打造快速、安全可管理移動校園網(wǎng)

打造快速、安全、可管理的移動校園網(wǎng)

馬景浩

2014年12月Aruba公司簡介移動網(wǎng)絡(luò)的發(fā)展趨勢可移動的校園無線網(wǎng)快速的移動校園網(wǎng)安全的移動校園網(wǎng)網(wǎng)絡(luò)的全網(wǎng)統(tǒng)一管理Aruba公司簡介最新Gartner評測報(bào)告UNIFIEDWIRED+WIRELESSENTERPRISEWLANSMALLORREMOTEOFFICEGUESTACCESSHIGHDENSITYVENUE1.CISCO3.862.ARUBA3.823.HP3.654.EXTR3.565.HIVE3.536.JNPR3.521.ARUBA4.031.ARUBA4.261.ARUBA4.271.ARUBA3.934.CISCO3.813.CISCO3.662.CISCO3.853.CISCO3.592.HIVE3.845.HP3.264.EXTR3.295.AVAYA3.265.HIVE3.563.HP3.664.EXTR3.596.AVAYA3.492.HIVE3.814.EXTR3.355.AVAYA3.315.HP3.312.XIRRUS3.913.HIVE3.895.EXTR3.566.AVAYA3.52Source:Gartner(August2014)ArubaNetworks介紹總部美國硅谷成立日期February,2002IPODateMarch27,2007NASDAQSymbolARUN客戶群：全球20,000+員工：超過2,000人市場定位：企業(yè)級安全移動無線網(wǎng)絡(luò)(SecureMobileNetworks)NASDAQ(ARUN)唯一專注于企業(yè)級安全移動應(yīng)用的設(shè)備提供商SecureMobility我們的客戶遍及全球各個(gè)行業(yè)高科技互聯(lián)網(wǎng)傳媒娛樂金融教育電信政府賓館飯店公共運(yùn)輸公共場所電力零售制造物流石油和天燃?xì)忉t(yī)療保健ARUBA著名高校案例全美前10最大的高校中的8所：NorthwesternUniversity（西北大學(xué)）,OhioStateUniversity（俄亥俄州立大學(xué)）,PurdueUniv（普渡大學(xué)）,UnivofWisconsin-Madison（威斯康星大學(xué)麥迪遜分校）,PennState（賓州州立大學(xué)）,IndianaUniv（印第安納大學(xué)）,UnivofIowa（愛荷華大學(xué)）,UnivofMichigan（密歇根大學(xué)）排名前10大理工類高校中的5所：Caltech（加利福尼亞理工學(xué)院）,UniversityofCambridge（劍橋大學(xué)）,CarnegieMellon（卡內(nèi)基梅隆大學(xué)）,UCLA（洛杉磯加利福尼亞大學(xué)）,Cornell（康奈爾大學(xué)）常春藤名校聯(lián)盟8所高校中的7所：Brown（布朗大學(xué)）,Columbia（哥倫比亞大學(xué)）,Cornell（康奈爾大學(xué)）,Princeton（普林斯頓大學(xué)）,UPenn（賓夕法尼亞大學(xué)）,Yale（耶魯大學(xué)）,Dartmouth（達(dá)特茅斯學(xué)院）香港8所高校中的6所：香港大學(xué)，香港城市大學(xué)，香港中文大學(xué)，香港理工大學(xué)，香港浸會大學(xué)，嶺南大學(xué)ARUBA中國地區(qū)高校案例上海大學(xué)（2200個(gè)AP）復(fù)旦大學(xué)（1200個(gè)AP）上海交通大學(xué)（2670個(gè)AP）華東師范大學(xué)（1150個(gè)AP）上海財(cái)經(jīng)大學(xué)（1100個(gè)AP）上海海事大學(xué)（1500個(gè)AP）上海理工大學(xué)（1000個(gè)AP）上海外國語大學(xué)（1200個(gè)AP）中國地區(qū)高?？蛻舭咐袊嗣翊髮W(xué)（1000個(gè)AP）北京航空航天大學(xué)（1600個(gè)AP）大連理工大學(xué)（1100個(gè)AP）中國農(nóng)業(yè)大學(xué)（800個(gè)AP）武漢大學(xué)（1200個(gè)AP）中國地質(zhì)大學(xué)（1100個(gè)AP）武漢理工大學(xué)（1300個(gè)AP）北京郵電大學(xué)（500個(gè)AP）移動網(wǎng)絡(luò)的發(fā)展趨勢終端的變革…100%90%80%70%60%50%40%30%20%10%0%199019952000200520102015平板智能手機(jī)筆記本臺式機(jī)…導(dǎo)致了網(wǎng)絡(luò)接入的變革有線無線Gartner,Aruba無線有線100%90%80%70%60%50%40%30%20%10%0%201020112012201320142015…58%學(xué)生擁有三個(gè)或更多的終端連接

