wlan網(wǎng)絡(luò)設(shè)計-24大型企業(yè)

Copyright

?

2013Technologies

Co.,

.s.大型企業(yè)WLAN設(shè)計前言WLAN在移動性上的天然優(yōu)勢，使得WLAN在大企業(yè)及行業(yè)網(wǎng)里得到了廣泛的應(yīng)用。本章節(jié)主要講解WLAN在企業(yè)移動辦公、行業(yè)網(wǎng)的特殊應(yīng)用場景，以及WLAN在這些領(lǐng)域應(yīng)用的一些

點。Copyright

?

2013TechnologiesCo.,.s.Page

1目標學完本課程后，您將能夠:理解BYOD的基本概念描述大型企業(yè)中WLAN的一些Copyright

?

2013TechnologiesCo.,.s.Page

2BYOD簡介大型企業(yè)WLAN概述Copyright

?

2013TechnologiesCo.,.s.Page

3BYOD簡介Bring

Your

OwnDevice（使用自帶設(shè)備辦公）據(jù)IDC統(tǒng)計：2013年外出辦公的 達到12億2013年公司移動辦公的員工比例達35%任何設(shè)備任何地方任何應(yīng)用Copyright

?

2013TechnologiesCo.,.s.Page

4企業(yè)移動應(yīng)用三階段日程管理員工查詢SMSERPSCMBI

SFA

FFA2%8%20%70%L0正在考慮部署移動業(yè)務(wù)的企業(yè)L1

OA移動化及協(xié)同部署移動OA及辦公協(xié)同的企業(yè)OA移動->業(yè)務(wù)移動->業(yè)務(wù)創(chuàng)新L2

業(yè)務(wù)移動化業(yè)務(wù)實現(xiàn)移動化的企業(yè)L3

業(yè)務(wù)創(chuàng)新利用終端特性帶來的流程優(yōu)化和革新的企業(yè)AlwaysonPortableSensingCopyright

?

2013TechnologiesCo.,.s.Page

5BYOD的主要應(yīng)用移動UC桌面云OA應(yīng)用移動化移動展業(yè)安全郵件移動UC桌面云OA應(yīng)用移動化移動展業(yè)安全郵件BYODCopyright

?

2013TechnologiesCo.,.s.Page

6大中企業(yè)中WLAN移動辦公組網(wǎng)方案三層網(wǎng)絡(luò)架構(gòu)接入層采用PoE交換機為AP供電在分布層交換機使用AC插卡組網(wǎng)或旁掛盒式AC組網(wǎng)接入層PoE交換機層交換機分布層交換機出口路由器交換機內(nèi)置AC插卡或旁掛ACCopyright

?

2013TechnologiesCo.,.s.Page

7端到端BYOD組件網(wǎng)絡(luò)終端安全交換機WLAN

AP/ACIPS/IDS路由器3G/4G蜂窩網(wǎng)絡(luò)平板智能Web

Security便攜TSM（準入控制，策略管理）MDMeSight安全瀏覽器PushmailOABPM//ERP/…MEAPeSpace

UCVDI策略管理應(yīng)用Copyright

?

2013TechnologiesCo.,.s.Page

8BYOD解決方案覆蓋應(yīng)用場景圖示InternetWANSmart

PhonePadLaptopMediaPadVDI華為自有終端安全策略終端管理數(shù)據(jù)庫/

服務(wù)CAUCVDI服務(wù)器服務(wù)器應(yīng)用及開發(fā)平臺MDM（移動設(shè)備管理）SVN網(wǎng)關(guān)企業(yè)總部APSACG企業(yè)蜂窩網(wǎng)eWBB3G/LTE公共Wi-Fi公共場合家庭辦公AP企業(yè)小分支APRouter企業(yè)分部Access

SwitchAPSACGRouterADSL野外作業(yè)應(yīng)急救護移動作業(yè)金融網(wǎng)點公共蜂窩Access

SwitchASG新建WLAN網(wǎng)絡(luò)WLAN安全性改造終端安全行業(yè)定制終端企業(yè)內(nèi)網(wǎng)接入企業(yè)接入移動分支上網(wǎng)行為管理防護移動通信桌面云OA應(yīng)用移動化移動展業(yè)安全郵件終端安全行業(yè)定制終端移動展業(yè)安全郵件桌面云OA應(yīng)用移動化7

防護8

移動

通信5

移動分支6

上網(wǎng)行為管理3

企業(yè)內(nèi)網(wǎng)接入4

企業(yè)

接入1

新建WLAN網(wǎng)絡(luò)2

WLAN安全性改造12124AR

Router56789

12Ascend14第三方終端89101112137710

企業(yè)應(yīng)用系統(tǒng)OA、ERP、

SCM…3企業(yè)AC1

2

31

21

2

334

74MEAP

第10

11

14

應(yīng)用13

1436

TSM

（策略服務(wù)器）7Copyright

?

