搜索
思科自带设备(BYOD)CVD版本2.5修订日期:2013年8月7日构建旨在解决业务问题的架构BYODIT思科验证设计2思科验证设计ZebHallockJohnJohnstonFernandoMacias3作者简介ZebHallock,思科系统公司系统开发部技术营销工程师ZebHallock任职于思科的企业系统工程组,专门研究数字媒体系统。他也从事基于未来的协作系统的创建和开发,在该领域持有两项专利。他已在思科任职10年,致力于企业系统测试、基于H.323的视频会议的系统设计和测试,以及网络基础设施。他也是CiscoUnifiedIPContactCenterCiscoUnifiedMeetingPlace方面的研究专家。在加入思科之前,他曾担任局域网和WAN设计和实施方面的顾问。JohnJohnston,思科系统公司系统开发部技术营销工程师JohnJohnston是思科系统开发部(SDU)的技术营销工程师。他已在思科任职10年,之前曾在思科高级服务组担任网络咨询工程师。在加入思科之前,他曾是MCI专业托管服务组的咨询工程师。在过去15年里,Johnston一直致力于企业网的设计以及故障排除。在业余时间,他乐于处理基于微处理器的电子项目,包括无线环境传感器。Johnston持有CCIE认证5232。他拥有北卡罗莱纳大学夏洛特校区的电气工程理学学士学位。FernandoMacias,思科系统公司系统开发部解决方案架构师FernandoMacias是系统开发部(SDU)的解决方案架构师,专门研究企业市场分区的解决方案。Fernando已在思科任职超过13年,开发了包含视频、安全和内容交付产品在内的网络解决方案。Fernando也是思科高级服务团队的成员(负责向大型企业公司提供网络设计支持),以及思科商业区域的系统工程师。在加入SDU之前,Fernando专门研究云计算和安全,目标是引导公共部门客户了解云计算。Fernando不仅拥有技术管理和软件工程硕士学位,还拥有路由和交换方面的思科CCIE认证。作者简介RolandSaville4SrinivasTenneti作者简介RolandSaville,思科系统公司系统开发部技术主管RolandSaville是思科系统开发部(SDU)的技术主管,致力于为企业网部署制定昀佳实践设计指南。他已在思科任职超过15年,曾担任系统工程师、咨询系统工程师、技术营销工程师和技术主管。在此期间,他专注于多种技术领域,包括将语音与视频集成到网络基础设施中、网络安全、无线局域网网络、RFID和能源管理。他也曾花时间研究零售市场分区。加入思科之前,他在雪佛龙公司担任了8年的通信分析师。Saville拥有爱达荷大学电气工程理学学士学位及圣塔克拉拉大学工商管理硕士学位。他曾与他人合著书籍《CiscoTelePresenceFundamentals》(思科网真基础),并拥有8项美国专利。SrinivasTenneti,思科系统公司系统开发部技术营销工程师SrinivasTenneti是思科系统开发部(SDU)技术营销工程师,负责BYOD项目安全组件的设计和架构。他已在思科任职11年有余,主要从事开发、系统测试及企业设计和架构工作。在过去5年里,Srinivas研究DMVPN和GETVPN的设计和架构、分支架构、互联网边缘和用于VPN协议的PKI即服务。Srinivas与他人合著了书籍《PKIUncovered:Certificate-BasedSecuritySolutionsforNextGenerationNetworks》(PKI揭秘:面向下一代网络的基于证书的安全解决方案)。MikeJessup5SuyogDeshpandeTimSzigeti作者简介MikeJessup,思科系统公司系统开发部技术主管工程师/架构师MikeJessup于1996年加入思科,是思科系统开发部(SDU)的技术主管工程师/架构师。Mike主要从事BYOD系统架构和解决方案的确定和审批以及未来趋势等工作,并且与解决方案工程师合作,在思科验证设计中集成、验证和记录这些系统。Mike于2011年11月加入SDU,之前曾在美国销售组织担任企业系统工程师,专门研究路由和交换、数据中心、应用优化和网络管理。自1982年直至加入思科,Mike曾在多个信息系统公司和合作伙伴组织担任现场工程师和系统工程师职务。SuyogDeshpande,思科系统公司系统开发部技术营销工程师SuyogDeshpande是思科系统公司系统开发部(SDU)的技术营销工程师,专门研究融合的有线和无线接入产品。Suyog已在思科任职9年,之前在无线网络业务部工作,那时他专门研究射频系统和融合接入产品。在加入思科之前,Suyog担任过各种职务,涉及大规模无线网络的设计和部署,以及频谱智能和分析器产品的研究。TimSzigeti,思科系统公司系统开发部技术主管TimSzigeti是思科系统公司系统开发部技术主管,职责是针对BYOD解决方案设计网络架构。十多年来,他还专注于服务质量技术,在此期间他与他人合著了大量技术论文、设计指南以及CiscoPress书籍,包括《End-to-EndQoSNetworkDesign》(端对端QoS网络设计)和《CiscoTelePresenceFundamentals》(思科网真基础)。Szigeti拥有CCIE认证9794,以及不列颠哥伦比亚大学管理信息系统专业商业学士学位。6思科验证设计(CVD)计划简介思科验证设计(CVD)计划简介CVD计划由一些经过设计、测试和记录的系统和解决方案组成,旨在提高客户部署的速度、可靠性和可预测性。如需更多信息,请访问。本手册中的所有设计、规格、陈述、信息和建议(统称为“设计”)均按“原样”提供,可能包含错误信息。思科及其供应商不提供任何担保,包括但不限于对适销性、适合特定用途和非侵权的担保,或由交易过程、使用方式或贸易惯例所产生的担保。