【文章內(nèi)容簡(jiǎn)介】 因，無(wú)法消除，但是我們可以盡量減少它們對(duì)傳輸所帶來(lái)的影響。 RGEG網(wǎng)關(guān)通過(guò)數(shù)據(jù)優(yōu)化、TCP優(yōu)化、協(xié)議化化等手段，提高VPN隧道內(nèi)的數(shù)據(jù)交互效率，提升總分間的辦公體驗(yàn)。? TCP優(yōu)化：減少總分之間上傳輸信息所需的往返次數(shù)，減少不必要的重傳，同時(shí)維持傳輸?shù)目煽啃?，改善慢啟?dòng)和擁塞避免對(duì)應(yīng)用吞吐量的影響，提高對(duì)總分鏈路間帶寬的利用率。? 數(shù)據(jù)優(yōu)化：包括數(shù)據(jù)壓縮和重復(fù)數(shù)據(jù)刪除技術(shù)，減少總部與分支間數(shù)據(jù)傳輸量，更大程度的利用寶貴的帶寬資源。? 應(yīng)用協(xié)議優(yōu)化：利用緩存、預(yù)取以及數(shù)據(jù)批量發(fā)送等技術(shù)提高應(yīng)用在總部與分支之間的傳輸效率，增強(qiáng)用戶(hù)體驗(yàn)。常見(jiàn)辦公應(yīng)用的加速范圍（線路質(zhì)量越差，可加速潛力越大） AC架構(gòu)部署設(shè)計(jì)總部園區(qū)與分支使用專(zhuān)線場(chǎng)景AC架構(gòu)設(shè)計(jì)：總部園區(qū)AC設(shè)計(jì)：將AC集中在總部園區(qū)的情況下，一般可以選擇熱備或者AC虛擬化模式進(jìn)行部署，對(duì)2種部署模式的對(duì)比如下：? AC熱備部署：AC熱備部署滿(mǎn)足WLAN無(wú)線網(wǎng)絡(luò)的高可用性要求，無(wú)線組網(wǎng)設(shè)計(jì)部署2臺(tái)無(wú)線控制器（AC）組成1+1熱備的方案，可以設(shè)計(jì)為AA模式或者AS模式，當(dāng)任意一臺(tái)AC故障，另外另外一臺(tái)都能無(wú)縫切換，用戶(hù)感知不到網(wǎng)絡(luò)故障。? AC虛擬化部署：AC虛擬化部署能夠?qū)崿F(xiàn)AC熱備部署的所有功能情況下，且對(duì)AC的配置和管理都視為一個(gè)AC設(shè)備，管理和配置起來(lái)更加方便。另外一個(gè)優(yōu)點(diǎn)是AC熱備不具備的，可以在線擴(kuò)展AC，無(wú)需中斷業(yè)務(wù)。通過(guò)對(duì)比兩種模式的優(yōu)點(diǎn)，當(dāng)在總部園區(qū)對(duì)AC采用集中部署模式時(shí)，推薦采用AC虛擬化的部署模式。AC轉(zhuǎn)發(fā)模式設(shè)計(jì)：分支機(jī)構(gòu)：因分支結(jié)構(gòu)用戶(hù)連接上AP后，訪問(wèn)互聯(lián)網(wǎng)流量從本地分支互聯(lián)網(wǎng)出口進(jìn)行轉(zhuǎn)發(fā)，故在AC轉(zhuǎn)發(fā)模式的設(shè)計(jì)上，必須選擇本地轉(zhuǎn)發(fā)?？偛繄@區(qū)：總部園區(qū)無(wú)線訪問(wèn)互聯(lián)網(wǎng)和訪問(wèn)本地?cái)?shù)據(jù)中心一般都需要經(jīng)過(guò)總部園區(qū)核心交換機(jī)，故總部園區(qū)在AC轉(zhuǎn)發(fā)模式設(shè)計(jì)上集中轉(zhuǎn)發(fā)和本地轉(zhuǎn)發(fā)都是可以的?？