如何构建易于部署高效低成本的大型安全企业无线网络 — Aruba中国区技术总监 CONFIDENTIAL Copyright 2008 Aruba

Aruba 完备的产品线 Aruba 6000 支持2048个AP的移动控制器 Aruba 800 支持16个AP的移动控制器 Aruba 3000 支持8－128个AP的移动控制器 Aruba 200 支持6个AP的移动控制器 Aruba 2400 支持48个AP的移动控制器 Aruba. OS Airwave Management 移动应用软件网络管理，RF管理，服务创建 Aruba Access Points 单频，双频，三频，MESH，户外各种类型AP CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

Aruba 安全企业无线网络架构 • 多功能控制器数据中心 Aruba 移动控制器有线网络 Aruba 接入点无线终端 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved • 基于ASIC-Based架构，线速转发 • L 2 -7 的状态防火墙 • 隧道传输技术 • 不改变现有网络架构 • 客户端到核心安全加密 • 多功能无线接入点 • WLAN接入, Air Monitor, Remote Access, Mesh Point • 11 a/b/g/n • 即插即用 • 连接现有交换机

Aruba独有集中式无线移动解决方案 AP 接入点 Wi. Fi 环境现场考察数据包抓取无线电波监控 Wi. Fi 入侵侦测系统 AP 无线局域网侦测 POE 交换机 Wi. Fi 接入控管无线交换机/模块 Captive Portal 无线控制器网络访问控制 VPN 网关多功能服务开展局域网结合局域网防火墙路由/Qo. S 设备多层管理系统网管 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 软件模块

Aruba 无线移动网络部署方案无需升级现有IP网络数据中心 LAN / WAN / INTERNET 总部移动环境分支 CONFIDENTIAL ©

企业总部无线网络部署 FLOOR 2 AP FLOOR 1 现有IP骨干网络无需升级 AP BUILDING/CAMPUS CORE Mobility Controller BACKBONE

便于扩展：随时随地对无线网络进行扩展 40 x 1000 Base-X (SFP) Up to 4 M 3 Mark I 8 x 10 GBase-X (XFP) 业界最强大的无线控制器 • 单台支持80 G线速转发 • 单台管理2048个无线AP Redundant PSUs Fan Tray Internet 服务来客Internet 访问分割隧道分支机构/办公室 Internet 服务 GUEST VLAN 公司总部 GUEST CO RP DMZ COR P DSL 路由器 INTERNET 防火墙/NAT VOIC E 语音用于传输互联网流量的分割隧道以用户为中心的内置防火墙从室内向室外扩展 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 向更加广阔的Internet扩展

ARUBA安全移动网络特点－快速部署 mesh接入点 (MAP) • • WLAN Mesh技术室内、室外一体化mesh解决方案 Mesh Cluster高可用性保障现有控制器和AP通过软件License 即可支持，无需专用设备 CONFIDENTIAL ©

企业分支机构无线网络部署主要特性集中式无线局域网控制分支机构有线设备 Aruba 控制器之间的站点到站点 VPN 连接公司总部策略执行防火墙站点到站点 VPN 第二层以太网交第三层 IP 路由 Internet/ Enterprise WAN 无线移动性控制器提供有线交换、无线 LAN、NAT、 VPN、防火墙 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 集中管理选项

Aruba的Virtual Branch Network 解决方案 1 Controllers 控制器 VPN 集中器 PLUS 集中式远程网络功能 PLUS 虚拟化远程网络操作 Datacenters Data Center 2 Remote Access Points (RAPs) VPN LAN 延伸 PLUS 本地局域网连接 PLUS 本地策略执行 3 Air. Wave 管理平台架构设置管理 PLUS 运行管理 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

Aruba 控制器 APIs/Integration RADIUS/LDAP/AD Remote Wireless LAN Control Remote Wired Security Control Management Hooks PEF VPN Server Distributed Policy Enforcement Firewall Engine 集中的，全面的远程接入实时控制解决方案 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved To Branch

Aruba 远程接入点 WAN LAN Plug-Play Client Local Connectivity Client VPN PEF Distributed Policy Enforcement Firewall Engine To Datacenters Enterprise Secure Wi-Fi Enterprise Secure Wired LAN/WAN/Internet Access Forwarding Priority Per User/Device/Session Dynamic Policies via Controller CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

Air. Wave 管理系统 Network Engineering 提供 & 配置 • 系统提供 • 集中式设置&变更控制 • 系统诊断 Security & Audit Team 遵循网管 & 安全 • 自动审核&报告 • 无线&有线的入侵检测 L 1/L 2 Help Desk 监测 &可视化 • 全面且充分的了解每一个远程客户及设备 • 远程诊断和故障排除将有线和无线统一在基于角色的访问控制下一套综合业务管理解决方案 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved Executive Management 报告 & 分析 • 习惯& 趋势报告 • 触发器& 警告 • APIs for 3 rd party integration

全面的功能性安全的企业无线入侵防护 PEF 实施策略企业无线局域网动态的每一个用户/设备/Session 访客连接 Local Forwarding 拓展的PBX Split Forwarding PEF 本地的PBX PEF IP 语音 & 影像有线客户端 NAS & 服务器面向用户实时可见实时控制打印机网络设备 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 可靠的企业有线

易于部署 my. controller. com PEF 1. 2. 3. 4. 5. PEF Secure Corp Network 接入RAP 于任何网络输入控制器地址建立安全的连接控制器将自动更新并提供给 RAP 安全的远程网络自动连接完成 End User Installable, No Truck-Rolls! CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

独立于传输介质 Management Solved LAN Challenge Solved ü 实时可见 ü 实时控制 ü 用户连通性 ü 安全策略 ü 流量策略 Any WAN/LAN Secure Corp Branch Network Transport Is A “Cloud” Buy transport from the most convenient supplier RAP Drops Traffic To It or Tunnels Through It CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

易于管理 Traditional Image Mgmt x 1 Image Mgmt End-User Image Mgmt Help-Desk Config Mgmt “Assist” Config Mgmt IP Mgmt Tools IP Mgmt Firmware Monitoring Config Mgmt IP Mgmt Firmware Monitoring Changes x “N” 虚拟化&集中化的关键 Changes 多种管理功能集于一身的设备 Troubleshooting 实时的远程可见性和控制性 User Level Packet Level Instant Changes CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

所有的分支，一种解决方案 Employees Contractors Partners Suppliers Guests 多用户多设备多策略 ONE NETWORK CONFIDENTIAL © Copyright

企业小型分支机构无线网络快速部署 enterprise-ssid • Remote AP • Mesh for extended, instant coverage Internet enterprise-ssid 小型分支机构

企业移动/临时办公环境快速部署 enterprise-ssid • Remote AP Internet enterprise-ssid 临时办公（酒店）家庭办公 CONFIDENTIAL © Copyright 2008. Aruba

快速搭建和扩展远程无线网络 3 G Link 3 G USB MODEM 运营商 3 G 网络企业总部： Aruba

企业临时办公环境快速部署 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved

统一管理的网络 Aruba Airwave § For Multi-Vendor § For Multi-controller mgmt Master Aruba 6000 § Local WLAN Traffic § Central Security Policy § Central Management § For Remote APs § For Rapid Deployment § For remote controller failover Redundant Aruba 6000 § Optional § Backs up Master Controller § Shares AP Load 数据中心 WAN/3 G LAN 室内 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved Internet 室外 VBN

统一的无线策略集中管理与自动优化：不需要人干预的智能网络 • 挑战 – 动态射频环境可用信道 • 在一定的覆盖范围，可以使用的作信道并不是一成不变的，与环境中存在的干扰和用户密度、流量负载等有关 • 物理位置自适应射频管理（Adaptive Radio Management™ ）基于可用频谱对 WLAN进行持续优化时间 1. CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 基于用户和流量进行负载均衡 5. 对双频段用户提供频段指引 6. 公平接入快速和慢速客户端基于负载感知的射频扫描 8. 办公室/ 位同频干扰抑制 7. 会议室自动选择最佳信道和功率，降低网络冲突和干扰，并在AP失效时自动对盲区进行覆盖 4. 自习室 2. 3. 大厅对频谱进行实时扫描和监视基于应用感知的射频扫描

