远程分支网络覆盖

远程分支网络覆盖解决方案

1.1 远程分支网络覆盖

从市场和经营的眼光看，企业需要扩大业务覆盖范围、提高生产工作效率，加快对市场变化的反应能力，以增加企业在市场竞争中的活力。利用廉价方便的Internet连接线路、尽可能多地将分布在远程机构、居家旅行中的企业员工以安全可靠的方式连接在企业私有的业务通信系统上，因此变得非常有意义。企业的每个员工都可以在任何地点，任何时候，方便安全地连接到企业总部的通信系统上，运行CRM、ERP等各种业务软件，就像工作在总部的办公室一样，及时地完成业务处理和有效的内部沟通。将更多的有效工作的员工连接起来，可以使企业获得更大的效益和产出。这些，无疑已成为企业信息主管在考虑企业信息化系统如何为提高生产效率进一步发挥作用的一个关注点。

1.1.1 ALU VBN解决方案

作为业界最为领先的安全网络供应商，ALU新近推出了先进的企业虚拟分支组网解决方案（VBN）。与传统的VPN概念不同，ALU的VBN解决方案对网络虚拟化的含义作出了全新的阐释。

从网络使用者的角度来看，ALU VBN解决方案为他们提供了一张可以跨越Internet

的企业虚拟网络，使用者可以在任何地方安全地连接企业内网

从网络管理者的角度来看，ALU VBN解决方案可以将成百上千个远端设备虚拟到一

台中心控制器上，进行集中式的实时监控和管理，从而大大减轻了网络管理者的工作负荷

凭借ALU VBN解决方案在网络安全性和可管理性方面的巨大优势，企业网络管理人员可以轻松地将大大小小各种规模的分支机构安全地联结在一起。

ALU的VBN解决方案主要包括以下组件：

中心控制器

部署在企业总部，用于对整个VBN网络进行配置和管理，网络管理人员只需要在中心控制器上对远程网络（无线和有线）的接入、认证方法以及安全策略进行定义，中心控制器会自动将这些配置同步到所有相关的分支控制器和远程接入点。 分支控制器

远程分支网络覆盖解决方案

部署在大型分支机构，用于管理和控制大型分支机构内的无线接入点，并提供有线端口的认证和策略功能，从而可以实现整个分支机构的无线覆盖和网络安全控制。网络管理人员只需要为分支控制器配置VLAN、IP和路由等网络层参数，分支控制器会自动从中心控制器同步所有的无线设置和认证及安全策略。

远程接入点

部署在小型分支机构，提供可以集中管控的企业级安全接入功能，支持无线接入和有线接入方式，支持在无线接口和有线接口上的各种身份认证机制，包括802.1X认证、MAC地址认证和Portal认证等。

网络管理系统（可选）

部署在企业总部，提供面向全网的统一管理能力，支持对多厂商设备的配置管理、性能管理和故障管理，并且在整个网络范围内对用户进行快速搜索，并查阅与用户相关的各类实时和历史数据，包括用户名、MAC地址、IP地址、信号强度、使用带宽、定位信息和漫游记录等内容

典型的ALU VBN组网架构如下图所示。

远程分支网络覆盖解决方案

1.1.2 ALU VBN组网方式 大型分支机构组网方式

对于大型的分支机构，考虑到单个远程接入点在容量和覆盖范围上的限制，可以采用ALU独特的Master-Local组网架构，在大型分支机构部署Local控制器和标准接入点，实现大型分支机构的组网。

在Master-Local工作模式下，位于分支机构的Local控制器会与Master控制器建立一条IPsec加密隧道，并通过该隧道传输相关的控制命令，以及同步配置文件。因此，网络管理员不需要对每个分支机构的Local控制器进行逐台配置，只需要对位于总部的Master控制器进行配置，Master控制器会把配置信息自动同步到每一台Local控制器。

由于Local控制器的存在，一方面使大型分支机构的大规模无线覆盖成为可能，另一方面也使大型分支机构的数据流向更加优化。分支机构内部的业务流可以通过Local控制

远程分支网络覆盖解决方案

器进行路由和交换；分支机构与总部之间的业务流量既可以通过站点之间的广域网专用线路来转发，也可以通过Master和Local控制器之间的IPsec隧道来转发。 小型分支机构组网方式