偛繄@區(qū)與分支使用互聯(lián)網(wǎng)線路架構(gòu)采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，總部與分支需要在互聯(lián)網(wǎng)的鏈路上建立IPsec VPN，IPsec VPN的設(shè)計(jì)參考“參考總部分支VPN互聯(lián)網(wǎng)設(shè)計(jì)”。如果總部園區(qū)與分支采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，那么總部園區(qū)AC與分支的AP建立的CAPWAP隧道嵌套“互聯(lián)網(wǎng)線路+IPsec VPN隧道 ”里。 身份統(tǒng)一認(rèn)證與漫游設(shè)計(jì)集中式認(rèn)證部署設(shè)計(jì)：? 統(tǒng)一進(jìn)行用戶(hù)和策略管理? 企業(yè)所有用戶(hù)在第一次認(rèn)證的時(shí)候，將用戶(hù)賬號(hào)密碼自動(dòng)從AD域或者第三方統(tǒng)一身份系統(tǒng)同步到SMP系統(tǒng)；? 該模式部署支持員工的訪問(wèn)權(quán)限控制策略amp。amp。QOS策略amp。接入控制策略漫游。統(tǒng)一認(rèn)證集中式部署適合于中小企業(yè)應(yīng)用場(chǎng)景：中小架構(gòu)企業(yè)，可以直接在總部園區(qū)部署SMP。建議部署兩臺(tái)SMP組成集群并實(shí)時(shí)同步在線用戶(hù)等信息。SMP也可以和AD，LDAP，數(shù)據(jù)庫(kù)等第三方數(shù)據(jù)源對(duì)接，實(shí)現(xiàn)賬號(hào)同步。總部園區(qū)園區(qū)SMP和總部AC對(duì)接，實(shí)現(xiàn)全國(guó)所有分支機(jī)構(gòu)員工的認(rèn)證。正常情況下主SMP對(duì)外提供服務(wù)，當(dāng)主SMP故障時(shí)，備SMP自動(dòng)接替主SMP，并對(duì)外提供服務(wù)。 策略隨行設(shè)計(jì)QOS策略設(shè)計(jì)為了保證企業(yè)網(wǎng)絡(luò)環(huán)境中關(guān)鍵業(yè)務(wù)的用戶(hù)體驗(yàn)，RGEG網(wǎng)關(guān)能夠?qū)?到7層的網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別，用戶(hù)按照業(yè)務(wù)的重要程度，支持8級(jí)帶寬優(yōu)先級(jí)，合理分配合適的網(wǎng)絡(luò)帶寬資源，針對(duì)不同應(yīng)用、人員分別指定不同的保證帶寬及上限帶寬，這樣能夠更好的保障總部與分支的業(yè)務(wù)開(kāi)展。通過(guò)與統(tǒng)一的身份認(rèn)證系統(tǒng)對(duì)接，可實(shí)現(xiàn)針對(duì)總分各地均有辦公需求的人員的指定應(yīng)用，匹配身份，無(wú)論在任何分支均提供預(yù)先設(shè)計(jì)的帶寬保障。專(zhuān)線模式QOS策略設(shè)計(jì)SMP集中部署模式+出口EG部署? SMP統(tǒng)一進(jìn)行用戶(hù)和策略管理? 用戶(hù)認(rèn)證時(shí)，ESS/SMP從統(tǒng)一身份系統(tǒng)（AD）讀取用戶(hù)部門(mén)組織信息，認(rèn)證成功并同步至出口網(wǎng)關(guān)設(shè)備；? 在各出口EG上預(yù)先設(shè)置基于“部門(mén)用戶(hù)組”訪問(wèn)總部數(shù)據(jù)中心的訪問(wèn)策略和訪問(wèn)互聯(lián)網(wǎng)QOS策略；? 