2013TechnologiesCo.,.s.Page

9WLAN組網(wǎng)BYOD簡介大型企業(yè)WLAN組網(wǎng)WLAN

Mesh組網(wǎng)WLAN

冗余備份特性WLAN

融合型安全解決方案WLAN

射頻資源管理Copyright

?

2013TechnologiesCo.,.s.Page

10室外MAP室外MP室室外MP室外MP室外M室內(nèi)MAPAC室外MPAP零配置上線，無需人工配置MESH

AP節(jié)點不需要預先配置，上電自動發(fā)現(xiàn)MESH網(wǎng)絡(luò)，自動接入MESH網(wǎng)絡(luò)并 配置信息，即插即用。動態(tài)鏈路選擇，負載均衡根據(jù)Mesh鏈路質(zhì)量（丟包率，包長，帶寬）實現(xiàn)最優(yōu)鏈路選擇和負載均衡應(yīng)用場景不方便布線，鏈路需要備份，可靠性要求較高的場景，如倉庫、港口碼頭等。在阻礙較多或建筑布局不合理的場景，利用Mesh組網(wǎng)完成多跳組網(wǎng)以繞過

物。熱點覆蓋遠端有線網(wǎng)絡(luò)室內(nèi)覆蓋靈活Mesh組網(wǎng)Mesh網(wǎng)關(guān)MESH

AP集中管理Copyright

?

2013TechnologiesCo.,.s.Page

11WLAN組網(wǎng)BYOD簡介WLAN在行業(yè)網(wǎng)的應(yīng)用大型WLAN組網(wǎng)WLAN

Mesh組網(wǎng)WLAN

冗余備份特性WLAN

融合型安全解決方案WLAN

射頻資源管理Copyright

?

2013TechnologiesCo.,.s.Page

12CAPWAP斷鏈業(yè)務(wù)保持網(wǎng)絡(luò)用戶新用戶AP交換機AC

1

2新用戶上線AP1.CAPWAP斷鏈業(yè)務(wù)保持CAPWAP鏈路中斷后，用戶業(yè)務(wù)不中斷，數(shù)據(jù)持續(xù)轉(zhuǎn)發(fā)2.CAPWAP斷鏈新用戶上線AP無線側(cè)安全策略為開放系統(tǒng)認證、共享密鑰認證（

）和/2時，新上線用戶可接入上線。用戶數(shù)據(jù)通過本地轉(zhuǎn)發(fā)模式轉(zhuǎn)發(fā)。用戶業(yè)務(wù)不中斷應(yīng)用場景對于沒有AC備份的小型無線網(wǎng)絡(luò)，業(yè)務(wù)續(xù)航模式可保證用戶數(shù)據(jù)轉(zhuǎn)發(fā)不中斷，提升業(yè)務(wù)可靠性。Copyright

?

2013TechnologiesCo.,.s.Page

131+1熱備份(HSB+VRRP)主ACeSightPolicy

Center備ACHSB備份通道用戶用戶12接入交換機APHSB業(yè)務(wù)實時備份用戶數(shù)據(jù)信息備份CAPWAP隧道信息備份AP表項備份1+1熱備切換檢測①AC整機檢測②AC上行鏈路檢測（BFD）VRRP熱備機制AC地址虛擬：面向AP,主備AC使用VRRP協(xié)議虛擬出一個AC地址上行鏈路 支持BFD+VRRP下行鏈路使用MSTP

環(huán)路Copyright

?

2013TechnologiesCo.,.s.Page

14WLAN組網(wǎng)BYOD簡介WLAN在行業(yè)網(wǎng)的應(yīng)用大型WLAN組網(wǎng)WLAN

Mesh組網(wǎng)WLAN

冗余備份特性WLAN

融合型安全解決方案WLAN

射頻資源管理Copyright

?

2013TechnologiesCo.,.s.Page

15融合型無線安全解決方案無線側(cè)安全防范終端精細化控制隧道數(shù)據(jù)保護DTLSWIDS/WIPS數(shù)據(jù)竊取CAPWAP無線接入點WAN無線控制器終端認證/

/計費頻譜分析終端類型識別Rogue設(shè)備探測eSight非WIFI設(shè)備頻譜分析WIDS/WIPS無線 檢測Rogue設(shè)備識別DTLS(Datagram

TLS）實時加密保護標準CAPWAP無線隧道協(xié)議MAC/802.1X/Portal等多種接入控制方式用戶組策略終端類型識別Copyright

?

