【文章內(nèi)容簡介】 因，無法消除，但是我們可以盡量減少它們對傳輸所帶來的影響。 RGEG網(wǎng)關(guān)通過數(shù)據(jù)優(yōu)化、TCP優(yōu)化、協(xié)議化化等手段，提高VPN隧道內(nèi)的數(shù)據(jù)交互效率，提升總分間的辦公體驗(yàn)。? TCP優(yōu)化：減少總分之間上傳輸信息所需的往返次數(shù)，減少不必要的重傳，同時維持傳輸?shù)目煽啃?，改善慢啟動和擁塞避免對?yīng)用吞吐量的影響，提高對總分鏈路間帶寬的利用率。? 數(shù)據(jù)優(yōu)化：包括數(shù)據(jù)壓縮和重復(fù)數(shù)據(jù)刪除技術(shù)，減少總部與分支間數(shù)據(jù)傳輸量，更大程度的利用寶貴的帶寬資源。? 應(yīng)用協(xié)議優(yōu)化：利用緩存、預(yù)取以及數(shù)據(jù)批量發(fā)送等技術(shù)提高應(yīng)用在總部與分支之間的傳輸效率，增強(qiáng)用戶體驗(yàn)。常見辦公應(yīng)用的加速范圍（線路質(zhì)量越差，可加速潛力越大） AC架構(gòu)部署設(shè)計(jì)總部園區(qū)與分支使用專線場景AC架構(gòu)設(shè)計(jì)：總部園區(qū)AC設(shè)計(jì)：將AC集中在總部園區(qū)的情況下，一般可以選擇熱備或者AC虛擬化模式進(jìn)行部署，對2種部署模式的對比如下：? AC熱備部署：AC熱備部署滿足WLAN無線網(wǎng)絡(luò)的高可用性要求，無線組網(wǎng)設(shè)計(jì)部署2臺無線控制器（AC）組成1+1熱備的方案，可以設(shè)計(jì)為AA模式或者AS模式，當(dāng)任意一臺AC故障，另外另外一臺都能無縫切換，用戶感知不到網(wǎng)絡(luò)故障。? AC虛擬化部署：AC虛擬化部署能夠?qū)崿F(xiàn)AC熱備部署的所有功能情況下，且對AC的配置和管理都視為一個AC設(shè)備，管理和配置起來更加方便。另外一個優(yōu)點(diǎn)是AC熱備不具備的，可以在線擴(kuò)展AC，無需中斷業(yè)務(wù)。通過對比兩種模式的優(yōu)點(diǎn)，當(dāng)在總部園區(qū)對AC采用集中部署模式時，推薦采用AC虛擬化的部署模式。AC轉(zhuǎn)發(fā)模式設(shè)計(jì)：分支機(jī)構(gòu)：因分支結(jié)構(gòu)用戶連接上AP后，訪問互聯(lián)網(wǎng)流量從本地分支互聯(lián)網(wǎng)出口進(jìn)行轉(zhuǎn)發(fā)，故在AC轉(zhuǎn)發(fā)模式的設(shè)計(jì)上，必須選擇本地轉(zhuǎn)發(fā)?？偛繄@區(qū)：總部園區(qū)無線訪問互聯(lián)網(wǎng)和訪問本地?cái)?shù)據(jù)中心一般都需要經(jīng)過總部園區(qū)核心交換機(jī)，故總部園區(qū)在AC轉(zhuǎn)發(fā)模式設(shè)計(jì)上集中轉(zhuǎn)發(fā)和本地轉(zhuǎn)發(fā)都是可以的?？偛繄@區(qū)與分支使用互聯(lián)網(wǎng)線路架構(gòu)采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，總部與分支需要在互聯(lián)網(wǎng)的鏈路上建立IPsec VPN，IPsec VPN的設(shè)計(jì)參考“參考總部分支VPN互聯(lián)網(wǎng)設(shè)計(jì)”。如果總部園區(qū)與分支采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，那么總部園區(qū)AC與分支的AP建立的CAPWAP隧道嵌套“互聯(lián)網(wǎng)線路+IPsec VPN隧道 ”里。 身份統(tǒng)一認(rèn)證與漫游設(shè)計(jì)集中式認(rèn)證部署設(shè)計(jì)：? 統(tǒng)一進(jìn)行用戶和策略管理? 企業(yè)所有用戶在第一次認(rèn)證的時候，將用戶賬號密碼自動從AD域或者第三方統(tǒng)一身份系統(tǒng)同步到SMP系統(tǒng)；? 該模式部署支持員工的訪問權(quán)限控制策略amp。amp。QOS策略amp。接入控制策略漫游。統(tǒng)一認(rèn)證集中式部署適合于中小企業(yè)應(yīng)用場景：中小架構(gòu)企業(yè)，可以直接在總部園區(qū)部署SMP。建議部署兩臺SMP組成集群并實(shí)時同步在線用戶等信息。SMP也可以和AD，LDAP，數(shù)據(jù)庫等第三方數(shù)據(jù)源對接，實(shí)現(xiàn)賬號同步?？偛繄@區(qū)園區(qū)SMP和總部AC對接，實(shí)現(xiàn)全國所有分支機(jī)構(gòu)員工的認(rèn)證。正常情況下主SMP對外提供服務(wù)，當(dāng)主SMP故障時，備SMP自動接替主SMP，并對外提供服務(wù)。 策略隨行設(shè)計(jì)QOS策略設(shè)計(jì)為了保證企業(yè)網(wǎng)絡(luò)環(huán)境中關(guān)鍵業(yè)務(wù)的用戶體驗(yàn)，RGEG網(wǎng)關(guān)能夠?qū)?到7層的網(wǎng)絡(luò)應(yīng)用進(jìn)行識別，用戶按照業(yè)務(wù)的重要程度，支持8級帶寬優(yōu)先級，合理分配合適的網(wǎng)絡(luò)帶寬資源，針對不同應(yīng)用、人員分別指定不同的保證帶寬及上限帶寬，這樣能夠更好的保障總部與分支的業(yè)務(wù)開展。通過與統(tǒng)一的身份認(rèn)證系統(tǒng)對接，可實(shí)現(xiàn)針對總分各地均有辦公需求的人員的指定應(yīng)用，匹配身份，無論在任何分支均提供預(yù)先設(shè)計(jì)的帶寬保障。專線模式QOS策略設(shè)計(jì)SMP集中部署模式+出口EG部署? SMP統(tǒng)一進(jìn)行用戶和策略管理? 用戶認(rèn)證時，ESS/SMP從統(tǒng)一身份系統(tǒng)（AD）讀取用戶部門組織信息，認(rèn)證成功并同步至出口網(wǎng)關(guān)設(shè)備；? 在各出口EG上預(yù)先設(shè)置基于“部門用戶組”訪問總部數(shù)據(jù)中心的訪問策略和訪問互聯(lián)網(wǎng)QOS策略；? 用戶認(rèn)證成功后，基于“部門用戶組”匹配用戶身份，實(shí)現(xiàn)基于用戶身份的QOS和訪問權(quán)限策略互聯(lián)網(wǎng)線路模式QOS策略與此類似，設(shè)計(jì)省略。用戶訪問權(quán)限控制設(shè)計(jì)方案一（AC上進(jìn)行訪問策略執(zhí)行）專線模式訪問權(quán)限控制設(shè)計(jì)（AC上策略執(zhí)行點(diǎn)）訪問控制權(quán)限需求：訪問控制權(quán)限是指用戶接入無線網(wǎng)絡(luò)后，對園區(qū)數(shù)據(jù)中心業(yè)務(wù)訪問時，客戶需要基于不同部門人員訪問不同業(yè)務(wù)系統(tǒng)有控制需求，且該員工不管在總部還是分支機(jī)構(gòu)接入無線網(wǎng)絡(luò)時，其訪問數(shù)據(jù)中心業(yè)務(wù)控制需求是不變的。員工訪問控制權(quán)限設(shè)計(jì)：分支機(jī)構(gòu)：公司人員在分公司接入時，在總部園區(qū)SMP認(rèn)證管理系統(tǒng)上認(rèn)證成功后，SMP基于該員工所屬的用戶組下發(fā)一個訪問策略名給AC(通過標(biāo)準(zhǔn)的Radius屬性)，由于AC在分支機(jī)構(gòu)AP采用的是本地轉(zhuǎn)發(fā)模式，實(shí)際該訪問策略的執(zhí)行點(diǎn)是用戶所屬接入的AP點(diǎn)上?？偛繄@區(qū)：當(dāng)員工在總部園區(qū)接入無線網(wǎng)絡(luò)時，同樣在總部園區(qū)部署的SMP認(rèn)證管理系統(tǒng)上完成認(rèn)證，通過標(biāo)準(zhǔn)radius屬性下發(fā)該用戶對應(yīng)部門的“策略名”給AC，如果總部園區(qū)采用的是集中轉(zhuǎn)發(fā)策略，那么最終策略是在AC上執(zhí)行，如果是本地轉(zhuǎn)發(fā)模式，那么和分支機(jī)構(gòu)一樣。備注：SMP下發(fā)的“策略名”對應(yīng)的具體的策略條目，需要在AC上事先進(jìn)行預(yù)配置，當(dāng)用戶認(rèn)證成功下發(fā)“策略名后”，則該用戶就動態(tài)關(guān)聯(lián)了該策略名對應(yīng)的訪問策略。如果園區(qū)不是銳捷AC控制器則需要支持標(biāo)準(zhǔn)的“radius 11號屬性”。則可以統(tǒng)一在SMP上進(jìn)行認(rèn)證和訪問權(quán)限控制。集中轉(zhuǎn)發(fā)需關(guān)注AC控制器策略容量，本地轉(zhuǎn)發(fā)需關(guān)注AP接入點(diǎn)策略容量。漫游人員訪問控制權(quán)限設(shè)計(jì)：集中式部署模式，所有用戶身份分組信息都同步到SMP認(rèn)證管理系統(tǒng)中，針對不同的用戶組設(shè)計(jì)的訪問控制權(quán)限策略名始終保持不變。所以在集中統(tǒng)一部署SMP的場景下，只需統(tǒng)一考慮用戶組的策略即可，無需考慮用戶漫游變化。訪客訪問控制權(quán)限設(shè)計(jì)：在分支機(jī)構(gòu)和總部園區(qū)統(tǒng)一規(guī)劃一個訪客SSID，訪客用戶通過員工授權(quán)或者二維碼掃描或者微信連接wifi等多種方式接入后，只允許訪問互聯(lián)網(wǎng)。方案二（出口網(wǎng)關(guān)EG上進(jìn)行訪問策略執(zhí)行）專線模式訪問權(quán)限控制設(shè)計(jì)（出口網(wǎng)關(guān)EG上執(zhí)行策略）出口網(wǎng)關(guān)統(tǒng)一執(zhí)行策略? 在各出口EG上預(yù)先設(shè)置基于“部門用戶組”訪問總部數(shù)據(jù)中心的訪問策略和訪問互聯(lián)網(wǎng)QOS策略；? 用戶認(rèn)證時，ESS/SMP從統(tǒng)一身份系統(tǒng)（AD）讀取用戶部門組織信息，認(rèn)證成功并同步至出口網(wǎng)關(guān)設(shè)備；、? 用戶認(rèn)證成功后，基于“部門用戶組”匹配用戶身份，實(shí)現(xiàn)基于用戶身份的QOS和訪問權(quán)限策略?；ヂ?lián)網(wǎng)線路訪問權(quán)限控制策略類似，設(shè)計(jì)省略。 AC總分式部署架構(gòu)設(shè)計(jì) 總體架構(gòu)設(shè)計(jì)總體架構(gòu)介紹：? 總部園區(qū)部署一套AC控制器，同時AC控制器支持熱備或虛擬化部署，對在總部園區(qū)AP和分支機(jī)構(gòu)部署的AC進(jìn)行集中管理。? 大型分支機(jī)構(gòu)部署自己AC和AP，AC對分支機(jī)構(gòu)AP進(jìn)行本地管理，同時該AC接受總部AC的管理。? 在總部園區(qū)部署一套SMP認(rèn)證管理系統(tǒng)，同時SMP支持集群部署,與園區(qū)AC進(jìn)行對接認(rèn)證，負(fù)責(zé)總部園區(qū)無線用戶的認(rèn)證和策略管理；? 在大中型分支機(jī)構(gòu)分別部署ESS認(rèn)證系統(tǒng)（小型分支依然集中到總部園區(qū)進(jìn)行認(rèn)證和策略管理），與本地部署的AC進(jìn)行對接，負(fù)責(zé)本分支無線用戶的認(rèn)證和策略管理（接入控制策略和訪問控制策略）。? 總部園區(qū)同時有統(tǒng)一的身份系統(tǒng)，比如AD，OPEN LDAP或第三方數(shù)據(jù)身份系統(tǒng)。? 在總部園區(qū)部署一套IPC身份策略管理系統(tǒng)，總部園區(qū)部署的SMP或分支機(jī)構(gòu)部署的ESS取本地認(rèn)證系統(tǒng)不存在的用戶時，統(tǒng)一指向該IPC，IPC系統(tǒng)與園區(qū)現(xiàn)有的統(tǒng)一身份系統(tǒng)進(jìn)行對接，并將賬號信息按組織機(jī)構(gòu)下發(fā)給SMP和各分支ESS。? 總部園區(qū)部署一套RGSNC無線管理軟件系統(tǒng)，實(shí)現(xiàn)對整網(wǎng)的AC,AP進(jìn)行集中管理。? 總部園區(qū)部署一套RGWIS無線智能服務(wù)系統(tǒng)，實(shí)現(xiàn)對整網(wǎng)無線的使用體驗(yàn)進(jìn)行優(yōu)化。? 總部園區(qū)與大型分支各自部署一套DDI系統(tǒng)，實(shí)現(xiàn)對各自無線用戶進(jìn)行地址分配管理，建議整個公司依然統(tǒng)一IP地址規(guī)劃。? 總部與分支之間的鏈路，使用專線對辦公、生產(chǎn)業(yè)務(wù)的數(shù)據(jù)進(jìn)行傳輸，使用“互聯(lián)網(wǎng)鏈路+IPsec VPN”技術(shù)對辦公、生產(chǎn)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份傳輸。此種模式主要適用分支機(jī)構(gòu)規(guī)模較大的企業(yè)機(jī)構(gòu)，小型的分支機(jī)構(gòu)可以參考集中模式，兩種模式可以混合部署，其中大型的分支機(jī)構(gòu)采用分布式，小型的分支采用集中式部署。AC分布式部署對應(yīng)的ESS也是分布式部署，目前暫無實(shí)現(xiàn)用戶策略漫游（訪問控制策略amp。amp。QOS策略amp。amp。用戶接入控制策略），必須是ESS/SMP集中部署才能實(shí)現(xiàn)上述策略的漫游。 總部分支VPN互聯(lián)設(shè)計(jì)參考“AC集中式部署架構(gòu)設(shè)計(jì)”章節(jié)“VPN互聯(lián)設(shè)計(jì)”部分 AC架構(gòu)部署設(shè)計(jì)總部園區(qū)與分支使用專線場景AC架構(gòu)設(shè)計(jì)：總部園區(qū)AC設(shè)計(jì)：參考集中部署模式的分析推薦總部園區(qū)AC采用虛擬化技術(shù)進(jìn)行部署，對總部園區(qū)AP進(jìn)行管理的同時，對分支機(jī)構(gòu)的分支AC進(jìn)行管理（依據(jù)企業(yè)內(nèi)部的管理方式?jīng)Q定）。分支機(jī)構(gòu)AC設(shè)計(jì)：中大型分支：中大型分支由于本地AP部署較多（一般超過50，此類規(guī)模的AP部署，分支機(jī)構(gòu)人員規(guī)模超過1000人），推薦在本地部署分支AC，對本地AP進(jìn)行管理和用戶的接入認(rèn)證。避免過多的AP和AC以及用戶認(rèn)證的交互報(bào)文通過互聯(lián)網(wǎng)或?qū)＞€傳送到總部園區(qū)。