当前位置:文档之家› 华为Agile Controller-Campus技术建议书

华为Agile Controller-Campus技术建议书

华为Agile Controller(园区版)技术建议书(模板)文档版本01发布日期2016-05-26版权所有© 华为技术有限公司2016。

保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标,由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因,本文档内容会不定期进行更新。

除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:******************************客户服务电话:400-822-9999华为Agile Controller(园区版)错误!未知的文档属性名称目录目录1 概述 (3)1.1 项目背景 (3)1.1.1 园区网发展趋势 (3)1.1.2 项目现状 (3)1.1.3 接入场景及安全风险分析 (3)1.1.4 项目目标和范围 (4)2 应用场景 (4)3 方案设计思想及原则 ...................................................................................... 错误!未定义书签。

4 项目方案设计 (7)4.1 方案概述.......................................................................................................................... 错误!未定义书签。

4.2 部署方案设计.................................................................................................................. 错误!未定义书签。

4.2.1 内部员工认证方案设计 (8)4.2.2 外来访客认证方案设计 (21)4.3 认证授权策略设计.......................................................................................................... 错误!未定义书签。

4.3.1 用户账号来源......................................................................................................... 错误!未定义书签。

4.3.2 部门/角色设计 ....................................................................................................... 错误!未定义书签。

4.3.3 策略授权模型设计................................................................................................. 错误!未定义书签。

4.4 业务随行方案设计 (31)4.5 终端安全方案设计 (38)4.6 业务编排策略设计.......................................................................................................... 错误!未定义书签。

4.7 方案可靠性设计 (40)5 项目实施建议................................................................................................... 错误!未定义书签。

5.1 项目配置建议.................................................................................................................. 错误!未定义书签。

5.2 项目实施步骤建议.......................................................................................................... 错误!未定义书签。

6 产品简介 (45)6.1 系统架构 (45)6.2 典型应用场景 (45)6.3 主要功能 (46)错误!未知的文档属性名称 1 项目概述1 项目概述项目背景1.1.1 园区网发展趋势当前企业的IT应用正在发生着显著的变化:云计算、BYOD、高清媒体等新应用正迅速地走进企业,这些IT应用新变化对企业的基础园区网提出了更大的挑战,要求企业基础园区网架构要变得更便捷、可靠和安全。

尤其随着BYOD等无线办公应用的普及,企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式,发展到现在通过智能终端实现“3A(Anytime,Anywhere, Anything)”灵活移动接入的高级方式。

面对海量的有线和无线用户的融合网络,网络接入的安全性问题越发突显出现,包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署,直接影响到企业的信息安全,成为保证园区网安全性保障的关键点。

1.1.2 项目现状XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等)1.1.3 接入场景及安全风险分析结合XXX的现网情况和对于安全接入控制的需求,发现现网对网络准入控制的需求主要包括以下几个场景:(根据实际情况进行删减、编辑)1.内部员工使用固定PC、便携机通过有线网络接入内网2.内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网文档版本错误!未知的文档属性名错误!未知的文档属性名称 33.外来访客使用便携机、平板/手机等智能终端设备通过无线网络接入访问指定的网络资源,如互联网4.网络打印机、IP Phone等哑终端设备通过有线接入内网5.内部员工在互联网通过VPN接入内网6.……面对复杂的网络接入场景,1.1.4 项目目标和范围2 关键应用场景(可选)场景一:如何更快速的配置802.1x 认证客户端?目前的困惑:传统的园区网中通常用Web 认证方式,但是Web 认证方式是在认证前就为用户分配了IP 地址,浪费了IP地址资源,而且分配IP 地址的DHCP(动态地址分配协议)服务器对用户而言是完全裸露的,容易受到恶意攻击。

Web认证要求每次接入网络都输入用户名密码,对于经常在园区内办公的人员来说,会显得非常麻烦。

最安全可靠的方式是采用802.1x认证。

然而802.1x 认证需要对终端进行复杂的配置,终端用户自助完成配置的比例不高,网络管理员无法对每一台终端进行配置,尤其在终端数量持续暴涨的今天,所以大部分园区网并没有采用这种安全的认证方式。

解决方案:华为Agile Controller-Campus的Boarding功能可以实现802.1X客户端自动配置,无论终端使用windows, IOS, Android操作系统,采用有线还是无线的链接方式,Boarding都能识别并为它们提供合适的配置。

文档版本错误!未知的文档属性名错误!未知的文档属性名称 4使用华为的Boarding功能,用户第一次接入网络时,Agile Controller-Campus 识别到终端的操作系统,根据对应的操作系统重定向到不同Boarding客户端下载页面,用户下载客户端,输入账号密码,一键式安装,完成终端802.1X的自动配置,配置完自动发起802.1X认证。

整个流程都是用户自助完成,不用管理员参与,大大减轻管理员的工作量。

关键特性:自动完成有线和无线终端的802.1X配置。

支持windows, IOS, Android操作系统。

(可选)场景二:如何实现访客自助接入网络。

目前的困惑:通常情况下,认证系统的账号统一有管理员管理,企业员工账号比较固定,维护工作量不大。

但是访客不一样,访客上网充满突发性和随机性,一般的企业每天来访几十,上百人,管理人员如果都要手工创建上网账号并维护账号,工作量非常庞大;如果是开放性或者半开放性的场所,比如宾馆、学校、机场、商场、地铁等,人员流动频繁,用户量庞大,管理员更不可能手工维护账号系统。

同时,对于大量的访客上网,要审计上网行为变得非常困难。

解决方案:Agile Controller-Campus提供了丰富的访客认证方式,满足各种场景下访客的网络访问需求。

一般的非开放性企业,可以采用访客自助注册+管理员审批的方式,访客在申请界面提交账号申请后,管理员登陆到系统进行审批。

访客申请时可以以手机号、邮件、用户名作为账号,申请通过后可以通过web页面、短信、邮箱看到密码。

如果采用二维码认证,接入将变得更简单,公共二维码认证使用户一扫码就能上网;二维码认证也提供了一种类似注册审批的流程,访客连接SSID,通过浏览器访问网站时,跳转到一个二维码界面,内部员工扫描该二维码,审批通过后访客才能认证通过。

对于开放或者半开放园区,短信认证是不错的选择,访客在认证页面输入手机号,点击获取密码,密码以短信方式发送到访客的手机,访客输入密码就能通过认证。

对于酒店、商场、机场等商业性质的场所,一般有自己的微信公众账号,希望更多人关注公众账号,然后进行营销,这种场景下我们提供了微信认证,访客需要关注公众号之后才能通过认证。

对于体育馆、无线城市、地铁等大型公共场所,没有营销需求,可以选择第三方媒体账号认证,国内支持QQ、新浪微博账号,国外支持Google+、Facebook和Twitter账号,访客在认证界面上点击对应的第三方媒体图标,跳转到第三方的认证页面,输入相应的账号和密码进行认证。

相关主题

相关文档推荐: