华为WLAN移动办公解决方案专题培训课件

,Click to edit Master title style,*,*,Copyright2012 Huawei Technologies Co.,Ltd.All Rights Reserved.,The information in this document may contain predictive statements including,without limitation,statements regarding the future financial and operating results,future product portfolio,new technology,etc.There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements.Therefore,such information is provided for reference purpose only and constitutes neither an offer nor an acceptance.Huawei may change the information at any time without notice.,HUAWEI ENTERPRISE ICT SOLUTIONS,A BETTER WAY,*,*,*,目录,成功案例,移动办公挑战和需求分析,移动办公,WLAN,解决方案,1,2,3,办公移动性的变革和发展,Anytime,Anywhere,Any device,.,Early 90s,Late 90s,Today,网络,应用,Email,Wired,2G,、,WiFi,、,VPN,Email,Approval,Info Release,WiFi,、,3G,，,4G,Email,、,CRM,、,ERP,、,UC,、,SaaS,TCO,综合成本低,（省线缆费用,75%,）,运维优势：无需布线或开挖沟槽,省,50%,易扩展,优势，便于搬迁,业务体验,随地接入,，移动性,弹性满足实际带宽和用户数需求,2013,年发达国家移动办公将占,70%,以上,-Source:,IDC,75.5,74.5,50.3,37.4,无线相对有线的优势,随机流动,蜂群式流量,安全策略如何保障,?,移动办公面临的挑战,用户体验如何保证？,“,蜂群流量,”,的冲击如何应对？,固定格子,？,公司内,Wi-Fi,接入,公司内,LAN,接入,公司,分支接入,公司外,Wi-Fi,接入,公司外,3G/4G,接入,Internet,WAN,时间,地点,设备,角色,去哪里都是,VIP,，牛,Who,内部固定员工,内部移动员工,合作方,/,访客,What device,PC,电脑,公司标配机,用户自带终端,Where,公司内,公司内,/,外,公司内,/,外,Switch,How,VPN,What,S,C,M,I,M,I,M,I,M,WLAN,WLAN,Switch,VPN,WLAN,自动翻译，,自动部署？,？,移动办公,WLAN,的主要需求,数据中心,分支,分支,分支,云服务,分支,分支漫游与高效管理，员工无感知接入,WLAN,分支用户在总部进行统一认证和管理,有线用户和无线用户统一认证和管理,不同角色不同终端用户获得不同的带宽分配、优先级,办公室、会议室、室外园区等场景的无线信号覆盖和规划,会议室、报告厅等高密场景的网络性能和用户体验,利用无线网络实现打印共享等便捷应用,访客和员工数据的安全隔离,分支与总部传输数据机密性和安全性,用户上网行为溯源,关键设备避免单点故障,WLAN,整网便捷部署,-,WLAN,故障实时诊断定位和可视化管理,有线网络和无线网络融合管理,统一认证和策略管控,安全保障和稳定可靠,可视化便捷运维管理,无线覆盖和用户体验,目录,移动办公挑战和需求分析,移动办公,WLAN,解决方案,1,2,成功案例,3,移动办公整体解决方案,统一认证和策略管控方案,安全保障和稳定可靠方案,无线覆盖和极速体验方案,可视化便捷运维管理方案,移动办公,WLAN,整体,解决方案,总部,AP,分支,AP,总部,AP,Internet,AC,核心交换机,eSight,Policy Center,内部资源,访客,员工,领导,访客,员工,总部网络,小微型分支网络,外部网络,3G/4G,公共,WiFi,分支资源,分支,AP,员工,大中型分支网络,访客,AC,交换机,注册,计费场景：认证策略服务器推荐选择第三方深澜或城市热点,AP,注册流,注册,访客数据流,员工数据流,VPN,隧道,图示,有线无线真正融合，统一认证和策略管控,端到端安全隔离和可靠设计，使用更放心,专业网规信号按需覆盖，技术创新保证极速体验,可视化全生命周期管理，运维更便捷,移动办公,WLAN,四维一体解决方案,目录,移动办公挑战和需求分析,移动办公,WLAN,解决方案,1,2,成功案例,3,移动办公整体解决方案,统一认证和策略管控方案,安全保障和稳定可靠方案,无线覆盖和极速体验方案,可视化便捷运维管理方案,AD,服务器,访客,SSID,公司配机,员工,SSID,员工自带设备,认证和策略管控,-,总部园区用户,DHCP,服务器,AP,eSight,Policy Center,Internet,用户,IP,地址由用户网关统一分配，网关可选,AC,或有线网关,用户选择,SSID,接入网络，用户认证信息通过网关,AC,送到,Policy Center,做认证，,Policy Center,同步,AD,域数据并判断用户的合法权限,Policy Center,把用户的访问策略下发到,AC,，,AC,通过,CAPWAP,隧道把策略进一步下发给,AP,，,AP,负责执行用户管控策略,用户认证通过后，数据报文可以选择本地转发或经过,AC,集中转发,认证报文,数据报文,图例,AC,无线网络构建,总部部署,AC6605,或,S12700,随板,AC,，,AC,的,IP,地址通过静态手工配置,或现网,DHCP