XXX企業(yè)無線網(wǎng)絡(luò)解決方案

XXX企業(yè)無線網(wǎng)絡(luò)解決方案2013年3月目錄1． 項目概述 31.1用戶需求 31.2需求分析 41.3方案特點(diǎn) 52． 系統(tǒng)架構(gòu)選擇 52.1無線網(wǎng)絡(luò)發(fā)展趨勢 52.2無線網(wǎng)絡(luò)架構(gòu)分析選擇 62.3分布式協(xié)同控制架構(gòu) 73．系統(tǒng)設(shè)計 93.1整體規(guī)劃 93.2總部規(guī)劃 103.3分支機(jī)構(gòu)規(guī)劃 113.4AP部署 133.5準(zhǔn)入控制 143.6安全策略 143.7應(yīng)用控制 153.8設(shè)備選型 164.與其他品牌對比分析 17項目概述XXX，全球最大的XXXX網(wǎng)站。2000年1月創(chuàng)立于北京中關(guān)村。XXXXX已成為中國最受歡迎、影響力最大的中文網(wǎng)站。1.1用戶需求辦公室無線覆蓋，為員工的網(wǎng)絡(luò)接入提供便利?？商峁﹩T工智能手機(jī)終端的接入，同時考慮安全問題。提供企業(yè)訪客便利的網(wǎng)絡(luò)訪問需要，既要保證訪客使用的便利，還要保障企業(yè)內(nèi)網(wǎng)的安全。可快捷、方便的進(jìn)行分支機(jī)構(gòu)的網(wǎng)絡(luò)部署，可統(tǒng)一下發(fā)策略，統(tǒng)一進(jìn)行管理。與原有ＡＤ域進(jìn)行集成，統(tǒng)一賬號、密碼，避免繁瑣的賬號、密碼記憶?？紤]ＩＰ電話、打印機(jī)、投影機(jī)等設(shè)備的網(wǎng)絡(luò)接入問題和安全問題?？紤]對網(wǎng)絡(luò)帶寬的管理和優(yōu)化，應(yīng)用可視化，可有效管理和分析網(wǎng)絡(luò)使用狀況，調(diào)整策略?？紤]無線設(shè)備的易管理性、易維護(hù)性、可擴(kuò)展性，避免單點(diǎn)故障、帶寬瓶頸。考慮架構(gòu)和技術(shù)的先進(jìn)性，保證３－５年內(nèi)不被淘汰，保護(hù)投資。1.2需求分析為了便于員工的網(wǎng)絡(luò)接入，有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)員工使用統(tǒng)一的賬號密碼和認(rèn)證方式即可，員工手機(jī)終端采用ＯＳ識別的方式進(jìn)行策略下發(fā)，手機(jī)系統(tǒng)不可以訪問公司內(nèi)網(wǎng)資源，并進(jìn)行必要的應(yīng)用顯示和帶寬限速。訪客可使用ＰＰＳＫ認(rèn)證方式,多種注冊方式，多種密碼獲取方式，每人一個ＰＳＫ密鑰，提高了網(wǎng)絡(luò)的安全性。，分支機(jī)構(gòu)使用ＢＲ路由器可與總部建立ＶＰＮ連接，可以當(dāng)作寬帶接入路由器使用，可以連接ＩＰ電話和額外的ＡＰ，３０－５０人左右的辦公室，一臺ＢＲ足以滿足所有的網(wǎng)絡(luò)需求。將ＡＤ安裝ＩＡＳ組件，即可與有線、無線網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，使用原有ＡＤ賬號即可。ＩＰ電話、打印機(jī)、投影機(jī)等設(shè)備采用ＭＡＣ地址認(rèn)證方式接入網(wǎng)絡(luò)，同時不具有互聯(lián)網(wǎng)訪問權(quán)限。開啟７層應(yīng)用管控功能，監(jiān)測網(wǎng)絡(luò)內(nèi)的應(yīng)用狀況，根據(jù)狀況進(jìn)行基于７層應(yīng)用的ＱＯＳ和安全策略部署?？偛考胺种У牟呗钥梢越y(tǒng)一進(jìn)行。