Aruba 企业无线网络构建

CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved如何构建易于部署、高效、低成如何构建易于部署、高效、低成本的大型安全企业无线网络本的大型安全企业无线网络 -ArubaAruba中国区技术总监中国区技术总监 王跃霖王跃霖 CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedAruba 完备的产品线Aruba 6000 支持支持2048个个AP的移动控制器的移动控制器Airwave Management网络管理，网络管理，RF管理，服务创建管理，服务创建ArubaOS移动应用软件移动应用软件Aruba 200 支持支持6个个AP的移动控制器的移动控制器Aruba 2400 支持支持48个个AP的移动控制器的移动控制器Aruba Access Points单频，双频，三频，单频，双频，三频，MESH，户外各种类型，户外各种类型APAruba 800 支持支持16个个AP的移动控制器的移动控制器Aruba 3000 支持支持8128个个AP的移动控制器的移动控制器CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedAruba 安全企业无线网络架构多功能控制器基于ASIC-Based架构，线速转发L2-7 的状态防火墙隧道传输技术不改变现有网络架构客户端到核心安全加密多功能无线接入点WLAN接入,Air Monitor,Remote Access,Mesh Point11a/b/g/n即插即用连接现有交换机数据中心ArubaAruba接入点接入点ArubaAruba移动控制器移动控制器有线网络无线终端无线终端CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedArubaAruba独有集中式无线移动解决方案独有集中式无线移动解决方案路由/QoS 设备VPN 网关局域网防火墙Captive PortalAP无线无线控制器控制器软件模块软件模块WiFi 环境WiFi 入侵侦测系统WiFi 接入控管网络访问控制多功能服务开展局域网结合现场考察POE 交换机无线局域网侦测 数据包抓取无线电波监控AP 接入点无线交换机/模块多层管理系统网管CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved分支分支分支分支分支分支总部总部总部总部总部总部家庭无线网家庭无线网家庭无线网家庭无线网家庭无线网家庭无线网移动环境移动环境移动环境移动环境移动环境移动环境LAN/WAN/INTERNET数据中心数据中心数据中心数据中心数据中心数据中心Aruba 无线移动网络部署方案无需升级现有无需升级现有IPIP网络网络CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved企业总部无线网络部署FLOOR 2FLOOR 1BUILDING/CAMPUS COREBACKBONE现有IP骨干网络无需升级APAPMobilityController6CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved便于扩展：随时随地对无线网络进行扩展分支机构分支机构/办公室办公室公司总部公司总部Internet 服务服务来客来客Internet 访问访问DMZINTERNETGUESTCORPCORP语音语音VOICEDSL路由器路由器GUESTVLANInternet 服服务分割隧道分割隧道用于传输互联网流量的分割隧道以用户为中心的内置防火墙防火防火墙/NATFan TrayUp to 4 M3 Mark IRedundant PSUs40 x 1000Base-X(SFP)8x 10GBase-X(XFP)业界最强大的无线控制器业界最强大的无线控制器 单台支持单台支持80G线速转发线速转发 单台管理单台管理2048个无线个无线AP从室内向室外扩展从室内向室外扩展向更加广阔的向更加广阔的Internet扩展扩展CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedARUBA安全移动网络特点快速部署WLAN Mesh技术室内、室外一体化mesh解决方案Mesh Cluster高可用性保障现有控制器和AP通过软件License即可支持，无需专用设备meshmesh接入点接入点接入点接入点 (MAP)(MAP)CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved企业分支机构无线网络部署企业分支机构无线网络部署主要特性主要特性集中式无线局域网集中式无线局域网控制控制策略执行防火墙策略执行防火墙站点到站点站点到站点 VPN第二层以太网交第二层以太网交第三层第三层 IP 路由路由集中管理选项Internet/Enterprise WAN移动性控制器提供有线交换、无线 LAN、NAT、VPN、防火墙Aruba 控制器之间的站点到站点 VPN 连接有线设备公司总部无线分支机构CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedDatacentersAruba的的Virtual Branch Network 解决方案解决方案Data CenterControllers 控制器控制器 VPN 集中器集中器 PLUS PLUS 集中式远程网络功能集中式远程网络功能 PLUS PLUS 虚拟化远程网络操作虚拟化远程网络操作1Remote Access Points(RAPs)VPN LAN 延伸延伸 PLUSPLUS 本地局域网连接本地局域网连接 PLUSPLUS 本地策略执行本地策略执行2AirWave 管理平台管理平台架构设置管理架构设置管理 PLUS PLUS 运行管理运行管理3CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedTo BranchAruba Aruba 控制器控制器 集中的，全面的远程接入实时控制解决方案集中的，全面的远程接入实时控制解决方案VPNServerRemoteWireless LANControlRemoteWired SecurityControlPEFDistributedPolicy EnforcementFirewall EngineRADIUS/LDAP/ADAPIs/IntegrationManagement HooksCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedTo DatacentersClientVPNWANPlug-Play ClientEnterpriseSecureWi-FiLANLocal ConnectivityEnterpriseSecureWiredAruba Aruba 远程接入点远程接入点LAN/WAN/InternetAccess Forwarding PriorityPer User/Device/SessionDynamic Policies via ControllerPEFDistributedPolicy EnforcementFirewall EngineCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved一套综合业务管理解决方案一套综合业务管理解决方案 AirWave 管理系统管理系统 Security&Audit Team遵循遵循网管网管&安全安全自动审核&报告无线&有线的入侵检测Network Engineering提供提供&配置配置系统提供集中式设置&变更控制系统诊断监测监测&可视化可视化全面且充分的了解每一个远程客户及设备 远程诊断和故障排除L1/L2 Help Desk报告告&分析分析 习惯&趋势报告触发器&警告APIs for 3rd party integrationExecutive Management将有线和无线统一在将有线和无线统一在基于角色的访问控制下基于角色的访问控制下CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved安全的安全的企企业无无线入侵防护入侵防护企业无线局域网企业无线局域网访客连接访客连接IP 语音语音&影像影像拓展的拓展的PBX本地的本地的PBXNAS&服务器服务器打印机打印机网络设备网络设备有线客户端有线客户端可靠的可靠的企企业有有线全面的功能性全面的功能性PEFPEFPEF 实施策略实施策略动态的的每一个每一个 用用户/设备/SessionLocalForwardingSplit Forwarding面向用户面向用户实时可见实时可见 实时控制实时控制CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedSecureCorpNetwork易于部署易于部署1.接入接入RAP 于任何网络于任何网络2.输入控制器地址输入控制器地址3.建立安全的连接建立安全的连接4.控制器将自动更新并提供给控制器将自动更新并提供给 RAP5.安全的远程网络自动连接完成安全的远程网络自动连接完成PEFEnd User Installable,No Truck-Rolls!SecureCorpNetworkPEFSecureCorpNetworkPEFCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved独立于传输介质独立于传输介质SecureCorpBranchNetworkAnyWAN/LANLAN Challenge Solved用户连通性用户连通性安全策略安全策略流量策略流量策略Transport Is A“Cloud”Buy transport from the most convenient supplierRAP Drops Traffic To It or Tunnels Through ItManagement Solved实时可见实时可见实时控制实时控制CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved易于管理易于管理Image MgmtConfig MgmtIP MgmtFirmwareImage MgmtConfig MgmtIP MgmtFirmwareMonitoringChangesTroubleshootingImage MgmtConfig MgmtIP MgmtFirmwarex“N”TraditionalImage MgmtConfig MgmtIP MgmtFirmwareMonitoringChangesTroubleshootingImage MgmtConfig MgmtIP MgmtFirmwareMonitoringChangesTroubleshootingEnd-UserHelp-Desk“Assist”ToolsImage MgmtConfig MgmtIP MgmtFirmwareMonitoringChangesTroubleshootingEnd-UserHelp-Desk“Assist”Tools虚拟化虚拟化&集中化的关键集中化的关键多种管理功能集于一身的设备实时的远程可见性和控制性实时的远程可见性和控制性User LevelPacket LevelInstant Changesx 1CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved所有的分支，一种解决方案所有的分支，一种解决方案多用户多用户多设备多设备多策略多策略ONE NETWORKEmployeesContractorsPartnersSuppliersGuestsPCsPrintersPhonesCamerasMachinesCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved小型分支机构小型分支机构企业小型分支机构无线网络快速部署19enterprise-ssid Remote AP Mesh for extended,instant coverageenterprise-ssidenterprise-ssidInternetCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedenterprise-ssid临时办公（酒店）enterprise-ssid家庭办公企业移动/临时办公环境快速部署20enterprise-ssid Remote APInternetCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved快速搭建和扩展远程无线网络 企业总部：Aruba 控制器3G USBMODEMInternet运运营商商 3G网网络3G LinkCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved企业临时办公环境快速部署CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved企业临时办公环境快速部署CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved统一管理的网络LAN数据中心数据中心Master Aruba 6000Local WLAN TrafficCentral Security PolicyCentral ManagementFor Remote APsFor Rapid Deployment For remote controller failoverRedundant Aruba 6000OptionalBacks up Master ControllerShares AP LoadAruba AirwaveFor Multi-VendorFor Multi-controller mgmtWAN/3GInternet室内室外VBNCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved统一的无线策略集中管理与自动优化：不需要人工干预的智能网络自适应射频管理（Adaptive Radio Management）基于可用频谱对WLAN进行持续优化1.对频谱进行实时扫描和监视2.自动选择最佳信道和功率，降低网络冲突和干扰，并在AP失效时自动对盲区进行覆盖3.同频干扰抑制4.基于用户和流量进行负载均衡5.对双频段用户提供频段指引6.公平接入快速和慢速客户端7.