任何情况下,思科或其供应商均不对任何间接性、特殊性、后果性或附带性损害承担责任,包括但不限于由于使用或未能使用这些设计而导致的利润损失或数据丢失或损坏,即使思科或其供应商已被告知存在此类损害的可能性。这些设计如有更改,恕不另行通知。用户对这些设计的使用负有全部责任。这些设计并不构成思科及其供应商或合作伙伴的技术建议或其他专业建议。用户在采用这些设计之前应咨询自己的技术顾问。思科未测试的一些因素可能导致使用结果有所不同。思科执行的TCP报头压缩是对加州大学伯克利分校(UCB)开发的某一程序的修改,它是UNIX操作系统的UCB公用版的一部分。版权所有。Copyright©1981,加利福尼亚州大学董事。思科和思科徽标是思科系统公司和/或其在美国以及其他国家/地区的附属公司的商标。如需思科商标的列表,请访问。本文提及的第三方商标均归属其各自所有者。使用“合作伙伴”一词并不意味着思科与任何其他公司之间存在合作伙伴关系。(1005R)本文档中使用的任何互联网协议(IP)地址和电话号码并不代表实际地址和电话号码。本文档中包括的任何示例、命令显示输出、网络拓扑图和其他图形仅用于说明目的。在图示内容中使用的IP地址或电话号码纯属虚构,如有雷同,纯属巧合。思科自带设备(BYOD)CVD版本2.5©2013思科系统公司。版权所有。目录7思科自带设备(BYOD)CVD版本2.5第1部分BYOD设计概述CiscoBYOD解决方案组件1-1第1章思科接入点1-3思科无线控制器1-4思科身份服务引擎1-4思科自适应安全设备1-4CiscoAnyConnect客户端1-4思科集成服务路由器1-4思科聚合服务路由器1-5CiscoCatalyst交换机1-5思科融合接入交换机1-5CiscoNexus系列交换机1-5CiscoPrime基础设施1-5安全访问企业网络1-6证书注册和移动设备调配1-6第2章BYOD使用案例2-1增强型权限-个人和企业设备2-2有限权限-公司设备2-3高级权限-MDM状态2-3基本权限-访客型2-4第3章BYOD的园区网络和分支机构网络设计3-1园区网络设计3-1集中式(本地模式)无线设计3-1安全组标记概述3-3ACL复杂性和注意事项3-3安全组标记3-3本CVD中的SGT部署方案3-4园区有线设计3-5融合接入园区设计3-6园区迁移路径3-9初始叠加模式3-9仅集中式模式/本地模式3-10融合接入和本地模式混合模式3-12完全融合接入3-13无线局域网控制器高可用性3-15分支机构广域网设计3-15分支机构WAN基础设施3-15目录8思科自带设备(BYOD)CVD版本2.5分支机构WAN带宽要求3-16加密要求3-17传输3-17分支机构LAN网络设计3-17FlexConnect无线设计3-18分支机构的有线设计3-19融合接入分支机构设计3-19第4章面向BYOD的移动设备管理器4-1CiscoISE1.2与MDMAPI集成4-1MDM部署选项和注意事项4-2本地4-3基于云4-4企业集成注意事项4-5企业目录服务集成4-6企业证书颁发机构和公钥基础设施集成4-6电邮集成4-6内容存储库集成4-6管理集成4-6集成服务器4-6第2部分配置基础设施第5章自带设备无线基础设施设计5-1园区-统一无线LAN设计5-1集中式园区-双SSID设计5-2集中式园区-单SSID设计5-6集中式园区-使用TrustSec的策略实施5-7分支机构-统一无线LAN设计5-7FlexConnect无线LAN设计5-7分支机构无线IP地址设计5-9FlexConnect分支机构-双SSID设计5-11双SSID-中央交换调配5-15双SSID-本地交换调配5-17FlexConnect分支机构-单SSID设计5-20FlexConnect接入点配置5-22FlexConnect组5-24FlexConnectVLAN覆盖5-28园区-融合接入设计5-29园区融合接入-双SSID设计5-29目录9思科自带设备(BYOD)CVD版本2.5园区融合接入-单SSID设计5-32园区融合接入-移动性5-34分支机构-融合接入设计5-36分支机构融合接入-双SSID设计5-36分支机构融合接入-单SSID设计5-39第6章面向BYOD的身份服务引擎6-1ISE的身份证书6-1ISE中的网络设备定义6-2ISE与ActiveDirectory集成6-3访客和自助注册门户6-4使用证书作为身份库的ISE6-6身份源序列6-6ISE中的SCEP配置文件配置6-7身份验证策略6-8无线身份验证策略6-10客户端推送6-11客户端推送资源-AppleiOS和Android6-12客户端推送策略-AppleiOS和Android设备6-13客户端推送资源-MACOS6-13MacOS设备的客户端推送策略-无线6-15Windows设备的客户端推送策略-无线/有线6-16分析6-17启用DHCP和RADIUS探测器6-18分析Android设备6-20逻辑配置文件6-21授权策略和配置文件6-22授权配置文件6-23双SSID调配的无线CWA授权配置文件6-23双SSID调配授权规则6-26单SSID调配的无线NSP授权配置文件6-26单SSID调配授权规则6-28证书颁发机构服务器6-29SCEP的NDES服务器配置6-29证书模板6-30第7章自带设备有线基础设施设计7-1园区有线设计7-1园区有线交换机的VLAN设计7-2目录10思科自带设备(BYOD)CVD版本2.5园区有线基础设施的IP地址设计7-2园区中有线设备的策略实施7-2园区接入层交换机的ACL设计7-3调配ACL7-4园区交换机的802.1X和AAA配置7-5分支机构有线设计-非融合接入7-7分支机构位置的VLAN设计7-7分