XXX企業無線網絡解決方案2013年3月目錄1． 項目概述 31.1用戶需求 31.2需求分析 41.3方案特點 52． 系統架構選擇 52.1無線網絡發展趨勢 52.2無線網絡架構分析選擇 62.3分布式協同控制架構 73．系統設計 93.1整體規劃 93.2總部規劃 103.3分支機構規劃 113.4AP部署 133.5準入控制 143.6安全策略 143.7應用控制 153.8設備選型 164.與其他品牌對比分析 17項目概述XXX，全球最大的XXXX網站。2000年1月創立于北京中關村。XXXXX已成為中國最受歡迎、影響力最大的中文網站。1.1用戶需求辦公室無線覆蓋，為員工的網絡接入提供便利。可提供員工智能手機終端的接入，同時考慮安全問題。提供企業訪客便利的網絡訪問需要，既要保證訪客使用的便利，還要保障企業內網的安全。可快捷、方便的進行分支機構的網絡部署，可統一下發策略，統一進行管理。與原有ＡＤ域進行集成，統一賬號、密碼，避免繁瑣的賬號、密碼記憶。考慮ＩＰ電話、打印機、投影機等設備的網絡接入問題和安全問題?？紤]對網絡帶寬的管理和優化，應用可視化，可有效管理和分析網絡使用狀況，調整策略?？紤]無線設備的易管理性、易維護性、可擴展性，避免單點故障、帶寬瓶頸?？紤]架構和技術的先進性，保證３－５年內不被淘汰，保護投資。1.2需求分析為了便于員工的網絡接入，有線網絡、無線網絡員工使用統一的賬號密碼和認證方式即可，員工手機終端采用ＯＳ識別的方式進行策略下發，手機系統不可以訪問公司內網資源，并進行必要的應用顯示和帶寬限速。訪客可使用ＰＰＳＫ認證方式,多種注冊方式，多種密碼獲取方式，每人一個ＰＳＫ密鑰，提高了網絡的安全性。，分支機構使用ＢＲ路由器可與總部建立ＶＰＮ連接，可以當作寬帶接入路由器使用，可以連接ＩＰ電話和額外的ＡＰ，３０－５０人左右的辦公室，一臺ＢＲ足以滿足所有的網絡需求。將ＡＤ安裝ＩＡＳ組件，即可與有線、無線網絡設備進行認證，使用原有ＡＤ賬號即可。ＩＰ電話、打印機、投影機等設備采用ＭＡＣ地址認證方式接入網絡，同時不具有互聯網訪問權限。開啟７層應用管控功能，監測網絡內的應用狀況，根據狀況進行基于７層應用的ＱＯＳ和安全策略部署?？偛考胺种У牟呗钥梢越y一進行。設備的管理、維護，用戶的管理、維護，均采用統一的管理平臺實現，有線、無線、分支路由等設備均可實現統一管理、維護，統一的策略下發。用戶的管控無論是在總部、分支都可以進行統一的策略部署。管理平臺宕機，不影響任何網絡的使用和業務的運行。采用目前最先進的協同控制架構，避免馬上１１ａｃ時代來臨控制器架構淘汰，充分保護用戶的投資。1.3方案特點功能豐富，性價比高分布式部署，集中管理，統一策略下發。施工量小，工期短設備部署簡單，快捷，擴展簡單、便捷。維護量小，管理方便。可靠性高，提供Mesh鏈路做備份。安全性高，可進行７層應用識別和管控。無需購買功能License，保護用戶投資。系統架構選擇2.1無線網絡發展趨勢無線網絡的發展非常迅速，802.11ac即將發布。無線網絡正式進入G時代。開始趕超有線網絡。11ac正式標準發布后，超過1G的帶寬，未來峰值將可達到7G帶寬，控制器需要多大的交換容量來支持？用戶之前購買的控制器又要升級換代？ 2.2無線網絡架構分析選擇在馬上到來的11ac時代開始，控制器集中轉發勢必成為wifi網絡的瓶頸所在。aerohive的協同控制架構，不僅可以統一配置和管理所有的設備。