380 likes | 826 Views
如何构建易于部署、高效、低成本的大型安全企业无线网络 --- Aruba 中国区技术总监 王跃霖. Aruba 完备的产品线. Aruba 6000 支持 2048 个 AP 的移动控制器. Aruba 800 支持 16 个 AP 的移动控制器. Aruba 3000 支持 8 - 128 个 AP 的移动控制器. Aruba 200 支持 6 个 AP 的移动控制器. Aruba 2400 支持 48 个 AP 的移动控制器. ArubaOS 移动应用软件. Airwave Management 网络管理, RF 管理,服务创建.
E N D
如何构建易于部署、高效、低成本的大型安全企业无线网络--- Aruba中国区技术总监 王跃霖
Aruba 完备的产品线 Aruba 6000支持2048个AP的移动控制器 Aruba 800支持16个AP的移动控制器 Aruba 3000支持8-128个AP的移动控制器 Aruba 200支持6个AP的移动控制器 Aruba 2400支持48个AP的移动控制器 ArubaOS 移动应用软件 Airwave Management 网络管理,RF管理,服务创建 Aruba Access Points 单频,双频,三频,MESH,户外各种类型AP
Aruba 安全企业无线网络架构 数据中心 Aruba 移动控制器 有线网络 Aruba 接入点 无线终端 • 多功能控制器 • 基于ASIC-Based架构,线速转发 • L2-7 的状态防火墙 • 隧道传输技术 • 不改变现有网络架构 • 客户端到核心安全加密 • 多功能无线接入点 • WLAN接入, Air Monitor, Remote Access, Mesh Point • 11a/b/g/n • 即插即用 • 连接现有交换机
Aruba独有集中式无线移动解决方案 WiFi 环境 WiFi 入侵侦测系统 WiFi 接入控管 AP 接入点 现场考察 数据包抓取 AP 无线电波监控 无线局域网侦测 POE 交换机 无线交换机/模块 网络访问控制 多功能服务开展 局域网结合 Captive Portal 无线控制器 VPN 网关 局域网防火墙 路由/QoS 设备 软件模块 网管 多层管理系统
Aruba 无线移动网络部署方案 无需升级现有IP网络 数据中心 LAN / WAN / INTERNET 总部 移动环境 分支 家庭无线网
企业总部无线网络部署 FLOOR 2 AP FLOOR 1 现有IP骨干网络无需升级 AP BUILDING/CAMPUS CORE MobilityController BACKBONE 6
便于扩展:随时随地对无线网络进行扩展 Up to 4 M3 Mark I 40x 1000Base-X (SFP) 8x 10GBase-X (XFP) Internet 服务 来客Internet 访问 分割隧道 GUEST VLAN Internet 服务 分支机构/办公室 公司总部 Redundant PSUs Fan Tray GUEST CORP DMZ CORP DSL 路由器 INTERNET 防火墙/NAT VOICE 语音 用于传输互联网流量的分割隧道 以用户为中心的内置防火墙 • 业界最强大的无线控制器 • 单台支持80G线速转发 • 单台管理2048个无线AP 从室内向室外扩展 向更加广阔的Internet扩展
ARUBA安全移动网络特点-快速部署 WLAN Mesh技术 室内、室外一体化mesh解决方案 MeshCluster高可用性保障 现有控制器和AP通过软件License即可支持,无需专用设备 mesh接入点 (MAP)
企业分支机构无线网络部署 主要特性 集中式无线局域网控制 策略执行防火墙 站点到站点 VPN 第二层以太网交 第三层 IP 路由 分支机构 有线设备 公司总部 Aruba 控制器之间的站点到站点 VPN 连接 Internet/ Enterprise WAN 无线 移动性控制器提供有线交换、无线 LAN、NAT、VPN、防火墙 集中管理选项
Aruba的Virtual Branch Network 解决方案 Controllers 控制器 1 VPN 集中器 PLUS集中式远程网络功能 PLUS虚拟化远程网络操作 Datacenters Data Center Remote Access Points (RAPs) 2 VPN LAN 延伸 PLUS本地局域网连接 PLUS本地策略执行 AirWave 管理平台 3 架构设置管理 PLUS 运行管理
Aruba 控制器 APIs/Integration RADIUS/LDAP/AD Management Hooks PEF Distributed Policy Enforcement Firewall Engine Remote Wireless LAN Control VPN Server To Branch Remote Wired Security Control 集中的,全面的远程接入实时控制解决方案
Aruba 远程接入点 WAN Plug-Play Client LAN Local Connectivity PEF Distributed Policy Enforcement Firewall Engine Client VPN Enterprise Secure Wi-Fi To Datacenters Enterprise Secure Wired LAN/WAN/Internet Access Forwarding Priority Per User/Device/Session Dynamic Policies via Controller