此分支AC可以直接被總部的中心AC進(jìn)行管理和配置，可以根據(jù)分支機(jī)構(gòu)IT人員水平進(jìn)行靈活的規(guī)劃。小型分支機(jī)構(gòu)：參考集中式部署模式，此種類型的分支架構(gòu)在本地不部署AC控制器，AP統(tǒng)一由總部AC進(jìn)行管理，認(rèn)證也是在總部的center AC上進(jìn)行。如果此類分支出口采用了銳捷公司EG680P系列的出口網(wǎng)關(guān)產(chǎn)品，可以將本分支的AP管理功能交由EG680P系列網(wǎng)關(guān)來兼管，認(rèn)證則在EG680P系列網(wǎng)關(guān)上進(jìn)行。AC轉(zhuǎn)發(fā)模式設(shè)計(jì)：分支機(jī)構(gòu)：因分支機(jī)構(gòu)部署了分支AC，用戶連接上AP后，訪問互聯(lián)網(wǎng)流量從本地分支互聯(lián)網(wǎng)出口進(jìn)行轉(zhuǎn)發(fā)，故在AC轉(zhuǎn)發(fā)模式的設(shè)計(jì)上，選擇本地和集中轉(zhuǎn)發(fā)都是可以的。 部分小型分支沒有部署AC的場景下，此分支的AP還必須設(shè)計(jì)成本地轉(zhuǎn)發(fā)模式。總部園區(qū)：。總部園區(qū)與分支使用互聯(lián)網(wǎng)線路架構(gòu)：采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，總部與分支需要在互聯(lián)網(wǎng)的鏈路上建立IPsec VPN，IPsec VPN的設(shè)計(jì)參考“參考總部分支VPN互聯(lián)網(wǎng)設(shè)計(jì)”。如果總部園區(qū)與分支采用互聯(lián)網(wǎng)線路進(jìn)行互聯(lián)，那么總部園區(qū)AC對分支的AC的配置以及RGSNC/WIS對分支AC，AP管理流量等封裝“互聯(lián)網(wǎng)線路+IPsec VPN ”里，其他部分沒有變化。 身份統(tǒng)一認(rèn)證與漫游設(shè)計(jì)分布式部署設(shè)計(jì)：針對于大型分支機(jī)構(gòu)，在總部部署IPC和SMP，各省分支機(jī)構(gòu)分別部署SMP，同時SMP支持集群部署。 IPC集中對所有分支機(jī)構(gòu)的賬號信息進(jìn)行統(tǒng)一管理，也可以和AD，LDAP，數(shù)據(jù)庫等第三方數(shù)據(jù)源對接，實(shí)現(xiàn)賬號同步，并將賬號信息按組織機(jī)構(gòu)下發(fā)給各分部SMP。分支機(jī)構(gòu)的SMP和本地AC對接，實(shí)現(xiàn)本地用戶的認(rèn)證。當(dāng)用戶需要漫游時，漫游區(qū)域的SMP沒有漫游用戶的賬號信息，那么漫游區(qū)域的SMP會主動到IPC上進(jìn)行認(rèn)證。統(tǒng)一賬號園區(qū)漫游開啟漫游功能讓用戶在企業(yè)網(wǎng)內(nèi)使用同一帳號即可登陸，免去記錄多個帳號，并能提供一致的實(shí)名制日志由于認(rèn)證系統(tǒng)分布式部署暫未實(shí)現(xiàn)策略（訪問控制策略，QOS策略，用戶認(rèn)證接入控制策略）漫游，AC分布式部署場景下，如果要實(shí)現(xiàn)以上需求，SMP/ESS還得使用集中式部署。 策略隨行設(shè)計(jì)QOS策略設(shè)計(jì)QOS策略主要是在總部園區(qū)和分支機(jī)構(gòu)出口進(jìn)行設(shè)計(jì)，AC總分式和集中式兩種部署模式對出口設(shè)備設(shè)計(jì)沒有區(qū)別。