所有AP均做本地數據轉發，并且不會損失任何功能。2.3分布式協同控制架構Aerohive把交換機和路由器的STP、CDP，路由協議等概念引入到了AP里，AP之間可以進行各自信息的交互，來協同工作。這樣AP才成為了一臺真真正正的網絡設備，不再只是充當天線的角色了。交換機、路由器需要控制器統一管理的嗎？交換機、路由器是如何交互信息的？AP不再受控制器的交換容量所限制，不會由于控制器的交換容量問題造成網絡瓶頸。3．系統設計整體規劃 總部部署Hivemanager網管平臺，統一管理總部及所有分支機構的AP、分支路由器、接入交換機等設備，進行統一的配置、策略分發等?？梢赃M行所有用戶的應用和流量的監控、管理。不再使用控制器+網管的結構來分別管理設備和用戶，只需設置不同的管理員權限即可。分支機構部署BR200路由器，既可以作VPN與總部的網關建立VPN隧道，又可以作為分支機構的路由器和防火墻使用，同時可以進行分支機構辦公區的無線覆蓋。如果分支機構辦公區面積較大，可直接增加AP即可，BR200還提供了2個POE端口，用于連接IP電話或者AP。3.2總部規劃統一管理：企業內的所有AP和交換機以及分支路由器都可以通過Internet注冊到企業自建的私有云HiveManager管理平臺，進行設備的統一管理、維護、監控等。統一策略：有線用戶策略和認證方式可以和無線相同，簡化了管理和策略部署，便于用戶管理。便于施工：AP除了使用有線連接到網絡外，對于不便于布線施工的位置可以采用Mesh的方式進行AP連接，AP只需要供電即可。高可靠性：AP除了正常使用有線網絡通訊外，當有線網絡故障時，會自動通過Mesh連接到其他AP與網絡通訊，最大的保證了網絡的可靠性。即便Hivemanager管理平臺宕機，不影響所有設備的工作，不影響企業的各種業務。性價比高：無需購買各種功能License，如防火墻功能、應用控制功能、干擾AP檢測等。接入端管控：對于接入交換機連接的IP電話、臺式機，AＰ連接的筆記本電腦、智能手機等終端設備的ＱＯＳ策略、防火墻策略等均會在接入網絡時生效，無需待流量到達控制器才生效，減少了網絡資源的占用、提高了策略執行效率。3.3分支機構規劃 分支機構只需要增加一臺BR200路由器即可滿足分支機構的網絡使用?？梢裕郑校芜B接到總部，可以當作寬帶接入路由器，可以當作分支機構防火墻，可以提供２個ＰＯＥ端口來連接ＩＰ電話和再加１個ＡＰ。3.4AP部署 由于暫未拿到平面圖，暫時不做AP部署的詳細設計，僅對此種應用環境下的AP部署需要注意的內容進行簡單闡述。AP部署時除了保證覆蓋之外還要滿足接入終端數量的要求，需要溝通清楚主要應用，應用不同也會對接入數量造成很大的影響。由于需要考慮手機終端的接入，手機一般比筆記本終端的無線傳輸功率較低，所以在AP部署時候需要AP相對部署的更密一些。根據測試標準，筆記本終端無線需要達到-75db（主要區域）、-80db（一般區域）、-85db（角落），但手機終端需要達到-60db（主要區域）、-70db（一般區域）、-80db（角落）。3.5準入控制員工的認證使用802.1x用戶名密碼認證或者802.1x證書認證，以保證網絡的安全性，必定員工相對來說網絡訪問權限較大。IP電話、打印機、投影機等設備的接入認證可采用MAC地址認證，可以避免給使用者帶來麻煩，可以保證設備可以方便、快捷的接入網絡。