400-1132-500
首页
产品中心
信息安全
数据中心
数字化转型
智能制造
系统集成
运维服务
关于我们
公司简介
荣誉资质
企业文化
发展历程
合作案例
客户案列
行业资讯
联系我们
首页
产品中心
关于我们
合作案例
售后服务
在线咨询
留言咨询
返回顶部
当前位置: 首页 > 企业动态 > 客户案列
返回
企业园区网络硬件案列
发布时间:2022-03-25

智能园区网络建设方案案例

 

1.1 背景描述

1.1.1 园区网络现状

**通讯成立于1997年,是全球领先的通讯与信息解决方案及服务提供商,当前广州科学城总部研发基地由于园区网络设备老旧需进行替换和改造,既有的老旧园区网络采用传统的组网方式,存在多个业务系统,没有按照信息安全规定要求进行系统间路由隔离,部门调动时,网络无及时进行匹配,耗时长,响应速度慢,对于网络中用户权限控制,一般采用用户认证加授权 VLAN ACL 的方式实现用户访问资源或用户间的隔离,存在一定风险,此外网络的业务部署,一般都是采用手工配置命令行,或通过 SNMP 来配置。都是基于设备语言,效率低,业务上线速度慢,同时现网所运行的设备即将或者已经达到厂家建议使用年限,基于以上,**通讯对广州总部的园区网络进行数字化改造。

**通讯广州科学城总部研发基地

1.1.2 园区网络面临的问题

        1. 一网无法多用

企业各业务系统的终端实际部署位置在一起,这就很难再用传统的独立建网方式实现网络隔离,要求能做到物理网络共享,逻辑上隔离,降低成本。

        1. 隔离效果差

不同权限的用户有混坐的情况,如研发人员、外包人员等,且人员位置经常变动, 不同权限的用户间也有权限控制的需求,而传统的 VLAN ACL 的隔离方式管理工作量巨大,策略数量也是大部分网络设备所无法承受的。

        1. 业务部署慢

园区部署新业务,按照传统的业务开通方法,需要在大量设备上配置大量命令,耗时耗力。

 

 

1.2 解决思路

华为的解决思路是:

      1. 业务跟网络解耦

 

在物理网络underlay)之上,创建逻辑上的叠加网络overlay,以此实现业务跟网络的解耦,从而实现在不改变基础网络的情况下,实现一网多用和业务的灵活部署。

 

      1. 用户身份跟网络 IP/VLAN 解耦

基于用户身份的访问控制,包括权限控制和优先级等。用户身份由用户接入网络时下发,跟 IP/VLAN 无绑定关系,实现业务随行。

      1. 控制器自动化配置

网络中部署集中的控制器,基于上面两个解耦技术,将园区网络按照用户管理视角抽象,只需关注人、人的身份、虚拟网络,图形化的配置虚拟网络的业务和业务随行策略,实现业务的快速部署。

1.3 总体网络架构

1.3.1 总体网络设计原则

园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于园区网而言,注重的是网络的简单可靠、易部署、易维护。因此在园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。

基于星型结构的园区网设计,通常遵循如下原则:

  1. 层次化

将园区网络划分为核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。

  1. 模块化

将园区网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。

  1. 冗余性

关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。

  1. 安全隔离

园区网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。

  1. 可管理性和可维护性

网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。

 

1.3.2 园区网总体逻辑架构

华为SD-Campus园区网络的逻辑架构如下所示


      1. AC-Campus

云管理控制器,负责 overlay 网络的业务管理和自动化部署。

      1. IAE

负责认证用户管理、业务随行策略配置和自动化下发。

      1. eSight

负责园区及分支设备零配置开局、无线定位、设备 underlay 配置、设备监控等。

      1. Route Node

路由出口节点,园区需要到数据中心或者 Internet 时通过此节点转发;如果路由出口节点是防火墙时,FW Node 可以复用此节点。

      1. FW Node

安全节点,需要做 L4-L7 高级安全策略(如 IPSAV 等)时需要部署该节点。

      1. Border Node

L3 网关设备,用于 Fabric 网络和第三方网络间三层转发,用户跟第三方网络流量从这里出入 VXLAN 隧道。

      1. Edge Node

用户的 VXLAN 网关,可能是 L2 网关也有可能是 L3 网关,接入用户的流量从这里进入 VXLAN 网络。Edge 节点同时也作为无线控制器,无线流量经由 CAPWAP 隧道到达 Edge 节点,Edge 节点剥 CAPWAP 隧道后进入 VXLAN 网络。