用戶訪問權(quán)限控制設(shè)計(jì)分布式部署訪問權(quán)限控制設(shè)計(jì)訪問控制權(quán)限需求：訪問控制權(quán)限是指用戶接入無線網(wǎng)絡(luò)后，對園區(qū)數(shù)據(jù)中心業(yè)務(wù)訪問時，客戶需要基于不同部門人員訪問不同業(yè)務(wù)系統(tǒng)有控制需求，且該員工不管在總部還是分支機(jī)構(gòu)接入無線網(wǎng)絡(luò)時，其訪問數(shù)據(jù)中心業(yè)務(wù)控制需求是不變的。員工訪問控制權(quán)限設(shè)計(jì)：分支機(jī)構(gòu)：公司人員在分公司接入時，在總部園區(qū)SMP認(rèn)證管理系統(tǒng)上認(rèn)證成功后，SMP基于該員工所屬的用戶組下發(fā)一個訪問策略名給AC(通過標(biāo)準(zhǔn)的Radius屬性)，如果分支AC在分支機(jī)構(gòu)AP采用的是本地轉(zhuǎn)發(fā)模式，實(shí)際該訪問策略的執(zhí)行點(diǎn)是用戶所屬接入的AP點(diǎn)上，如果分支AC在分支機(jī)構(gòu)AP采用的是集中轉(zhuǎn)發(fā)模式，那么訪問策略的執(zhí)行點(diǎn)在分支AC上?？偛繄@區(qū)：當(dāng)員工在總部園區(qū)接入無線網(wǎng)絡(luò)時，同樣在總部園區(qū)部署的SMP認(rèn)證管理系統(tǒng)上完成認(rèn)證，通過標(biāo)準(zhǔn)radius屬性下發(fā)該用戶對應(yīng)部門的“策略名”給AC，如果總部園區(qū)采用的是集中轉(zhuǎn)發(fā)策略，那么最終策略是在AC上執(zhí)行，如果是本地轉(zhuǎn)發(fā)模式，那么訪問策略則AC上執(zhí)行。備注：SMP下發(fā)的“策略名”對應(yīng)的具體的策略條目，需要在AC上事先進(jìn)行預(yù)配置，當(dāng)用戶認(rèn)證成功下發(fā)“策略名后”，則該用戶就動態(tài)關(guān)聯(lián)了該策略名對應(yīng)的訪問策略。如果園區(qū)不是銳捷AC控制器則需要支持標(biāo)準(zhǔn)的“radius 11號屬性”。則可以統(tǒng)一在SMP上進(jìn)行認(rèn)證和訪問權(quán)限控制。集中轉(zhuǎn)發(fā)需關(guān)注AC控制器策略容量，本地轉(zhuǎn)發(fā)需關(guān)注AP接入點(diǎn)策略容量。漫游人員訪問控制權(quán)限設(shè)計(jì)：公司員工從分支出差到總部或其他分支時，用戶認(rèn)證接入到當(dāng)?shù)氐臒o線網(wǎng)進(jìn)行認(rèn)證時，本地沒有該用戶的信息，從IPC同步過來，在本地ESS系統(tǒng)里顯示為訪客，目前會按照統(tǒng)一訪客授權(quán)給該漫游的員工。需要IPC/ESS/SMP進(jìn)行相關(guān)場景的開發(fā)。訪客訪問控制權(quán)限設(shè)計(jì)：在分支機(jī)構(gòu)和總部園區(qū)統(tǒng)一規(guī)劃一個訪客SSID，訪客用戶通過員工授權(quán)或者二維碼掃描或者微信連接wifi等多種方式接入后，只允許訪問互聯(lián)網(wǎng)。 架構(gòu)說明集中部署總部運(yùn)維成本高采用集中式部署的方式，整個企業(yè)賬號管理及認(rèn)證由總部統(tǒng)一維護(hù)?？偛窟\(yùn)維成本較高。 鏈路可靠性要求較高AC集中部署在總部，分支的AP與AC通訊對鏈路要求較高；認(rèn)證服務(wù)器集中部署在總部，對鏈路要求比較高。分布式部署總部運(yùn)維成本低，分支自行運(yùn)維。采用分布式部署的方式，通過IPC對整個機(jī)構(gòu)（如金融，保險(xiǎn), 大型