遠程分支網(wǎng)絡(luò)覆蓋

遠程分支網(wǎng)絡(luò)覆蓋從市場和經(jīng)營的眼光看，企業(yè)需要擴大業(yè)務(wù)覆蓋范圍、提高生產(chǎn)工作效率，加快對市場變化的反應(yīng)能力，以增加企業(yè)在市場競爭中的活力。利用廉價方便的Internet連接線路、盡可能多地將分布在遠程機構(gòu)、居家旅行中的企業(yè)員工以安全可靠的方式連接在企業(yè)私有的業(yè)務(wù)通信系統(tǒng)上，因此變得非常有意義。企業(yè)的每個員工都可以在任何地點，任何時候，方便安全地連接到企業(yè)總部的通信系統(tǒng)上，運行CRM、ERP等各種業(yè)務(wù)軟件，就像工作在總部的辦公室一樣，及時地完成業(yè)務(wù)處理和有效的內(nèi)部溝通。將更多的有效工作的員工連接起來，可以使企業(yè)獲得更大的效益和產(chǎn)出。這些，無疑已成為企業(yè)信息主管在考慮企業(yè)信息化系統(tǒng)如何為提高生產(chǎn)效率進一步發(fā)揮作用的一個關(guān)注點。ALUVBN解決方案作為業(yè)界最為領(lǐng)先的安全網(wǎng)絡(luò)供應(yīng)商，ALU新近推出了先進的企業(yè)虛擬分支組網(wǎng)解決方案（VBN）。與傳統(tǒng)的VPN概念不同，ALU的VBN解決方案對網(wǎng)絡(luò)虛擬化的含義作出了全新的闡釋。從網(wǎng)絡(luò)使用者的角度來看，ALUVBN解決方案為他們提供了一張可以跨越Internet的企業(yè)虛擬網(wǎng)絡(luò)，使用者可以在任何地方安全地連接企業(yè)內(nèi)網(wǎng)從網(wǎng)絡(luò)管理者的角度來看，ALUVBN解決方案可以將成百上千個遠端設(shè)備虛擬到一臺中心控制器上，進行集中式的實時監(jiān)控和管理，從而大大減輕了網(wǎng)絡(luò)管理者的工作負荷憑借ALUVBN解決方案在網(wǎng)絡(luò)安全性和可管理性方面的巨大優(yōu)勢，企業(yè)網(wǎng)絡(luò)管理人員可以輕松地將大大小小各種規(guī)模的分支機構(gòu)安全地聯(lián)結(jié)在一起。ALU的VBN解決方案主要包括以下組件：中心控制器部署在企業(yè)總部，用于對整個VBN網(wǎng)絡(luò)進行配置和管理，網(wǎng)絡(luò)管理人員只需要在中心控制器上對遠程網(wǎng)絡(luò)（無線和有線）的接入、認證方法以及安全策略進行定義，中心控制器會自動將這些配置同步到所有相關(guān)的分支控制器和遠程接入點。分支控制器部署在大型分支機構(gòu)，用于管理和控制大型分支機構(gòu)內(nèi)的無線接入點，并提供有線端口的認證和策略功能，從而可以實現(xiàn)整個分支機構(gòu)的無線覆蓋和網(wǎng)絡(luò)安全控制。網(wǎng)絡(luò)管理人員只需要為分支控制器配置VLAN、IP和路由等網(wǎng)絡(luò)層參數(shù)，分支控制器會自動從中心控制器同步所有的無線設(shè)置和認證及安全策略。遠程接入點部署在小型分支機構(gòu)，提供可以集中管控的企業(yè)級安全接入功能，支持無線接入和有線接入方式，支持在無線接口和有線接口上的各種身份認證機制，包括802.1X認證、MAC地址認證和Portal認證等。網(wǎng)絡(luò)管理系統(tǒng)（可選）部署在企業(yè)總部，提供面向全網(wǎng)的統(tǒng)一管理能力，支持對多廠商設(shè)備的配置管理、性能管理和故障管理，并且在整個網(wǎng)絡(luò)范圍內(nèi)對用戶進行快速搜索，并查閱與用戶相關(guān)的各類實時和歷史數(shù)據(jù)，包括用戶名、MAC地址、IP地址、信號強度、使用帶寬、定位信息和漫游記錄等內(nèi)容典型的ALUVBN組網(wǎng)架構(gòu)如下圖所示。ManagementMasterELargeBranchOfficeSmallBranchOfficeNetworkAccessAggregationALUManagementMasterELargeBranchOfficeSmallBranchOfficeNetworkAccessAggregation大型分支機構(gòu)絹.