      1. Transparency Node

Fabric 网络的透传节点,不感知 Fabric。透传节点不需要支持 VXLAN,可以是传统三层交换机。

      1. Access Node(Wired)

有线接入节点,用户从这里接入有线网络并最终接入 Fabric 网络,可以和 Edge Node

合一。

      1. Access Node(Wireless)

无线接入节点,用户从这里接入无线网络,并最终接入 Fabric 网络。无线接入节点不需要支持 VXLAN,传统的无线接入节点AP)都可以。

 

1.3.3 园区网总体物理架构

对应逻辑架构,园区网络的物理架构如图2-2所示。

园区网络的物理架构 

  1. 核心层

在核心层部署两台核心交换机S12708,集群方式部署提高可靠性,同时S12708作为VxLAN网络分布式三层网关。核心层与汇聚层10G互联。

核心交换机旁挂两台防火墙,实现园区内部业务访问隔离、安全管控等功能。

  1. 汇聚层

改造后的园区最终有3个汇聚节点,分别位于A、B、E三栋楼;每个汇聚点部署两台汇聚交换机S7706,通过集群方式提高可靠性,同时S7706作为VxLAN网络分布式二层网关。汇聚层与接入层千兆互联。

  1. 接入层

部署接入交换机,满足园区内有线终端接入需求。建议每4台接入组成一个堆叠组,提高可靠性的同时节省了光纤资源。

  1. 数据中心区

部署2台数据中心万兆接入交换机CE6856HI和6台数据中心千兆接入交换机CE5855EI,实现服务器的万兆及千兆接入需求。同时数据中心接入交换机支持SDN功能演进。

  1. 网络管理区

在网管区部署esight网管系统,实现全网设备可视化管理;

部署园区SDN控制器Agile Controller-Campus,实现基于园区Vxlan架构下的业务随行、业务快速部署等SDN特性;

 

该组网结构具有如下特点:

  1. 以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
  2. 各部门和功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
  3. 双节点冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
  4. 支持各种业务终端接入,一张IP网络承载所有业务。
  5. 支持分支接入、员工远程接入、合作伙伴接入、外部用户访问等各种外联场景。

1.4 SD-Campus 网络原理

1.4.1 Underlay 网络原理

Underlay 网络,access 节点为二层设备,对流量做二层转发。Access 节点可以为堆叠, 或者环网。但是 Access 到 Edge 必须是树形组网,因一个 Access 节点只能到一个 Edge 做认证。

Underlay 其他节点都是三层设备,对流量做三层转发,Underlay 的路由可以部署

OSPF/ISIS/BGP 等。

Edge 设备跟 Border 设备间可以用 ECMP 冗余组网,提高三层网络可靠性及增加通道带宽。

1.4.2 Overlay 网络原理--数据平面

 

 

1.4.2.1 VXLAN 三层网关部署

VXLAN 三层网关按部署方式的不同,可以分为集中式网关和分布式网关。

 

2-7  VXLAN 集中式三层网关

集中式网关场景下,所有跨子网的流量都要到三层网关上转发,转发路径不是最优,网关流量处理压力大。、

 

2-8  VXLAN 分布式三层

分布式网关场景下,同一个 edge 节点既做二层网关,也做三层网关。同一个 Edge 节点上不同子网流量通信直接在 Edge 上转发,转发路径优。

分布式网关场景下,各 Edge 节点可以提供相同的网关 MAC 地址和 IP 地址,用户位置移动后,网关 IP 和 MAC 不变,用户不感知实际接入网关的位置变化。

