Web Portal认证会把用户请求重定向到认证网页。当用户名和密码传送到Clearpass上，Clearpass通过认证源认证用户，学校采用的认证源是AD域。认证通过后，必须给用户一个适当的身份，也就是角色映射，角色映射可根据AD的OU属性进行映射。比如用户是教工（Staff）这个OU，就把用户映射到Clearpass事先创建好的Staff角色里；比如用户是学生（Student）这个OU，就映射到Student这个角色里。在Clearpass上可以根据用户属于哪个角色来赋予区别于其他角色的功能：比如允许Staff角色注册5个设备；允许Student角色注册3个设备。Clearpass不仅会将用户和用户的角色属性传递给无线控制器，还会把这些信息记录在后台数据库中，当用户通过MAC地址认证时，Clearpass也会读出这些属性值并且再次传递给无线控制器。无线控制器根据所得到的角色属性，赋予针对这个属性的访问策略。

　　Web Portal认证通过后，如果用户设备再次连入校园无线网，系统首先使用MAC地址认证，无线控制器获取用户设备的MAC，传到认证服务器Clearpass上。相比之前不灵活的MAC注册认证方式，Clearpass不仅仅可以查找数据库里是否存在这个设备的MAC地址，一方面它可以返回该MAC地址的用户和用户角色属性给无线控制器，另一方面它还可以结合其他属性值去判定用户是否能通过认证，比如判断该MAC地址的时间戳，如果离线时间超过了90天就判定认证失败，再比如可以根据设备的类型，允许手机认证通过而桌面电脑则不通过等。MAC时间戳记录值保存在Clearpass数据库中Authorization：[InsightRepository]表里，这个属性可以用作是否认证通过的判定条件。

　　Clearpass数据库里存储着各种不同类型的表，记录了诸如认证信息，时间戳信息等各种属性值，系统可以根据这些属性值的不同赋予用户不同的上网体验。

　　如果MAC认证方式失败，系统会要求返回Web Portal认证方式。学校采取了以上Web Portal认证和MAC认证双重认证方式，巧妙地结合了两者的优点，既照顾了方便快捷的用户体验，也提供了深层的个性化服务。

　　新方案充分利用和保护现有的无线设备，整个校园原有网络结构和设备基本无需改动。改造后的无线认证平台只需增加两台集群冗余模式的ClearPass认证策略服务器，同时集成学校现有用户数据库（AD）对校内无线用户执行身份验证。ClearPass认证策略服务器通过Radius协议与无线集中控制器实现认证对接，提供灵活的认证和接入控制器策略。策略服务器可以提供集中执行策略的能力，包括进行全面的设备分析和状态评估。可以根据用户角色、设备类型和终端健康程度、位置、一天中的时间段等精细设置网络接入优先级。此外，策略服务器还可以配备多种软件模块，这些模块可以提供丰富的功能，包括侦测、分析、访客接入，以及状态评估和健康检查。改造后的无线认证平台的逻辑架构如图2所示。改造后的无线认证平台的网络架构如图3所示。

　　校园无线网服务的提升

　　新的无线认证平台投入使用以来，平均每天有超过1万的无线设备在线登录，使用状况良好。

　　学生和教工不需再维护繁琐的MAC设备地址清单，只需使用自己校园唯一的用户名和密码登录即可。新的方案设计实现了无线用户的无感知认证和跨区无缝漫游，用户的具体使用步骤如下：

　　1.用户终端第一次连接无线网络时，控制器向终端推送Portal认证页面对用户进行认证，同时根据终端绑定策略（如不同身份用户分别可以注册的终端数量）对终端进行账号绑定。

　　2.在用户终端第一次连接网络的过程中，ClearPass策略服务器可以自动识别并记录终端类型。

　　3.当用户终端再次连接无线网络时，控制器与ClearPass策略服务器联动根据终端MAC地址、绑定的账号身份和终端类型等多重因素对终端进行后台认证，无线用户不需要输入任何账号，具有无感知特性。以上流程如图4所示。

　　为了提升用户体验，对于登录的在线设备系统会自动延长其有效期的天数，在有效期内，用户在该设备上不再需要进行身份验证。同时，访客可以快捷地获取经过接待人员确认批准的临时无线用户名和密码，整个过程只需要几分钟。

　　认证系统对访客和校内师生的访问权限做了划分和隔离，访客只能访问外网，不能访问内网，较之以前，极大地加强了校园网的信息安全。

　　同时，针对不同用户人群的Portal登录界面弹出不同的导航页面，做到了校园的个性化服务，由于Clearpass和校园AD的绑定，利用AD域已有的精细化分组，针对不同年级不同专业的学生和教师可以提供内容不同的无线导航页面。同时针对不同的分组提供不同的流量控制和访问权限，真正做到无线网的个性化服务。

　　新的认证系统也可以提供校园内智能终端的报失服务，如果学生丢失了智能终端，可以第一时间报失，如果该丢失的设备在校园内被他人再次登录无线网使用，就可以找到使用者。

　　在功能设计上，整个系统兼顾了用户体验和系统设备管理，系统对于超过一定天数的离线设备做自动清除，这些过期被清除的离线设备如果被再一次使用，只需要用户再重新登录验证一次就可以。这样对于访客的设备，毕业生的设备等做到了生态式的自动清除，在提升用户体验同时，也极大地提高了后台的管理工作效率。

　　在管理上，网络管理员可以实时监控整个无线网的运行，新的无线平台提供了丰富的图表和数据分析功能，如图5所示的设备型号分类和流量排名图表等。

　　由于改造后无线认证平台存有大量的用户上网行为数据，包括物理位置、时间、流量、访问列表等等，这些数据有待将来进一步的数据挖掘和数据分析，以进一步提升校园的服务和管理水平。（作者单位为苏州大学东吴商学院MBA2013春）