server,动态分配,AC,配置,DHCP sever,为室外、室内,AP,分配,IP,地址（也可通过现网,DHCP sever,分配）,AP,通过,3,层发现,AC,，到,AC,注册上线,用户认证和策略管控,认证和策略管控,-,分支用户,出口路由器,AP,AP,访客,员工,交换机,.,核心交换机,SVN,移动安全网关,公司总部,大中型分支,AP,访客,/,员工,小微型分支,大型分支用户,IP,地址由分支,AC,统一分配，小型分支用户,IP,由总部,AC,统一分配（也可选本地用户网关分配）,总部和分支用户通过各自的,AC,统一到总部策略中心,Policy Center,认证做认证和授权,认证通过后，大型分支用户数据报文通过本地转发或者本地,AC,集中转发，小分支用户数据通过本地转发或总部,AC,集中转发,大中分支认证报文,小微分支认证报文,ASG,VPN,隧道,大中型分支的,AP,到分支内,AC,上注册上线，注册过程与总部,AP,注册上线过程一样,小型分支,AP,的,IP,地址由分支的出口路由器分配；,AP,通过,VPN,隧道到总部,AC,注册上线,微型分支（如营业厅场景），,AP,做普通宽带用户，,AP,的,IP,地址由运营商分配，用户的,AP,由总部,AC,分配，也可部署胖,AP,AC,AC,出口路由器,无线网络构建,用户认证和策略管控,注：出差员工通过酒店或者,3G/4G,网络等接入公司，多采取,SSL VPN,接入到安全移动网关,SVN,做认证授权,internet,eSight,Policy Center,LDAP,CA,WAN,专网,认证和策略管控,-,访客用户,AP,有线用户,大中分支,AC,总部园区,ASG,Guest,AP,AC,总部认证流,AP,空口侧给予访客独立的,SSID,，访客部署,Portal,认证,访客访问任意网页时均被,AC,重定向到,Policy Center,的,Portal,服务器，返回访客认证登陆页面,点击短信获取动态密码或通过公司内部员工向前台申请访客密码,访客在页面输入用户名密码信息后，,Policy Center,的,Portal,服务器和,Radius,服务器与,AC,做协议交互，认证访客账户和密码信息,认证成功后，,Policy Center,向,AC,授予访客相应的访问权限,Policy Center,向,ASG,同步上线访客的相关信息,访客访问互联网时，数据流送到抵达,ASG,进行上网行为管控及审计,(,注：员工流量如不需要上网审计时流量可绕开,ASG,）,管理方面，可通过相关电子流为访客申请上网权限，通过接待人员口述给访客，或通过,Email,、,SMS,自动通知访客,小型分支,AP,员工,访客,Emploee,Guest,小分支认证流,大中支认证流,访客统一管理，简单安全,员工,访客,Emploee,Policy Center,员工,访客,Emploee,Guest,internet,WAN,有线策略控制,无线策略控制,无线认证点,有线认证点,无线用户信息,A,B,有线用户信息,传统以设备为中心认证管理,ID,MAC,Port,D,15-e-07,AP1,ID,MAC,Port,C,58-e9af-c0c,2/0/2,统一用户信息,统一用户扩展信息,统一策略控制,统一认证点,A,B,Qos,保证,User,Name,MAC,Port,Access type,Z12345,15-e9ac-bd07,1/0/0,IPoE,Y60087,58-e9af-c0c,AP1,PPPoE,Terminal,Location,Time,Context,Lenovo,Win7,Security,20:50:08,TelePresence,Apple,IOS,Public,12:30:30,Web,认证和策略管控,-,有线无线融合,以用户为中心的统一认证管理,统一用户管理，一致体验,有线用户准入认证部署在交换机，无线用户准入认证部署于,AC,，有线无线用户无法统一管理,园区的准出认证部署于出口网关，无法与准入认证统一，管理繁琐,PPPoE,、,802.1x,、,portal,等多认证方式统一接入，认证点统一部署于核心设备（包括,802.1x,），利用策略联动，实现精细化管控,S12700,敏捷交换机随板自带,AC,，实现有线无线用户统一管理,DAA,功能根据目的地址做策略控制，实现准入准出认证合一,传统园区网，分散认证管理繁琐,认证和策略管控,-,各种终端,厂商,B-,笔记本,员工组,Policy Center,1,2,3,访客组,AP,交换机,AC,访客组：带宽,3050Kbps,，拒绝访问内部资源，用户间禁止通信,员工组：带宽,2Mbps,，可以访问公司业务平台，允许组内用户通信，禁止组间用户通信,VIP,组：带宽,3Mbps,，可房内内部资源，用户间允许通信,用户认证,Radius,下发策略至,ACSW,ACSW,执行策略,根据终端类型，认证页面自动适配，保留用户操作习惯,根据终端类型赋予不同的业务策略，如,VLAN/ACL/,带宽限制,同一用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度,VIP,组,厂商,A-,手机,厂商,D-,平板,支持,MAC,、,portal,、,802.1x,、,PPPoE,等多种认证方式,先,MAC,后,portal,认证，一次认证多次通行,短信动态密码：通过短信自动发送有时效性的动态密码认证方式,多种认证方式,用户组灵活授权,终端类型差异化授权,目录,移动办公挑战和需求分析,移动办公,WLAN,解决方案,1,2,成功案例,3,移动办公整体解决方案,统一认证和策略管控方案