华为WLAN移动办公解决方案.pptx

华为WLAN移动办公解决方案.pptx

《华为WLAN移动办公解决方案.pptx》由会员分享，可在线阅读，更多相关《华为WLAN移动办公解决方案.pptx（49页珍藏版）》请在冰豆网上搜索。

移动办公移动办公WLAN解决方案解决方案1目录目录成功案例成功案例移动办公挑战和需求分析移动办公挑战和需求分析移动办公移动办公WLANWLAN解决方案解决方案1232办公移动性的变革和发展AnytimeAnywhereAnydevice.Early90sLate90sToday网络应用EmailEmailWiredWired22GG、WiFiWiFi、VPNVPNEmailEmailApprovalApprovalInfoReleaseInfoReleaseWiFiWiFi、3G3G，4G4GEmailEmail、CRMCRM、ERPERP、UCUC、SaaSSaaSTCO综合成本低（省线缆费用75%）运维优势：

无需布线或开挖沟槽省50%易扩展优势，便于搬迁业务体验随地接入，移动性弹性满足实际带宽和用户数需求20132013年发达国家移动办公将占年发达国家移动办公将占70%70%以上以上-Source:

IDCIDC75.574.550.337.4无线相对有线的优势3随机流动随机流动蜂群式流量安全策略如何保障?

移动办公面临的挑战用户体验如何保证？

“蜂群流量”的冲击如何应对？

固定格子公司内Wi-Fi接入公司内LAN接入公司分支接入公司外Wi-Fi接入公司外3G/4G接入InternetWAN时间地点设备角色去哪里都是VIP，牛Who内部固定员工内部移动员工合作方/访客WhatdevicePC电脑公司标配机用户自带终端Where公司内公司内/外公司内/外SwitchHowVPNWhatSCMIMIMIMWLANWLANSwitchVPNWLAN自动翻译，自动部署？

4移动办公WLAN的主要需求数据中心分支分支分支云服云服务务分支l分支漫游分支漫游与高效与高效管理，员工无感知接入管理，员工无感知接入WLANWLANl分支用户在总部进行统一认证和管理分支用户在总部进行统一认证和管理l有线用户和无线用户统一认证和管理有线用户和无线用户统一认证和管理l不同角色不同终端用户获得不同的带宽分配、优先级不同角色不同终端用户获得不同的带宽分配、优先级l办公室、会议室、室外园区等场景的无线信号覆盖和规划办公室、会议室、室外园区等场景的无线信号覆盖和规划l会议室、报告厅等高密场景的网络性能和用户体验会议室、报告厅等高密场景的网络性能和用户体验l利用无线网络实现打印共享等便捷应用利用无线网络实现打印共享等便捷应用l访客和员工数据的安全隔离访客和员工数据的安全隔离l分支与总部传输数据机密性和安全性分支与总部传输数据机密性和安全性l用户上网行为溯源用户上网行为溯源l关键设备避免单点故障关键设备避免单点故障lWLANWLAN整网便捷部署整网便捷部署-lWLANWLAN故障实时诊断定位和可视化管理故障实时诊断定位和可视化管理l有线网络和无线网络融合管理有线网络和无线网络融合管理统一认证和策略管控安全保障和稳定可靠可视化便捷运维管理无线覆盖和用户体验5目录目录移动办公挑战和需求分析移动办公挑战和需求分析移动办公移动办公WLANWLAN解决方案解决方案12成功案例成功案例3移动办公整体解决方案统一认证和策略管控方案安全保障和稳定可靠方案无线覆盖和极速体验方案可视化便捷运维管理方案6移动办公WLAN整体解决方案总部AP分支AP总部APInternetAC核心交换机eSightPolicyCenter内部资源内部资源访客员工领导访客员工总部网络小微型分支网络外部网络3G/4G公共WiFi分支资源分支资源分支AP员工大中型分支网络访客AC交换机注册计费场景：

