臺中市校園無線網路說明
2019/11 修正 壹、臺中市校園無線網路 SSID 表列SSID TANetRoaming eduroam tc-[學校 Domain] tc-[學校 Domain]-mac 無線協定 無 WPA2-Enterprise WPA2-Enterprise WPA2-PSK 加密方式 無 WPA2/AES WPA2/AES WPA2/AES 認證協定 Web 認證 802.1X
(PEAPv1/EAP-GTC)
802.1X
(PEAPv1/EAP-GTC) MAC address 後端認證
主機 RADIUS Server LDAP Server RADIUS/LDAP/AD
Server RADIUS Server IP 發放單
位 資網中心 IPv4 資網中心 IPv4/v6 本地端學校 本地端學校
使用對象
臨時訪客、跨區漫 遊、臺中市市立各級 學校教職員
臨時訪客、跨區漫 遊、臺中市市立各級 學校教職員
校內使用者 校內行動裝置 無線網路印表機 Chromecast Apple TV
安控方式
校內網路無存取 權,僅提供上網服務
校內網路無存取 權,僅提供上網服務
本地下車(Local Bridge Mode/Local Forward)
可存取校內網路,並 提供上網服務
本地下車(Local Bridge Mode/Local Forward)
可存取校內網路,並 提供上網服務
說明:
1. 因各校架構及設備不同,上述無線網路 SSID 並非每個學校都能全部提供。
2. TANetRoaming 及 eduroam 臺中市市立中小學教職員工可使用教育局公務帳號 及密碼後,認證通過後即可使用。
3. TANetRoaming 因使用 Web 認證 連線方式不安全,目前僅提供 HTTP、HTTPS、
FTP 及 DNS 服務使用,eduroam 可使用之服務目前暫不限制。
4. TANetRoaming 及 eduroam 兩 SSID,認證通過後因 IP 由資網中心統一分配,
因此視同校外使用者,無法存取校內的特定應用服務(如校內提供之印表機、
網路磁碟機、視訊教學及 Chromecast、Apple TV 投放應用)。
若想存取校內的特定應用服務(如校內提供之印表機、網路磁碟機、視訊教學及 Chromecast、Apple TV 投放應用),請申請無線基地台本地下車服務(Local Bridge Mode/Local Forward)。
5. 無線網路使用者對外流量會經過防火牆及不當資訊設備檢查封包,因此異常 流量及連線至不當資訊網站都會被阻擋下來。
貳、TANet 無線網路漫遊交換中心 參考:https://roamingcenter.tanet.edu.tw/
無線網路漫交換中心納入原本分別由國家高速網路中心以及資訊策進會介接 之無線網路漫遊學術單位服務和國內非營利組織及國際學術相關無線網路,並 與各個漫遊中心建立交換漫遊機制,讓所有使用 TANet 網路單位的教職員/學 生都可以持單一帳號,以跨區憑證的方式享受與所屬單位相同的上網環境;如 下圖所示
參、目前提供無線漫遊系統架構 一、Fat AP
FAT AP 架構
Internet
PS 1 PS 2 PS 3 PS 4
3 4
5
6 1
2
5
6 1
2 Cisco Nexus 7706 PSUFANSUPFABIOM
資網中心 Core Router
防火牆
A學校
防火牆
B學校 Radius Server
LDAP Server 無線網路漫遊交換中心
Radius Server
1. 無線 SSID 為 TANetRoaming(若有未改者為 tc),設定在 FAT AP 中。
2. 無線網路使用者連通無線基地台後,會先由防火牆取得 IP,使用者須開啟瀏 覽器上網,瀏覽時會先出現要求輸入帳號密碼的對話視窗,此對話視窗由防 火牆送出,使用者輸入帳號密碼資料後,防火牆會將帳號密碼資訊轉送至 Radius Server 上作帳號及密碼認證查詢。
3. 無線網路使用者取得的 IP 為 Private IP,由防火牆擔任 NAT。
4. 無線網路為不安全的不加密的連線方式。
5. 因無線使用者不僅是本市學校教職員而已,也包含 TANet 無線網路漫遊帳號。