用戶(hù)認(rèn)證成功后，基于“部門(mén)用戶(hù)組”匹配用戶(hù)身份，實(shí)現(xiàn)基于用戶(hù)身份的QOS和訪問(wèn)權(quán)限策略互聯(lián)網(wǎng)線路模式QOS策略與此類(lèi)似，設(shè)計(jì)省略。用戶(hù)訪問(wèn)權(quán)限控制設(shè)計(jì)方案一（AC上進(jìn)行訪問(wèn)策略執(zhí)行）專(zhuān)線模式訪問(wèn)權(quán)限控制設(shè)計(jì)（AC上策略執(zhí)行點(diǎn)）訪問(wèn)控制權(quán)限需求：訪問(wèn)控制權(quán)限是指用戶(hù)接入無(wú)線網(wǎng)絡(luò)后，對(duì)園區(qū)數(shù)據(jù)中心業(yè)務(wù)訪問(wèn)時(shí)，客戶(hù)需要基于不同部門(mén)人員訪問(wèn)不同業(yè)務(wù)系統(tǒng)有控制需求，且該員工不管在總部還是分支機(jī)構(gòu)接入無(wú)線網(wǎng)絡(luò)時(shí)，其訪問(wèn)數(shù)據(jù)中心業(yè)務(wù)控制需求是不變的。員工訪問(wèn)控制權(quán)限設(shè)計(jì)：分支機(jī)構(gòu)：公司人員在分公司接入時(shí)，在總部園區(qū)SMP認(rèn)證管理系統(tǒng)上認(rèn)證成功后，SMP基于該員工所屬的用戶(hù)組下發(fā)一個(gè)訪問(wèn)策略名給AC(通過(guò)標(biāo)準(zhǔn)的Radius屬性)，由于AC在分支機(jī)構(gòu)AP采用的是本地轉(zhuǎn)發(fā)模式，實(shí)際該訪問(wèn)策略的執(zhí)行點(diǎn)是用戶(hù)所屬接入的AP點(diǎn)上?？偛繄@區(qū)：當(dāng)員工在總部園區(qū)接入無(wú)線網(wǎng)絡(luò)時(shí)，同樣在總部園區(qū)部署的SMP認(rèn)證管理系統(tǒng)上完成認(rèn)證，通過(guò)標(biāo)準(zhǔn)radius屬性下發(fā)該用戶(hù)對(duì)應(yīng)部門(mén)的“策略名”給AC，如果總部園區(qū)采用的是集中轉(zhuǎn)發(fā)策略，那么最終策略是在AC上執(zhí)行，如果是本地轉(zhuǎn)發(fā)模式，那么和分支機(jī)構(gòu)一樣。備注：SMP下發(fā)的“策略名”對(duì)應(yīng)的具體的策略條目，需要在AC上事先進(jìn)行預(yù)配置，當(dāng)用戶(hù)認(rèn)證成功下發(fā)“策略名后”，則該用戶(hù)就動(dòng)態(tài)關(guān)聯(lián)了該策略名對(duì)應(yīng)的訪問(wèn)策略。如果園區(qū)不是銳捷AC控制器則需要支持標(biāo)準(zhǔn)的“radius 11號(hào)屬性”。則可以統(tǒng)一在SMP上進(jìn)行認(rèn)證和訪問(wèn)權(quán)限控制。集中轉(zhuǎn)發(fā)需關(guān)注AC控制器策略容量，本地轉(zhuǎn)發(fā)需關(guān)注AP接入點(diǎn)策略容量。漫游人員訪問(wèn)控制權(quán)限設(shè)計(jì)：集中式部署模式，所有用戶(hù)身份分組信息都同步到SMP認(rèn)證管理系統(tǒng)中，針對(duì)不同的用戶(hù)組設(shè)計(jì)的訪問(wèn)控制權(quán)限策略名始終保持不變。所以在集中統(tǒng)一部署SMP的場(chǎng)景下，只需統(tǒng)一考慮用戶(hù)組的策略即可，無(wú)需考慮用戶(hù)漫游變化。訪客訪問(wèn)控制權(quán)限設(shè)計(jì)：在分支機(jī)構(gòu)和總部園區(qū)統(tǒng)一規(guī)劃一個(gè)訪客SSID，訪客用戶(hù)通過(guò)員工授權(quán)或者二維碼掃描或者微信連接wifi等多種方式接入后，只允許訪問(wèn)互聯(lián)網(wǎng)。