 

 

1.4.3 SD-Campus 自动化原理

1.4.3.1 Underlay 自动化

Underlay 自动化通过 eSight 部署零配置开局实现。

 

1.4.3.2 Overlay 自动化

AC-Campus 作为 overlay 自动化功能的核心,实现将用户业务语言到网络具体配置的自动翻译与下发。

 

2-13  Overlay 自动化

 

  1. 首先,需要在控制器上创建站点并加入设备,为后续业务编排做准备。
  2. 预留全局资源,包括 VLAN 和子网,后续 VN 网络所用的 VLAN 和子网从配置的全局资源中分配。
  3. Fabric 网络的管理。
    • 首先,创建 Fabric,通常一个站点创建一个 FabricFabric 中加入设备并标识角色Border/edge/access,如果是 border edge,需要指定环回口地址,用于

VTEP 地址。

    • 其次,配置策略联动,指定对应的控制设备和接入设备及通信所用 IP 地址。
    • 再次,指定 Fabric 跟外部网关的连接,用于虚拟网络跟外部的通信。

 

 

    • 最后,指定 DHCP server 地址,在 edge 上做 DHCP relay
  2. VN 网络的管理。
    • 首先创建 VN 网络。
    • 接着配置 VN 所关联的子网。
    • 最后指定哪些端口可以接入该 VN 网络及这些端口认证的方式。

 

 

 

1.4.3.3 策略自动化

策略自动化的核心是 IAEIAE 完成安全组定义,安全组策略的定义与下发,用户认证后安全组授权。

 

2-14  5W1H 情景感知的安全组上下文定义

 

 

2-15  策略自动化过程

 

 

 

 

1.5 方案亮点

1.5.1 基于VxLAN的SDN多业务融合网络

华为 SD-Campus 解决方案具有如下优势:

  1. 自动化

华为 SD-Campus 方案中,overlay 网络的配置通过 AC-Campus 控制器集中配置,自动化下发,极大的减少额配置工作量及配置出错的概率,将大中型园区网络开局周期单位从”周”提升至”天”。

  1. 设备利旧,保护客户投资

现网客户网络存在大量接入层设备,华为 SD-Campus 方案 VXLAN 起在汇聚层, 对于接入交换机及 AP 可利旧,减少客户向 SD-Campus 迁移的投资。

  1. 转发面同步安全组,性能高

传统园区的策略随行方案中,有多个策略执行点的情况下,安全组信息无法在设备间同步。跨策略执行点的流量需要到防火墙上执行策略,防火墙跟 IAE 之间进行安全组的信息同步,性能差。

在 SD-Campus 方案中,源安全组在 VXLAN 报文中携带,到目的策略执行点查目的安全组,都是在转发面实现,没有控制面的同步过程,性能高。

  1. 分布式网关,漫游流量无迂回

传统园区跨 AC 漫游时,网关网段不一致,只能三层漫游,流量需要通过 CAPWAP

绕回原 AC 转发,转发路径长,故障点多,性能差。

SD-Campus 方案中,随板 AC 作为分布式网关,用户从任意 AC 接入,其网关地址都不变。AC 间漫游为二层漫游,流量无迂回,转发路径短,故障点少,性能高。

 

1.5.2 业务随行

  1. 以用户、业务和体验为中心的策略管理

通过在Agile Controller上基于用户组、应用识别来定义相应权限策略、访问控制策略、业务流策略以及体验相关的用户/业务优先级、带宽、VPN资源策略等等。不仅实现用户组间以及用户组到资源组之间的权限控制,实现灵活并精细化进行用户权限控制的同时,减少设备资源ACL消耗。同时,基于设备的应用识别,可以实现针对特定用户、特定业务的带宽、优先级保障,解决了传统园区用户移动办公IP地址变化体验无法保障的问题。