網(wǎng)方式對于大型的分支機構(gòu)，考慮到單個遠程接入點在容量和覆蓋范圍上的限制，可以采用ALU獨特的Master-Local組網(wǎng)架構(gòu)，在大型分支機構(gòu)部署Local控制器和標(biāo)準(zhǔn)接入點，實現(xiàn)大型分支機構(gòu)的組網(wǎng)。在Master-Local工作模式下，位于分支機構(gòu)的Local控制器會與Master控制器建立一條IPsec加密隧道，并通過該隧道傳輸相關(guān)的控制命令，以及同步配置文件。因此，網(wǎng)絡(luò)管理員不需要對每個分支機構(gòu)的Local控制器進行逐臺配置，只需要對位于總部的Master控制器進行配置，Master控制器會把配置信息自動同步到每一臺Local控制器。由于Local控制器的存在，一方面使大型分支機構(gòu)的大規(guī)模無線覆蓋成為可能，另一方面也使大型分支機構(gòu)的數(shù)據(jù)流向更加優(yōu)化。分支機構(gòu)內(nèi)部的業(yè)務(wù)流可以通過Local控制器進行路由和交換;分支機構(gòu)與總部之間的業(yè)務(wù)流量既可以通過站點之間的廣域網(wǎng)專用線路來轉(zhuǎn)發(fā)，也可以通過Master和Local控制器之間的IPsec隧道來轉(zhuǎn)發(fā)。小型分支機構(gòu)絹網(wǎng)方式對于小型的分支機構(gòu)，由于用戶數(shù)量較少，需要無線覆蓋的面積不大，因此可以直接采用ALU的遠程接入點來進行組網(wǎng)。每個位于分支機構(gòu)的遠程接入點在連接Internet后自動發(fā)起到中心控制器的IPsec加密隧道，并通過這個加密隧道自動同步軟件版本和配置文件，然后根據(jù)配置文件部署相應(yīng)的有線和無線配置，以及身份認證和安全策略。按照企業(yè)業(yè)務(wù)特點和安全需求的不同，遠程接入點可以支持三種轉(zhuǎn)發(fā)模式：完全隧道模式：即遠程接入點上相應(yīng)SSID以及有線端口上的流量全部經(jīng)過IPsec隧道轉(zhuǎn)發(fā)到中心控制器上進行處理分離隧道模式：遠程接入點同步中心控制器上的所有安全策略，并且根據(jù)策略對流量進行分類，部分流量送入IPsec隧道，由中心控制器進行處理，其余流量進行本地轉(zhuǎn)發(fā)或者丟棄本地橋接模式：遠程接入點同步中心控制器上的所有安全策略，并根據(jù)策略對流量進行策略控制，所有獲準(zhǔn)轉(zhuǎn)發(fā)的流量進行本地轉(zhuǎn)發(fā)，其余流量被丟棄。ALUVBN技術(shù)優(yōu)勢面對企業(yè)大量分支機構(gòu)組網(wǎng)的需求，傳統(tǒng)的解決方案主要包括VPN客戶端和VPN路由器這兩種方式。VPN客戶端的方式雖然部署簡單，也能夠提供基于Per-user的安全策略，但是由于其基于軟件實現(xiàn)的本質(zhì)特征，使得VPN客戶端這種模式只能應(yīng)用在個人電腦聯(lián)網(wǎng)這樣的環(huán)境中，既不適合多個用戶同時聯(lián)網(wǎng)的環(huán)境，也不適合多種終端類型的環(huán)境（如IP攝像頭、打印機、IP電話等非PC類型的終端），從而使其應(yīng)用具有很大的局限性。與VPN客戶端恰恰相反，VPN路由器的解決方案雖然能夠滿足大量用戶、多樣化終端類型環(huán)境下的虛擬組網(wǎng)，但是由于每一臺VPN路由器都需要獨立配置各種相關(guān)參數(shù)（包括軟件更新、網(wǎng)絡(luò)地址、VPN連接、安全策略等），因此當(dāng)分支站點數(shù)量較大時，會造成網(wǎng)絡(luò)管理人員維護負荷的成倍增長。此外，由于大多數(shù)VPN路由器只能提供路由、加密和防火墻功能，不提供802.1X、MAC地址或者Portal認證等安全特性，因此無法保證分支機構(gòu)網(wǎng)絡(luò)中接入用戶的合法性，也無法了解到有哪些用戶正在連接分支機構(gòu)網(wǎng)絡(luò)，以及這些用戶通過分支機構(gòu)網(wǎng)絡(luò)連接了哪些網(wǎng)絡(luò)資源。