2013TechnologiesCo.,.s.Page

16非WIFI干擾源頻譜分析藍牙微波爐無繩監(jiān)測模式eSight無線音頻ACZigbeeBabyMoniter無線

控制器混合模式用戶交換機

頻譜掃描與采樣采樣數(shù)據(jù)分析識別非WIFI干擾源定位和頻譜顯示無線用戶接入頻譜掃描與采樣Copyright

?

2013TechnologiesCo.,.s.Page

17WIDS/WIPS–無線檢測eSight802.11報文泛洪檢測防

PSKSpoof檢測Weak

IV檢測132AC①

無線 檢測泛洪 檢測PSK

檢測Spoof

檢測Weak

IV

檢測丟棄報文②無線AP上報上報告警至AC,AC統(tǒng)計類型，同時通過trap告警告知 平臺③動態(tài)，AP丟AC將 設(shè)備放入棄該 設(shè)備的所有報文，防止對網(wǎng)絡(luò)造成沖擊。動態(tài)告警上報Copyright

?

2013TechnologiesCo.,.s.Page

18設(shè)備識別Ad-HocRogue終端Rogue

AP無線報文使用Rogue

AP

MAC地址發(fā)送假廣播解除認證幀、以及單播解除認證幀，無線用戶和Rogue

AP建立Rouge

AP識別使用Ad-Hoc的B

、MAC地址發(fā)送

單播解除認證幀進行

，Ad-Hoc

的建立Ad-Hoc網(wǎng)絡(luò)識別使用RogueClient的B

、MAC地址發(fā)送假單播解除認證幀進行

，

Rogue終端接入APRogue終端識別識別無線網(wǎng)橋鏈路及WDS網(wǎng)絡(luò)無線網(wǎng)橋識別用戶無線網(wǎng)橋假解除認證幀假解除認證幀假解除認證幀設(shè)備Copyright

?

2013TechnologiesCo.,.s.Page

19用戶AC集中認證，流量按需轉(zhuǎn)發(fā)AP分支網(wǎng)絡(luò)分支AP總部APInternet員工

VLA

N員工認證訪客認證總部認證總部

VLA

N分支用戶總部用戶訪客用戶員工??分支流量直接轉(zhuǎn)發(fā)至分支網(wǎng)絡(luò)節(jié)省AP/AC間網(wǎng)絡(luò)帶寬分支網(wǎng)絡(luò)無需增加認證設(shè)備?流量按需轉(zhuǎn)發(fā)限制

區(qū)域訪客接入Internet,無法接入網(wǎng)絡(luò)，節(jié)省網(wǎng)絡(luò)帶寬AC

處理所有用戶認證數(shù)據(jù)?用戶數(shù)據(jù)本地轉(zhuǎn)發(fā)，認證數(shù)據(jù)集中處理?用戶數(shù)據(jù)集中轉(zhuǎn)發(fā)，認證數(shù)據(jù)集中處理接入交換機AC匯聚交換機eSightPolicy

Center網(wǎng)絡(luò)Copyright

?

2013TechnologiesCo.,.s.Page

20終端類型識別廠商A-筆記本廠商C-廠商B-筆記本廠商D-平板Policy

Center帶終認證報文攜帶終端類型信息同一賬號，不同終端類型的業(yè)務(wù)策略支持相同用戶賬號根據(jù)終端類型分配不同的業(yè)務(wù)策略，細化用戶權(quán)限控制粒度APAP基于終端類型的業(yè)務(wù)策略根據(jù)終端類型，認證頁面自動適配，保留用戶操作根據(jù)終端類型賦予不同的業(yè)務(wù)策略如VLAN/ACL/帶寬限制交換機

筆記本平板AC根據(jù)終端類型下發(fā)業(yè)務(wù)策略根據(jù)上報終端類型信息下發(fā)業(yè)務(wù)策略：業(yè)務(wù)VLAN、ACL、帶寬限制、用戶

策略廠商+終端類型識別AC通過終端MAC地址、HTTPuser-Agent信息和DHCPOption識別廠商和終端類型Copyright

?

2013TechnologiesCo.,.s.Page

21用戶組策略-靈活動態(tài)員工組Policy

Center3訪客組1AP

2交換機AC訪客組策略配置帶寬

：1MbpsACL

：

資源業(yè)務(wù)VLAN：訪客業(yè)務(wù)VLAN用戶

：用戶間

通信員工組策略配置帶寬

：4MbpsACL

：可以

公司業(yè)務(wù)平臺業(yè)務(wù)VLAN：員工業(yè)務(wù)VLAN用戶

：允許組內(nèi)用戶通信，禁止組間用戶通信賬號、用戶組綁定訪客賬號訪客組策略員工賬號員工組策略①用戶認證②Radius下發(fā)用戶組至AC③AC執(zhí)行用戶組策略Copyright

?