  1. 全网统一的用户体验保障

无论用户在分支、园区总部、出差远程接入,无论用户访问企业内网资源、互联网资源,在VPN接入网关、互联网出口防火墙、分支出口设备等影响体验的关键执行点上,都有相应的带宽和QoS策略,保障用户一致的业务体验。对于VIP用户的某些特定业务流量,可以进行优先调度,并给予充分的带宽保证。例如:提供VPN网关自动优选、VIP用户优先接入。当用户在远程VPN接入,VPN客户端会自动选择时延最短的最优网关作为接入网关。而当某网关的可用资源已经被在线用户耗尽无法接入新用户时,网关可以自动强制部分普通用户下线,为VIP释放系统资源,保证VIP用户的优先接入和高优先级业务的体验。

1.5.3 质量感知iPCA

  1. 设备级监控可以7*24开启监测,随时查看设备质量。
  2. 使用网络级监控可以对第三方或者非敏捷设备,以及非管辖区域的网络质量进行监测。通过监测敏捷设备的端口,可获知非敏捷设备区域的丢包情况。
  3. 使用路径逐段检测提供业务流全路径的分段监测结果,快速定位故障方向、故障链路、故障设备。
  4. 网络级监控支持同一个业务流多点对多点的测量。
  5. 通过eSight网管拓扑批量使能,无需下发复杂配置。
  6. 由eSight网管提供监测结果可视化图表界面,方便管理员对设备运维

1.5.4 零配置部署

  1. 可视化

对于网管人员提供全图形的操作界面,从网络规划、配置生成、拓扑纠错、部署过程展示实现端到端的可视化操作。

  1. 安全性

实现了端到端全部署流程的安全性,包括:使用白名单功能,过滤非法设备;网管本地保存了所有待部署设备的配置,这些配置由网管实现了自动加密压缩保存,避免意外泄露;在待部署配置文件传递到待部署设备的过程中,通过使用SFTP加密传输通道保证了安全性。

  1. 配置文件易生成

通过在网管上选择功能参数最终形成接入层交换机的配置模板,将配置差异设置为变量,并针对不同的接入层交换机分别进行赋值,即可最终批量生成每个接入层交换机单独的配置文件。

  1. 缩短部署时间

利用零配置部署方案,可以从端到端流程上缩短部署时间,从原来数天才能完成的人工部署,数小时就可以实现。

  1. 部署规模大

传统的交换机部署方案中,部署的规模都受限于管理设备的性能,通常规模几十到上百台。通过网管的介入,可以同时建立多个部署任务,同时部署规模轻松上千。

  1. 统一集中管理

部署管理服务建立在网管上,提供统一的部署策略和操作界面,并和部署后的设备管理流程有机结合,实现了网管从规划到部署,设备运行管理,批量版本升级,故障设备替换等全生命周期管理。

1.6 设备清单

本次**通信园区SDN网络改造项目--敏捷园区网络的清单如下:

序号

配置名称

数量

1

科学城园区网络设备

 

 1.1

S12708 核心交换机

2

 1.2

S7706 A栋汇聚交换机

2

  1.3

S7706 E栋汇聚交换机

2

  1.4

S5732-H24S6Q B栋汇聚交换机

2

 1.5

S5720-52P-LI-AC 接入交换机

148

  1.6

接入层光模块+堆叠线缆

810

 1.7

eSight Network 网管系统

1

 1.8

Agile Controller-Campus 园区网SDN控制器服务器

3

1.9

Agile Controller-Campus HW V100R003

1

2

科学城数据中心网络设备

 

 2.1

S6730-H48X6C数据中心万兆接入交换机

2

2.2

S5731-S48T4X 数据中心千兆接入交换机

6

3

科学城安全设备

 

 3.1

USG6580E 业务防火墙

2

3.2

终端准入系统iVanti3年维保)

2000

4

原厂规划服务

 

4.1

SDN网络规划设计与实施服务

1

4.2

数通工程技术应用支持_原厂支持服务

1

总计

智能园区网络建设方案案例

 

