ARUBA制造业办公楼及厂区无线网络方案

Click to edit Master title style,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,ARUBA,制造业、办公楼及厂区解决方案,1,公司简介,成立于：,2002,年,2,月,市场定位：无线安全与移动,创新点：无线交换技术,客户群：全球,1500+,员工数：全球,300+,产品：移动控制器,解决方案特点：,部署快捷,管理方便,容易扩展,安全可靠,支持多业务,2,高科技企业,教育,医疗,政府,金融,其他,400+,80+,150+,50+,40+,20+,Novell,广泛的市场认可度,3,传统固定边缘,(Fix Edge),传统有线网络的安全是基于物理的，而单纯是物理安全是不足够的,没有考虑到用户的移动性,基于端口的安全而非用户的安全,部署复杂,4,相关的应用,终端用户,可接受成本,用户使用经验,生产效率,用户需求拉动,技术推动力,内置终端芯片,具有标准遵循,对于移动性的追求,移动设备的普及,移动边缘,(Mobile Edge),固定边缘,(Fix),移动边缘 网络发展的大趋势,5,工厂网络部署需求分析,工厂车间,视频监控,流程管理,语音指令,数据采集,库房管理,企业办公,员工办公网络支持多种应用,监控网络使用状况，杜绝网络泄密,内部,VoIP,，降低通信费用,移动远程办公，领导出差方便,网络部署,无线网络部署方便,集中式管理和维护，可扩展与升级,认证、加密、灵活部署保证网络安全,遵循标准，容易和现有应用系统对接,6,承载应用,一般数据应用,无线网络的控制隔离,第三方,AP,的抑制,流水线数据采集处理,工厂库房资产管理,企业流程作业承载,远程办事处网络统一接入,来访客人网络接入,多媒体应用,工厂流程视频监控,语音指令指导工人操作,园区内无线,VoIP,电话,园区厂房车间内人员定位,无线视频会议,高危地区视频监控,7,文化娱乐服务的支持,直播现场用无线网将视音频信号传回机房,机房的媒体服务器将收到的节目“组播” 出去,无线现场网络直播系统,8,安全监控服务支持,建立无线网络安全监控可以避免暴力、偷盗行为,9,语音通讯服务支持,无线,VoWLAN,应用,10,高效的环境服务支持,方便地控制路灯的亮度以及开关状态。,11,目前国内无线网部署的忧虑,可管理性需求,隐藏成本,安全性,部署施工,12,重视用户移动性,保持现有有线网络架构不改动,部署的“移动边缘”能够横跨局域网、广域网和因特网,部署快捷，管理方便，可扩展，加强安全性，支持承载多业务,Controlled Access Points,LAN,Internet,WAN,Mobility Controller,MOBILE EDGE,ARUBA,的解决方案思想,13,集中式无线网络架构解决无线局域网安全和管理成本过高等问题,“瘦,”,Access Points,集中式,无线局域网交换机,802.11a/b/g,天线,策略,移动,发送,加密,认证,管理,“胖”,Access Points,首创集中式无线交换架构,（,2003,）,14,1,2,3,核心层,汇聚层,接入层,网络中心,3,3,2,2,1,1,4,4,5,5,101,102,103,102,102,103,103,101,101,教师,教师,教师,202,202,203,203,201,201,学生,学生,学生,202,203,201,1,1,2,2,3,3,GRE,隧道,实施和管理简单,（无需改变原有网络的设置）,15,分支机构,核心办公区,家庭无线网,移动用户,LAN / WAN /,INTERNET,数据中心,NO UPGRADES,分布式的移动边缘部署方案,16,WAN,1,2,3,1,2,3,Wired VLANs,INTERNET,接入层交换机,汇聚交换机,核心路由器,防火墙,分支机构网络,远程接入,骨干有线网络,VPN,服务器,分支机构路由器,VPN,客户端,传统的有线网络架构,17,WAN,1,2,3,1,2,3,Wired VLANs,INTERNET,1,2,3,瘦,AP,瘦,AP,瘦,AP,移动控制器,无线入侵检测,安全无线连接,集中式加密认证,内置定位服务,采用,ARUBA,构建无线移动网络,18,WAN,1,2,3,1,2,3,Wired