AirWave 管理系统 Executive Management L1/L2 Help Desk Network Engineering Security & Audit Team • 提供 & 配置 • 系统提供 • 集中式设置&变更控制 • 系统诊断 • 报告 & 分析 • 习惯& 趋势报告 • 触发器& 警告 • APIs for 3rd party integration • 监测 &可视化 • 全面且充分的了解每一个远程客户及设备 • 远程诊断和故障排除 • 遵循 • 网管 & 安全 • 自动审核&报告 • 无线&有线的入侵检测 将有线和无线统一在 基于角色的访问控制下 一套综合业务管理解决方案
全面的功能性 安全的 企业无线 入侵防护 PEF 实施策略 动态的 每一个 用户/设备/Session 企业无线局域网 访客连接 Local Forwarding 拓展的PBX IP 语音 & 影像 Split Forwarding 本地的PBX PEF PEF 有线客户端 NAS & 服务器 面向用户 实时可见 实时控制 可靠的 企业有线 打印机 网络设备
易于部署 my.controller.com Secure Corp Network Secure Corp Network Secure Corp Network PEF PEF PEF • 接入RAP 于任何网络 2. 输入控制器地址 3. 建立安全的连接 4. 控制器将自动更新并提供给 RAP 5. 安全的远程网络自动连接完成 End User Installable, No Truck-Rolls!
独立于传输介质 • LAN Challenge Solved • 用户连通性 • 安全策略 • 流量策略 • Management Solved • 实时可见 • 实时控制 Secure Corp Branch Network Any WAN/LAN Transport Is A “Cloud” Buy transport from the most convenient supplier RAP Drops Traffic To It or Tunnels Through It
易于管理 Traditional Image Mgmt Config Mgmt IP Mgmt Firmware Image Mgmt Config Mgmt IP Mgmt Firmware Image Mgmt Config Mgmt IP Mgmt Firmware Image Mgmt Config Mgmt IP Mgmt Firmware x “N” Image Mgmt Config Mgmt IP Mgmt Firmware Image Mgmt Config Mgmt IP Mgmt Firmware x 1 End-User Help-Desk “Assist” Tools End-User Help-Desk “Assist” Tools Monitoring Changes Troubleshooting Monitoring Changes Troubleshooting Monitoring Changes Troubleshooting Monitoring Changes Troubleshooting • 虚拟化&集中化的关键 • 多种管理功能集于一身的设备 • 实时的远程可见性和控制性 • User Level • Packet Level • Instant Changes
所有的分支,一种解决方案 Employees Contractors Partners Suppliers Guests 多用户 多设备 多策略 ONE NETWORK PC’s Printers Phones Cameras Machines
企业小型分支机构无线网络快速部署 小型分支机构 小型分支机构 enterprise-ssid • Remote AP • Mesh for extended, instant coverage Internet enterprise-ssid enterprise-ssid 19
企业移动/临时办公环境快速部署 enterprise-ssid 家庭办公 enterprise-ssid • Remote AP Internet enterprise-ssid 临时办公(酒店) 20
快速搭建和扩展远程无线网络 3G Link 3G USB MODEM 运营商 3G网络 企业总部: Aruba 控制器 Internet
统一管理的网络 LAN • Aruba Airwave • For Multi-Vendor • For Multi-controller mgmt • Master Aruba 6000 • Local WLAN Traffic • Central Security Policy • Central Management • For Remote APs • For Rapid Deployment • For remote controller failover • Redundant Aruba 6000 • Optional • Backs up Master Controller • Shares AP Load 数据中心 WAN/3G Internet VBN 室外 室内