設(shè)備的管理、維護(hù)，用戶的管理、維護(hù)，均采用統(tǒng)一的管理平臺實現(xiàn)，有線、無線、分支路由等設(shè)備均可實現(xiàn)統(tǒng)一管理、維護(hù)，統(tǒng)一的策略下發(fā)。用戶的管控?zé)o論是在總部、分支都可以進(jìn)行統(tǒng)一的策略部署。管理平臺宕機(jī)，不影響任何網(wǎng)絡(luò)的使用和業(yè)務(wù)的運(yùn)行。采用目前最先進(jìn)的協(xié)同控制架構(gòu)，避免馬上１１ａｃ時代來臨控制器架構(gòu)淘汰，充分保護(hù)用戶的投資。1.3方案特點(diǎn)功能豐富，性價比高分布式部署，集中管理，統(tǒng)一策略下發(fā)。施工量小，工期短設(shè)備部署簡單，快捷，擴(kuò)展簡單、便捷。維護(hù)量小，管理方便?？煽啃愿?，提供Mesh鏈路做備份。安全性高，可進(jìn)行７層應(yīng)用識別和管控。無需購買功能License，保護(hù)用戶投資。系統(tǒng)架構(gòu)選擇2.1無線網(wǎng)絡(luò)發(fā)展趨勢無線網(wǎng)絡(luò)的發(fā)展非常迅速，802.11ac即將發(fā)布。無線網(wǎng)絡(luò)正式進(jìn)入G時代。開始趕超有線網(wǎng)絡(luò)。11ac正式標(biāo)準(zhǔn)發(fā)布后，超過1G的帶寬，未來峰值將可達(dá)到7G帶寬，控制器需要多大的交換容量來支持？用戶之前購買的控制器又要升級換代？ 2.2無線網(wǎng)絡(luò)架構(gòu)分析選擇在馬上到來的11ac時代開始，控制器集中轉(zhuǎn)發(fā)勢必成為wifi網(wǎng)絡(luò)的瓶頸所在。aerohive的協(xié)同控制架構(gòu)，不僅可以統(tǒng)一配置和管理所有的設(shè)備。所有AP均做本地數(shù)據(jù)轉(zhuǎn)發(fā)，并且不會損失任何功能。2.3分布式協(xié)同控制架構(gòu)Aerohive把交換機(jī)和路由器的STP、CDP，路由協(xié)議等概念引入到了AP里，AP之間可以進(jìn)行各自信息的交互，來協(xié)同工作。這樣AP才成為了一臺真真正正的網(wǎng)絡(luò)設(shè)備，不再只是充當(dāng)天線的角色了。交換機(jī)、路由器需要控制器統(tǒng)一管理的嗎？交換機(jī)、路由器是如何交互信息的？AP不再受控制器的交換容量所限制，不會由于控制器的交換容量問題造成網(wǎng)絡(luò)瓶頸。3．系統(tǒng)設(shè)計整體規(guī)劃 總部部署Hivemanager網(wǎng)管平臺，統(tǒng)一管理總部及所有分支機(jī)構(gòu)的AP、分支路由器、接入交換機(jī)等設(shè)備，進(jìn)行統(tǒng)一的配置、策略分發(fā)等?？梢赃M(jìn)行所有用戶的應(yīng)用和流量的監(jiān)控、管理。不再使用控制器+網(wǎng)管的結(jié)構(gòu)來分別管理設(shè)備和用戶，只需設(shè)置不同的管理員權(quán)限即可。分支機(jī)構(gòu)部署B(yǎng)R200路由器，既可以作VPN與總部的網(wǎng)關(guān)建立VPN隧道，又可以作為分支機(jī)構(gòu)的路由器和防火墻使用，同時可以進(jìn)行分支機(jī)構(gòu)辦公區(qū)的無線覆蓋。如果分支機(jī)構(gòu)辦公區(qū)面積較大，可直接增加AP即可，BR200還提供了2個POE端口，用于連接IP電話或者AP。3.2總部規(guī)劃統(tǒng)一管理：企業(yè)內(nèi)的所有AP和交換機(jī)以及分支路由器都可以通過Internet注冊到企業(yè)自建的私有云HiveManager管理平臺，進(jìn)行設(shè)備的統(tǒng)一管理、維護(hù)、監(jiān)控等。統(tǒng)一策略：有線用戶策略和認(rèn)證方式可以和無線相同，簡化了管理和策略部署，便于用戶管理。