华为Agile-Controller-Campus技术建议书.docx

--------------------------校验:_____________-----------------------日期:_____________华为Agile-Controller-Campus技术建议书华为AgileController(园区版)技术建议书(模板)文档版本01发布日期2016-05-26华为技术有限公司版权所有©华为技术有限公司2016。保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:enterprise客户服务邮箱:ChinaEnterprise_TAC客户服务电话:400-822-9999目录1概述 3项目背景 3园区网发展趋势 3项目现状 3接入场景及安全风险分析 3项目目标和范围 42应用场景 43方案设计思想及原则 54项目方案设计 5方案概述 5部署方案设计 5内部员工认证方案设计 5外来访客认证方案设计 6认证授权策略设计 6用户账号来源 6部门/角色设计 6策略授权模型设计 7业务随行方案设计 7终端安全方案设计 7业务编排策略设计 7方案可靠性设计 75项目实施建议 8项目配置建议 8项目实施步骤建议 86产品简介 8系统架构 8典型应用场景 8主要功能 9项目概述项目背景园区网发展趋势当前企业的IT应用正在发生着显著的变化:云计算、BYOD、高清媒体等新应用正迅速地走进企业,这些IT应用新变化对企业的基础园区网提出了更大的挑战,要求企业基础园区网架构要变得更便捷、可靠和安全。尤其随着BYOD等无线办公应用的普及,企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式,发展到现在通过智能终端实现“3A(Anytime,Anywhere,Anything)”灵活移动接入的高级方式。面对海量的有线和无线用户的融合网络,网络接入的安全性问题越发突显出现,包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署,直接影响到企业的信息安全,成为保证园区网安全性保障的关键点。项目现状XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等)接入场景及安全风险分析结合XXX的现网情况和对于安全接入控制的需求,发现现网对网络准入控制的需求主要包括以下几个场景:(根据实际情况进行删减、编辑)内部员工使用固定PC、便携机通过有线网络接入内网内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网外来访客使用便携机、平板/手机等智能终端设备通过无线网络接入访问指定的网络资源,如互联网网络打印机、IPPhone等哑终端设备通过有线接入内网内部员工在互联网通过VPN接入内网……面对复杂的网络接入场景,项目目标和范围关键应用场景(可选)场景一:如何更快速的配置认证客户端?目前的困惑:传统的园区网中通常用Web认证方式,但是Web认证方式是在认证前就为用户分配了IP地址,浪费了IP地址资源,而且分配IP地址的DHCP(动态地址分配协议)服务器对用户而言是完全裸露的,容易受到恶意攻击。Web认证要求每次接入网络都输入用户名密码,对于经常在园区内办公的人员来说,会显得非常麻烦。最安全可靠的方式是采用认证。然而认证需要对终端进行复杂的配置,终端用户自助完成配置的比例不高,网络管理员无法对每一台终端进行配置,尤其在终端数量持续暴涨的今天,所以大部分园区网并没有采用这种安全的认证方式。解决方案:华为AgileController-Campus的Boarding功能可以实现客户端自动配置,无论终端使用windows,IOS,Android操作系统,采用有线还是无线的链接方式,Boarding都能识别并为它们提供合适的配置。使用华为的Boarding功能,用户第一次接入网络时,AgileController-Campus识别到终端的操作系统,根据对应的操作系统重定向到不同