打造快速、安全可管理移动校园网

打造快速、安全、可管理的移动校园网

马景浩

2014年12月Aruba公司简介移动网络的发展趋势可移动的校园无线网快速的移动校园网安全的移动校园网网络的全网统一管理Aruba公司简介最新Gartner评测报告UNIFIEDWIRED+WIRELESSENTERPRISEWLANSMALLORREMOTEOFFICEGUESTACCESSHIGHDENSITYVENUE1.CISCO3.862.ARUBA3.823.HP3.654.EXTR3.565.HIVE3.536.JNPR3.521.ARUBA4.031.ARUBA4.261.ARUBA4.271.ARUBA3.934.CISCO3.813.CISCO3.662.CISCO3.853.CISCO3.592.HIVE3.845.HP3.264.EXTR3.295.AVAYA3.265.HIVE3.563.HP3.664.EXTR3.596.AVAYA3.492.HIVE3.814.EXTR3.355.AVAYA3.315.HP3.312.XIRRUS3.913.HIVE3.895.EXTR3.566.AVAYA3.52Source:Gartner(August2014)ArubaNetworks介绍总部美国硅谷成立日期February,2002IPODateMarch27,2007NASDAQSymbolARUN客户群：全球20,000+员工：超过2,000人市场定位：企业级安全移动无线网络(SecureMobileNetworks)NASDAQ(ARUN)唯一专注于企业级安全移动应用的设备提供商SecureMobility我们的客户遍及全球各个行业高科技互联网传媒娱乐金融教育电信政府宾馆饭店公共运输公共场所电力零售制造物流石油和天燃气医疗保健ARUBA著名高校案例全美前10最大的高校中的8所：NorthwesternUniversity（西北大学）,OhioStateUniversity（俄亥俄州立大学）,PurdueUniv（普渡大学）,UnivofWisconsin-Madison（威斯康星大学麦迪逊分校）,PennState（宾州州立大学）,IndianaUniv（印第安纳大学）,UnivofIowa（爱荷华大学）,UnivofMichigan（密歇根大学）排名前10大理工类高校中的5所：Caltech（加利福尼亚理工学院）,UniversityofCambridge（剑桥大学）,CarnegieMellon（卡内基梅隆大学）,UCLA（洛杉矶加利福尼亚大学）,Cornell（康奈尔大学）常春藤名校联盟8所高校中的7所：Brown（布朗大学）,Columbia（哥伦比亚大学）,Cornell（康奈尔大学）,Princeton（普林斯顿大学）,UPenn（宾夕法尼亚大学）,Yale（耶鲁大学）,Dartmouth（达特茅斯学院）香港8所高校中的6所：香港大学，香港城市大学，香港中文大学，香港理工大学，香港浸会大学，岭南大学ARUBA中国地区高校案例上海大学（2200个AP）复旦大学（1200个AP）上海交通大学（2670个AP）华东师范大学（1150个AP）上海财经大学（1100个AP）上海海事大学（1500个AP）上海理工大学（1000个AP）上海外国语大学（1200个AP）中国地区高校客户案例中国人民大学（1000个AP）北京航空航天大学（1600个AP）大连理工大学（1100个AP）中国农业大学（800个AP）武汉大学（1200个AP）中国地质大学（1100个AP）武汉理工大学（1300个AP）北京邮电大学（500个AP）移动网络的发展趋势终端的变革…100%90%80%70%60%50%40%30%20%10%0%199019952000200520102015平板智能手机笔记本台式机…导致了网络接入的变革有线无线Gartner,Aruba无线有线100%90%80%70%60%50%40%30%20%10%0%201020112012201320142015…58%学生拥有三个或更多的终端连接

2013ECARStudy+33%宿舍区带宽的需求日益增长，从2012到2013年

2013ACUTAStudy更少的时间达成学习目标与技术的教学

DeptofEducationStudy201280%Upto移动终端演变趋势——性能显著提升

移动终端演变趋势——应用日益丰富每台智能手机上有四十个移动应用程序。到2016年，预计将有3100亿次移动应用程序下载可移动的校园无线网室内高密度区域室内普通区域室外覆盖区域远程和班车AP135AP105AP175RAP3无所不在的无线校园网——上海交通大学Aruba远程接入站点数据+话音+视频无线网络安全接入有线网络安全接入图形化的实时管理精细化的安全策略（基于用户身份、终端和应用）分离隧道专线/ADSL/3GPEF多样化安全连接分布式防火墙集中式管理“零配置”部署

提升和优化移动校园网的性能802.11无线局域网性能的演进802.11ac无线终端已经上市ArubaClientMatch™提供稳定的网络接入关联到另外一个AP实时的射频收集提升网络性能98%的移动终端获得了更高的SNR94%的“sticky”客户端获得了更好的性能客户端不需要安装任何软件或特殊驱动设备类型干扰位置拥塞ArubaClientMatch™确保最佳网络性能问题：

