亚洲bbw老妇另类_无码高清视频在线观看_丝袜长腿aⅴ在线播放_亚洲国产成人午夜精华液_又爽又黄好刺激的视频_欧美人与物videos另_国产精品无码刺激性_精品国产一区二区不卡毛

400-1132-500
首頁
產品中心
關于我們
合作案例
售后服務
當前位置: 首頁 > 企業動態 > 客戶案列
企業園區網絡硬件案列
發布時間:2022-03-25

智能園區網絡建設方案案例

 

1.1 背景描述

1.1.1 園區網絡現狀

**通訊成立于1997年,是全球領先的通訊與信息解決方案及服務提供商,當前廣州科學城總部研發基地由于園區網絡設備老舊需進行替換和改造,既有的老舊園區網絡采用傳統的組網方式,存在多個業務系統,沒有按照信息安全規定要求進行系統間路由隔離,部門調動時,網絡無及時進行匹配,耗時長,響應速度慢,對于網絡中用戶權限控制,一般采用用戶認證加授權 VLAN ACL 的方式實現用戶訪問資源或用戶間的隔離,存在一定風險,此外網絡的業務部署,一般都是采用手工配置命令行,或通過 SNMP 來配置。都是基于設備語言,效率低,業務上線速度慢,同時現網所運行的設備即將或者已經達到廠家建議使用年限,基于以上,**通訊對廣州總部的園區網絡進行數字化改造。

**通訊廣州科學城總部研發基地

1.1.2 園區網絡面臨的問題

        1. 一網無法多用

企業各業務系統的終端實際部署位置在一起,這就很難再用傳統的獨立建網方式實現網絡隔離,要求能做到物理網絡共享,邏輯上隔離,降低成本。

        1. 隔離效果差

不同權限的用戶有混坐的情況,如研發人員、外包人員等,且人員位置經常變動, 不同權限的用戶間也有權限控制的需求,而傳統的 VLAN ACL 的隔離方式管理工作量巨大,策略數量也是大部分網絡設備所無法承受的。

        1. 業務部署慢

園區部署新業務,按照傳統的業務開通方法,需要在大量設備上配置大量命令,耗時耗力。

 

 

1.2 解決思路

華為的解決思路是:

      1. 業務跟網絡解耦

 

在物理網絡underlay)之上,創建邏輯上的疊加網絡overlay,以此實現業務跟網絡的解耦,從而實現在不改變基礎網絡的情況下,實現一網多用和業務的靈活部署。

 

      1. 用戶身份跟網絡 IP/VLAN 解耦

基于用戶身份的訪問控制,包括權限控制和優先級等。用戶身份由用戶接入網絡時下發,跟 IP/VLAN 無綁定關系,實現業務隨行。

      1. 控制器自動化配置

網絡中部署集中的控制器,基于上面兩個解耦技術,將園區網絡按照用戶管理視角抽象,只需關注人、人的身份、虛擬網絡,圖形化的配置虛擬網絡的業務和業務隨行策略,實現業務的快速部署。

1.3 總體網絡架構

1.3.1 總體網絡設計原則

園區網通常是一種用戶高密度的非運營網絡,在有限的空間內聚集了大量的終端和用戶。同時對于園區網而言,注重的是網絡的簡單可靠、易部署、易維護。因此在園區網中,拓撲結構通常以星型結構為主,較少使用環網結構(環網結構較多的運用在運營商的城域網絡和骨干網絡中,可以節約光纖資源)。

基于星型結構的園區網設計,通常遵循如下原則:

  1. 層次化

將園區網絡劃分為核心層、匯聚層、接入層。每層功能清晰,架構穩定,易于擴展和維護。

  1. 模塊化

將園區網絡中的每個部門或者每個功能區劃分為一個模塊,模塊內部的調整涉及范圍小,易于進行問題定位。

  1. 冗余性

關鍵設備采用雙節點冗余設計;關鍵鏈路采用Trunk方式冗余備份或者負載分擔;關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網絡的可靠性。

  1. 安全隔離

園區網絡應具備有效的安全控制。按業務、按權限進行分區邏輯隔離,對特別重要的業務采取物理隔離。

  1. 可管理性和可維護性

網絡應當具有良好的可管理性。為了便于維護,應盡可能選取集成度高、模塊可通用的產品。

 

1.3.2 園區網總體邏輯架構

華為SD-Campus園區網絡的邏輯架構如下所示


      1. AC-Campus

云管理控制器,負責 overlay 網絡的業務管理和自動化部署。

      1. IAE

負責認證用戶管理、業務隨行策略配置和自動化下發。

      1. eSight

負責園區及分支設備零配置開局、無線定位、設備 underlay 配置、設備監控等。

      1. Route Node

路由出口節點,園區需要到數據中心或者 Internet 時通過此節點轉發;如果路由出口節點是防火墻時,FW Node 可以復用此節點。

      1. FW Node

安全節點,需要做 L4-L7 高級安全策略(如 IPSAV 等)時需要部署該節點。

      1. Border Node

L3 網關設備,用于 Fabric 網絡和第三方網絡間三層轉發,用戶跟第三方網絡流量從這里出入 VXLAN 隧道。

      1. Edge Node

用戶的 VXLAN 網關,可能是 L2 網關也有可能是 L3 網關,接入用戶的流量從這里進入 VXLAN 網絡。Edge 節點同時也作為無線控制器,無線流量經由 CAPWAP 隧道到達 Edge 節點,Edge 節點剝 CAPWAP 隧道后進入 VXLAN 網絡。

