企业分支机构组网方案-20120502.docx

ARUB^ networks XXX企业 分支机构安全组网技术方案 2012年05月02日 用户需求 3 ARUBA虚拟分支组网解决方案 4 1. VBN组网架构 4 大型分支机构的组网 5 小型分支机构的组网 6 VBN技术优势 6 1. 端到端的网络安全 7 2.2. 网络管理简单易行 8 2.2.3. 有线无线安全接入 9 2.4. 对传输网络完全透明 9 XXX企业分支机构组网方案 10 总部与大型分支机构之间的组网 10 2. 总部与小型分支机构之间的组网 11 3. 个人用户基于VIA客户端的远程接入 11 设备配置清单 13 XXX企业总部设备配置 13 大型分支机构设备配置 13 小型分支机构设备配置 14 相关产品介绍 15 5.1. ARUBAMMC3400中心控制器 15 5.2.ARUBAMMC620分支控制器 23 5.3. ARUBAAP-92/93无线接入点 34 ArubaRAP-5WN远程接入点 36 用户需求 随着XXX企业业务的不断拓展，越来越多的分支机构也建立起来，其中包括规模较大的分支机构，也包括小型的分支机构。这些分支通过Internet线路建立与总部之间的VPN连接，并以本地转发方式访问Internet,同时进行有线和无线网络的覆盖，以满足0A、远程接入等业务需求。 此外，对于个人办公或者出差在外的用户，则需要通过VPN客户端方式实现内网办公资源的访问。 ARUBA虚拟分支组网解决方案 作为业界最为领先的安全网络供应商，ARUBA新近推出了先进的企业虚拟分支组网解决方案(VBN)o与传统的VPN概念不同，ARUBA的VBN解决方案对网络虚拟化的含义作出了全新的阐释。 从网络使用者的角度来看，ARUBAVBN解决方案为他们提供了一张能够跨越Internet的企业虚拟网络，使用者能够在任何地方安全地连接企业内网 从网络管理者的角度来看,ARUBAVBN解决方案能够将成百上千个远端设备虚拟到一台中心控制器上，进行集中式的实时监控和管理，从而大大减轻了网络管理者的工作负荷 凭借ARUBAVBN解决方案在网络安全性和可管理性方面的巨大优势，企业网络管理人员能够轻松地将大大小小各种规模的分支机构安全地联结在一起。 2.1.VBN组网架构 ARUBA的VBN解决方案主要包括以下组件： 中心控制器 部署在企业总部，用于对整个VBN网络进行配置和管理，网络管理人员只需要在中心控制器上对远程网络(无线和有线)的接入、认证方法以及安全策略进行定义,中心控制器会自动将这些配置同步到所有相关的分支控制器和远程接入点。 ?分支控制器 部署在大型分支机构，用于管理和控制大型分支机构内的无线接入点，并提供有线端口的认证和策略功能，从而能够实现整个分支机构的无线覆盖和网络安全控制。网络管理人员只需要为分支控制器配置VLAN、IP和路由等网络层参数，分支控制器会自动从中心控制器同步所有的无线设置和认证及安全策略。 ?远程接入点 部署在小型分支机构，提供能够集中管控的企业级安全接入功能，支持无线接入和有线接入方式，支持在无线接口和有线接口上的各种身份认证机制，包括802.IX 认证、MAC地址认证和Portal认证等。 ?网络管理系统（可选） 部署在企业总部，提供面向全网的统一管理能力，支持对多厂商设备的配置管理、性能管理和故障管理，并且在整个网络范围内对用户进行快速搜索，并査阅与用户相关的各类实时和历史数据，包括用户名、MAC地址、IP地址、信号强度、使用带宽、定位信息和漫游记录等内容 典型的ARUBAVBN组网架构如下图所示。 Network AccessData CenterManagementAggregationSmall Branch OfficeLarge Branch Office Network Access Data Center Management Aggregation Small Branch Office Large Branch Office 2.1.1.大型分支机构的组网 对于大型的分支机构，考虑到单个远程接入点在容景和覆盖范围上的限制，能够采用 ARUBA独特的Master-Local组网架构，在大型分支机构部署Local控制器和标准接入点，实现大型分支机构的组网。在Master-Local工作模式下，位于分支机构的Local控制器会与Master控制器建立一条IPsec加密隧道，并通过该隧道传输相关的控制命令，以及同步配置文件。所以，网络管理员不需要对每个分支机构的Local控制器进行逐台配置，只需要对位于总部的Master控制器进行配置，Master控制器会把配置信息自动同步到每一台Local控制器。 因为Local控制器的存在，一方面使大型分支机构的大规模无线覆盖成为可能，