故學校防火牆需進行控管,才不會產生外來的無線網路使用者可以輕易攻擊 學校內部的狀況。
6. 為避免無線網路 SSID 產生混淆,若學校新建置 Thin AP 系統(控制器為資網中 心提供),原校內若有發送 SSID TANetRoaming 之 FAT 無線基地台,請停用或 更改 SSID。原資網中心提供認證之 Radius Server 亦會停用提供給該校認證。
二、Zyxel Thin AP
Zyxel Thin AP 架構
Internet
PS 1 PS 2 PS 3 PS 4
3 4
5612 5612
Cisco Nexus 7706 PSUFANSUPFABIOM
資網中心 Core Router
防火牆
A學校
Radius Server LDAP Server
無線網路漫遊交換中心 Radius Server
Zyxel防火牆
防火牆
B學校 Zyxel防火牆
Zyxel 防火牆 Zyxel
控制器
Tu nn el
Tunnel
1. 每校預設發送 2 個無線 SSID: TANetRoaming 及 tc-[domain]
2. 連線使用時 IP 由學校端 Zyxel 防火牆內 DHCP 發出
3. tc-[學校 Domain]所需之後端認證系統原則上由教育局提供及維護,說明如 下:
A. 帳號密碼為「教育局公務帳號」。 B. 外校教職員生無法使用。
C. 學校需至「教育局首頁」「7.公務作業」「7-1.公務作業專區」「7-1-2.公 務帳號管理」「單位人員管理」定期維護各校校內之人員名單。
D. 若學校想使用自建之後端認證系統(RADIUS/LDAP/AD)請填寫本地下車 申請書並與資網中心網路組連絡。
4. Zyxel AP 學校建置名單
區 校名
大雅區 汝鎏國小 外埔區 鐵山國小 清水區 大楊國小 清水區 東山國小
梧棲區 中港國小 大甲區 文武國小 大安區 三光國小 龍井區 龍港國小 烏日區 五光國小 烏日區 溪尾國小 新社區 東興國小 新社區 協成國小 新社區 中和國小 新社區 福民國小 和平區 達觀國小 和平區 博愛國小 和平區 中坑國小 和平區 平等國小 和平區 烏石分校 和平區 谷關分校 霧峰區 五福國小 霧峰區 峰谷國小 霧峰區 桐林國小 霧峰區 復興國小 太平區 黃竹國小 太平區 坪廍分校 東勢區 新成國小 東勢區 石城國小 東勢區 明正國小 東勢區 石角國小 東勢區 中科國小 和平區 梨山國中小(小) 清水區 清海國中 和平區 梨山國中小(中) 清水區 甲南國小 沙鹿區 公館國小 太平區 頭汴國小 大肚區 山陽國小 東區 樂業國小 大安區 永安國小 大里區 健民國小
霧峰區 光正國小 東勢區 東華國中 北屯區 大坑國小 大甲區 德化國小 南屯區 春安國小 潭子區 新興國小 清水區 槺榔國小 大安區 海墘國小 北屯區 四張犁國小 南屯區 黎明國小
三、Aruba Thin AP
Aruba Thin AP 架構
Internet
PS 1 PS 2 PS 3 PS 4
3 4
5612 5612
Cisco Nexus 7706 PSUFANSUPFABIOM
資網中心 Core Router
Radius Server LDAP Server
無線網路漫遊交換中心 Radius Server
防火牆 學校
Aruba
控制器
Tunnel
Tunnel
防火牆 學校
Tu nn el
Tu nn el
1. 每校預設發送 2 個無線 SSID: TANetRoaming 及 eduroam,無線使用者連線後 取得的 IP 由中心 Aruba 控制器派送。因此無線使用者視同校外人士,以保障 學校內部網路的安全。
2. 若學校想使用本地下車請填寫本地下車申請書並與資網中心網路組連絡。申 請 Local Bridge Mode 本地下車後,最多可發送 TANetRoaming、eduroam、tc-[學 校 Domain] 及 tc-[學校 Domain]-mac 四個 SSID 提供不同類型的使用者使 用。
3. 自 2018/12 起 Local Bridge Mode 本地下車認證資料庫可選用由資網中心提供 之集中化 Radius 認證服務。各校資訊組長可先以公務帳號登入教育局後點選
「 10-1-8 雲端 Radius」,透過 Web 介面自行維護本地下車之帳號密碼或 MAC 認證資訊。