便于施工：AP除了使用有線連接到網(wǎng)絡(luò)外，對于不便于布線施工的位置可以采用Mesh的方式進(jìn)行AP連接，AP只需要供電即可。高可靠性：AP除了正常使用有線網(wǎng)絡(luò)通訊外，當(dāng)有線網(wǎng)絡(luò)故障時，會自動通過Mesh連接到其他AP與網(wǎng)絡(luò)通訊，最大的保證了網(wǎng)絡(luò)的可靠性。即便Hivemanager管理平臺宕機(jī)，不影響所有設(shè)備的工作，不影響企業(yè)的各種業(yè)務(wù)。性價比高：無需購買各種功能License，如防火墻功能、應(yīng)用控制功能、干擾AP檢測等。接入端管控：對于接入交換機(jī)連接的IP電話、臺式機(jī)，AＰ連接的筆記本電腦、智能手機(jī)等終端設(shè)備的ＱＯＳ策略、防火墻策略等均會在接入網(wǎng)絡(luò)時生效，無需待流量到達(dá)控制器才生效，減少了網(wǎng)絡(luò)資源的占用、提高了策略執(zhí)行效率。3.3分支機(jī)構(gòu)規(guī)劃 分支機(jī)構(gòu)只需要增加一臺BR200路由器即可滿足分支機(jī)構(gòu)的網(wǎng)絡(luò)使用。可以ＶＰＮ連接到總部，可以當(dāng)作寬帶接入路由器，可以當(dāng)作分支機(jī)構(gòu)防火墻，可以提供２個ＰＯＥ端口來連接ＩＰ電話和再加１個ＡＰ。3.4AP部署 由于暫未拿到平面圖，暫時不做AP部署的詳細(xì)設(shè)計，僅對此種應(yīng)用環(huán)境下的AP部署需要注意的內(nèi)容進(jìn)行簡單闡述。AP部署時除了保證覆蓋之外還要滿足接入終端數(shù)量的要求，需要溝通清楚主要應(yīng)用，應(yīng)用不同也會對接入數(shù)量造成很大的影響。由于需要考慮手機(jī)終端的接入，手機(jī)一般比筆記本終端的無線傳輸功率較低，所以在AP部署時候需要AP相對部署的更密一些。根據(jù)測試標(biāo)準(zhǔn)，筆記本終端無線需要達(dá)到-75db（主要區(qū)域）、-80db（一般區(qū)域）、-85db（角落），但手機(jī)終端需要達(dá)到-60db（主要區(qū)域）、-70db（一般區(qū)域）、-80db（角落）。3.5準(zhǔn)入控制員工的認(rèn)證使用802.1x用戶名密碼認(rèn)證或者802.1x證書認(rèn)證，以保證網(wǎng)絡(luò)的安全性，必定員工相對來說網(wǎng)絡(luò)訪問權(quán)限較大。IP電話、打印機(jī)、投影機(jī)等設(shè)備的接入認(rèn)證可采用MAC地址認(rèn)證，可以避免給使用者帶來麻煩，可以保證設(shè)備可以方便、快捷的接入網(wǎng)絡(luò)。訪客使用PPSK認(rèn)證方式，可以前臺注冊、觸摸屏自己注冊、員工注冊，自動生成一個唯一的帶有時限的臨時PSK密鑰，訪客可通過短信或者郵件的方式收到自己唯一的PSK密鑰。每個訪客都有一個單獨(dú)的PSK密鑰，即提高了PSK的安全性，又保留了PSK認(rèn)證的便利性。認(rèn)證服務(wù)器使用企業(yè)內(nèi)部原有AD，可使用原有AD的用戶名、密碼連接有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)，便于記憶和使用，而且可以最大的避免重復(fù)投資。AD只需安裝IAS組件即可將AD當(dāng)做一臺Radius服務(wù)器進(jìn)行有線、無線的認(rèn)證。3.6安全策略考慮到網(wǎng)絡(luò)的安全性，禁止訪客訪問任何內(nèi)網(wǎng)資源，訪客間的所有流量也全部屏蔽掉，最大的保障網(wǎng)絡(luò)的安全、可靠，避免不必要的安全隱患。