2013ECARStudy+33%宿舍區(qū)帶寬的需求日益增長，從2012到2013年

2013ACUTAStudy更少的時(shí)間達(dá)成學(xué)習(xí)目標(biāo)與技術(shù)的教學(xué)

DeptofEducationStudy201280%Upto移動終端演變趨勢——性能顯著提升

移動終端演變趨勢——應(yīng)用日益豐富每臺智能手機(jī)上有四十個(gè)移動應(yīng)用程序。到2016年，預(yù)計(jì)將有3100億次移動應(yīng)用程序下載可移動的校園無線網(wǎng)室內(nèi)高密度區(qū)域室內(nèi)普通區(qū)域室外覆蓋區(qū)域遠(yuǎn)程和班車AP135AP105AP175RAP3無所不在的無線校園網(wǎng)——上海交通大學(xué)Aruba遠(yuǎn)程接入站點(diǎn)數(shù)據(jù)+話音+視頻無線網(wǎng)絡(luò)安全接入有線網(wǎng)絡(luò)安全接入圖形化的實(shí)時(shí)管理精細(xì)化的安全策略（基于用戶身份、終端和應(yīng)用）分離隧道專線/ADSL/3GPEF多樣化安全連接分布式防火墻集中式管理“零配置”部署

提升和優(yōu)化移動校園網(wǎng)的性能802.11無線局域網(wǎng)性能的演進(jìn)802.11ac無線終端已經(jīng)上市ArubaClientMatch?提供穩(wěn)定的網(wǎng)絡(luò)接入關(guān)聯(lián)到另外一個(gè)AP實(shí)時(shí)的射頻收集提升網(wǎng)絡(luò)性能98%的移動終端獲得了更高的SNR94%的“sticky”客戶端獲得了更好的性能客戶端不需要安裝任何軟件或特殊驅(qū)動設(shè)備類型干擾位置擁塞ArubaClientMatch?確保最佳網(wǎng)絡(luò)性能問題：

客戶端并非總是與最佳AP關(guān)聯(lián)

使用

ClientMatch之前使用ClientMatch之后

解決方案： 通過對網(wǎng)絡(luò)信號/密度/負(fù)載的監(jiān)控能力

將客戶端轉(zhuǎn)向最佳AP不斷強(qiáng)化網(wǎng)絡(luò)安全性Aruba基于用戶的無線狀態(tài)防火墻

任意對用戶進(jìn)行分組不同組或用戶設(shè)定不同L2-L7策略控制不同用戶設(shè)定不同的上下行帶寬分配不同用戶設(shè)定的不同QOS級別INTERNET接入服務(wù)訪客VOIP/Video/POS

服務(wù)，QOS保證語音/視頻/移動POS老師管理層學(xué)生學(xué)生

策略控制，QOS管理層

策略控制，QOS老師

策略控制，QOSAruba的Firewall可以檢測到ICMP,TCPSync,IPSession,IPSpoofing,RSTRelay,ARP等多種潛在網(wǎng)絡(luò)攻擊,并自動將攻擊者放入黑名單,斷開無線連接