1.1 背景描述

1.1.1 园区网络现状

**通讯成立于1997年,是全球领先的通讯与信息解决方案及服务提供商,当前广州科学城总部研发基地由于园区网络设备老旧需进行替换和改造,既有的老旧园区网络采用传统的组网方式,存在多个业务系统,没有按照信息安全规定要求进行系统间路由隔离,部门调动时,网络无及时进行匹配,耗时长,响应速度慢,对于网络中用户权限控制,一般采用用户认证加授权 VLAN ACL 的方式实现用户访问资源或用户间的隔离,存在一定风险,此外网络的业务部署,一般都是采用手工配置命令行,或通过 SNMP 来配置。都是基于设备语言,效率低,业务上线速度慢,同时现网所运行的设备即将或者已经达到厂家建议使用年限,基于以上,**通讯对广州总部的园区网络进行数字化改造。

**通讯广州科学城总部研发基地

1.1.2 园区网络面临的问题

        1. 一网无法多用

企业各业务系统的终端实际部署位置在一起,这就很难再用传统的独立建网方式实现网络隔离,要求能做到物理网络共享,逻辑上隔离,降低成本。

        1. 隔离效果差

不同权限的用户有混坐的情况,如研发人员、外包人员等,且人员位置经常变动, 不同权限的用户间也有权限控制的需求,而传统的 VLAN ACL 的隔离方式管理工作量巨大,策略数量也是大部分网络设备所无法承受的。

        1. 业务部署慢

园区部署新业务,按照传统的业务开通方法,需要在大量设备上配置大量命令,耗时耗力。

 

 

1.2 解决思路

华为的解决思路是:

      1. 业务跟网络解耦

 

在物理网络underlay)之上,创建逻辑上的叠加网络overlay,以此实现业务跟网络的解耦,从而实现在不改变基础网络的情况下,实现一网多用和业务的灵活部署。

 

      1. 用户身份跟网络 IP/VLAN 解耦

基于用户身份的访问控制,包括权限控制和优先级等。用户身份由用户接入网络时下发,跟 IP/VLAN 无绑定关系,实现业务随行。

      1. 控制器自动化配置

网络中部署集中的控制器,基于上面两个解耦技术,将园区网络按照用户管理视角抽象,只需关注人、人的身份、虚拟网络,图形化的配置虚拟网络的业务和业务随行策略,实现业务的快速部署。

1.3 总体网络架构

1.3.1 总体网络设计原则

园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于园区网而言,注重的是网络的简单可靠、易部署、易维护。因此在园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。

基于星型结构的园区网设计,通常遵循如下原则:

  1. 层次化

将园区网络划分为核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。

  1. 模块化

将园区网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。

  1. 冗余性

关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。

  1. 安全隔离

园区网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。

  1. 可管理性和可维护性

网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。

 

1.3.2 园区网总体逻辑架构

华为SD-Campus园区网络的逻辑架构如下所示


      1. AC-Campus

云管理控制器,负责 overlay 网络的业务管理和自动化部署。

      1. IAE

负责认证用户管理、业务随行策略配置和自动化下发。

      1. eSight

负责园区及分支设备零配置开局、无线定位、设备 underlay 配置、设备监控等。

      1. Route Node

路由出口节点,园区需要到数据中心或者 Internet 时通过此节点转发;如果路由出口节点是防火墙时,FW Node 可以复用此节点。

      1. FW Node

安全节点,需要做 L4-L7 高级安全策略(如 IPSAV 等)时需要部署该节点。

      1. Border Node

L3 网关设备,用于 Fabric 网络和第三方网络间三层转发,用户跟第三方网络流量从这里出入 VXLAN 隧道。

      1. Edge Node

用户的 VXLAN 网关,可能是 L2 网关也有可能是 L3 网关,接入用户的流量从这里进入 VXLAN 网络。Edge 节点同时也作为无线控制器,无线流量经由 CAPWAP 隧道到达 Edge 节点,Edge 节点剥 CAPWAP 隧道后进入 VXLAN 网络。

