华为Agile-Controller-Campus技术建议书.docx
《华为Agile-Controller-Campus技术建议书.docx》由会员分享,可在线阅读,更多相关《华为Agile-Controller-Campus技术建议书.docx(51页珍藏版)》请在咨信网上搜索。
1、华为Agile Controller(园区版)技术建议书(模板)文档版本01发布日期2016-05-26华为技术有限公司版权所有 华为技术有限公司 2016。 保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级
2、或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:客户服务邮箱:ChinaEnterprise_TAC客户服务电话:400-822-9999文档版本01 (Error! Unknown document property name.)Error! Unknown document property name.ii华为Agile Controller(园区版)Error! Unknown document property name.目
3、 录目 录1 概述31.1 项目背景31.1.1 园区网发展趋势31.1.2 项目现状31.1.3 接入场景及安全风险分析31.1.4 项目目标和范围42 应用场景43 方案设计思想及原则54 项目方案设计54.1 方案概述54.2 部署方案设计54.2.1 内部员工认证方案设计54.2.2 外来访客认证方案设计64.3 认证授权策略设计64.3.1 用户账号来源64.3.2 部门/角色设计64.3.3 策略授权模型设计74.4 业务随行方案设计74.5 终端安全方案设计74.6 业务编排策略设计74.7 方案可靠性设计75 项目实施建议85.1 项目配置建议85.2 项目实施步骤建议86 产
4、品简介86.1 系统架构86.2 典型应用场景86.3 主要功能9Error! Unknown document property name.Error! Unknown document property name.4 产品简介1 项目概述项目背景1.1.1 园区网发展趋势当前企业的IT应用正在发生着显著的变化:云计算、BYOD、高清媒体等新应用正迅速地走进企业,这些IT应用新变化对企业的基础园区网提出了更大的挑战,要求企业基础园区网架构要变得更便捷、可靠和安全。尤其随着BYOD等无线办公应用的普及,企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式,发展到现在通过智能终端实现
5、“3A(Anytime, Anywhere, Anything)”灵活移动接入的高级方式。面对海量的有线和无线用户的融合网络,网络接入的安全性问题越发突显出现,包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署,直接影响到企业的信息安全,成为保证园区网安全性保障的关键点。1.1.2 项目现状XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等)1
6、.1.3 接入场景及安全风险分析结合XXX的现网情况和对于安全接入控制的需求,发现现网对网络准入控制的需求主要包括以下几个场景:(根据实际情况进行删减、编辑)1. 内部员工使用固定PC、便携机通过有线网络接入内网2. 内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网3. 外来访客使用便携机、平板/手机等智能终端设备通过无线网络接入访问指定的网络资源,如互联网4. 网络打印机、IP Phone等哑终端设备通过有线接入内网5. 内部员工在互联网通过VPN接入内网6. 面对复杂的网络接入场景,1.1.4 项目目标和范围2 关键应用场景(可选)场景一:如何更快速的配置802.1x 认证
7、客户端?目前的困惑:传统的园区网中通常用Web 认证方式,但是Web 认证方式是在认证前就为用户分配了IP 地址,浪费了IP地址资源,而且分配IP 地址的DHCP(动态地址分配协议)服务器对用户而言是完全裸露的,容易受到恶意攻击。Web认证要求每次接入网络都输入用户名密码,对于经常在园区内办公的人员来说,会显得非常麻烦。最安全可靠的方式是采用802.1x认证。然而802.1x 认证需要对终端进行复杂的配置,终端用户自助完成配置的比例不高,网络管理员无法对每一台终端进行配置,尤其在终端数量持续暴涨的今天,所以大部分园区网并没有采用这种安全的认证方式。解决方案:华为Agile Controller
8、-Campus的Boarding功能可以实现802.1X客户端自动配置,无论终端使用windows, IOS, Android操作系统,采用有线还是无线的链接方式,Boarding都能识别并为它们提供合适的配置。使用华为的Boarding功能,用户第一次接入网络时,Agile Controller-Campus识别到终端的操作系统,根据对应的操作系统重定向到不同Boarding客户端下载页面,用户下载客户端,输入账号密码,一键式安装,完成终端802.1X的自动配置,配置完自动发起802.1X认证。整个流程都是用户自助完成,不用管理员参与,大大减轻管理员的工作量。关键特性:自动完成有线和无线终端