基于负载感知的射频扫描8.基于应用感知的射频扫描物理位置时间可用信道挑战 动态射频环境在一定的覆盖范围，可以使用的工作信道并不是一成不变的，与环境中存在的干扰和用户密度、流量负载等有关大厅大厅自习室自习室会议室会议室办公室办公室/工位工位CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved网络复杂性网络复杂性Wi-Fi网络性能网络性能Without ARM 2.0Without ARM 2.0With ARM 2.0With ARM 2.0 20%20%公平分配网络性能公平分配网络性能公平分配网络性能公平分配网络性能 40%40%大幅降低干扰影响大幅降低干扰影响大幅降低干扰影响大幅降低干扰影响 30%30%提升网络整体性能提升网络整体性能提升网络整体性能提升网络整体性能 100 100 超高密度用户接入超高密度用户接入超高密度用户接入超高密度用户接入 性能不稳定实时性应用受到影响无线终端频繁掉线无线用户密度无线用户密度各种各样的终端各种各样的终端不同的操作系统不同的操作系统复杂的无线应用复杂的无线应用ArubaAruba新一代的智能射频控制技术（新一代的智能射频控制技术（ARM2.0ARM2.0）提供领先的无线连接性能和可靠性提供领先的无线连接性能和可靠性CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved接入交换机接入交换机路由器路由器访客合同工职工领导传统有线网络的安全策略传统有线网络的安全策略传统有线网络的安全策略传统有线网络的安全策略汇聚交换机汇聚交换机核心交换机核心交换机防火墙防火墙/VPN固定的安全检查点固定的安全检查点Internet网络攻击网络攻击WWWCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved接入交换机接入交换机路由器路由器访客合同工职工领导传统有线网络的安全策略传统有线网络的安全策略传统有线网络的安全策略传统有线网络的安全策略汇聚交换机汇聚交换机核心交换机核心交换机防火墙防火墙/VPN固定式的安全检查点固定式的安全检查点问题：1）防火墙内侧安全控制？2）分支机构的安全控制？3）小型办公机构的快速展开？4）全网用户身份如何识别？5）访客如何接入？6）新兴业务如何开展？?InternetWWWCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved基于用户角色的安全策略基于用户角色的安全策略基于用户角色的安全策略基于用户角色的安全策略访客访客职工职工核心交换机核心交换机路由器路由器WEB 页面认证页面认证AAA 服务服务RADIUS,LDAP,ADARUBA 移动控制器Rights,QoS,VLANRights,QoS,VLANRights,QoS,VLANRights,QoS,VLAN领导领导Rights,QoS,VLAN访客语音终端合同工职工领导合同工合同工语音终端语音终端SSID:UNIVSSID:GUESTAruba APSSID:VOICE企业有线IP网络InternetWWWCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved 单一物理网络设施 不同级别的接入控制 区分用户、终端、应用 网络策略推动 强制策略INTERNET接入服务访客VOIP服务语音合作伙伴合作伙伴子网职工职工子网领导领导子网能区分不同的用户及应用能区分不同的用户及应用CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedWLANWLAN传统的传统的传统的传统的APAP的安全的安全的安全的安全EmployeeEmployeeWired LANWired LANEncrypted trafficIdentificationAuthenticationAuthorizationInternalcorporate LANDisconnectDisconnectDecrypted trafficFirewallFirewallMalicious InsiderMalicious InsiderKey IssuesMalicious insiders can spoof valid clientsExternal firewall cannot tell differenceNo identity is maintained end-to-end数数据据加加密密CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reservedWLANWLAN端到端的安全端到端的安全端到端的安全端到端的安全EmployeeEmployeeWired LANWired LAN(Data Center)(Data Center)Encrypted trafficAdvantagesAuthentication&firewall togetherFirewall policies based on identity,not MAC or IPEnd-to-end encryption Spoofing attacks defeatedAuthorizationIdentificationAuthenticationAruba Mobility ControllerEncrypted trafficDecrypted trafficInternalcorporate LANMalicious InsiderMalicious Insider数数据据加加密密CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved核心交换部署部署 Aruba WIP 的环境的环境临近的无线热点临近的无线热点停车场停车场ValidInterferingKnown InterferingRogue移动控制器移动控制器AP AP 分类分类分类分类CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved主要特性主要特性1.与与 WLAN 基础设施集成，不需要另外购基础设施集成，不需要另外购买昂贵的无线探测器和分析软件买昂贵的无线探测器和分析软件2.对恶意接入点进行检测、定位和控制，对恶意接入点进行检测、定位和控制，消除来自空中的网络入侵隐患消除来自空中的网络入侵隐患3.拒绝服务攻击检测，提供拒绝服务攻击检测，提供API支持用户自支持用户自定义攻击类型定义攻击类型4.对各种无线设备、终端和对各种无线设备、终端和RFID标签进行标签进行定位，可以为第三方定位提供定位，可以为第三方定位提供API接口接口非法非法AP非法用户非法用户集成了无线Sensor的多功能接入点CONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved实现移动性和安全性的完美结合35教师电话、打印机80Gbps线速转发个人策略防火墙企业网络资源接入网络学生多业务移动控制器认证 the User分类 the Traffic控制Access per User优化the Air跟随the UserCONFIDENTIAL Copyright 2008.Aruba Networks,Inc.All rights reserved谢谢！谢谢！