方案二（出口網(wǎng)關(guān)EG上進(jìn)行訪問(wèn)策略執(zhí)行）專(zhuān)線模式訪問(wèn)權(quán)限控制設(shè)計(jì)（出口網(wǎng)關(guān)EG上執(zhí)行策略）出口網(wǎng)關(guān)統(tǒng)一執(zhí)行策略? 在各出口EG上預(yù)先設(shè)置基于“部門(mén)用戶(hù)組”訪問(wèn)總部數(shù)據(jù)中心的訪問(wèn)策略和訪問(wèn)互聯(lián)網(wǎng)QOS策略；? 用戶(hù)認(rèn)證時(shí)，ESS/SMP從統(tǒng)一身份系統(tǒng)（AD）讀取用戶(hù)部門(mén)組織信息，認(rèn)證成功并同步至出口網(wǎng)關(guān)設(shè)備；、? 用戶(hù)認(rèn)證成功后，基于“部門(mén)用戶(hù)組”匹配用戶(hù)身份，實(shí)現(xiàn)基于用戶(hù)身份的QOS和訪問(wèn)權(quán)限策略?；ヂ?lián)網(wǎng)線路訪問(wèn)權(quán)限控制策略類(lèi)似，設(shè)計(jì)省略。 AC總分式部署架構(gòu)設(shè)計(jì) 總體架構(gòu)設(shè)計(jì)總體架構(gòu)介紹：? 總部園區(qū)部署一套AC控制器，同時(shí)AC控制器支持熱備或虛擬化部署，對(duì)在總部園區(qū)AP和分支機(jī)構(gòu)部署的AC進(jìn)行集中管理。? 大型分支機(jī)構(gòu)部署自己AC和AP，AC對(duì)分支機(jī)構(gòu)AP進(jìn)行本地管理，同時(shí)該AC接受總部AC的管理。? 在總部園區(qū)部署一套SMP認(rèn)證管理系統(tǒng)，同時(shí)SMP支持集群部署,與園區(qū)AC進(jìn)行對(duì)接認(rèn)證，負(fù)責(zé)總部園區(qū)無(wú)線用戶(hù)的認(rèn)證和策略管理；? 在大中型分支機(jī)構(gòu)分別部署ESS認(rèn)證系統(tǒng)（小型分支依然集中到總部園區(qū)進(jìn)行認(rèn)證和策略管理），與本地部署的AC進(jìn)行對(duì)接，負(fù)責(zé)本分支無(wú)線用戶(hù)的認(rèn)證和策略管理（接入控制策略和訪問(wèn)控制策略）。? 總部園區(qū)同時(shí)有統(tǒng)一的身份系統(tǒng)，比如AD，OPEN LDAP或第三方數(shù)據(jù)身份系統(tǒng)。? 在總部園區(qū)部署一套IPC身份策略管理系統(tǒng)，總部園區(qū)部署的SMP或分支機(jī)構(gòu)部署的ESS取本地認(rèn)證系統(tǒng)不存在的用戶(hù)時(shí)，統(tǒng)一指向該IPC，IPC系統(tǒng)與園區(qū)現(xiàn)有的統(tǒng)一身份系統(tǒng)進(jìn)行對(duì)接，并將賬號(hào)信息按組織機(jī)構(gòu)下發(fā)給SMP和各分支ESS。? 總部園區(qū)部署一套R(shí)GSNC無(wú)線管理軟件系統(tǒng)，實(shí)現(xiàn)對(duì)整網(wǎng)的AC,AP進(jìn)行集中管理。? 總部園區(qū)部署一套R(shí)GWIS無(wú)線智能服務(wù)系統(tǒng)，實(shí)現(xiàn)對(duì)整網(wǎng)無(wú)線的使用體驗(yàn)進(jìn)行優(yōu)化。? 