9、的802.1X配置。支持windows, IOS, Android操作系统。(可选)场景二:如何实现访客自助接入网络。目前的困惑:通常情况下,认证系统的账号统一有管理员管理,企业员工账号比较固定,维护工作量不大。但是访客不一样,访客上网充满突发性和随机性,一般的企业每天来访几十,上百人,管理人员如果都要手工创建上网账号并维护账号,工作量非常庞大;如果是开放性或者半开放性的场所,比如宾馆、学校、机场、商场、地铁等,人员流动频繁,用户量庞大,管理员更不可能手工维护账号系统。同时,对于大量的访客上网,要审计上网行为变得非常困难。解决方案:Agile Controller-Campus提供了丰富的访客
10、认证方式,满足各种场景下访客的网络访问需求。一般的非开放性企业,可以采用访客自助注册+管理员审批的方式,访客在申请界面提交账号申请后,管理员登陆到系统进行审批。访客申请时可以以手机号、邮件、用户名作为账号,申请通过后可以通过web页面、短信、邮箱看到密码。如果采用二维码认证,接入将变得更简单,公共二维码认证使用户一扫码就能上网;二维码认证也提供了一种类似注册审批的流程,访客连接SSID,通过浏览器访问网站时,跳转到一个二维码界面,内部员工扫描该二维码,审批通过后访客才能认证通过。对于开放或者半开放园区,短信认证是不错的选择,访客在认证页面输入手机号,点击获取密码,密码以短信方式发送到访客的手机
11、,访客输入密码就能通过认证。对于酒店、商场、机场等商业性质的场所,一般有自己的微信公众账号,希望更多人关注公众账号,然后进行营销,这种场景下我们提供了微信认证,访客需要关注公众号之后才能通过认证。对于体育馆、无线城市、地铁等大型公共场所,没有营销需求,可以选择第三方媒体账号认证,国内支持QQ、新浪微博账号,国外支持Google+、Facebook和Twitter账号,访客在认证界面上点击对应的第三方媒体图标,跳转到第三方的认证页面,输入相应的账号和密码进行认证。对于各种认证,服务器后台都能记录认证账号登录日志,方便后续审计。关键特性:访客管理二维码认证短信认证微信认证第三方媒体账号认证(可选)
12、场景三:如何与现有数据源集成目前的困惑:企业有自己的账号管理系统,账号存在AD、LDAP服务器,甚至有些企业已经有自己的Radius认证系统,新买的认证系统需要和原有服务器对接。解决方案:Agile Controller-Campus可以跟AD、LDAP服务器对接,支持把账号同步到本地数据库,同时也支持不同步的方式,两种方式都能认证。如果用户有自己的Radius认证系统,Agile Controller-Campus提供了radius proxy的功能,可以把认证报文转发到客户自己的Radius认证系统进行认证。关键特性:AD、LDAP服务器对接Radius Proxy(可选)场景四:如何获取
13、终端类型目前的困惑:无线网络的普及,以及智能终端的规模性增长,越来越多的智能终端连接到企业网络中,而企业为了安全着想,对接入的终端一般都要区别对待,台式机能访问企业内部的资源,智能终端一般只提供上英特网的权限;另一个问题就是不同的终端有不同的显示屏大小,登录认证页面时,需要根据不同的终端类型推送不同的页面,以适配不同的显示屏。这就需要认证系统能识别终端的类型。解决方案:Agile Controller-Campus内置终端识别功能,通过认证时获取MAC OUI、DHCP Option信息,通过浏览器获取HTTP User-Agent信息,通过扫描器获取SNMP信息,然后在后台进行识别规则匹配,
14、最终识别出设备类型。Agile Controller-Campus支持超过200个终端识别模板。Agile Controller-Campus支持配置页面推送规则,可以根据终端类型推送对应的认证页面;同时支持按不同的设备类型进行授权。关键特性:终端识别按终端类型推送页面按终端类型授权3 项目方案设计3.1 方案设计思想及原则企业园区网是企业的业务信息平台,是企业提升办公效率、整体增值的业务承载通道,网络的简单可靠、易部署、易维护是非常必要的,应本着以下原则进行建设: 超前性与实用性结合网络技术发展迅猛,如果设备缺乏先进性,设备和软件系统可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的
15、浪费。为此,在园区网建设中,需注意超前性与实用性结合,确保投资有效,使之能真正发挥出相应的作用。 安全性与可靠性在园区网建设中,安全性是整个网络建设中的重中之重,要通过各种技术确保系统应用的安全性。同时,要求系统本身具有高度的可靠性,这样才能保证网络客户的应用。 可管理性网络管理是一个长期的投资,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少日常维护费用。 可扩展性企业网络不但需要能够满足当前需要,随着后续企业规模的扩大、技术的发展,未来网络需要承载更多的业务及提供更多的优质服务。所以,网络的可扩展性是网络建设中必须提前规划的重点。3.2 网络部署设计XXX当前