对于小型的分支机构，由于用户数量较少，需要无线覆盖的面积不大，因此可以直接采用ALU的远程接入点来进行组网。每个位于分支机构的远程接入点在连接Internet后自动发起到中心控制器的IPsec加密隧道，并通过这个加密隧道自动同步软件版本和配置文件，然后根据配置文件部署相应的有线和无线配置，以及身份认证和安全策略。 按照企业业务特点和安全需求的不同，远程接入点可以支持三种转发模式：

完全隧道模式：即远程接入点上相应SSID以及有线端口上的流量全部经过IPsec

隧道转发到中心控制器上进行处理

分离隧道模式：远程接入点同步中心控制器上的所有安全策略，并且根据策略对流

量进行分类，部分流量送入IPsec隧道，由中心控制器进行处理，其余流量进行本地转发或者丢弃

本地桥接模式：远程接入点同步中心控制器上的所有安全策略，并根据策略对流量

进行策略控制，所有获准转发的流量进行本地转发，其余流量被丢弃。

1.1.3 ALU VBN技术优势

面对企业大量分支机构组网的需求，传统的解决方案主要包括VPN客户端和VPN路由器这两种方式。

VPN客户端的方式虽然部署简单，也能够提供基于Per-user的安全策略，但是由于其基于软件实现的本质特征，使得VPN客户端这种模式只能应用在个人电脑联网这样的环境中，既不适合多个用户同时联网的环境，也不适合多种终端类型的环境（如IP摄像头、打印机、IP电话等非PC类型的终端），从而使其应用具有很大的局限性。

与VPN客户端恰恰相反，VPN路由器的解决方案虽然能够满足大量用户、多样化终端类型环境下的虚拟组网，但是由于每一台VPN路由器都需要独立配置各种相关参数（包括软件更新、网络地址、VPN连接、安全策略等），因此当分支站点数量较大时，会造成网络管理人员维护负荷的成倍增长。此外，由于大多数VPN路由器只能提供路由、加密

远程分支网络覆盖解决方案

和防火墙功能，不提供802.1X、MAC地址或者Portal认证等安全特性，因此无法保证分支机构网络中接入用户的合法性，也无法了解到有哪些用户正在连接分支机构网络，以及这些用户通过分支机构网络连接了哪些网络资源。所以，采用VPN路由器的方式来进行分支机构组网存在着明显的安全隐患，而且管理异常复杂。

ALU的VBN解决方案借助于强大的集中式管理和控制技术以及分布式用户防火墙功能，可以将VPN客户端方式与VPN路由器方式的优点结合起来，同时消除所有的相关不足，为企业提供真正安全、易用的虚拟化企业分支网络。

1.1.3.1 端到端的网络安全

由于ALU VBN解决方案在一定程度上是ALU现有的瘦AP架构无线网络在Internet和安全有线接入能力上的扩展和延伸，因此自然而然地继承了目前ALU瘦AP解决方案所具有的一切安全特质。 身份认证

ALU远程接入点在有线和无线接口上都能够提供完善的身份认证机制，包括802.1X、MAC地址和Portal认证，并且还能够通过身份认证来动态分配用户角色，为基于角色的防火墙策略控制提供条件。 策略控制

在远程接入模式下，ALU控制器独特的用户防火墙会自动分发到每一个远程接入点上，并根据远程接入点上每一个用户的身份角色，实施相应的防火墙策略，包括权限策略、带宽策略和会话数控制策略等。 加密传输

ALU远程接入点在连接Internet线路后，会自动发起到中心控制器的IPsec隧道，并通过IPsec加密隧道来同步软件和配置文件，以及传输用户数据。因此，在跨越Internet时可以实现数据传输的私密性和完整性。

1.1.3.2 网络管理简单易行

除了与ALU瘦AP架构的安全性一脉相承，ALU VNB解决方案还完美地继承了瘦AP架构的简单性，使网络管理人员的维护负荷大幅下降。

远程分支网络覆盖解决方案

ALU VBN解决方案的简单性主要体现在下面几个方面。 “零配置”部署

ALU远程接入点支持真正的“零配置”部署能力。分支机构的用户只需要简单地在初次部署页面上输入中心控制器的域名或者IP地址，远程接入点就会自动建立IPsec隧道，并且进行自我部署，实现软件版本的自动同步，和配置文档的自动下载，并最终建立远程分支网络。 集中化管理