      1. Transparency Node

Fabric 网络的透传节点,不感知 Fabric。透传节点不需要支持 VXLAN,可以是传统三层交换机。

      1. Access Node(Wired)

有线接入节点,用户从这里接入有线网络并最终接入 Fabric 网络,可以和 Edge Node

合一。

      1. Access Node(Wireless)

无线接入节点,用户从这里接入无线网络,并最终接入 Fabric 网络。无线接入节点不需要支持 VXLAN,传统的无线接入节点AP)都可以。

 

1.3.3 园区网总体物理架构

对应逻辑架构,园区网络的物理架构如图2-2所示。

园区网络的物理架构 

  1. 核心层

在核心层部署两台核心交换机S12708,集群方式部署提高可靠性,同时S12708作为VxLAN网络分布式三层网关。核心层与汇聚层10G互联。

核心交换机旁挂两台防火墙,实现园区内部业务访问隔离、安全管控等功能。

  1. 汇聚层

改造后的园区最终有3个汇聚节点,分别位于A、B、E三栋楼;每个汇聚点部署两台汇聚交换机S7706,通过集群方式提高可靠性,同时S7706作为VxLAN网络分布式二层网关。汇聚层与接入层千兆互联。

  1. 接入层

部署接入交换机,满足园区内有线终端接入需求。建议每4台接入组成一个堆叠组,提高可靠性的同时节省了光纤资源。

  1. 数据中心区

部署2台数据中心万兆接入交换机CE6856HI和6台数据中心千兆接入交换机CE5855EI,实现服务器的万兆及千兆接入需求。同时数据中心接入交换机支持SDN功能演进。

  1. 网络管理区

在网管区部署esight网管系统,实现全网设备可视化管理;

部署园区SDN控制器Agile Controller-Campus,实现基于园区Vxlan架构下的业务随行、业务快速部署等SDN特性;

 

该组网结构具有如下特点:

  1. 以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
  2. 各部门和功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
  3. 双节点冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
  4. 支持各种业务终端接入,一张IP网络承载所有业务。
  5. 支持分支接入、员工远程接入、合作伙伴接入、外部用户访问等各种外联场景。

1.4 SD-Campus 网络原理

1.4.1 Underlay 网络原理

Underlay 网络,access 节点为二层设备,对流量做二层转发。Access 节点可以为堆叠, 或者环网。但是 Access 到 Edge 必须是树形组网,因一个 Access 节点只能到一个 Edge 做认证。

Underlay 其他节点都是三层设备,对流量做三层转发,Underlay 的路由可以部署

OSPF/ISIS/BGP 等。

Edge 设备跟 Border 设备间可以用 ECMP 冗余组网,提高三层网络可靠性及增加通道带宽。

1.4.2 Overlay 网络原理--数据平面

 

 

1.4.2.1 VXLAN 三层网关部署

VXLAN 三层网关按部署方式的不同,可以分为集中式网关和分布式网关。

 

2-7  VXLAN 集中式三层网关

集中式网关场景下,所有跨子网的流量都要到三层网关上转发,转发路径不是最优,网关流量处理压力大。、

 

2-8  VXLAN 分布式三层

分布式网关场景下,同一个 edge 节点既做二层网关,也做三层网关。同一个 Edge 节点上不同子网流量通信直接在 Edge 上转发,转发路径优。

分布式网关场景下,各 Edge 节点可以提供相同的网关 MAC 地址和 IP 地址,用户位置移动后,网关 IP 和 MAC 不变,用户不感知实际接入网关的位置变化。

 

 

1.4.3 SD-Campus 自动化原理

1.4.3.1 Underlay 自动化

Underlay 自动化通过 eSight 部署零配置开局实现。

 

1.4.3.2 Overlay 自动化

AC-Campus 作为 overlay 自动化功能的核心,实现将用户业务语言到网络具体配置的自动翻译与下发。

 

2-13  Overlay 自动化

 