Aruba新一代的智能射频控制技术（ARM 2. 0） ——提供领先的无线连接性能和可靠性 Wi-Fi 网络性能性能不稳定实时性应用受到影响无线终端频繁掉线 Without ARM 2. 0 无线用户密度复杂的无线应用各种各样的终端不同的操作系统 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved With ARM 2. 0 • >20% 公平分配网络性能 • >40% 大幅降低干扰影响 • >30% 提升网络整体性能 • >100 超高密度用户接入网络复杂性

传统有线网络的安全策略 WWW 固定的安全检查点领导防火墙/VPN 网络攻击职 Internet 合同接入交换机汇聚交换机访客 CONFIDENTIAL ©

传统有线网络的安全策略 WWW 固定式的安全检查点领导防火墙/VPN 职合同 ? ? ? Internet 接入交换机汇聚交换机访客 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 核心交换机路由器问题： 1）防火墙内侧安全控制？ 2）分支机构的安全控制？ 3）小型办公机构的快速展开？ 4）全网用户身份如何识别？ 5）访客如何接入？ 6）新兴业务如何开展？

基于用户角色的安全策略 ARUBA 移动控制器 WWW AAA 服务领导 RADIUS, LDAP, AD 领导 Aruba AP Rights, Qo. S, VLAN 职职语音终端合同 SSID: UNIV SSID: VOICE 合同企业有线 IP网络 SSID: GUEST Rights, Qo. S, VLAN 语音终端 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved Internet 访客 Rights, Qo. S, VLAN WEB 页面认证访客 Rights, Qo. S, VLAN 核心交换机路由器

能区分不同的用户及应用领导子网领导职子网职合作伙伴子网合作伙伴 INTERNET 接入服务访客语音

传统的AP的安全 WLAN Wired LAN Key Issues • Malicious insiders can spoof valid clients Malicious Insider • External firewall cannot tell difference Decrypted traffic Firewall • No identity is maintained endto-end Identification Disconnect Authentication Authorization Employee Encrypted traffic 数据加密 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved Internal corporate LAN

端到端的安全 WLAN Wired LAN Advantages (Data Center) • Authentication & firewall together Aruba Mobility Controller • Firewall policies based on identity, not MAC or IP Encrypted traffic • End-to-end encryption Authorization • Spoofing attacks defeated Decrypted traffic Identification Authentication Malicious Insider Employee Encrypted traffic 数据加密 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved Internal corporate LAN

AP 分类部署 Aruba WIP 的环境临近的无线热点 Valid Interfering Known Interfering 移动控制器核心交换停车场

集成了无线Sensor的多功能接入点主要特性 1. 与 WLAN 基础设施集成，不需要另外购买昂贵的无线探测器和分析软件 2. 对恶意接入点进行检测、定位和控制，消除来自空中的网络入侵隐患 3. 拒绝服务攻击检测，提供API支持用户自定义攻击类型 4. 对各种无线设备、终端和RFID标签进行定位，可以为第三方定位提供API接口非法AP CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 非法用户

实现移动性和安全性的完美结合认证 the User 控制 Access per User 分类 the Traffic 优化 the Air 跟随 the User 学生教师接入网络电话、打印机 CONFIDENTIAL © Copyright 2008. Aruba Networks, Inc. All rights reserved 多业务移动控制器 80 Gbps线速转发个人策略防火墙 35 企业网络资源

如何构建易于部署 高效 低成本的大型安全企业无线网络 — Aruba中国区技术总监 CONFIDENTIAL Copyright 2008 Aruba

如何构建易于部署高效低成本的大型安全企业无线网络 — Aruba中国区技术总监 CONFIDENTIAL Copyright 2008 Aruba