所以，采用VPN路由器的方式來進行分支機構(gòu)組網(wǎng)存在著明顯的安全隱患，而且管理異常復(fù)雜。ALU的VBN解決方案借助于強大的集中式管理和控制技術(shù)以及分布式用戶防火墻功能，可以將VPN客戶端方式與VPN路由器方式的優(yōu)點結(jié)合起來，同時消除所有的相關(guān)不足，為企業(yè)提供真正安全、易用的虛擬化企業(yè)分支網(wǎng)絡(luò)。1.1.3.1端到端的網(wǎng)絡(luò)安全由于ALUVBN解決方案在一定程度上是ALU現(xiàn)有的瘦AP架構(gòu)無線網(wǎng)絡(luò)在Internet和安全有線接入能力上的擴展和延伸，因此自然而然地繼承了目前ALU瘦AP解決方案所具有的一切安全特質(zhì)。身份認證ALU遠程接入點在有線和無線接口上都能夠提供完善的身份認證機制，包括802.1X、MAC地址和Portal認證，并且還能夠通過身份認證來動態(tài)分配用戶角色，為基于角色的防火墻策略控制提供條件。策略控制在遠程接入模式下，ALU控制器獨特的用戶防火墻會自動分發(fā)到每一個遠程接入點上，并根據(jù)遠程接入點上每一個用戶的身份角色，實施相應(yīng)的防火墻策略，包括權(quán)限策略、帶寬策略和會話數(shù)控制策略等。加密傳輸ALU遠程接入點在連接Internet線路后，會自動發(fā)起到中心控制器的IPsec隧道，并通過IPsec加密隧道來同步軟件和配置文件，以及傳輸用戶數(shù)據(jù)。因此，在跨越Internet時可以實現(xiàn)數(shù)據(jù)傳輸?shù)乃矫苄院屯暾浴?.1.3.2網(wǎng)絡(luò)管理簡單易行除了與ALU瘦AP架構(gòu)的安全性一脈相承，ALUVNB解決方案還完美地繼承了瘦AP架構(gòu)的簡單性，使網(wǎng)絡(luò)管理人員的維護負荷大幅下降。ALUVBN解決方案的簡單性主要體現(xiàn)在下面幾個方面?！傲闩渲谩辈渴餉LU遠程接入點支持真正的“零配置”部署能力。分支機構(gòu)的用戶只需要簡單地在初次部署頁面上輸入中心控制器的域名或者IP地址，遠程接入點就會自動建立IPsec隧道，并且進行自我部署，實現(xiàn)軟件版本的自動同步，和配置文檔的自動下載，并最終建立遠程分支網(wǎng)絡(luò)。集中化管理ALU遠程接入點不具有Console端口，在遠端不可配置，只能通過中心控制器進行集中化管理。中心控制器在對遠程接入點進行配置時，可以將所有遠程接入點劃分成一個或者多個AP-Group，網(wǎng)絡(luò)管理員只需要對AP-Group進行一次配置，就可以在所有遠程接入點上實時生效。因此，無論有多少分支機構(gòu)，對于網(wǎng)絡(luò)管理員來說，他只需要管理一臺中心控制器就足夠了。此外，ALUVBN解決方案還改變了傳統(tǒng)VPN路由器方式組網(wǎng)時，遠程用戶難以管理的難題。網(wǎng)絡(luò)管理員可以直觀地查看遠程分支機構(gòu)中有線和無線網(wǎng)絡(luò)的具體使用狀態(tài)，包括有哪些用戶正在連接網(wǎng)絡(luò)，用戶的用戶名、MAC地址、IP地址分別是什么，以及信號強度、關(guān)聯(lián)模式、認證方法、使用帶寬等一系列信息，甚至還可以查看該用戶的實時會話信息，包括源地址、目的地址、源端口、目的端口等。從而可以幫助網(wǎng)絡(luò)管理員更好地了解遠端網(wǎng)絡(luò)的實時狀態(tài)，以利于更方便地進行故障定位。1.1.3.3有線無線安全接入ALUVBN解決方案同時支持有線和無線安全接入能力，無論用戶采用哪種方式連接分支機構(gòu)的遠程接入點，都必須經(jīng)過身份認證，并應(yīng)用相應(yīng)的安全策略和帶寬策略。對有線和無線接口的同步支持，使得ALUVBN網(wǎng)絡(luò)對多樣化的終端類型具有更好的支持能力。任何網(wǎng)絡(luò)終端，包括打印機、復(fù)印機、IP電話等，即使不具備無線網(wǎng)卡，無法安裝各種終端軟件，也可以非常方便地連接到企業(yè)內(nèi)部網(wǎng)絡(luò)，并與位于總部網(wǎng)絡(luò)中的其它終端進行通信。