认证策略服务器推荐选择第三方深澜或城市热点AP注册流注册访客数据流员工数据流VPN隧道图示n有线无线真正融合，统一认证和策略管控n端到端安全隔离和可靠设计，使用更放心n专业网规信号按需覆盖，技术创新保证极速体验n可视化全生命周期管理，运维更便捷移动办公移动办公WLANWLAN四维一体解决方案四维一体解决方案7目录目录移动办公挑战和需求分析移动办公挑战和需求分析移动办公移动办公WLANWLAN解决方案解决方案12成功案例成功案例3移动办公整体解决方案统一认证和策略管控方案安全保障和稳定可靠方案无线覆盖和极速体验方案可视化便捷运维管理方案8AD服务器访客SSID公司配机员工SSID员工自带设备认证和策略管控-总部园区用户DHCP服务器APeSightPolicyCenterInternetn用户IP地址由用户网关统一分配，网关可选AC或有线网关n用户选择SSID接入网络，用户认证信息通过网关AC送到PolicyCenter做认证，PolicyCenter同步AD域数据并判断用户的合法权限nPolicyCenter把用户的访问策略下发到AC，AC通过CAPWAP隧道把策略进一步下发给AP，AP负责执行用户管控策略n用户认证通过后，数据报文可以选择本地转发或经过AC集中转发认证报文数据报文图例AC无线网络构建无线网络构建n总部部署AC6605或S12700随板AC，AC的IP地址通过静态手工配置或现网DHCPserver动态分配nAC配置DHCPsever为室外、室内AP分配IP地址（也可通过现网DHCPsever分配）nAP通过3层发现AC，到AC注册上线用户认证和策略管控用户认证和策略管控9认证和策略管控-分支用户出口路由器APAP访客员工交换机.核心交换机SVN移动安全网关公司总部大中型分支AP访客/员工小微型分支n大型分支用户IP地址由分支AC统一分配，小型分支用户IP由总部AC统一分配（也可选本地用户网关分配）n总部和分支用户通过各自的AC统一到总部策略中心PolicyCenter认证做认证和授权n认证通过后，大型分支用户数据报文通过本地转发或者本地AC集中转发，小分支用户数据通过本地转发或总部AC集中转发大中分支认证报文小微分支认证报文ASGVPN隧道n大中型分支的AP到分支内AC上注册上线，注册过程与总部AP注册上线过程一样n小型分支AP的IP地址由分支的出口路由器分配；AP通过VPN隧道到总部AC注册上线n微型分支（如营业厅场景），AP做普通宽带用户，AP的IP地址由运营商分配，用户的AP由总部AC分配，也可部署胖APACAC出口路由器无线网络构建无线网络构建用户认证和策略管控用户认证和策略管控注：

出差员工通过酒店或者3G/4G网络等接入公司，多采取SSLVPN接入到安全移动网关SVN做认证授权interneteSightPolicyCenterLDAPCAWAN专网10认证和策略管控-访客用户AP有线用户大中分支大中分支AC总部园区总部园区ASGGuestAPAC总部认证流nAP空口侧给予访客独立的SSID，访客部署Portal认证n访客访问任意网页时均被AC重定向到PolicyCenter的Portal服务器，返回访客认证登陆页面n点击短信获取动态密码或通过公司内部员工向前台申请访客密码n访客在页面输入用户名密码信息后，PolicyCenter的Portal服务器和Radius服务器与AC做协议交互，认证访客账户和密码信息n认证成功后，PolicyCenter向AC授予访客相应的访问权限nPolicyCenter向ASG同步上线访客的相关信息n访客访问互联网时，数据流送到抵达ASG进行上网行为管控及审计（注：

员工流量如不需要上网审计时流量可绕开ASG）n管理方面，可通过相关电子流为访客申请上网权限，通过接待人员口述给访客，或通过Email、SMS自动通知访客小型分支小型分支AP员工访客EmploeeGuest小分支认证流大中支认证流访客统一管理，简单安全访客统一管理，简单安全员工访客EmploeePolicyCenter员工访客EmploeeGuestinternetWAN11有线策略控制无线策略控制无线认证点有线认证点无线用户信息AB有线用户信息传统以设备为中心认证管理IDMACPortD15-e-07AP1IDMACPortC58-e9af-c0c2/0/2统一用户信息统一用户扩展信息统一策略控制统一认证点ABQos保证UserNameMACPortAccesstypeZ1234515-e9ac-bd071/0/0IPoEY6008758-e9af-c0cAP1PPPoETerminalLocationTimeContextLenovoWin7Security20:

50:

08TelePresenceAppleIOSPublic12:

30:

30Web认证和策略管控-有线无线融合以用户为中心的统一认证管理统一用户管理，一致体验统一用户管理，一致体验n有线用户准入认证部署在交换机，无线用户准入认证部署于AC，有线无线用户无法统一管理n园区的准出认证部署于出口网关，无法与准入认证统一，管理繁琐nPPPoE、802.1x、portal等多认证方式统一接入，认证点统一部署于核心设备（包括802.1x），利用策略联动，实现精细化管控nS12700敏捷交换机随板自带AC，实现有线无线用户统一管理nDAA功能根据目的地址做策略控制，实现准入准出认证合一传统园区网，分散认证管理繁琐传统园区网，分散认证管理繁琐12认证和策略管控-各种终端厂商B-笔记本员工组PolicyCenter123访客组AP交换机ACn访客组：

带宽3050Kbps，拒绝访问内部资源，用户间禁止通信n员工组：

带宽2Mbps，可以访问公司业务平台，允许组内用户通信，禁止组间用户通信nVIP组：

带宽3Mbps，可房内内部资源，用户间允许通信用户认证Radius下发策略至ACSWACSW执行策略n根据终端类型，认证页面自动适配，保留用户操作习惯n根据终端类型赋予不同的业务策略，如VLAN/ACL/带宽限制n同一用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度VIP组厂商A-手机厂商D-平板n支持MAC、portal、802.1x、PPPoE等多种认证方式n先MAC后portal认证，一次认证多次通行n短信动态密码：

通过短信自动发送有时效性的动态密码认证方式多种认证方式多种认证方式用户组灵活授权用户组灵活授权终端类型差异化授权终端类型差异化授权13目录目录移动办公挑战和需求分析移动办公挑战和需求分析移动办公移动办公WLANWLAN解决方案解决方案12成功案例成功案例3移动办公整体解决方案统一认证和策略管控方案安全保障和稳定可靠方案无线覆盖和极速体验方案可视化便捷运维管理方案14移动办公WLAN安全可靠方案DTLSWIDS/WIPS数据窃取无线控制器无线接入点PolicyCenter频谱分析终端类型识别Rogue设备探测nWIDS/WIPS无线攻击检测nRogue设备识别反制n非WIFI设备频谱分析网络数据安全网络数据安全nDTLS（DatagramTLS）实时加密保护，Ipsec隧道加密保护n员工与访客数据流量安全隔离n上网行为管理和安全审计SVNIPSEC网络高可靠网络高可靠nVRRP1+1热备，N+1备份n业务续航nAP内置防雷器，IP67防护等级nDyingGasp故障告警网络可靠数据安全空口安全internetWANASG无线空口安全无线空口安全15WIDS/WIPS攻击检测和防护eSight802.11报文泛洪攻击检测防暴力PSK密码破解Spoof攻击检测WeakIV攻击检测1AC丢弃攻击报文动态黑名单攻击告警上报网络可靠数据安全空口安全23无线攻击检测无线攻击检测无线攻击上报无线攻击上报动态黑名单动态黑名单n泛洪攻击检测n暴力PSK破解检测nSpoof攻击检测nWeakIV攻击检测nAP上报攻击告警至AC，AC统计攻击类型，同时通过trap告警告知网管平台nAC将攻击设备放入黑名单，AP丢弃该攻击设备的所有报文，防止对网络造成冲击16非法设备的识别和反制Ad-HocRogue终端RogueAP监听无线报文n使用RogueAPMAC地址发送假广播解除认证帧、以及单播解除认证帧，阻止无线用户和RogueAP建立链接RougeAP识别反制n使用Ad-Hoc的BSSID、MAC地址发送假