wlan网络设计-24大型企业

Copyright

©

2013Technologies

Co.,

.s.大型企业WLAN设计前言WLAN在移动性上的天然优势，使得WLAN在大企业及行业网里得到了广泛的应用。本章节主要讲解WLAN在企业移动办公、行业网的特殊应用场景，以及WLAN在这些领域应用的一些

点。Copyright

©

2013TechnologiesCo.,.s.Page

1目标学完本课程后，您将能够:理解BYOD的基本概念描述大型企业中WLAN的一些Copyright

©

2013TechnologiesCo.,.s.Page

2BYOD简介大型企业WLAN概述Copyright

©

2013TechnologiesCo.,.s.Page

3BYOD简介Bring

Your

OwnDevice（使用自带设备办公）据IDC统计：2013年外出办公的 达到12亿2013年公司移动办公的员工比例达35%任何设备任何地方任何应用Copyright

©

2013TechnologiesCo.,.s.Page

4企业移动应用三阶段日程管理员工查询SMSERPSCMBI

SFA

FFA2%8%20%70%L0正在考虑部署移动业务的企业L1

OA移动化及协同部署移动OA及办公协同的企业OA移动->业务移动->业务创新L2

业务移动化业务实现移动化的企业L3

业务创新利用终端特性带来的流程优化和革新的企业AlwaysonPortableSensingCopyright

©

2013TechnologiesCo.,.s.Page

5BYOD的主要应用移动UC桌面云OA应用移动化移动展业安全邮件移动UC桌面云OA应用移动化移动展业安全邮件BYODCopyright

©

2013TechnologiesCo.,.s.Page

6大中企业中WLAN移动办公组网方案三层网络架构接入层采用PoE交换机为AP供电在分布层交换机使用AC插卡组网或旁挂盒式AC组网接入层PoE交换机层交换机分布层交换机出口路由器交换机内置AC插卡或旁挂ACCopyright

©

2013TechnologiesCo.,.s.Page

7端到端BYOD组件网络终端安全交换机WLAN

AP/ACIPS/IDS路由器3G/4G蜂窝网络平板智能Web

Security便携TSM（准入控制，策略管理）MDMeSight安全浏览器PushmailOABPM//ERP/…MEAPeSpace

UCVDI策略管理应用Copyright

©

2013TechnologiesCo.,.s.Page

8BYOD解决方案覆盖应用场景图示InternetWANSmart

PhonePadLaptopMediaPadVDI华为自有终端安全策略终端管理数据库/

服务CAUCVDI服务器服务器应用及开发平台MDM（移动设备管理）SVN网关企业总部APSACG企业蜂窝网eWBB3G/LTE公共Wi-Fi公共场合家庭办公AP企业小分支APRouter企业分部Access

SwitchAPSACGRouterADSL野外作业应急救护移动作业金融网点公共蜂窝Access

SwitchASG新建WLAN网络WLAN安全性改造终端安全行业定制终端企业内网接入企业接入移动分支上网行为管理防护移动通信桌面云OA应用移动化移动展业安全邮件终端安全行业定制终端移动展业安全邮件桌面云OA应用移动化7

防护8

移动

通信5

移动分支6

上网行为管理3

企业内网接入4

企业

接入1

新建WLAN网络2

WLAN安全性改造12124AR

Router56789

12Ascend14第三方终端89101112137710

企业应用系统OA、ERP、

SCM…3企业AC1

2

31

21

2

334

74MEAP

第10

11

14

应用13

1436

TSM

（策略服务器）7Copyright

©

2013TechnologiesCo.,.s.Page

9WLAN组网BYOD简介大型企业WLAN组网WLAN

Mesh组网WLAN

冗余备份特性WLAN

融合型安全解决方案WLAN

射频资源管理Copyright

©

2013TechnologiesCo.,.s.Page

10室外MAP室外MP室室外MP室外MP室外M室内MAPAC室外MPAP零配置上线，无需人工配置MESH

AP节点不需要预先配置，上电自动发现MESH网络，自动接入MESH网络并 配置信息，即插即用。动态链路选择，负载均衡根据Mesh链路质量（丢包率，包长，带宽）实现最优链路选择和负载均衡应用场景不方便布线，链路需要备份，可靠性要求较高的场景，如仓库、港口码头等。在阻碍较多或建筑布局不合理的场景，利用Mesh组网完成多跳组网以绕过

