《XXX企业无线网络解决方案.docx》由会员分享,可在线阅读,更多相关《XXX企业无线网络解决方案.docx(17页珍藏版)》请在三一办公上搜索。
1、XXX企业无线网络解决方案2013年3月目 录1项目概述31.1用户需求31.2需求分析41.3方案特点52系统架构选择52.1无线网络发展趋势52.2无线网络架构分析选择62.3分布式协同控制架构73系统设计93.1整体规划93.2总部规划103.3分支机构规划113.4 AP部署133.5准入控制143.6安全策略143.7应用控制153.8设备选型164. 与其他品牌对比分析171 项目概述XXX,全球最大的XXXX网站。2000年1月创立于北京中关村。XXXXX已成为中国最受欢迎、影响力最大的中文网站。1.1用户需求l 办公室无线覆盖,为员工的网络接入提供便利。可提供员工智能手机终端的
2、接入,同时考虑安全问题。l 提供企业访客便利的网络访问需要,既要保证访客使用的便利,还要保障企业内网的安全。l 可快捷、方便的进行分支机构的网络部署,可统一下发策略,统一进行管理。l 与原有域进行集成,统一账号、密码,避免繁琐的账号、密码记忆。l 考虑电话、打印机、投影机等设备的网络接入问题和安全问题。l 考虑对网络带宽的管理和优化,应用可视化,可有效管理和分析网络使用状况,调整策略。l 考虑无线设备的易管理性、易维护性、可扩展性,避免单点故障、带宽瓶颈。l 考虑架构和技术的先进性,保证年内不被淘汰,保护投资。1.2需求分析l 为了便于员工的网络接入,有线网络、无线网络员工使用统一的账号密码和
3、认证方式即可,员工手机终端采用识别的方式进行策略下发,手机系统不可以访问公司内网资源,并进行必要的应用显示和带宽限速。l 访客可使用认证方式,多种注册方式,多种密码获取方式,每人一个密钥,提高了网络的安全性。,l 分支机构使用路由器可与总部建立连接,可以当作宽带接入路由器使用,可以连接电话和额外的,人左右的办公室,一台足以满足所有的网络需求。l 将安装组件,即可与有线、无线网络设备进行认证,使用原有账号即可。l 电话、打印机、投影机等设备采用地址认证方式接入网络,同时不具有互联网访问权限。l 开启层应用管控功能,监测网络内的应用状况,根据状况进行基于层应用的和安全策略部署。总部及分支的策略可以
4、统一进行。l 设备的管理、维护,用户的管理、维护,均采用统一的管理平台实现,有线、无线、分支路由等设备均可实现统一管理、维护,统一的策略下发。用户的管控无论是在总部、分支都可以进行统一的策略部署。管理平台宕机,不影响任何网络的使用和业务的运行。l 采用目前最先进的协同控制架构,避免马上时代来临控制器架构淘汰,充分保护用户的投资。1.3方案特点l 功能丰富,性价比高l 分布式部署,集中管理,统一策略下发。l 施工量小,工期短l 设备部署简单,快捷,扩展简单、便捷。l 维护量小,管理方便。l 可靠性高,提供Mesh链路做备份。l 安全性高,可进行层应用识别和管控。l 无需购买功能License,保
5、护用户投资。2 系统架构选择2.1无线网络发展趋势无线网络的发展非常迅速,802.11ac即将发布。无线网络正式进入G时代。开始赶超有线网络。11ac正式标准发布后,超过1G的带宽,未来峰值将可达到7G带宽,控制器需要多大的交换容量来支持?用户之前购买的控制器又要升级换代?2.2无线网络架构分析选择在马上到来的11ac时代开始,控制器集中转发势必成为wifi网络的瓶颈所在。aerohive的协同控制架构,不仅可以统一配置和管理所有的设备。所有AP均做本地数据转发,并且不会损失任何功能。2.3分布式协同控制架构Aerohive把交换机和路由器的STP、CDP,路由协议等概念引入到了AP里,AP之