總部園區(qū)與大型分支各自部署一套DDI系統(tǒng)，實(shí)現(xiàn)對(duì)各自無(wú)線用戶(hù)進(jìn)行地址分配管理，建議整個(gè)公司依然統(tǒng)一IP地址規(guī)劃。? 總部與分支之間的鏈路，使用專(zhuān)線對(duì)辦公、生產(chǎn)業(yè)務(wù)的數(shù)據(jù)進(jìn)行傳輸，使用“互聯(lián)網(wǎng)鏈路+IPsec VPN”技術(shù)對(duì)辦公、生產(chǎn)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份傳輸。此種模式主要適用分支機(jī)構(gòu)規(guī)模較大的企業(yè)機(jī)構(gòu)，小型的分支機(jī)構(gòu)可以參考集中模式，兩種模式可以混合部署，其中大型的分支機(jī)構(gòu)采用分布式，小型的分支采用集中式部署。AC分布式部署對(duì)應(yīng)的ESS也是分布式部署，目前暫無(wú)實(shí)現(xiàn)用戶(hù)策略漫游（訪問(wèn)控制策略amp。amp。QOS策略amp。amp。用戶(hù)接入控制策略），必須是ESS/SMP集中部署才能實(shí)現(xiàn)上述策略的漫游。 總部分支VPN互聯(lián)設(shè)計(jì)參考“AC集中式部署架構(gòu)設(shè)計(jì)”章節(jié)“VPN互聯(lián)設(shè)計(jì)”部分 AC架構(gòu)部署設(shè)計(jì)總部園區(qū)與分支使用專(zhuān)線場(chǎng)景AC架構(gòu)設(shè)計(jì)：總部園區(qū)AC設(shè)計(jì)：參考集中部署模式的分析推薦總部園區(qū)AC采用虛擬化技術(shù)進(jìn)行部署，對(duì)總部園區(qū)AP進(jìn)行管理的同時(shí)，對(duì)分支機(jī)構(gòu)的分支AC進(jìn)行管理（依據(jù)企業(yè)內(nèi)部的管理方式?jīng)Q定）。分支機(jī)構(gòu)AC設(shè)計(jì)：中大型分支：中大型分支由于本地AP部署較多（一般超過(guò)50，此類(lèi)規(guī)模的AP部署，分支機(jī)構(gòu)人員規(guī)模超過(guò)1000人），推薦在本地部署分支AC，對(duì)本地AP進(jìn)行管理和用戶(hù)的接入認(rèn)證。避免過(guò)多的AP和AC以及用戶(hù)認(rèn)證的交互報(bào)文通過(guò)互聯(lián)網(wǎng)或?qū)＞€傳送到總部園區(qū)。此分支AC可以直接被總部的中心AC進(jìn)行管理和配置，可以根據(jù)分支機(jī)構(gòu)IT人員水平進(jìn)行靈活的規(guī)劃。小型分支機(jī)構(gòu)：參考集中式部署模式，此種類(lèi)型的分支架構(gòu)在本地不部署AC控制器，AP統(tǒng)一由總部AC進(jìn)行管理，認(rèn)證也是在總部的center AC上進(jìn)行。如果此類(lèi)分支出口采用了銳捷公司EG680P系列的出口網(wǎng)關(guān)產(chǎn)品，可以將本分支的AP管理功能交由EG680P系列網(wǎng)關(guān)來(lái)兼管，認(rèn)證則在EG680P系列網(wǎng)關(guān)上進(jìn)行。AC轉(zhuǎn)發(fā)模式設(shè)計(jì)：分支機(jī)構(gòu)：因分支機(jī)構(gòu)部署了分支AC，用戶(hù)連接上AP后，訪問(wèn)互聯(lián)網(wǎng)流量從本地分支互聯(lián)網(wǎng)出口進(jìn)行轉(zhuǎn)發(fā)，故在AC轉(zhuǎn)發(fā)模式的設(shè)計(jì)上，選擇本地和集中轉(zhuǎn)發(fā)都是可以的。 