訪客使用PPSK認證方式，可以前臺注冊、觸摸屏自己注冊、員工注冊，自動生成一個唯一的帶有時限的臨時PSK密鑰，訪客可通過短信或者郵件的方式收到自己唯一的PSK密鑰。每個訪客都有一個單獨的PSK密鑰，即提高了PSK的安全性，又保留了PSK認證的便利性。認證服務器使用企業內部原有AD，可使用原有AD的用戶名、密碼連接有線網絡或無線網絡，便于記憶和使用，而且可以最大的避免重復投資。AD只需安裝IAS組件即可將AD當做一臺Radius服務器進行有線、無線的認證。3.6安全策略考慮到網絡的安全性，禁止訪客訪問任何內網資源，訪客間的所有流量也全部屏蔽掉，最大的保障網絡的安全、可靠，避免不必要的安全隱患。同時對訪客做帶寬的限制策略和應用的過濾和控制，限制在線視頻和下載應用，以便保證每個AP可以接入更多地用戶，避免訪客過多占用互聯網帶寬資源影響業務流量。同時對于員工自帶的Ipad或智能手機終端等，可以針對操作系統進行策略控制，識別為IOS或者Android操作系統時，雖然員工仍然使用了自己的員工賬號連接無線網絡，但可以禁止其訪問任何內網資源或其他策略。3.7應用控制 無論是針對員工還是訪客，如果網絡不做優化，各種大流量應用都會大量的占用帶寬資源，甚至影響企業的業務流量。所以如何最大的保證網絡的可用性，提供更多的終端使用，最大的保證業務流量，同時避免了企業一味的增大互聯網帶寬而浪費資金，只需開啟針對7層應用的監控、QOS、防火墻功能即可。 如禁止各種下載、禁止各種在線流媒體視頻、把那些會影響其他用戶的應用全部禁止掉，留下那些IM相關的通訊軟件等都占用的流量較少，可保證AP可接入更多的用戶，讓更多的人可以同時享受服務，最大保證企業業務流量的順暢。 在應用控制面板里可以看到目前的用戶都再他用哪些應用，哪些應用占用的資源最大，可以針對每一種應用進行QOS策略定制或者防火墻策略定制。 目前Aerohive支持711種應用識別，并且每月將更新一次識別文件庫，此功能無需購買License，免費使用。3.8設備選型BR200，用于各個分支機構的互聯網出口，不僅可以當路由器用還可以當防火墻和AP使用，支持ＶＰＮ到總部。AP121，一般區域的信號覆蓋使用。２ｘ２ＭＩＭＯ，內置天線。AP141，對于部分特殊區域的信號覆蓋，２ｘ２ＭＩＭＯ，具有外置天線，覆蓋效果更好。AP330,支持３ｘ３ＭＩＭＯ，對于安全策略及應用管控需求較大的企業使用，硬件性能高，可以處理較多的安全和應用策略。AP350,支持３ｘ３ＭＩＭＯ，對于安全策略及應用管控需求較大的企業使用，硬件性能高，可以處理較多的安全和應用策略。，具有外置天線，覆蓋效果更好。Hivemanager網管軟件，可監測所有的設備，檢測用戶流量，并生成報表進行分析，可以清晰知道網絡使用狀況，以便決定是否需要進行系統擴容，哪里進行擴容進行準確無誤的決策。CloudVNPGateway，VPN網關，支持GRE隧道，L2IPsec隧道，L3IPsec隧道，支持OSPF和RIPv2動態路由協議。無需按隧道數或用戶數購買License。數量將根據具體項目情況進行統計計算。4.與其他品牌對比分析

AerohiveAruba控制器無，不需要控制器。需要根據AP數量進行購買，并購買AP的License。功能許可證免費功能許可證數量多，需付費購買。防火墻免費購買PEF授權。按AP數量。入侵防御免費購買WIPS授權。按AP數量。網管軟件公有云服務，私有云購買Airwave網管軟件。單獨購買幾個幾個模塊的License，WIPS、RF等。