  1. 首先,需要在控制器上创建站点并加入设备,为后续业务编排做准备。
  2. 预留全局资源,包括 VLAN 和子网,后续 VN 网络所用的 VLAN 和子网从配置的全局资源中分配。
  3. Fabric 网络的管理。
    • 首先,创建 Fabric,通常一个站点创建一个 FabricFabric 中加入设备并标识角色Border/edge/access,如果是 border edge,需要指定环回口地址,用于

VTEP 地址。

    • 其次,配置策略联动,指定对应的控制设备和接入设备及通信所用 IP 地址。
    • 再次,指定 Fabric 跟外部网关的连接,用于虚拟网络跟外部的通信。

 

 

    • 最后,指定 DHCP server 地址,在 edge 上做 DHCP relay
  2. VN 网络的管理。
    • 首先创建 VN 网络。
    • 接着配置 VN 所关联的子网。
    • 最后指定哪些端口可以接入该 VN 网络及这些端口认证的方式。

 

 

 

1.4.3.3 策略自动化

策略自动化的核心是 IAEIAE 完成安全组定义,安全组策略的定义与下发,用户认证后安全组授权。

 

2-14  5W1H 情景感知的安全组上下文定义

 

 

2-15  策略自动化过程

 

 

 

 

1.5 方案亮点

1.5.1 基于VxLAN的SDN多业务融合网络

华为 SD-Campus 解决方案具有如下优势:

  1. 自动化

华为 SD-Campus 方案中,overlay 网络的配置通过 AC-Campus 控制器集中配置,自动化下发,极大的减少额配置工作量及配置出错的概率,将大中型园区网络开局周期单位从”周”提升至”天”。

  1. 设备利旧,保护客户投资

现网客户网络存在大量接入层设备,华为 SD-Campus 方案 VXLAN 起在汇聚层, 对于接入交换机及 AP 可利旧,减少客户向 SD-Campus 迁移的投资。

  1. 转发面同步安全组,性能高

传统园区的策略随行方案中,有多个策略执行点的情况下,安全组信息无法在设备间同步。跨策略执行点的流量需要到防火墙上执行策略,防火墙跟 IAE 之间进行安全组的信息同步,性能差。

在 SD-Campus 方案中,源安全组在 VXLAN 报文中携带,到目的策略执行点查目的安全组,都是在转发面实现,没有控制面的同步过程,性能高。

  1. 分布式网关,漫游流量无迂回

传统园区跨 AC 漫游时,网关网段不一致,只能三层漫游,流量需要通过 CAPWAP

绕回原 AC 转发,转发路径长,故障点多,性能差。

SD-Campus 方案中,随板 AC 作为分布式网关,用户从任意 AC 接入,其网关地址都不变。AC 间漫游为二层漫游,流量无迂回,转发路径短,故障点少,性能高。

 

1.5.2 业务随行

  1. 以用户、业务和体验为中心的策略管理

通过在Agile Controller上基于用户组、应用识别来定义相应权限策略、访问控制策略、业务流策略以及体验相关的用户/业务优先级、带宽、VPN资源策略等等。不仅实现用户组间以及用户组到资源组之间的权限控制,实现灵活并精细化进行用户权限控制的同时,减少设备资源ACL消耗。同时,基于设备的应用识别,可以实现针对特定用户、特定业务的带宽、优先级保障,解决了传统园区用户移动办公IP地址变化体验无法保障的问题。

  1. 全网统一的用户体验保障

无论用户在分支、园区总部、出差远程接入,无论用户访问企业内网资源、互联网资源,在VPN接入网关、互联网出口防火墙、分支出口设备等影响体验的关键执行点上,都有相应的带宽和QoS策略,保障用户一致的业务体验。对于VIP用户的某些特定业务流量,可以进行优先调度,并给予充分的带宽保证。例如:提供VPN网关自动优选、VIP用户优先接入。当用户在远程VPN接入,VPN客户端会自动选择时延最短的最优网关作为接入网关。而当某网关的可用资源已经被在线用户耗尽无法接入新用户时,网关可以自动强制部分普通用户下线,为VIP释放系统资源,保证VIP用户的优先接入和高优先级业务的体验。

