华为Agile Controller 方案概述移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端，物理位置变得不固定，这对传统以手工静态配置为核心的传统网络形成了挑战：1. 不同的位置、不同的终端，如何保证一致的用户办公体验？让用户感觉不到位置的差异？2. 如何动态配置用户的权限、安全、QoS优先级等网络策略？传统的固定网络用户可以跟一个物理端口绑定，策略是管理员手工配置到离用户最近的网络设备上的，当用户位置不固定时，我们不能要求网络管理员通过手工配置去适应每个人位置的变化。

这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。

3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。

但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT 攻击)的出现，都让传统的边界防护手段彻底失效。

敏捷控制器（Agile Controller）是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件，全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景，实现从接入到数据中心端到端联接的应用策略控制。

Agile Controller应用SDN集中化控制原则，以业务体验为中心，基于用户和应用动态调配全网资源，实现网络与安全资源跟随用户自由移动，让网络更敏捷地为业务服务。

产品特点以业务体验为中心重新定义网络从以前关注技术、设备、连通性，到关注用户、业务、体验；从以前手工配置，到用自然语言规划和自动部署。

•将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。

•可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。

•让用户不再需要关注各种设备差异，只需使用自然语言进行规划，一键式完成全网策略统一部署和同步。

•实现基于最终用户的QoS调度，在网络资源有限的情况下，优先转发VIP用户流量，确保VIP用户业务体验良好。

基于全网视角的安全协防从以前更多关注单点，到更多关注全网；从单点防护步入全网防护时代。

•统一采集网络设备、安全设备、业务系统的日志，应用大数据关联分析，发现单点设备难于发现的攻击和威胁。

•提供虚拟化的安全资源中心能力，通过智能联动将特性用户的流量进行阻断、引流，主动防御网络攻击行为。

•提供完善的终端安全、桌面管理功能，预置5000+终端安全策略，确保网络终端接入安全。

产品开放合作，易与客户现有系统对接•提供丰富的南北向接口，开放API，实现转发面与控制面的可编程，可与客户现有设备与业务系统进行对接，提升端到端运维效率，加快新业务上线速度，营造企业快速创新环境。

•实现与业界主流云平台华为FusionSphere 、VMware vSphere、Openstack、Microsoft Hyper-v等的无缝对接，致力于打造一个弹性、开放平台，集成各个领域的优秀实践，让用户可根据业务需要灵活定义网络，做到即需即用。

基于高可靠保护的弹性架构设计•提供集中式、分布式、分级式组网方式，适用于各种网络。

•提供接入认证备份、数据库备份等高可靠保护，保证服务的连续性。

•B/S架构，基于华为全新敏捷UI设计，简单易用。

产品组成Agile Controller针对不同的应用场景提供多个业务组件，满足不同客户的需求。

接入控制组件产品概述随着企业信息化水平的提高，为了满足用户接入企业网络，通常会把网络铺设到办公区的每个角落。

公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。

外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。

另外，WLAN技术的成熟以及智能终端的普及，许多企业开始考虑允许员工自带智能设备使用企业内部应用。

企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。

WLAN在企业的应用，给企业带来很大的信息安全风险。

华为Agile Controller接入控制组件通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能，支持多维度的接入控制策略，满足不同客户的业务控制需求。

产品特点全面的准入控制技术，适用于各种网络层次化的部门与用户管理，满足企业组织管理复杂化的需求•部门下可以同时带子部门和用户。

•部门最大级数支持10级，能够满足最复杂的组织结构的需求。

•支持使用Excel表格方式批量导入导出部门和用户信息。

支持与企业身份数据源和社交平台无缝对接•系统支持多种认证协议，可以与主流的AD、LDAP、Radius以及动态令牌系统对接。

•系统支持按需同步、按过滤条件同步等特性，满足各类用户的个性需求。

基于5W1H情景感知的精细化授权，灵活与安全并重终端智能识别，认证页面自适配，满足BYOD终端权限控制•多达200种终端识别模板, 支持MAC OUI、DHCP Option、HTTP User-Agent、SNMP等多种方式识别设备。

•支持相同用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度。

•根据终端类型，认证页面自动适配，保留用户操作习惯。

•根据终端类型赋予不同的业务策略，如VLAN/ACL/带宽限制等。

运行环境用户数≤2000的中小规模场景，配置要求如下：用户数>2000的大规模场景，配置要求如下：组网应用802.1x接入控制在靠近终端的交换机上启用802.1X，终端正常接入网络前，需要先部署安全代理，或者部署操作系统自带的802.1X客户端。