部分小型分支沒(méi)有部署AC的場(chǎng)景下，此分支的AP還必須設(shè)計(jì)成本地轉(zhuǎn)發(fā)模式。總部園區(qū)：?？偛繄@區(qū)與分支使用互聯(lián)網(wǎng)線路架構(gòu)：采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，總部與分支需要在互聯(lián)網(wǎng)的鏈路上建立IPsec VPN，IPsec VPN的設(shè)計(jì)參考“參考總部分支VPN互聯(lián)網(wǎng)設(shè)計(jì)”。如果總部園區(qū)與分支采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，那么總部園區(qū)AC對(duì)分支的AC的配置以及RGSNC/WIS對(duì)分支AC，AP管理流量等封裝“互聯(lián)網(wǎng)線路+IPsec VPN ”里，其他部分沒(méi)有變化。 身份統(tǒng)一認(rèn)證與漫游設(shè)計(jì)分布式部署設(shè)計(jì)：針對(duì)于大型分支機(jī)構(gòu)，在總部部署IPC和SMP，各省分支機(jī)構(gòu)分別部署SMP，同時(shí)SMP支持集群部署。 IPC集中對(duì)所有分支機(jī)構(gòu)的賬號(hào)信息進(jìn)行統(tǒng)一管理，也可以和AD，LDAP，數(shù)據(jù)庫(kù)等第三方數(shù)據(jù)源對(duì)接，實(shí)現(xiàn)賬號(hào)同步，并將賬號(hào)信息按組織機(jī)構(gòu)下發(fā)給各分部SMP。分支機(jī)構(gòu)的SMP和本地AC對(duì)接，實(shí)現(xiàn)本地用戶(hù)的認(rèn)證。當(dāng)用戶(hù)需要漫游時(shí)，漫游區(qū)域的SMP沒(méi)有漫游用戶(hù)的賬號(hào)信息，那么漫游區(qū)域的SMP會(huì)主動(dòng)到IPC上進(jìn)行認(rèn)證。統(tǒng)一賬號(hào)園區(qū)漫游開(kāi)啟漫游功能讓用戶(hù)在企業(yè)網(wǎng)內(nèi)使用同一帳號(hào)即可登陸，免去記錄多個(gè)帳號(hào)，并能提供一致的實(shí)名制日志由于認(rèn)證系統(tǒng)分布式部署暫未實(shí)現(xiàn)策略（訪問(wèn)控制策略，QOS策略，用戶(hù)認(rèn)證接入控制策略）漫游，AC分布式部署場(chǎng)景下，如果要實(shí)現(xiàn)以上需求，SMP/ESS還得使用集中式部署。 策略隨行設(shè)計(jì)QOS策略設(shè)計(jì)QOS策略主要是在總部園區(qū)和分支機(jī)構(gòu)出口進(jìn)行設(shè)計(jì)，AC總分式和集中式兩種部署模式對(duì)出口設(shè)備設(shè)計(jì)沒(méi)有區(qū)別。用戶(hù)訪問(wèn)權(quán)限控制設(shè)計(jì)分布式部署訪問(wèn)權(quán)限控制設(shè)計(jì)訪問(wèn)控制權(quán)限需求：訪問(wèn)控制權(quán)限是指用戶(hù)接入無(wú)線網(wǎng)絡(luò)后，對(duì)園區(qū)數(shù)據(jù)中心業(yè)務(wù)訪問(wèn)時(shí)，客戶(hù)需要基于不同部門(mén)人員訪問(wèn)不同業(yè)務(wù)系統(tǒng)有控制需求，且該員工不管在總部還是分支機(jī)構(gòu)接入無(wú)線網(wǎng)絡(luò)時(shí)，其訪問(wèn)數(shù)據(jù)中心業(yè)務(wù)控制需求是不變的。