客户端并非总是与最佳AP关联

使用

ClientMatch之前使用ClientMatch之后

解决方案： 通过对网络信号/密度/负载的监控能力

将客户端转向最佳AP不断强化网络安全性Aruba基于用户的无线状态防火墙

任意对用户进行分组不同组或用户设定不同L2-L7策略控制不同用户设定不同的上下行带宽分配不同用户设定的不同QOS级别INTERNET接入服务访客VOIP/Video/POS

服务，QOS保证语音/视频/移动POS老师管理层学生学生

策略控制，QOS管理层

策略控制，QOS老师

策略控制，QOSAruba的Firewall可以检测到ICMP,TCPSync,IPSession,IPSpoofing,RSTRelay,ARP等多种潜在网络攻击,并自动将攻击者放入黑名单,断开无线连接

智能的无线连接：基于应用的控制基于应用的控制选择方式：应用程序

应用程序类别Web类别Web信誉角色地址应用策略（阻止、

限制、优先）消除配置的复杂性基于身份的角色和策略分配——上图案例ARUBAControllerServerGroupWebServerLDAPServerL3SwitchPOESwitchPort-ChannelInternetFirewallPOESwitchPOESwitchARUBAAPARUBAAPARUBAAP读者员工SSID用户角色用户策略shlibraryshlib-reader-logon认证前的初始用户，只允许访问Portalshlib-yg上图员工用户，可以访问内网shlib-py普通阅览读者，可以访问普通阅览资源shlib-cy参考阅览读者，可以访问参考阅览资源shlib-pj普通借阅读者，可以访问普通借阅资源shlib-cj参考借阅读者，可以访问参考借阅资源shlib-admin上图管理员，可访问所有网段Shlib-ebook-role只允许访问电子书服务器Shlib-video-role只允许访问视频服务器基于终端类型的策略控制——中国地大案例无线接入点无线控制器防火墙Internet核心交换机认证系统(Radius,AD)笔记本电脑智能终端ESSID:CUG网络规模：4台Aruba6000控制器个AP，最高并发在线用户近3000人存在问题：校园有线和无线用户采用学校自己开发的认证和计费客户端，无法安装在iphone、android、WindowsMobile等智能手机终端上传统网络系统无法识别终端类型，并为其分配专门的策略解决方案：采用Aruba终端指纹识别技术对智能手机终端进行智能分离，并动态分配新的角色实现效果：笔记本终端只能连接CUG，使用专用认证客户端进行认证，并根据流量进行计费智能终端只能连接CUG-Mobile，使用校园LDAP帐号进行Portal认证，不计费，但是对用户的带宽和应用进行限制ESSID:CUG-MobileARUBAClearPass网络准入控制系统（NAC）1234ClearPass策略服务平台无线控制器传输网Profile:提供业界产品覆盖最广、准确率最高的设备分析系统,可以动态监视新连接，并自动分析新侦测到的设备On-Board:提供无感知的802.1x认证参数配置，使IT人员可以轻松创建、管理802.1X终端设备On-Guard:在终端入网前根据预置的安全入网条件进行检查，包括：防毒软件、防火墙、软件版本补丁等Guest:提供自定义个性化portal、访客自注册系统、按需广告推送,外置Raidus功能校园无感知认证——武汉理工大学案例网络服务汇聚层接入层主MasterLocalClearPass

策略服务器

QuickConnect

自动预配置AireWaveLocalLocal武汉理工校园核心网络控制数据流无线用户数据流ClearPass访客系统普通老师每隔一个星期认证一次用户名密码领导每隔一个月认证一次用户名密码普通老师账号可以绑定一台电脑领导账号可以绑定一台笔记本电脑和一台智能终端校园网唯一SSID高安全性的移动网络—802.1x自动部署实现终端802.1x认证的自动配置以及客户端证书的自动下发；采用802.1x证书加密，保证数据无线传输的安全性。1.访问终端部署页面接入网络2.VPN配置终端的802.1X参数，并部署终端证书或密钥ClearPass策略服务器访客人员账号管理–管理员批量创建访客账号接入网络访客管理员批量创建访客账号ClearPass策略服务器账号创建成功，访客管理员可通过email，SMS将账号发给访客，或打印账号信息提供给访客访客到达后可通过创建好的访客账号登陆访客管理员1.2.3.访客人员账号管理–访客自行注册1.3.接入网络2.联系人对访客帐号进行确认ClearPass策略服务器访客帐号通过web、email或短信进行分发填写访客信息新来访客联系人访客的审计访客行为的可视化和报表谁创建的访客账号什么时间创建的访客账号访客在哪里接入了网络访客使用了多长时间访客使用了多少流量ClearpassArubaAP基于联系人确认机制的访客自助注册Aruba控制器没有访客帐号的用户可以点击自助注册链接联系人访客