H3C vs Cisco Aruba安全方案竞争分析

H3CVSCISCO、ARUBAAC安全管理帧加密技术仅在使用无线802.1X认证时才能使用STA同AP在收发用户数据前经过三个阶段：发现、认证和关联，其中的第二个阶段同通常的数据通信方面的认证不同，指的的是802.11的认证，不是PPPoE\802.1x\Portal认证中的任何一种。WLAN通信的过程管理帧加密指的是第三步关联和和第四步去连接的802.11报文也进行加密处理，这样可以避免两种情况：1、非法的AP欺骗正常的用户；2、非法的用户攻击正常的AP。这些攻击和欺骗的手段有：断开连接、钓鱼；管理帧实现加密的基础是认证必须采用无线WLAN的802.1x认证，之所以强调无线是因为有线交换机也有802.1x认证，两者之间的差别在于，无线802.1x认证通过后会从后台AAA服务器上获得一个加密密钥，使用这个密钥对管理帧进行加密。从以上的分析可以看出，管理帧加密仅仅当使用无线802.1x进行用户的管理认证才能使用，但通常我们使用的都是Portal认证，使用Portal认证的原因是：1、不需要安装客户端；2、无线不需要复杂的设置，便于开展业务；只有H3C的分布式安全才能满足用户业务的需求目前Cisco和Aruba的AC都自带无线安全，通过组件报价的方式进行报价（商务不比我们单独插安全的插卡低）。这种方式的优点是不需要单独购买硬件，通过软件升级就可以开通无线安全。但这种方式的缺点也非常的明显：Cisco和Aruba安全系统架构如上图所示，这种实际上是CPU+引擎的方式，中间通过总线方式连接，由于所有的报文都需要通过引擎处理完成后交给CPU，因此开通安全的功能后，AC对AP的管理功能同安全功能相互影响，整个AC的性能会急剧下降，如果没有开启安全功能时能够管理300个AP，开启后，可能只能管理200个AP；后续需要扩容时，仍然需要重新购买硬件；受CPU性能的影响，功能相对比较简单，不可能实现复杂的功能；针对上述的缺陷，H3C公司采用插卡方式提供安全解决方案，通过背板高速无缘总线，实现安全功能，无线AC对AP的管理不受安全插卡的影响，需要扩容时，可以通过增加插卡的方式，功能通过组合可以实现很强的性能；H3C插卡方式安全解决方案