物。热点覆盖远端有线网络室内覆盖灵活Mesh组网Mesh网关MESH

AP集中管理Copyright

©

2013TechnologiesCo.,.s.Page

11WLAN组网BYOD简介WLAN在行业网的应用大型WLAN组网WLAN

Mesh组网WLAN

冗余备份特性WLAN

融合型安全解决方案WLAN

射频资源管理Copyright

©

2013TechnologiesCo.,.s.Page

12CAPWAP断链业务保持网络用户新用户AP交换机AC

1

2新用户上线AP1.CAPWAP断链业务保持CAPWAP链路中断后，用户业务不中断，数据持续转发2.CAPWAP断链新用户上线AP无线侧安全策略为开放系统认证、共享密钥认证（

）和/2时，新上线用户可接入上线。用户数据通过本地转发模式转发。用户业务不中断应用场景对于没有AC备份的小型无线网络，业务续航模式可保证用户数据转发不中断，提升业务可靠性。Copyright

©

2013TechnologiesCo.,.s.Page

131+1热备份(HSB+VRRP)主ACeSightPolicy

Center备ACHSB备份通道用户用户12接入交换机APHSB业务实时备份用户数据信息备份CAPWAP隧道信息备份AP表项备份1+1热备切换检测①AC整机检测②AC上行链路检测（BFD）VRRP热备机制AC地址虚拟：面向AP,主备AC使用VRRP协议虚拟出一个AC地址上行链路 支持BFD+VRRP下行链路使用MSTP

环路Copyright

©

2013TechnologiesCo.,.s.Page

14WLAN组网BYOD简介WLAN在行业网的应用大型WLAN组网WLAN

Mesh组网WLAN

冗余备份特性WLAN

融合型安全解决方案WLAN

射频资源管理Copyright

©

2013TechnologiesCo.,.s.Page

15融合型无线安全解决方案无线侧安全防范终端精细化控制隧道数据保护DTLSWIDS/WIPS数据窃取CAPWAP无线接入点WAN无线控制器终端认证/

/计费频谱分析终端类型识别Rogue设备探测eSight非WIFI设备频谱分析WIDS/WIPS无线 检测Rogue设备识别DTLS(Datagram

TLS）实时加密保护标准CAPWAP无线隧道协议MAC/802.1X/Portal等多种接入控制方式用户组策略终端类型识别Copyright

©

2013TechnologiesCo.,.s.Page

16非WIFI干扰源频谱分析蓝牙微波炉无绳监测模式eSight无线音频ACZigbeeBabyMoniter无线

控制器混合模式用户交换机

频谱扫描与采样采样数据分析识别非WIFI干扰源定位和频谱显示无线用户接入频谱扫描与采样Copyright

©

2013TechnologiesCo.,.s.Page

17WIDS/WIPS–无线检测eSight802.11报文泛洪检测防

PSKSpoof检测Weak

IV检测132AC①

无线 检测泛洪 检测PSK

检测Spoof

检测Weak

IV

检测丢弃报文②无线AP上报上报告警至AC,AC统计类型，同时通过trap告警告知 平台③动态，AP丢AC将 设备放入弃该 设备的所有报文，防止对网络造成冲击。动态告警上报Copyright

©

2013TechnologiesCo.,.s.Page

18设备识别Ad-HocRogue终端Rogue

AP无线报文使用Rogue

AP

MAC地址发送假广播解除认证帧、以及单播解除认证帧，无线用户和Rogue

AP建立Rouge

AP识别使用Ad-Hoc的B

、MAC地址发送

单播解除认证帧进行

，Ad-Hoc

的建立Ad-Hoc网络识别使用RogueClient的B

、MAC地址发送假单播解除认证帧进行

，

Rogue终端接入APRogue终端识别识别无线网桥链路及WDS网络无线网桥识别用户无线网桥假解除认证帧假解除认证帧假解除认证帧设备Copyright

©

2013TechnologiesCo.,.s.Page

19用户AC集中认证，流量按需转发AP分支网络分支AP总部APInternet员工

VLA

N员工认证访客认证总部认证总部

VLA

N分支用户总部用户访客用户员工••分支流量直接转发至分支网络节省AP/AC间网络带宽分支网络无需增加认证设备•流量按需转发限制

区域访客接入Internet,无法接入网络，节省网络带宽AC

处理所有用户认证数据•用户数据本地转发，认证数据集中处理•用户数据集中转发，认证数据集中处理接入交换机AC汇聚交换机eSightPolicy

Center网络Copyright

©

2013TechnologiesCo.,.s.Page

20终端类型识别厂商A-笔记本厂商C-厂商B-笔记本厂商D-平板Policy

Center带终认证报文携带终端类型信息同一账号，不同终端类型的业务策略支持相同用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度APAP基于终端类型的业务策略根据终端类型，认证页面自动适配，保留用户操作根据终端类型赋予不同的业务策略如VLAN/ACL/带宽限制交换机

