《华为AgileController-Campus技术建议书模板》由会员分享,可在线阅读,更多相关《华为AgileController-Campus技术建议书模板(62页珍藏版)》请在金锄头文库上搜索。
1、WORD格式 整理分享华为Agile Controller(园区版)技术建议书(模板)文档版本01发布日期2016-05-26华为技术有限公司专业资料 WORD格式 整理分享版权所有 华为技术有限公司 2016。 保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文
2、档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:http:/客户服务邮箱:ChinaEnterprise_TAC客户服务电话:400-822-9999专业资料 WORD格式 整理分享目 录1 概述31.1 项目背景31.1.1 园区网发展趋势31.1.2 项目现状31.1.3 接入场景及安全风险分析31.1.4 项目目标和范围42 应用场景43 方案设计思想及原则54 项目方案设
3、计54.1 方案概述54.2 部署方案设计54.2.1 内部员工认证方案设计54.2.2 外来访客认证方案设计64.3 认证授权策略设计64.3.1 用户账号来源64.3.2 部门/角色设计64.3.3 策略授权模型设计74.4 业务随行方案设计74.5 终端安全方案设计74.6 业务编排策略设计74.7 方案可靠性设计75 项目实施建议85.1 项目配置建议85.2 项目实施步骤建议86 产品简介86.1 系统架构86.2 典型应用场景86.3 主要功能9WORD格式 整理分享1 项目概述项目背景1.1.1 园区网发展趋势当前企业的IT应用正在发生着显著的变化:云计算、BYOD、高清媒体等新
4、应用正迅速地走进企业,这些IT应用新变化对企业的基础园区网提出了更大的挑战,要求企业基础园区网架构要变得更便捷、可靠和安全。尤其随着BYOD等无线办公应用的普及,企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式,发展到现在通过智能终端实现“3A(Anytime, Anywhere, Anything)”灵活移动接入的高级方式。面对海量的有线和无线用户的融合网络,网络接入的安全性问题越发突显出现,包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署,直接影响到企业的信息安全,成
5、为保证园区网安全性保障的关键点。1.1.2 项目现状XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等)1.1.3 接入场景及安全风险分析结合XXX的现网情况和对于安全接入控制的需求,发现现网对网络准入控制的需求主要包括以下几个场景:(根据实际情况进行删减、编辑)1. 内部员工使用固定PC、便携机通过有线网络接入内网2. 内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网3. 外来访客使用便携机、平板/手机等智能终端设备通过无线网络接
6、入访问指定的网络资源,如互联网4. 网络打印机、IP Phone等哑终端设备通过有线接入内网5. 内部员工在互联网通过VPN接入内网6. 面对复杂的网络接入场景,1.1.4 项目目标和范围2 关键应用场景(可选)场景一:如何更快速的配置802.1x 认证客户端?目前的困惑:传统的园区网中通常用Web 认证方式,但是Web 认证方式是在认证前就为用户分配了IP 地址,浪费了IP地址资源,而且分配IP 地址的DHCP(动态地址分配协议)服务器对用户而言是完全裸露的,容易受到恶意攻击。Web认证要求每次接入网络都输入用户名密码,对于经常在园区内办公的人员来说,会显得非常麻烦。最安全可靠的方式是采用8
7、02.1x认证。然而802.1x 认证需要对终端进行复杂的配置,终端用户自助完成配置的比例不高,网络管理员无法对每一台终端进行配置,尤其在终端数量持续暴涨的今天,所以大部分园区网并没有采用这种安全的认证方式。解决方案:华为Agile Controller-Campus的Boarding功能可以实现802.1X客户端自动配置,无论终端使用windows, IOS, Android操作系统,采用有线还是无线的链接方式,Boarding都能识别并为它们提供合适的配置。使用华为的Boarding功能,用户第一次接入网络时,Agile Controller-Campus识别到终端的操作系统,根据对应的操
8、作系统重定向到不同Boarding客户端下载页面,用户下载客户端,输入账号密码,一键式安装,完成终端802.1X的自动配置,配置完自动发起802.1X认证。整个流程都是用户自助完成,不用管理员参与,大大减轻管理员的工作量。关键特性:自动完成有线和无线终端的802.1X配置。支持windows, IOS, Android操作系统。(可选)场景二:如何实现访客自助接入网络。目前的困惑:通常情况下,认证系统的账号统一有管理员管理,企业员工账号比较固定,维护工作量不大。但是访客不一样,访客上网充满突发性和随机性,一般的企业每天来访几十,上百人,管理人员如果都要手工创建上网账号并维护账号,工作量非常庞大