统一的无线策略集中管理与自动优化:不需要人工干预的智能网络统一的无线策略集中管理与自动优化:不需要人工干预的智能网络 可用信道 自习室 大厅 会议室 物理位置 时间 办公室/工位 • 挑战 – 动态射频环境 • 在一定的覆盖范围,可以使用的工作信道并不是一成不变的,与环境中存在的干扰和用户密度、流量负载等有关 • 自适应射频管理(Adaptive Radio Management™)基于可用频谱对WLAN进行持续优化 • 对频谱进行实时扫描和监视 • 自动选择最佳信道和功率,降低网络冲突和干扰,并在AP失效时自动对盲区进行覆盖 • 同频干扰抑制 • 基于用户和流量进行负载均衡 • 对双频段用户提供频段指引 • 公平接入快速和慢速客户端 • 基于负载感知的射频扫描 • 基于应用感知的射频扫描
Aruba新一代的智能射频控制技术(ARM2.0) ——提供领先的无线连接性能和可靠性 • With ARM 2.0 • >20% 公平分配网络性能 • >40% 大幅降低干扰影响 • >30% 提升网络整体性能 • >100 超高密度用户接入 性能不稳定 Wi-Fi 网络性能 实时性应用受到影响 无线终端频繁掉线 Without ARM 2.0 网络复杂性 无线用户密度 复杂的无线应用 各种各样的终端 不同的操作系统
传统有线网络的安全策略 职工 合同工 访客 WWW 固定的安全检查点 领导 网络攻击 防火墙/VPN Internet 路由器 接入交换机 汇聚交换机 核心交换机
传统有线网络的安全策略 职工 Internet 合同工 访客 WWW 固定式的安全检查点 领导 防火墙/VPN ??? 路由器 接入交换机 汇聚交换机 核心交换机 问题: 1)防火墙内侧安全控制? 2)分支机构的安全控制? 3)小型办公机构的快速展开? 4)全网用户身份如何识别? 5)访客如何接入? 6)新兴业务如何开展?
基于用户角色的安全策略 ARUBA 移动控制器 WWW AAA 服务 RADIUS, LDAP, AD 领导 领导 Aruba AP Rights, QoS, VLAN 职工 Rights, QoS, VLAN SSID: UNIV 职工 合同工 Rights, QoS, VLAN 企业有线 IP网络 语音终端 Internet Rights, QoS, VLAN SSID: VOICE 语音终端 访客 Rights, QoS, VLAN 路由器 核心交换机 SSID: GUEST WEB 页面认证 合同工 访客
能区分不同的用户及应用 领导子网 职工子网 合作伙伴 子网 INTERNET 接入服务 VOIP服务 访客 语音 职工 领导 合作伙伴 • 单一物理网络设施 • 不同级别的接入控制 • 区分用户、终端、应用 • 网络策略推动 • 强制策略
传统的AP的安全 WLAN Wired LAN Malicious Insider Decrypted traffic Firewall Identification Authentication Authorization Employee Encrypted traffic Internal corporate LAN Disconnect • Key Issues • Malicious insiders can spoof valid clients • External firewall cannot tell difference • No identity is maintained end-to-end 数据加密
端到端的安全 WLAN Wired LAN (Data Center) Encrypted traffic Malicious Insider Decrypted traffic Authorization Identification Authentication Employee Encrypted traffic Internal corporate LAN • Advantages • Authentication & firewall together • Firewall policies based on identity, not MAC or IP • End-to-end encryption • Spoofing attacks defeated Aruba Mobility Controller 数据加密
AP 分类 部署 Aruba WIP 的环境 临近的无线热点 Valid Interfering Known Interfering 移动控制器 核心交换 Rogue 停车场
集成了无线Sensor的多功能接入点 非法用户 非法AP • 主要特性 • 与 WLAN 基础设施集成,不需要另外购买昂贵的无线探测器和分析软件 • 对恶意接入点进行检测、定位和控制,消除来自空中的网络入侵隐患 • 拒绝服务攻击检测,提供API支持用户自定义攻击类型 • 对各种无线设备、终端和RFID标签进行定位,可以为第三方定位提供API接口
实现移动性和安全性的完美结合 优化 the Air 跟随 the User 认证 the User 控制Access per User 分类 the Traffic 学生 教师 接入网络 多业务移动控制器 企业网络资源 80Gbps线速转发 个人策略防火墙 电话、打印机 35