員工訪問(wèn)控制權(quán)限設(shè)計(jì)：分支機(jī)構(gòu)：公司人員在分公司接入時(shí)，在總部園區(qū)SMP認(rèn)證管理系統(tǒng)上認(rèn)證成功后，SMP基于該員工所屬的用戶(hù)組下發(fā)一個(gè)訪問(wèn)策略名給AC(通過(guò)標(biāo)準(zhǔn)的Radius屬性)，如果分支AC在分支機(jī)構(gòu)AP采用的是本地轉(zhuǎn)發(fā)模式，實(shí)際該訪問(wèn)策略的執(zhí)行點(diǎn)是用戶(hù)所屬接入的AP點(diǎn)上，如果分支AC在分支機(jī)構(gòu)AP采用的是集中轉(zhuǎn)發(fā)模式，那么訪問(wèn)策略的執(zhí)行點(diǎn)在分支AC上?？偛繄@區(qū)：當(dāng)員工在總部園區(qū)接入無(wú)線網(wǎng)絡(luò)時(shí)，同樣在總部園區(qū)部署的SMP認(rèn)證管理系統(tǒng)上完成認(rèn)證，通過(guò)標(biāo)準(zhǔn)radius屬性下發(fā)該用戶(hù)對(duì)應(yīng)部門(mén)的“策略名”給AC，如果總部園區(qū)采用的是集中轉(zhuǎn)發(fā)策略，那么最終策略是在AC上執(zhí)行，如果是本地轉(zhuǎn)發(fā)模式，那么訪問(wèn)策略則AC上執(zhí)行。備注：SMP下發(fā)的“策略名”對(duì)應(yīng)的具體的策略條目，需要在AC上事先進(jìn)行預(yù)配置，當(dāng)用戶(hù)認(rèn)證成功下發(fā)“策略名后”，則該用戶(hù)就動(dòng)態(tài)關(guān)聯(lián)了該策略名對(duì)應(yīng)的訪問(wèn)策略。如果園區(qū)不是銳捷AC控制器則需要支持標(biāo)準(zhǔn)的“radius 11號(hào)屬性”。則可以統(tǒng)一在SMP上進(jìn)行認(rèn)證和訪問(wèn)權(quán)限控制。集中轉(zhuǎn)發(fā)需關(guān)注AC控制器策略容量，本地轉(zhuǎn)發(fā)需關(guān)注AP接入點(diǎn)策略容量。漫游人員訪問(wèn)控制權(quán)限設(shè)計(jì)：公司員工從分支出差到總部或其他分支時(shí)，用戶(hù)認(rèn)證接入到當(dāng)?shù)氐臒o(wú)線網(wǎng)進(jìn)行認(rèn)證時(shí)，本地沒(méi)有該用戶(hù)的信息，從IPC同步過(guò)來(lái)，在本地ESS系統(tǒng)里顯示為訪客，目前會(huì)按照統(tǒng)一訪客授權(quán)給該漫游的員工。需要IPC/ESS/SMP進(jìn)行相關(guān)場(chǎng)景的開(kāi)發(fā)。訪客訪問(wèn)控制權(quán)限設(shè)計(jì)：在分支機(jī)構(gòu)和總部園區(qū)統(tǒng)一規(guī)劃一個(gè)訪客SSID，訪客用戶(hù)通過(guò)員工授權(quán)或者二維碼掃描或者微信連接wifi等多種方式接入后，只允許訪問(wèn)互聯(lián)網(wǎng)。 架構(gòu)說(shuō)明集中部署總部運(yùn)維成本高采用集中式部署的方式，整個(gè)企業(yè)賬號(hào)管理及認(rèn)證由總部統(tǒng)一維護(hù)?？偛窟\(yùn)維成本較高。 鏈路可靠性要求較高AC集中部署在總部，分支的AP與AC通訊對(duì)鏈路要求較高；認(rèn)證服務(wù)器集中部署在總部，對(duì)鏈路要求比較高。分布式部署總部運(yùn)維成本低，分支自行運(yùn)維。采用分布式部署的方式，通過(guò)IPC對(duì)整個(gè)機(jī)構(gòu)（如金融，保險(xiǎn), 大型