2013TechnologiesCo.,.s.Page

22802.1x認證部署Policy

CenterACAP用戶Radius

ClientRadius

Server用戶名 認證無線側(cè)加密策略①通過802.1x認證客戶端發(fā)起認證①認證成功后獲取地址Open :低安全，用戶只需完成802.1x認證，便于操作用戶認證終結(jié)對接主備Radius服務(wù)器用戶名、及綁定策略對接無線控制器Copyright

?

2013TechnologiesCo.,.s.Page

23Portal認證部署Policy

CenterACAP用戶Radius

Client用戶名 認證無線側(cè)加密策略Policy

CenterPortal

ServerRadius

ServerWeb認證頁面推送用戶認證終結(jié)對接主備Portal服務(wù)器對接主備Radius服務(wù)器，便無線側(cè)Open于用戶操作①認證前獲取IP地址②HTTP請求觸發(fā)Web認證頁面，無需客戶端①通過Web認證頁面發(fā)起用戶認證及

用戶名、綁定策略對接無線控制器Web認證頁面提供頁面定制化功能對接無線控制器Copyright

?

2013TechnologiesCo.,.s.Page

24Portal＋MAC混合認證-一次認證，多次接入ACAP用戶Policy

CenterPolicy

CenterPortal

ServerRadius

Server一次認證，多次接入無線接入及用戶名、綁定策略對接無線控制器記錄用戶MAC地址首次Portal+Mac認證后續(xù)自動Mac認證12345Web認證頁面提供頁面定制化功能對接無線控制器①用戶發(fā)起Web認證請求②Portal服務(wù)器發(fā)起認證請求到AC③AC發(fā)起Radius認證，攜帶用戶名、及終端Mac地址③Radius通過認證，記錄終端Mac地址⑤用戶后續(xù)接入使用Mac認證，無需再進行Web認證。無感知接入網(wǎng)絡(luò)認證對接Copyright

?

2013TechnologiesCo.,.s.Page

25WLAN組網(wǎng)BYOD簡介WLAN在行業(yè)網(wǎng)的應(yīng)用大型企業(yè)WLAN組網(wǎng)WLAN

Mesh組網(wǎng)WLAN

冗余備份特性WLAN

融合型安全解決方案WLAN

射頻資源管理Copyright

?

2013TechnologiesCo.,.s.Page

26移動漫游，無縫感知二層無縫漫游相同 下，終端在同一VLAN中漫游。終端IP地址丌變。業(yè)務(wù)丌中斷，無需重新認證。802.1x認證二、三層快速漫游2+802.1x漫游優(yōu)化：密鑰協(xié)商下移技術(shù)減少空口密鑰協(xié)商時間，縮短漫游時延;PMKcaching技術(shù)幫助漫游終端跳過802.1x認證過程，縮短漫游時延。終端切換時間：100ms終端切換時間：300ms接入交換機三層無縫漫游相同

下，終端在丌同VLAN中漫游。終端IP地址丌變。業(yè)務(wù)丌中斷，無需重新認證。終端切換時間：300msAC匯聚交換機相同,相同VLAN覆蓋區(qū)域覆蓋

區(qū)域覆蓋區(qū)域覆蓋

區(qū)域相同,不同VLAN二層漫游三層漫游Radius服務(wù)器Portal服務(wù)器Copyright

?

2013TechnologiesCo.,.s.Page

27無線高密接入會議室教室體育場車站基于終端自動逐包控制發(fā)送功率，減少對其他AP以及系統(tǒng)內(nèi)用戶終端的干擾高功率發(fā)送低功率發(fā)送強制下線<-80dBm限制接入-75dBm優(yōu)先接入>-75dBm自動優(yōu)先接入5GHz網(wǎng)絡(luò)，雙頻混合應(yīng)用，減少2.4GHz負載，提高系統(tǒng)整體性能。5GHz終端優(yōu)先接入5GHz網(wǎng)絡(luò)5GHz頻段優(yōu)先調(diào)度2.4GHz&5GHz混合覆蓋區(qū)域?qū)I(yè)室內(nèi)、室

絡(luò)規(guī)劃工具：仿真視圖解決高密場景網(wǎng)絡(luò)規(guī)劃難題自動逐包功率控制限制低速率用戶接入，強制弱信號用戶下線，避免誤關(guān)

障已關(guān)聯(lián)終端的業(yè)務(wù)性能專業(yè)網(wǎng)規(guī)網(wǎng)優(yōu)工具低速用戶限制接入Copyright

?

2013TechnologiesCo.,.s.Page

28WLAN

RFID無線定位Wi-Fi網(wǎng)絡(luò)AP TAG或終