1.5.3 质量感知iPCA

  1. 设备级监控可以7*24开启监测,随时查看设备质量。
  2. 使用网络级监控可以对第三方或者非敏捷设备,以及非管辖区域的网络质量进行监测。通过监测敏捷设备的端口,可获知非敏捷设备区域的丢包情况。
  3. 使用路径逐段检测提供业务流全路径的分段监测结果,快速定位故障方向、故障链路、故障设备。
  4. 网络级监控支持同一个业务流多点对多点的测量。
  5. 通过eSight网管拓扑批量使能,无需下发复杂配置。
  6. 由eSight网管提供监测结果可视化图表界面,方便管理员对设备运维

1.5.4 零配置部署

  1. 可视化

对于网管人员提供全图形的操作界面,从网络规划、配置生成、拓扑纠错、部署过程展示实现端到端的可视化操作。

  1. 安全性

实现了端到端全部署流程的安全性,包括:使用白名单功能,过滤非法设备;网管本地保存了所有待部署设备的配置,这些配置由网管实现了自动加密压缩保存,避免意外泄露;在待部署配置文件传递到待部署设备的过程中,通过使用SFTP加密传输通道保证了安全性。

  1. 配置文件易生成

通过在网管上选择功能参数最终形成接入层交换机的配置模板,将配置差异设置为变量,并针对不同的接入层交换机分别进行赋值,即可最终批量生成每个接入层交换机单独的配置文件。

  1. 缩短部署时间

利用零配置部署方案,可以从端到端流程上缩短部署时间,从原来数天才能完成的人工部署,数小时就可以实现。

  1. 部署规模大

传统的交换机部署方案中,部署的规模都受限于管理设备的性能,通常规模几十到上百台。通过网管的介入,可以同时建立多个部署任务,同时部署规模轻松上千。

  1. 统一集中管理

部署管理服务建立在网管上,提供统一的部署策略和操作界面,并和部署后的设备管理流程有机结合,实现了网管从规划到部署,设备运行管理,批量版本升级,故障设备替换等全生命周期管理。

1.6 设备清单

本次**通信园区SDN网络改造项目--敏捷园区网络的清单如下:

序号

配置名称

数量

1

科学城园区网络设备

 

 1.1

S12708 核心交换机

2

 1.2

S7706 A栋汇聚交换机

2

  1.3

S7706 E栋汇聚交换机

2

  1.4

S5732-H24S6Q B栋汇聚交换机

2

 1.5

S5720-52P-LI-AC 接入交换机

148

  1.6

接入层光模块+堆叠线缆

810

 1.7

eSight Network 网管系统

1

 1.8

Agile Controller-Campus 园区网SDN控制器服务器

3

1.9

Agile Controller-Campus HW V100R003

1

2

科学城数据中心网络设备

 

 2.1

S6730-H48X6C数据中心万兆接入交换机

2

2.2

S5731-S48T4X 数据中心千兆接入交换机

6

3

科学城安全设备

 

 3.1

USG6580E 业务防火墙

2

3.2

终端准入系统iVanti3年维保)

2000

4

原厂规划服务

 

4.1

SDN网络规划设计与实施服务

1

4.2

数通工程技术应用支持_原厂支持服务

1

总计
相关新闻
近年来,人工智能技术开始在安防市场进行大规模的应用,大力推动了传统安防行业的革新和进化,
2021-04-06
2021年被称为元宇宙元年,“元宇宙”概念的出现让人们看到了“下一代互联网”的曙光,伴随着国内智慧城市建设步伐的加快,从...
2021-11-17
“十三五”以来,人工智能赋能安防使安防行业进入了一个全新赛道,安防系统开始从传统的被动防御、事后追溯向主动干预和实时报警...
2021-11-01
产品中心
关于我们
合作案例
联系我们 售后服务
400-1132-500
周一至周五 09:00-18:00
在线咨询
Copyright © 2022, 深圳市慧智达信息技术有限公司. All Rights Reserved. 粤ICP备2022017004号