集中化/虛擬化管理策略實施+遠程接入企業(yè)級

安全無線接入分離

隧道本地/轉(zhuǎn)發(fā)/數(shù)據(jù)話音視頻實時顯示和管理用戶［設(shè)備/會話應(yīng)用顆粒度企業(yè)級

安全有線接入集中化/虛擬化管理策略實施+遠程接入企業(yè)級

安全無線接入分離

隧道本地/轉(zhuǎn)發(fā)/數(shù)據(jù)話音視頻1.1.3.4對傳輸網(wǎng)絡(luò)完全透明ALUVBN解決方案采用IPsec技術(shù)，可以架設(shè)在各種傳輸平臺之上，既可以是基于專用線路的企業(yè)私有的廣域網(wǎng)絡(luò)，也可以是無所不在的Internet網(wǎng)絡(luò)。因此可以使企業(yè)虛擬網(wǎng)絡(luò)的部署更加簡單易行。XXX企業(yè)遠程組網(wǎng)方案根據(jù)XXX企業(yè)的具體需求，XXX企業(yè)遠程站點需求主要包括:具有高強度的加密特性，確保內(nèi)網(wǎng)數(shù)據(jù)安全穿越互聯(lián)網(wǎng)具有統(tǒng)一管理特性，支持用戶的統(tǒng)一認證和授權(quán)提供電腦終端、IP電話、打印機等各種終端接入遠端設(shè)備支持“零配置”，不會增加管理復(fù)雜性針對XXX企業(yè)的遠程組網(wǎng)需求，ALU虛擬分支網(wǎng)絡(luò)整體組網(wǎng)架構(gòu)如下圖所示。

服務(wù)器及軟件系統(tǒng)核心交換機無線控制器由于XXX企業(yè)的遠程站點多數(shù)為小型站點或者家庭辦公室，人員較少，面積不大，只需要單個遠程接入點就能夠滿足整個分支機構(gòu)的覆蓋，因此考慮直接采用RAP方式，利用部署在總部的ALU中心控制器，并在每個遠程站點部署一臺ALURAP2或RAP5-WN遠程接入點，實現(xiàn)遠程站點的有線和無線統(tǒng)一接入。服務(wù)器及軟件系統(tǒng)核心交換機無線控制器在遠程站點中，所有的有線終端（如臺式電腦、IP話機和打印機等）直接或者通過二層交換機連接ALURAP設(shè)備的有線端口，無線用戶則通過相應(yīng)的SSID連接網(wǎng)絡(luò)。其中，連接內(nèi)網(wǎng)的終端用戶工作在Split-Tunnel模式下，VLAN和IP地址均通過ALURAP設(shè)備與總部控制器之間的IPsec加密隧道由總部控制器分配，網(wǎng)關(guān)指向總部控制器，所有的內(nèi)網(wǎng)業(yè)務(wù)流量通過加密隧道轉(zhuǎn)發(fā)到總部控制器進行處理，所有的Internet流量直接由ALURAP設(shè)備進行地址轉(zhuǎn)換后轉(zhuǎn)發(fā)到Internet網(wǎng)絡(luò)；外來的訪客工作在本地轉(zhuǎn)發(fā)模式下，VLAN和IP地址由ALURAP設(shè)備分配，網(wǎng)關(guān)指向ALURAP，所有訪客都不能訪問內(nèi)部網(wǎng)絡(luò)，只能通過RAP進行地址轉(zhuǎn)換后訪問Internet網(wǎng)絡(luò)。對于特定的重要的遠程站點，還可以采用ALURAP5-WN實現(xiàn)基于3G網(wǎng)絡(luò)的線路備份功能。當(dāng)Internet線路出現(xiàn)故障時，ALURAP可以自動檢測到端口故障或者中間設(shè)備故障，自動切換到3