VLANs,INTERNET,1,2,3,分支机构,AP,移动控制器,移动性很容易扩展,19,WAN,1,2,3,1,2,3,Wired VLANs,INTERNET,1,2,3,安全的远程,“瘦”,AP,移动控制器,跨越互联网也能够得到移动性支持,20,接入层,主干,WAN,Internet,无线,AP,数据中心,骨干内的移动控制器,加密传输来进行集中式管理,已有的认证服务,分支机构的无线网络,分支机构部署的,移动控制器,对分支机构进行,集中式的管理,远程接入,远程,AP,即插即用,整合无线有线,支持语音数据,高性能，低部署成本,集中式的无线,数据,/,语音解决方案,和已有,AAA,服务以及有线网络能够无缝的整合在一起,家庭无线网络,远程,AP,移动办公室,远程,AP,无线网络,始终跟随着用户,集中式的无线,安全解决方案,ARUBA,移动网络完整解决方案,21,为什么选择,ARUBA,移动性,访客资源,内部无线热点,分布式无线覆盖,远程,/,分支办公访问,小办公室、家庭办公，出差移动办公访问,保护传统的无线安全,无线定位系统,安全性,基于身份认证的安全,无线入侵检测,终端完整性检测,扩展安全服务,二层安全,融合性,IP,电话,消息语音应用,移动设备间的融合,融合固定和移动设备,NETWORK,SECURITY,CONVERGEDNETWORKS,SEAMLESS,MOBILITY,22,具有最完整的移动边缘解决方案,路由,/QoS,设备,VPN,网关,局域网防火墙,Captive Portal,瘦,AP,无线交换机,软件模块,WiFi,环境,WiFi,入侵侦测系统,WiFi,接入控管,网络访问控制,多功能服务开展,局域网结合,现场考察,POE,交换机,无线局域网侦测,数据包抓取,无线电波监控,AP,接入点,无线交换机,/,模块,多层管理系统,网管,23,大厅,自习室,会议室,办公室,/,公位,射频管理在以往是一种艺术,Aruba,把这些工作都变成为事实：,负载均衡,抗干扰处理,无线环境侦测,自动调节,持续网络优化,有线,/,数据包,摄取,远程控制管理,位置跟踪服务,自动化,RF,勘测,现在已变为简单的日常工作,智能化的射频管理功能,24,自动恢复,Wi-Fi (,无线局域网,),WLAN,交换机 发现,AP,有故障,x,25,交,换机自动调节,其它靠近的,A,P,，加强它们,的功率来覆盖发,生故障,AP,的范围,当新的,APs,连接到,网上时，它的设置,会从,WLAN,交换机,自动下载,自动恢复,Wi-Fi (,无线局域网,),26,丰富的负载均衡特性,2,3,1,可根据用户数量进行负载均衡,基于,VLAN POOL,的负载均衡,27,动态显示,把,AP,设置在图纸上可实时查看无线电波状态,节省大量人力资源来量度和记录无线电波,实时查看,射频信噪比,干扰情况,链路传输覆盖面,多层无线电波覆盖面物理显示,显示楼层间无线电波泄漏,出色的射频规划工具,28,登录为会员,用户名和密码，认证通过,Radius,服务器,登录网页包括 “,vpn dialer”,Internet,的连接不受限制,未来视频电话可用,V,PN,认证,“,Member”,权限,登录为,客户,提供电子邮件,连接到,Internet,只局限于,HTTP and HTTPS,“,Guest”,权限,MAC +WEP,终端没有浏览器,(e.g.,VoWLAN,打印机,电话, or PDA),接入局限于端口,(e.g. SIP,l,PR,),“,Device”,权限,Associatewith AP,“,Logon”,权限,有限制的接入,(DNS, DHCP, ICMP, HTTP and HTTPS,转发到,Aruba,交换机,),通过,DHCP,来分配,IP,地址,基于用户身份的控制策略,29,限制客户的使用带宽,ICSA,认可的个人,状态防火墙策略,权限和带宽控制,30,设定的用户策略， “用户” 