笔记本平板AC根据终端类型下发业务策略根据上报终端类型信息下发业务策略：业务VLAN、ACL、带宽限制、用户

策略厂商+终端类型识别AC通过终端MAC地址、HTTPuser-Agent信息和DHCPOption识别厂商和终端类型Copyright

©

2013TechnologiesCo.,.s.Page

21用户组策略-灵活动态员工组Policy

Center3访客组1AP

2交换机AC访客组策略配置带宽

：1MbpsACL

：

资源业务VLAN：访客业务VLAN用户

：用户间

通信员工组策略配置带宽

：4MbpsACL

：可以

公司业务平台业务VLAN：员工业务VLAN用户

：允许组内用户通信，禁止组间用户通信账号、用户组绑定访客账号访客组策略员工账号员工组策略①用户认证②Radius下发用户组至AC③AC执行用户组策略Copyright

©

2013TechnologiesCo.,.s.Page

22802.1x认证部署Policy

CenterACAP用户Radius

ClientRadius

Server用户名 认证无线侧加密策略①通过802.1x认证客户端发起认证①认证成功后获取地址Open :低安全，用户只需完成802.1x认证，便于操作用户认证终结对接主备Radius服务器用户名、及绑定策略对接无线控制器Copyright

©

2013TechnologiesCo.,.s.Page

23Portal认证部署Policy

CenterACAP用户Radius

Client用户名 认证无线侧加密策略Policy

CenterPortal

ServerRadius

ServerWeb认证页面推送用户认证终结对接主备Portal服务器对接主备Radius服务器，便无线侧Open于用户操作①认证前获取IP地址②HTTP请求触发Web认证页面，无需客户端①通过Web认证页面发起用户认证及

用户名、绑定策略对接无线控制器Web认证页面提供页面定制化功能对接无线控制器Copyright

©

2013TechnologiesCo.,.s.Page

24Portal＋MAC混合认证-一次认证，多次接入ACAP用户Policy

CenterPolicy

CenterPortal

ServerRadius

Server一次认证，多次接入无线接入及用户名、绑定策略对接无线控制器记录用户MAC地址首次Portal+Mac认证后续自动Mac认证12345Web认证页面提供页面定制化功能对接无线控制器①用户发起Web认证请求②Portal服务器发起认证请求到AC③AC发起Radius认证，携带用户名、及终端Mac地址③Radius通过认证，记录终端Mac地址⑤用户后续接入使用Mac认证，无需再进行Web认证。无感知接入网络认证对接Copyright

©

2013TechnologiesCo.,.s.Page

25WLAN组网BYOD简介WLAN在行业网的应用大型企业WLAN组网WLAN

Mesh组网WLAN

冗余备份特性WLAN

融合型安全解决方案WLAN

射频资源管理Copyright

©

2013TechnologiesCo.,.s.Page

26移动漫游，无缝感知二层无缝漫游相同 下，终端在同一VLAN中漫游。终端IP地址丌变。业务丌中断，无需重新认证。802.1x认证二、三层快速漫游2+802.1x漫游优化：密钥协商下移技术减少空口密钥协商时间，缩短漫游时延;PMKcaching技术帮助漫游终端跳过802.1x认证过程，缩短漫游时延。终端切换时间：100ms终端切换时间：300ms接入交换机三层无缝漫游相同

下，终端在丌同VLAN中漫游。终端IP地址丌变。业务丌中断，无需重新认证。终端切换时间：300msAC汇聚交换机相同,相同VLAN覆盖区域覆盖

区域覆盖区域覆盖

区域相同,不同VLAN二层漫游三层漫游Radius服务器Portal服务器Copyright

©

2013TechnologiesCo.,.s.Page

27无线高密接入会议室教室体育场车站基于终端自动逐包控制发送功率，减少对其他AP以及系统内用户终端的干扰高功率发送低功率发送强制下线<-80dBm限制接入-75dBm优先接入>-75dBm自动优先接入5GHz网络，双频混合应用，减少2.4GHz负载，提高系统整体性能。5GHz终端优先接入5GHz网络5GHz频段优先调度2.4GHz&5GHz混合覆盖区域专业室内、室

络规划工具：仿真视图解决高密场景网络规划难题自动逐包功率控制限制低速率用户接入，强制弱信号用户下线，避免误关

障已关联终端的业务性能专业网规网优工具低速用户限制接入Copyright

©

2013TechnologiesCo.,.s.Page

28WLAN

RFID无线定位Wi-Fi网络AP TAG或终