9、;如果是开放性或者半开放性的场所,比如宾馆、学校、机场、商场、地铁等,人员流动频繁,用户量庞大,管理员更不可能手工维护账号系统。同时,对于大量的访客上网,要审计上网行为变得非常困难。解决方案:Agile Controller-Campus提供了丰富的访客认证方式,满足各种场景下访客的网络访问需求。一般的非开放性企业,可以采用访客自助注册+管理员审批的方式,访客在申请界面提交账号申请后,管理员登陆到系统进行审批。访客申请时可以以手机号、邮件、用户名作为账号,申请通过后可以通过web页面、短信、邮箱看到密码。如果采用二维码认证,接入将变得更简单,公共二维码认证使用户一扫码就能上网;二维码认证也提供
10、了一种类似注册审批的流程,访客连接SSID,通过浏览器访问网站时,跳转到一个二维码界面,内部员工扫描该二维码,审批通过后访客才能认证通过。对于开放或者半开放园区,短信认证是不错的选择,访客在认证页面输入手机号,点击获取密码,密码以短信方式发送到访客的手机,访客输入密码就能通过认证。对于酒店、商场、机场等商业性质的场所,一般有自己的微信公众账号,希望更多人关注公众账号,然后进行营销,这种场景下我们提供了微信认证,访客需要关注公众号之后才能通过认证。对于体育馆、无线城市、地铁等大型公共场所,没有营销需求,可以选择第三方媒体账号认证,国内支持QQ、新浪微博账号,国外支持Google+、Faceboo
11、k和Twitter账号,访客在认证界面上点击对应的第三方媒体图标,跳转到第三方的认证页面,输入相应的账号和密码进行认证。对于各种认证,服务器后台都能记录认证账号登录日志,方便后续审计。关键特性:访客管理二维码认证短信认证微信认证第三方媒体账号认证(可选)场景三:如何与现有数据源集成目前的困惑:企业有自己的账号管理系统,账号存在AD、LDAP服务器,甚至有些企业已经有自己的Radius认证系统,新买的认证系统需要和原有服务器对接。解决方案:Agile Controller-Campus可以跟AD、LDAP服务器对接,支持把账号同步到本地数据库,同时也支持不同步的方式,两种方式都能认证。如果用户有
12、自己的Radius认证系统,Agile Controller-Campus提供了radius proxy的功能,可以把认证报文转发到客户自己的Radius认证系统进行认证。关键特性:AD、LDAP服务器对接Radius Proxy(可选)场景四:如何获取终端类型目前的困惑:无线网络的普及,以及智能终端的规模性增长,越来越多的智能终端连接到企业网络中,而企业为了安全着想,对接入的终端一般都要区别对待,台式机能访问企业内部的资源,智能终端一般只提供上英特网的权限;另一个问题就是不同的终端有不同的显示屏大小,登录认证页面时,需要根据不同的终端类型推送不同的页面,以适配不同的显示屏。这就需要认证系统能
13、识别终端的类型。解决方案:Agile Controller-Campus内置终端识别功能,通过认证时获取MAC OUI、DHCP Option信息,通过浏览器获取HTTP User-Agent信息,通过扫描器获取SNMP信息,然后在后台进行识别规则匹配,最终识别出设备类型。Agile Controller-Campus支持超过200个终端识别模板。Agile Controller-Campus支持配置页面推送规则,可以根据终端类型推送对应的认证页面;同时支持按不同的设备类型进行授权。关键特性:终端识别按终端类型推送页面按终端类型授权3 项目方案设计3.1 方案设计思想及原则企业园区网是企业的业
14、务信息平台,是企业提升办公效率、整体增值的业务承载通道,网络的简单可靠、易部署、易维护是非常必要的,应本着以下原则进行建设: 超前性与实用性结合网络技术发展迅猛,如果设备缺乏先进性,设备和软件系统可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的浪费。为此,在园区网建设中,需注意超前性与实用性结合,确保投资有效,使之能真正发挥出相应的作用。 安全性与可靠性在园区网建设中,安全性是整个网络建设中的重中之重,要通过各种技术确保系统应用的安全性。同时,要求系统本身具有高度的可靠性,这样才能保证网络客户的应用。 可管理性网络管理是一个长期的投资,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少日常维护费用。 可扩展性企业网络不但需要能够满足当前需要,随着后续企业规模的扩大、技术的发展,未来网络需要承载更多的业务及提供更多的优质服务。所以,网络的可扩展性是网络建设中必须提前规划的重点。3.2 网络部署设计XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况(可选)有线无线统一认证方案设计3.2.1