16、的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况(可选)有线无线统一认证方案设计3.2.1 需求分析(根据实际情况进行删减、编辑)由于业务扩展,现网需要新建WLAN网络为员工和外来方可提供无线接入服务,同时要求与原来的有线网络实现统一认证、统一授权。具体需求如下: 用户在原有的有线网络和新部署额无线网络中,要统一认证、统一授权 内部员工可通过公司配发的PC接入有线网络和无线网络,使用智能终端等接入无线网络访问制定的内部资源 部分员工使用自有的智能终端(如智能手机、PAD等)接入无线网络访问指定的内部资源 员工接入无线网络的智能
17、终端需要按照要求进行资产注册,未经注册的设备不能接入无线网络 访客经过注册后可接入无线网络,不能接入到内部网络,只能访问Internet 允许哑终端采用有线或无线方式接入到公司内部网络3.2.2 用户接入场景分析考虑到精细化网络权限控制的需求,根据接入方式、接入地点等条件的差异,本方案主要设计以下几种典型的用户接入场景:l 办公接入:主要指员工使用公司配机(如PC、智能终端等)在公司内部网络通过有线、无线Wi-Fi接入后,能够访问公司的资源l 访客接入:外来访客通过申请临时账号接入无线网络,访问Internet等资源l 哑终端接入:网络打印机、IP PHONE等哑终端作为一种特殊的设备类型也有
18、接入网络的需求。主要是通过有线接入后供员工使用,也可以通过无线接入表3-1 用户接入场景要素项目描述用户类型(Who)指定的员工部门或角色,如领导,普通员工,研发,访客等接入地点(Where)公司内部网络(公司楼层、IP地址段或者接入AP设备)接入设备归属(Whose device)公司配机、自有智能终端等接入设备类型(What device)便携机智能终端(平板电脑、智能手机)接入时间(When)时间不限制,可以根据需求设置接入方式(How)内部网络中无线Wi-Fi接入内部网络有线接入操作及应用在公司内部或外部网络访问公司内部网络资源,权限不发生改变,访问内容不受影响3.2.3 认证详细方案
19、设计常用的有线、无线认证方案主要有MAC认证、802.1X、Portal等几种认证方式,各种接入认证的方式与应用场景如下表所示:表3-2 接入认证的方式及应用场景接入认证方式功能描述应用场景MAC认证用户终端以MAC地址作为身份凭据到认证服务器进行认证主要用于IP电话、打印机等哑终端设备802.1X认证使用EAP(Extensible Authentication Protocol)认证协议,实现客户端、设备端和认证服务器之间认证信息的交换需客户端支持,安全性高, Portal认证也称为WEB认证,用户可以通过Web认证页面,输入用户帐号信息,实现对终端用户身份的认证无需客户端,安全性稍低,广
20、泛应用于园区网中本方案里主要涉及的接入场景包括内部员工的办公接入以及临时的外来访客接入,不同的用户接入场景推荐采用不同的认证方案。图3-3 MAC认证流程1、终端上线2、radius认证请求,携带用户MAC3、radius认证响应,下发授权控制认证成功,接入网络用户终端准入设备认证服务器MAC 认证MAC 旁路认证1、终端上线2、EAPoL-Request(identity)2、EAPoL-Request(identity)。3、EAPoL-TimeOut4、radius认证请求,携带用户MAC5、radius认证响应,下发授权控制认证成功,接入网络MAC认证介绍 MAC认证:以终端的MAC地
21、址作为身份凭据到系统进行认证。启用MAC认证后,当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户名和密码进行认证。 MAC旁路认证:接入设备首先触发用户采用802.1x认证方式,如果用户长时间内没有进行802.1x认证,则以用户的MAC地址为认证信息,把MAC地址作为用户名和密码上送AAA服务器进行认证 应用场景 哑终端设备,如打印机、IP电话等,无法通过输入用户帐号信息的方式进行认证授权。 对某些特殊用户,希望“免认证”接入网络,用户不想通过输入用户帐号信息的方式完成认证,比如智能终端用户。 图3-4 802.1X认证流程1、EAP-Start11、认证成功,用户接
22、入网络用户终端准入设备认证服务器2、EAP-Request(Identity)3、EAP-Response(Identity)4、Radius-Access-Request5、Radius-Access-Challenge6、EAP-Request(Challenge)7、EAP-Response(Challenge)8、Radius-Access-Request10、EAP-Success/Failure9、Radius-Accept-Accept802.1X认证介绍 不同认证类型的802.1X认证流程差异较大,下面以EAP-MD5为例简要说明一下流程。 用户名上送 流程14,用户在客户端输
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 Agile Controller Campus 技术 建议书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。