ALU远程接入点不具有Console端口，在远端不可配置，只能通过中心控制器进行集中化管理。中心控制器在对远程接入点进行配置时，可以将所有远程接入点划分成一个或者多个AP-Group，网络管理员只需要对AP-Group进行一次配置，就可以在所有远程接入点上实时生效。因此，无论有多少分支机构，对于网络管理员来说，他只需要管理一台中心控制器就足够了。

此外，ALU VBN解决方案还改变了传统VPN路由器方式组网时，远程用户难以管理的难题。网络管理员可以直观地查看远程分支机构中有线和无线网络的具体使用状态，包括有哪些用户正在连接网络，用户的用户名、MAC地址、IP地址分别是什么，以及信号强度、关联模式、认证方法、使用带宽等一系列信息，甚至还可以查看该用户的实时会话信息，包括源地址、目的地址、源端口、目的端口等。从而可以帮助网络管理员更好地了解远端网络的实时状态，以利于更方便地进行故障定位。

1.1.3.3 有线无线安全接入

ALU VBN解决方案同时支持有线和无线安全接入能力，无论用户采用哪种方式连接分支机构的远程接入点，都必须经过身份认证，并应用相应的安全策略和带宽策略。

对有线和无线接口的同步支持，使得ALU VBN网络对多样化的终端类型具有更好的支持能力。任何网络终端，包括打印机、复印机、IP电话等，即使不具备无线网卡，无法安装各种终端软件，也可以非常方便地连接到企业内部网络，并与位于总部网络中的其它终端进行通信。

远程分支网络覆盖解决方案

1.1.3.4 对传输网络完全透明

ALU VBN解决方案采用IPsec技术，可以架设在各种传输平台之上，既可以是基于专用线路的企业私有的广域网络，也可以是无所不在的Internet网络。

因此可以使企业虚拟网络的部署更加简单易行。

1.1.4 XXX企业远程组网方案

根据XXX企业的具体需求，XXX企业远程站点需求主要包括：

具有高强度的加密特性，确保内网数据安全穿越互联网

具有统一管理特性，支持用户的统一认证和授权

提供电脑终端、IP电话、打印机等各种终端接入

远端设备支持“零配置”，不会增加管理复杂性

针对XXX企业的远程组网需求，ALU虚拟分支网络整体组网架构如下图所示。

远程分支网络覆盖解决方案

由于XXX企业的远程站点多数为小型站点或者家庭办公室，人员较少，面积不大，只需要单个远程接入点就能够满足整个分支机构的覆盖，因此考虑直接采用RAP方式，利用部署在总部的ALU中心控制器，并在每个远程站点部署一台ALU RAP2或RAP5-WN远程接入点，实现远程站点的有线和无线统一接入。

在远程站点中，所有的有线终端（如台式电脑、IP话机和打印机等）直接或者通过二层交换机连接ALU RAP设备的有线端口，无线用户则通过相应的SSID连接网络。其中，连接内网的终端用户工作在Split-Tunnel模式下，VLAN和IP地址均通过ALU RAP设备与总部控制器之间的IPsec加密隧道由总部控制器分配，网关指向总部控制器，所有的内网业务流量通过加密隧道转发到总部控制器进行处理，所有的Internet流量直接由ALU RAP设备进行地址转换后转发到Internet网络；外来的访客工作在本地转发模式下，VLAN和IP地址由ALU RAP设备分配，网关指向ALU RAP，所有访客都不能访问内部网络，只能通过RAP进行地址转换后访问Internet网络。

对于特定的重要的远程站点，还可以采用ALU RAP5-WN实现基于3G网络的线路备份功能。当Internet线路出现故障时，ALU RAP可以自动检测到端口故障或者中间设备故障，自动切换到3G线路，并通过3G线路建立与总部控制器之间的IPsec隧道，实现与总部之间的远程组网。ALU RAP上联端口的切换时间取决于3G网络信号的强弱和拨号时延，一般约为1~2分钟。

远程分支网络覆盖解决方案

ALU RAP5网络结构如下图所示。

在无线网络覆盖方面，远程接入点从中心控制器自动同步所有的无线和身份认证及安全策略配置，并提供SHTWT这个SSID，SHTWT信号采用MAC+Web Portal认证机制，用户数据库统一部署在总部，用于远程节点内的各种终端接入。

本文来源：https://www.bwwdw.com/article/5u31.html