常见危险攻击进行安全防护,并通过平台可视化页面直观显示网络情况,实现网络问题快速检查和定位。
5、无线运维管理设计
5.1 可视化界面管理
校园网设备繁多,日常 IT 运维管理的压力可能较大,在无线网络设计时充分考虑如何降低 IT 运维人员的运维压力。极简的网络运维方案,网络控制器自带的无线网络管理后台,借助可视化管理界面,IT 管理员不需要再担心无线网络管理问题,无线网络运行状态更加清晰,故障排除更加简便,所有的接入点 AP 运行状态一目了然,无线网络配置更改更加方便,为 IT 人员工作“减负”。通过统一无线后台即可以完成所有配置,无需记住和登陆多个管理平台,不需要记住身份认证、网络管理配置、审计数据中心、营销中心等多个管理后台账号密码,节省了运维时间。
为方便后期网络专人管理,可以支持配置多个管理员角色,灵活的、精细的控制每个管理员的管理权限,方便网络的维护管理。分为超级管理员和分权管理员,不同的普通管理员可以是不同的管理权限,可保障网络故障的快速锁定和高效运维。
5.2 移动 APP 管理
IT 人员需要履行网络管理工作,通过移动 APP 关联当前网络控制器,查看当前控制器状态、接入点状态、无线网络状态,并且可通过 APP 随时随地修改无线网络配置和进行 mac 地址绑定审批操作。同时,无线网络告警信息也可通过 APP 推送给 IT 管理人员,方便 IT 人员及时处理网络故障事件。
5.3 管理分权分级
网络控制器对所有区域无线接入点进行统一配置和管理,对无线网络的用户进行统一认证,实现分级分权的管理。每个管理员管理各自权限区域的无线 AP,可以精细到对某 AP 分组有管理权限。通过管理员分权分级,可以灵活的、精细的控制每个管理员的管理权限,方便网络的维护管理。
本系列智慧校园建设方案分享了一个中大型普通中学智慧校园的真实案例,该项目公开招标中选的价格逾三千六百万元,项目内容繁多请点击目录中的链接查看相关章节。另外本站在分享时为方便阅读删减、重构了部分内容,原始方案见系列第一篇文章分享的附件。
目 录
第一章 项目概述 1
1.1 建设内容 1
1.2 建设思路 1
第二章 建设背景 5
2.1 项目背景 5
2.2 项目依据 6
2.3 信息化现状 9
第三章 需求分析 11
3.1 政务目标分析 11
3.2 业务功能分析 12
3.3 用户角色分析 13
3.4 安全需求分析 14
3.4.1 业务保障安全需求 14
3.4.2 信息安全合规性需求 15
第四章 建设目标 18
4.1 稳步提高学校信息化办学水平,促进办学质量提升 18
4.2 探索信息技术环境下的教育教学新模式、新方法 18
4.3 为学校日常教学、教务管理工作提供高效智能管理服务支撑 18
4.4 打造便捷、高效、丰富的校园信息化服务和宣传的渠道 19
第五章 建设内容 20
5.1 建设范围 20
5.2 标准规范 20
5.2.1 行业标准规范 20
5.2.2 技术标准规范 21
5.3 总体设计 22
5.3.1 设计思路 22
5.3.2 设计原则 27
5.3.3 架构设计 29
5.3.4 技术路线 33
第六章 技术方案 44
6.1 校园数据管理平台 44
6.1.1 数据基础管理 44
6.1.2 数据资源管理 45
6.1.3 数据服务应用 47
6.2 应用支撑服务平台 48
6.2.1 基础信息管理 48
6.2.2 接入规范管理 50
6.2.3 开放应用中心 57
6.2.4 统一认证平台 57
6.2.5 视图开发平台 59
6.2.6 可视化分析平台 60
6.2.7 地理信息系统 62
6.2.8 消息支撑平台 63
6.2.9 快速开发框架 64
6.3 “教学考评管”应用 68
6.3.1 智慧教学:智慧授课系统、作业管理系统、翻转课堂系统、教育资源系统、出题组卷系统、错题管理系统、科研管理系统
6.3.2 智慧学习、英语听说教学习系统
6.3.3 智慧考试:网上阅卷系统、质量分析系统、英语听说模考系统、
6.3.4 智慧评价 132
6.3.5 智慧管理:选排课系统、校园 OA 系统、人事管理系统、教务检查系统
6.4 云平台设施 179
6.4.1 数据机房:机房建设概述、机房装修方案、机房供配电及 UPS 系统、机房新风系统、机房安防系统、机房动力环境监控系统、机房防雷接地系统、机房消防系统
6.4.2 云平台建设,指智慧校园硬件云平台基础设施,详见附件
6.5 网络设施 257
6.5.1 校园网络系统:校园网概述、有线网系统、无线网系统、网络安全系统建设
6.5.2 IP 广播系统 303
6.5.3 综合布线系统 309
6.5.4 室外管道建设 316
6.6 终端设施 328
6.6.1 教室教学多媒体系统 328
6.6.2 精品录播系统 343
6.6.3 计算机教室云桌面系统 349
6.6.4 智能班牌 354
6.6.5 智慧图书馆管理系统 362
6.6.6 校园多功能厅信息化系统 369
6.6.7 会议室信息化系统 400
6.6.8 安全防范系统:视频监控系统、校园一键紧急求助报警系统、
6.6.9 标准考场/教室云录播及远程教研巡课系统 426
6.6.10 校园一卡通系统 463
6.6.11 校园电视台 476
6.6.12 校园信息发布 LED 高清显示屏系统 481
6.6.13 考场监控中心大屏系统 492
6.6.14 光明饭堂 497
第七章 制造工艺和质量保证措施 504
7.1 质量控制措施 504
7.1.1 质量控制制度 504
7.1.2 施工阶段的质量控制 506
7.2 质量保证措施 516
7.2.1 保证工程质量的技术措施 516
7.2.2 质量保证体系 516
7.2.3 施工质量保证措施 518
7.3 质量保证流程 520
第八章 交货及安装计划和保证措施 521
8.1 交货及安装计划 521
8.2 保证措施 521
第九章 培训服务方案 522
9.1 培训目的 522
9.2 培训服务流程 522
9.3 培训方式 522
9.4 授课人员安排 523
9.5 培训内容 523
9.6 培训方案表 524
9.7 培训效果评估 524
第十章 售后服务方案 526
10.1 技术支持与服务体系 526
10.1.1 技术支持与服务原则 526
10.1.2 技术支持与服务目标 526
10.1.3 良好的合作伙伴关系 527
10.1.4 服务监督管理机制 527
10.2 售后服务团队办公地点及成员数量 527
10.3 服务范围及服务时间 527
10.3.1 服务范围 527
10.3.2 质保期内的服务时间 528
10.3.3 质保期外的服务时间 528
10.3.4 技术支持与服务流程 528
10.4 系统应急方案 529
附件一:交货及安装计划 542