同時對訪客做帶寬的限制策略和應(yīng)用的過濾和控制，限制在線視頻和下載應(yīng)用，以便保證每個AP可以接入更多地用戶，避免訪客過多占用互聯(lián)網(wǎng)帶寬資源影響業(yè)務(wù)流量。同時對于員工自帶的Ipad或智能手機(jī)終端等，可以針對操作系統(tǒng)進(jìn)行策略控制，識別為IOS或者Android操作系統(tǒng)時，雖然員工仍然使用了自己的員工賬號連接無線網(wǎng)絡(luò)，但可以禁止其訪問任何內(nèi)網(wǎng)資源或其他策略。3.7應(yīng)用控制 無論是針對員工還是訪客，如果網(wǎng)絡(luò)不做優(yōu)化，各種大流量應(yīng)用都會大量的占用帶寬資源，甚至影響企業(yè)的業(yè)務(wù)流量。所以如何最大的保證網(wǎng)絡(luò)的可用性，提供更多的終端使用，最大的保證業(yè)務(wù)流量，同時避免了企業(yè)一味的增大互聯(lián)網(wǎng)帶寬而浪費(fèi)資金，只需開啟針對7層應(yīng)用的監(jiān)控、QOS、防火墻功能即可。 如禁止各種下載、禁止各種在線流媒體視頻、把那些會影響其他用戶的應(yīng)用全部禁止掉，留下那些IM相關(guān)的通訊軟件等都占用的流量較少，可保證AP可接入更多的用戶，讓更多的人可以同時享受服務(wù)，最大保證企業(yè)業(yè)務(wù)流量的順暢。 在應(yīng)用控制面板里可以看到目前的用戶都再他用哪些應(yīng)用，哪些應(yīng)用占用的資源最大，可以針對每一種應(yīng)用進(jìn)行QOS策略定制或者防火墻策略定制。 目前Aerohive支持711種應(yīng)用識別，并且每月將更新一次識別文件庫，此功能無需購買License，免費(fèi)使用。3.8設(shè)備選型BR200，用于各個分支機(jī)構(gòu)的互聯(lián)網(wǎng)出口，不僅可以當(dāng)路由器用還可以當(dāng)防火墻和AP使用，支持ＶＰＮ到總部。AP121，一般區(qū)域的信號覆蓋使用。２ｘ２ＭＩＭＯ，內(nèi)置天線。AP141，對于部分特殊區(qū)域的信號覆蓋，２ｘ２ＭＩＭＯ，具有外置天線，覆蓋效果更好。AP330,支持３ｘ３ＭＩＭＯ，對于安全策略及應(yīng)用管控需求較大的企業(yè)使用，硬件性能高，可以處理較多的安全和應(yīng)用策略。AP350,支持３ｘ３ＭＩＭＯ，對于安全策略及應(yīng)用管控需求較大的企業(yè)使用，硬件性能高，可以處理較多的安全和應(yīng)用策略。，具有外置天線，覆蓋效果更好。Hivemanager網(wǎng)管軟件，可監(jiān)測所有的設(shè)備，檢測用戶流量，并生成報表進(jìn)行分析，可以清晰知道網(wǎng)絡(luò)使用狀況，以便決定是否需要進(jìn)行系統(tǒng)擴(kuò)容，哪里進(jìn)行擴(kuò)容進(jìn)行準(zhǔn)確無誤的決策。CloudVNPGateway，VPN網(wǎng)關(guān)，支持GRE隧道，L2IPsec隧道，L3IPsec隧道，支持OSPF和RIPv2動態(tài)路由協(xié)議。無需按隧道數(shù)或用戶數(shù)購買License。數(shù)量將根據(jù)具體項目情況進(jìn)行統(tǒng)計計算。4.與其他品牌對比分析

AerohiveAruba控制器無，不需要控制器。需要根據(jù)AP數(shù)量進(jìn)行購買，并購買AP的License。功能許可證免費(fèi)功能許可證數(shù)量多，需付費(fèi)購買。防火墻免費(fèi)購買PEF授權(quán)。按AP數(shù)量。入侵防御免費(fèi)購買WIPS授權(quán)。按AP數(shù)量。網(wǎng)管軟件公有云服務(wù)，私有云購買Airwave網(wǎng)管軟件。單獨(dú)購買幾個幾個模塊的License，WIPS、RF等。