智能的無線連接：基于應(yīng)用的控制基于應(yīng)用的控制選擇方式：應(yīng)用程序

應(yīng)用程序類別Web類別Web信譽(yù)角色地址應(yīng)用策略（阻止、

限制、優(yōu)先）消除配置的復(fù)雜性基于身份的角色和策略分配——上圖案例ARUBAControllerServerGroupWebServerLDAPServerL3SwitchPOESwitchPort-ChannelInternetFirewallPOESwitchPOESwitchARUBAAPARUBAAPARUBAAP讀者員工SSID用戶角色用戶策略shlibraryshlib-reader-logon認(rèn)證前的初始用戶，只允許訪問Portalshlib-yg上圖員工用戶，可以訪問內(nèi)網(wǎng)shlib-py普通閱覽讀者，可以訪問普通閱覽資源shlib-cy參考閱覽讀者，可以訪問參考閱覽資源shlib-pj普通借閱讀者，可以訪問普通借閱資源shlib-cj參考借閱讀者，可以訪問參考借閱資源shlib-admin上圖管理員，可訪問所有網(wǎng)段Shlib-ebook-role只允許訪問電子書服務(wù)器Shlib-video-role只允許訪問視頻服務(wù)器基于終端類型的策略控制——中國地大案例無線接入點(diǎn)無線控制器防火墻Internet核心交換機(jī)認(rèn)證系統(tǒng)(Radius,AD)筆記本電腦智能終端ESSID:CUG網(wǎng)絡(luò)規(guī)模：4臺Aruba6000控制器個(gè)AP，最高并發(fā)在線用戶近3000人存在問題：校園有線和無線用戶采用學(xué)校自己開發(fā)的認(rèn)證和計(jì)費(fèi)客戶端，無法安裝在iphone、android、WindowsMobile等智能手機(jī)終端上傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)無法識別終端類型，并為其分配專門的策略解決方案：采用Aruba終端指紋識別技術(shù)對智能手機(jī)終端進(jìn)行智能分離，并動態(tài)分配新的角色實(shí)現(xiàn)效果：筆記本終端只能連接CUG，使用專用認(rèn)證客戶端進(jìn)行認(rèn)證，并根據(jù)流量進(jìn)行計(jì)費(fèi)智能終端只能連接CUG-Mobile，使用校園LDAP帳號進(jìn)行Portal認(rèn)證，不計(jì)費(fèi)，但是對用戶的帶寬和應(yīng)用進(jìn)行限制ESSID:CUG-MobileARUBAClearPass網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（NAC）1234ClearPass策略服務(wù)平臺無線控制器傳輸網(wǎng)Profile:提供業(yè)界產(chǎn)品覆蓋最廣、準(zhǔn)確率最高的設(shè)備分析系統(tǒng),可以動態(tài)監(jiān)視新連接，并自動分析新偵測到的設(shè)備On-Board:提供無感知的802.1x認(rèn)證參數(shù)配置，使IT人員可以輕松創(chuàng)建、管理802.1X終端設(shè)備On-Guard:在終端入網(wǎng)前根據(jù)預(yù)置的安全入網(wǎng)條件進(jìn)行檢查，包括：防毒軟件、防火墻、軟件版本補(bǔ)丁等Guest:提供自定義個(gè)性化portal、訪客自注冊系統(tǒng)、按需廣告推送,外置Raidus功能校園無感知認(rèn)證——武漢理工大學(xué)案例網(wǎng)絡(luò)服務(wù)匯聚層接入層主MasterLocalClearPass

策略服務(wù)器

QuickConnect

自動預(yù)配置AireWaveLocalLocal武漢理工校園核心網(wǎng)絡(luò)控制數(shù)據(jù)流無線用戶數(shù)據(jù)流ClearPass訪客系統(tǒng)普通老師每隔一個(gè)星期認(rèn)證一次用戶名密碼領(lǐng)導(dǎo)每隔一個(gè)月認(rèn)證一次用戶名密碼普通老師賬號可以綁定一臺電腦領(lǐng)導(dǎo)賬號可以綁定一臺筆記本電腦和一臺智能終端校園網(wǎng)唯一SSID高安全性的移動網(wǎng)絡(luò)—802.1x自動部署實(shí)現(xiàn)終端802.1x認(rèn)證的自動配置以及客戶端證書的自動下發(fā)；采用802.1x證書加密，保證數(shù)據(jù)無線傳輸?shù)陌踩浴?.訪問終端部署頁面接入網(wǎng)絡(luò)2.VPN配置終端的802.1X參數(shù)，并部署終端證書或密鑰ClearPass策略服務(wù)器訪客人員賬號管理–管理員批量創(chuàng)建訪客賬號接入網(wǎng)絡(luò)訪客管理員批量創(chuàng)建訪客賬號ClearPass策略服務(wù)器賬號創(chuàng)建成功，訪客管理員可通過email，SMS將賬號發(fā)給訪客，或打印賬號信息提供給訪客訪客到達(dá)后可通過創(chuàng)建好的訪客賬號登陸訪客管理員1.2.3.訪客人員賬號管理–訪客自行注冊1.3.接入網(wǎng)絡(luò)2.聯(lián)系人對訪客帳號進(jìn)行確認(rèn)ClearPass策略服務(wù)器訪客帳號通過web、email或短信進(jìn)行分發(fā)填寫訪客信息新來訪客聯(lián)系人訪客的審計(jì)訪客行為的可視化和報(bào)表誰創(chuàng)建的訪客賬號什么時(shí)間創(chuàng)建的訪客賬號訪客在哪里接入了網(wǎng)絡(luò)訪客使用了多長時(shí)間訪客使用了多少流量ClearpassArubaAP基于聯(lián)系人確認(rèn)機(jī)制的訪客自助注冊Aruba控制器沒有訪客帳號的用戶可以點(diǎn)擊自助注冊鏈接聯(lián)系人訪客