服务只容许连接到外面的地址,防止蠕虫,容许透过,VPN,连接到家和没有优先级,等,个人防火墙策略,31,单一物理网络设施,不同级别的接入控制,区分用户、终端、应用,网络策略推动,强制策略,INTERNET,接入服务,访客,VOIP,服务,语音,学生,学生,子网,教师,教师子网,领导,领导,子网,能区分用户及应用,32,核心交换,部署,Aruba WIP,无线入侵检测系统,附近的无线热点,停车场,合法,干扰,非法,移动控制器,业界最强大的无线入侵检测系统,33,入侵检测，放入黑名单,34,透过,RF Locate,实现位置追踪,透过短波信号来寻找用,户,不管任何的,Wi-Fi,设备,实时显,示,能同时看到多个无线局域网终,端,35,三角定位,36,寻找终端的位置,RSSI = X,RSSI = Y,RSSI = Z,监,听,RSSI,根据,与,AP,的距离来计,算交,叉点,终端被定位,37,寻找终端的位置,38,远程监察和网络故障侦测,WAN,用户投诉无线网,不能连,接,管理人员开始摄取数据包作分析,39,跨子网不间断漫游保证语音质量,子网,1 (10.1.1.xx),子网,2 (50.5.5.xx),DHCP,10.1.1.1,根据,VLAN,的连接用户从,DHCP,服务器接收到一,个,IP,地,址,1,2,2.,当用户转移到新的,IP,子网时会发出另一,DHCP,请求,5.,当用户漫游跨越,Aruba,交换机时 线路连接不会中断,3,3.,透过,proxy DHCP, Arubas,交换机更改请求使终端维持原来的,IP address,10.1.1.1,4,4.,在新的,IP,子网内，用户接收到原有的,IP,地址,IP - IP Tunnel,Aruba AP,40,识别语音应用，预定义支持几种主要的语音协议，包括：,SpectraLink SVP,Vocera,Cisco SCCP,Session Initiation Protocol,其它：,带宽管理和优先级队列，,DiffServ,（,802.1p / IP ToS,）,Voice-aware RF scanning,DATA,VOICE,其它优化语音应用的特性,41,VoIP,第三方评测的结果,Consistent good voice quality,Consistent low roaming times,Consistent low delay and jitter,42,在最近,Network World,的,VoWLAN,测试结果，,Aruba,被评为最佳产品,最高语音容量（每个无线交换机）支持大于,5000,在线用户语音呼叫,支持跨子网无逢切换,支持,SVP,等质量服务协议，保证语音包优先传送,低时延,AP latency = 2ms,AP-AP,切换, 10 ms,交换机,-,和,-,交换机切换, 20 ms,业界领先的,VoWLAN,技术,43,ARUBA,产品概况,硬件设备,AP,无线接收器室内覆盖：,AP41/AP60/AP61/AP65/AP70,室外覆盖,/,桥接：,AP80M/AP80MB/AP80SB,移动控制器,A200,：,6,个,AP/100,用户,A800,：,16,个,AP/250,用户,A2400,：,48,个,AP/700,用户,A6000,：,512,个,AP/8000,用户,合适的,POE,交换机,/,天线,/,馈线,/,接地,/,网线,软件配置,用户状态防火墙,PEF/,QoS,控制,入侵检测,WIP/,安全,VPN/,接入有线网络兼容,高级,AAA/ADV AAA,：认证,/,授权,/,计费,外接安全服务接口,/ESI,：病毒扫描,/,漏洞检查,/,负载均衡,维修和服务,ArubaCare,：全球统一技术支援,44,制造业、办公楼及厂区的无线网实施,45,承载应用,一般数据应用,无线网络的控制隔离,第三方,AP,的抑制,流水线数据采集处理,工厂库房资产管理,企业流程作业承载,远程办事处网络统一接入,来访客人网络接入,多媒体应用,工厂流程视频监控,语音指令指导工人操作,园区内无线,VoIP,电话,园区厂房车间内人员定位,无线视频会议,高危地区视频监控,46,室外,楼宇间无缝覆盖：室内,AP+,室外天线,园区内的空场覆盖：室外,AP,跨厂区的远程接入：无线桥接,室内,制造工厂（工厂内部、办公房间、库房和车间）：安全办公网络，语音系统，库存管理，视频监控,办公大楼（会议室、领导办公室、工作间）：访客接入，内部,VoIP,网络，员工办公网,住宅区（贵宾楼、招待所、家属区）：,VoIP,电话，无线网络接入,园区空场（大型操场、广场、草地等）：网络接入，电话漫游,网络覆盖区域,47,网络部署方案,贵宾楼,数据中心,工厂,办公大楼,招待所,LAN / WAN,INTERNET,48,参考配置,49,网络部署方案,VPN,企业网认证服务器,企业应用服务器,访客帐号服务器,802.1x,Captive Portal,企业领导,一般员工,来访客人,有线 或 无线的 二层,/,三层 网络,安全检查服务器,Intranet,Internet,802.1x,Captive Portal,企业领导,一般员工,有线 或 无线的 二层,/,三层 网络,企业领导,语音网关,MAC/,OUI,VoWLAN,VoWLAN,MAC/,OUI,VoWLAN,50,方案特点,集中化的网络管理方式,*网络部署无需改变园区网络复杂的现有底层网络结构，真正做到即插即用；无线频谱规划工程可以线下进行，无需人工干预，自动配置完成,*专用硬件架构的交换机设计，能够在高强度的使用环境中保持高性能；模块化的软件体系架构，在节省投资的同时给网络升级带来了很大方便,多样化的用户认证方式，支持企业用户、外来访客、移动终端设备统一进行认证，能够和多种骨干网的,AAA,服务进行无缝对接,*（基于时间、地点、用户的网络设置，可以灵活的设计和改变无线网络设计规划）,从物理层到应用层的多种加密和入侵防护手段保障了用户和无线网络的安全,51,方案特点,*园区内可以无缝漫游以及,QoS,策略使得网络可以同时承载语音,/,视频等各种新兴的多媒体应用，适合高校作为新事物检验平台的切实场景,客户端安全策略检查和防病毒检测功能强有力的保护了网络基础设施的安全，同时减轻了现有网络的负担,*内置的站点到站点的,VPN,服务使得跨区域的无线网络部署可以很好的融合在一起，并且网络可以统一的进行配置与管理,室内和室外整体解决方案免除了不同方案之间兼容性,/,互通性的问题,52,成功案例分析,教育行业,医疗单位,跨国公司,小型企业,酒店零售业,53,ARUBA,在中国高校的成功案例,清华大学,FIT,大楼,楼外覆盖,WiFi,语音（,SIP,手机）,北京大学,一期,110,个,AP,，,Aruba 5000,WiFi,语音（,UTStarcom SIP,手机）为主要应用,北京首都师范大学,(2 x A2400, 83,个,APs),54,ARUBA,在中国高校的成功案例,华中理工大学,（全国重点大学，,211,工程）,第一期无线项目，,1 x A6000 (299,个,AP61,20,个,AP80M),覆盖校园内主要的,20,幢办公大楼，采用,Static WEP,和,Portal,的认证方式,要求支持,IPv6,浙江大学,（全国重点大学，,211,工程）,1 x A6000 (300,多个,AP61,20,多个,AP80M),第一期无线项目首先覆盖主要的办公大楼,要求支持,IPv6,55,香港高校成功案例,香港城市大学,（把旧有的,Orinoco,全更换）,一期，,2 x A6000 (400,个,AP70),二期，,1 x A6000 (300,个,AP70),全校园覆盖，包括学生宿舍,采用,Static WEP,和,Portal,的认证方式,未来会增加,SSID,及用,PEAP(,动态,802.1x,方式接入,香港中文大学,建筑设计学院,(A2400 + 40 x AP61/60),工程学院,(A2400 + Cisco Aironet AP),医学院,(A800 + 10 x AP61),56,香港理工大学,一期，,2 x A6000,300,个,AP70,二期，,1 x A6000,380,个,APs,三期，,200,个,APs,全校园覆盖,在教室提供无线接入,(WPA/WPA2 or 802.11i),为加强网络安全把原有教室的有线的接入也改成通过,AP70,的另一以太网口接入，老师和学生都必须透过用户认证,(802.1x),才可联网,香港高校成功案例,57,谢谢！,58,