当终端通过802.1x认证后，Agile Controller服务器给接入交换机下发VLAN/ACL等授权参数，控制终端的网络访问权限。

对于网络中的打印机/IP PHONE等哑终端，启用MAC旁路认证功能，当哑终端接入网络的时候，设备自动触发MAC旁路认证，开通网络访问权限。

Portal接入控制在接入终端的网关位置，启用Portal+MAC旁路认证功能，终端可以使用WEB 认证的方式接入网络，也可以在终端上使用Agile Controller的NAC客户端接入网络。

哑终端使用MAC旁路认证接入网络。

SACG接入控制对于较为复杂园区网络环境，特别是已经存量大量第三方交换机、路由器等数通设备，可以采用SACG接入控制方式。

SACG设备侧挂在三层交换机或者路由器上。

通过在交换机上配置报文重定向，或者在路由器上配置策略路由，把来自终端PC的上行流量重定向到SACG设备，通过SACG设备过滤后，再回到交换机/路由器上执行正常的路由转发。

配套设备订购信息访客管理组件产品概述随着WLAN技术的成熟以及智能终端的普及，许多企业开始考虑面向到访客户和合作伙伴开放网络。

在公共领域（如商场、酒店、展馆、连锁门店、景区、营业厅、候客厅等），大量用户接入网络，蕴含着大量的广告机会。

华为Agile Controller访客管理组件提供全生命流程的访客管理，实现访客账号申请、审批、分发、认证、审计、注销等统一管理，账号申请支持访客自注册、员工代申请、微信申请、二维码申请等多种方式，访客账号申请与认证页面支持“所见即所得”的自定义功能，可灵活推送广告。

产品特点一套系统实现员工与访客统一管理，降低客户建设成本和IT运维成本•访客管理组件与接入控制组件，可同时部署，也可单独部署。

全生命周期访客管理，灵活选择审批和免审批模式Portal界面定制和灵活推送，助力企业品牌提升和广告营销•支持登录页面、注册页面的“所见即所得”定制，为企业提供个性化的展示界面，提高企业品牌形象。

•通过认证后，可以自动重定向到认证前页面，或者管理员配置的URL ，十分适合进行品牌定向推广•可基于位置（SSID和AP）的页面推送，个性化的资讯推送•可基于终端IP和终端类型的页面推送与企业的微信公众账号绑定，增加公众账号的粉丝，可定期推送信息使用二维码扫描审批，“零输入”快速开通访客账号，提升访客满意度智能终端无感知认证，实现一次认证，多次接入•首次Portal+MAC认证，后续自动MAC认证运行环境用户数≤2000的中小规模场景，配置要求如下：用户数>2000的大规模场景，配置要求如下：组网应用在接入终端的网关位置，通常启用Portal+MAC旁路认证功能，终端使用WEB 认证的方式接入网络。

配套设备 设备角色 设备类型认证设备 • 华为Sx7系列交换机随板AC• 华为AR 路由器随板AC• 华为WLAN AC 设备订购信息描述备注 Agile Controller 访客管理功能必配 Agile Controller 访客管理功能-含管理200个访客账号License选配 Agile Controller 访客管理功能-含管理500个访客账号License选配 Agile Controller 访客管理功能-含管理1000个访客账号License选配 Agile Controller 访客管理功能-含管理2000个访客账号License选配 Agile Controller 访客管理功能-含管理5000个访客账号License选配 Agile Controller 访客管理功能-含管理10000个访客账号License选配网络Agile ControllerPortal 交换机业务随行组件产品概述随着移动办公、BYOD的普及推广，用户在企业总部、分支、出差都有接入公司网络的需求，终端的物理位置变得不再固定，私有终端也开始处理公司办公业务。

如何保证不同的终端在不同的位置，却能享受一致的办公体验，成为大家普遍关注的问题。

华为Agile Controller业务随行组件在传统网络接入控制NAC的基础上，配合华为敏捷交换机和NGFW，基于安全组的策略规划，实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自动移动时享受一致的业务体验。

同时，提供基于用户组的QoS策略部署，在网络资源有限的情况下，优先转发VIP用户的流量，保障用户的业务体验。

产品特点基于安全组的策略控制替代传统VLAN/ACL的控制方案，大幅度提升效率•全网策略统一规划，一键式完成部署。

•同时与交换机、防火墙、SVN智能联动，保证全网一致，实现用户自由移动，一致体验。

•全网策略集中管理，可以灵活调整，并实现增量下发。

实现用户组与资源组、用户组到用户组的访问权限控制面向自然语言的快速授权，全面优化5W1H配置体验基于用户组的带宽/QoS策略，保障VIP用户的体验保障运行环境因为业务随行组件依赖于接入控制组件，所以运行环境参考接入控制组件组网应用业务随行组件无特殊组网要求，只需Agile Controller服务器与联动的网络设备IP可达即可，通常部署在数据中心区域。