6、间可以进行各自信息的交互,来协同工作。这样AP才成为了一台真真正正的网络设备,不再只是充当天线的角色了。交换机、路由器需要控制器统一管理的吗?交换机、路由器是如何交互信息的?AP不再受控制器的交换容量所限制,不会由于控制器的交换容量问题造成网络瓶颈。3系统设计3.1 整体规划总部部署Hivemanager网管平台,统一管理总部及所有分支机构的AP、分支路由器、接入交换机等设备,进行统一的配置、策略分发等。可以进行所有用户的应用和流量的监控、管理。不再使用控制器+网管的结构来分别管理设备和用户,只需设置不同的管理员权限即可。分支机构部署BR200路由器,既可以作VPN与总部的网关建立VPN隧道,
7、又可以作为分支机构的路由器和防火墙使用,同时可以进行分支机构办公区的无线覆盖。如果分支机构办公区面积较大,可直接增加AP即可,BR200还提供了2个POE端口,用于连接IP电话或者AP。3.2总部规划l 统一管理:企业内的所有AP和交换机以及分支路由器都可以通过Internet注册到企业自建的私有云Hive Manager管理平台,进行设备的统一管理、维护、监控等。l 统一策略:有线用户策略和认证方式可以和无线相同,简化了管理和策略部署,便于用户管理。l 便于施工:AP除了使用有线连接到网络外,对于不便于布线施工的位置可以采用Mesh的方式进行AP连接,AP只需要供电即可。l 高可靠性 :AP
8、除了正常使用有线网络通讯外,当有线网络故障时,会自动通过Mesh连接到其他AP与网络通讯,最大的保证了网络的可靠性。即便Hivemanager管理平台宕机,不影响所有设备的工作,不影响企业的各种业务。l 性价比高:无需购买各种功能License,如防火墙功能、应用控制功能、干扰AP检测等。l 接入端管控:对于接入交换机连接的IP电话、台式机,A连接的笔记本电脑、智能手机等终端设备的策略、防火墙策略等均会在接入网络时生效,无需待流量到达控制器才生效,减少了网络资源的占用、提高了策略执行效率。3.3分支机构规划分支机构只需要增加一台BR200路由器即可满足分支机构的网络使用。可以连接到总部,可以当
9、作宽带接入路由器,可以当作分支机构防火墙,可以提供个端口来连接电话和再加个。3.4 AP部署由于暂未拿到平面图,暂时不做AP部署的详细设计,仅对此种应用环境下的AP部署需要注意的内容进行简单阐述。l AP部署时除了保证覆盖之外还要满足接入终端数量的要求,需要沟通清楚主要应用,应用不同也会对接入数量造成很大的影响。l 由于需要考虑手机终端的接入,手机一般比笔记本终端的无线传输功率较低,所以在AP部署时候需要AP相对部署的更密一些。根据测试标准,笔记本终端无线需要达到-75db(主要区域)、-80db(一般区域)、-85db(角落),但手机终端需要达到-60db(主要区域)、-70db(一般区域)
10、、-80db(角落)。3.5准入控制员工的认证使用802.1x用户名密码认证或者802.1x证书认证,以保证网络的安全性,必定员工相对来说网络访问权限较大。IP电话、打印机、投影机等设备的接入认证可采用MAC地址认证,可以避免给使用者带来麻烦,可以保证设备可以方便、快捷的接入网络。访客使用PPSK认证方式,可以前台注册、触摸屏自己注册、员工注册,自动生成一个唯一的带有时限的临时PSK密钥,访客可通过短信或者邮件的方式收到自己唯一的PSK密钥。每个访客都有一个单独的PSK密钥,即提高了PSK的安全性,又保留了PSK认证的便利性。认证服务器使用企业内部原有AD,可使用原有AD的用户名、密码连接有线
11、网络或无线网络,便于记忆和使用,而且可以最大的避免重复投资。AD只需安装IAS组件即可将AD当做一台Radius服务器进行有线、无线的认证。3.6安全策略考虑到网络的安全性,禁止访客访问任何内网资源,访客间的所有流量也全部屏蔽掉,最大的保障网络的安全、可靠,避免不必要的安全隐患。同时对访客做带宽的限制策略和应用的过滤和控制,限制在线视频和下载应用,以便保证每个AP可以接入更多地用户,避免访客过多占用互联网带宽资源影响业务流量。同时对于员工自带的Ipad或智能手机终端等,可以针对操作系统进行策略控制,识别为IOS或者Android操作系统时,虽然员工仍然使用了自己的员工账号连接无线网络,但可以禁
12、止其访问任何内网资源或其他策略。3.7应用控制无论是针对员工还是访客,如果网络不做优化,各种大流量应用都会大量的占用带宽资源,甚至影响企业的业务流量。所以如何最大的保证网络的可用性,提供更多的终端使用,最大的保证业务流量,同时避免了企业一味的增大互联网带宽而浪费资金,只需开启针对7层应用的监控、QOS、防火墙功能即可。如禁止各种下载、禁止各种在线流媒体视频、把那些会影响其他用户的应用全部禁止掉,留下那些IM相关的通讯软件等都占用的流量较少,可保证AP可接入更多的用户,让更多的人可以同时享受服务,最大保证企业业务流量的顺畅。在应用控制面板里可以看到目前的用户都再他用哪些应用,哪些应用占用的资源最
13、大,可以针对每一种应用进行QOS策略定制或者防火墙策略定制。目前Aerohive支持711种应用识别,并且每月将更新一次识别文件库,此功能无需购买License,免费使用。3.8设备选型l BR200,用于各个分支机构的互联网出口,不仅可以当路由器用还可以当防火墙和AP使用,支持到总部。l AP121,一般区域的信号覆盖使用。,内置天线。l AP141,对于部分特殊区域的信号覆盖,具有外置天线,覆盖效果更好。l AP330,支持,对于安全策略及应用管控需求较大的企业使用,硬件性能高,可以处理较多的安全和应用策略。l AP350,支持,对于安全策略及应用管控需求较大的企业使用,硬件性能高,可以处
14、理较多的安全和应用策略。,具有外置天线,覆盖效果更好。l Hivemanager网管软件,可监测所有的设备,检测用户流量,并生成报表进行分析,可以清晰知道网络使用状况,以便决定是否需要进行系统扩容,哪里进行扩容进行准确无误的决策。l Cloud VNP Gateway,VPN网关,支持GRE隧道,L2 IPsec隧道,L3 IPsec隧道,支持OSPF和RIPv2动态路由协议。无需按隧道数或用户数购买License。l 数量将根据具体项目情况进行统计计算。4. 与其他品牌对比分析AerohiveAruba控制器无,不需要控制器。需要根据AP数量进行购买,并购买AP的License。功能许可证免
15、费功能许可证数量多,需付费购买。防火墙免费购买PEF授权。按AP数量。入侵防御免费购买WIPS授权。按AP数量。网管软件公有云服务,私有云购买Airwave网管软件。单独购买几个几个模块的License,WIPS、RF等。无公有云服务。AP链路备份自动Mesh进行链路备份无。AP邻居发现支持,自动。不支持,AP只是天线。通过控制器协调AP工作。AP路由信息支持,自动。不支持,AP只是天线。通过控制器协调AP工作。数据转发效率高,AP间直接转发不高,需要经过控制器。本地数据转发支持IAP支持,但大量功能不可用,还需增加控制器和License。单点故障无控制器需要做冗余,1+1做核心,N+1做分支机构。PPSK认证支持,每用户一个PSK密码不支持。7层应用管控接入层进行管控。效率高。控制器管控。占用带宽,效率低。2、3层漫游效率高,AP间根据邻居信息判断低,需要全部经过控制器处理。