      1. Transparency Node

Fabric 網絡的透傳節點,不感知 Fabric。透傳節點不需要支持 VXLAN,可以是傳統三層交換機。

      1. Access Node(Wired)

有線接入節點,用戶從這里接入有線網絡并最終接入 Fabric 網絡,可以和 Edge Node

合一。

      1. Access Node(Wireless)

無線接入節點,用戶從這里接入無線網絡,并最終接入 Fabric 網絡。無線接入節點不需要支持 VXLAN,傳統的無線接入節點AP)都可以。

 

1.3.3 園區網總體物理架構

對應邏輯架構,園區網絡的物理架構如圖2-2所示。

園區網絡的物理架構 

  1. 核心層

在核心層部署兩臺核心交換機S12708,集群方式部署提高可靠性,同時S12708作為VxLAN網絡分布式三層網關。核心層與匯聚層10G互聯。

核心交換機旁掛兩臺防火墻,實現園區內部業務訪問隔離、安全管控等功能。

  1. 匯聚層

改造后的園區最終有3個匯聚節點,分別位于A、B、E三棟樓;每個匯聚點部署兩臺匯聚交換機S7706,通過集群方式提高可靠性,同時S7706作為VxLAN網絡分布式二層網關。匯聚層與接入層千兆互聯。

  1. 接入層

部署接入交換機,滿足園區內有線終端接入需求。建議每4臺接入組成一個堆疊組,提高可靠性的同時節省了光纖資源。

  1. 數據中心區

部署2臺數據中心萬兆接入交換機CE6856HI和6臺數據中心千兆接入交換機CE5855EI,實現服務器的萬兆及千兆接入需求。同時數據中心接入交換機支持SDN功能演進。

  1. 網絡管理區

在網管區部署esight網管系統,實現全網設備可視化管理;

部署園區SDN控制器Agile Controller-Campus,實現基于園區Vxlan架構下的業務隨行、業務快速部署等SDN特性;

 

該組網結構具有如下特點:

  1. 以核心節點為“根”的星型分層拓撲,架構穩定,易于擴展和維護。
  2. 各部門和功能分區模塊清晰,模塊內部調整涉及范圍小,易于進行問題定位。
  3. 雙節點冗余設計,關鍵鏈路均采用Trunk鏈路,保證網絡的可靠性。
  4. 支持各種業務終端接入,一張IP網絡承載所有業務。
  5. 支持分支接入、員工遠程接入、合作伙伴接入、外部用戶訪問等各種外聯場景。

1.4 SD-Campus 網絡原理

1.4.1 Underlay 網絡原理

Underlay 網絡,access 節點為二層設備,對流量做二層轉發。Access 節點可以為堆疊, 或者環網。但是 Access 到 Edge 必須是樹形組網,因一個 Access 節點只能到一個 Edge 做認證。

Underlay 其他節點都是三層設備,對流量做三層轉發,Underlay 的路由可以部署

OSPF/ISIS/BGP 等。

Edge 設備跟 Border 設備間可以用 ECMP 冗余組網,提高三層網絡可靠性及增加通道帶寬。

1.4.2 Overlay 網絡原理--數據平面

 

 

1.4.2.1 VXLAN 三層網關部署

VXLAN 三層網關按部署方式的不同,可以分為集中式網關和分布式網關。

 

2-7  VXLAN 集中式三層網關

集中式網關場景下,所有跨子網的流量都要到三層網關上轉發,轉發路徑不是最優,網關流量處理壓力大。、

 

2-8  VXLAN 分布式三層

分布式網關場景下,同一個 edge 節點既做二層網關,也做三層網關。同一個 Edge 節點上不同子網流量通信直接在 Edge 上轉發,轉發路徑優。

分布式網關場景下,各 Edge 節點可以提供相同的網關 MAC 地址和 IP 地址,用戶位置移動后,網關 IP 和 MAC 不變,用戶不感知實際接入網關的位置變化。

 

 

1.4.3 SD-Campus 自動化原理

1.4.3.1 Underlay 自動化

Underlay 自動化通過 eSight 部署零配置開局實現。

 

1.4.3.2 Overlay 自動化

AC-Campus 作為 overlay 自動化功能的核心,實現將用戶業務語言到網絡具體配置的自動翻譯與下發。

 

2-13  Overlay 自動化

 

  1. 首先,需要在控制器上創建站點并加入設備,為后續業務編排做準備。
  2. 預留全局資源,包括 VLAN 和子網,后續 VN 網絡所用的 VLAN 和子網從配置的全局資源中分配。
  3. Fabric 網絡的管理。
    • 首先,創建 Fabric,通常一個站點創建一個 FabricFabric 中加入設備并標識角色Border/edge/access,如果是 border edge,需要指定環回口地址,用于

VTEP 地址。

    • 其次,配置策略聯動,指定對應的控制設備和接入設備及通信所用 IP 地址。
    • 再次,指定 Fabric 跟外部網關的連接,用于虛擬網絡跟外部的通信。

 

 

    • 最后,指定 DHCP server 地址,在 edge 上做 DHCP relay
  2. VN 網絡的管理。
    • 首先創建 VN 網絡。
    • 接著配置 VN 所關聯的子網。
    • 最后指定哪些端口可以接入該 VN 網絡及這些端口認證的方式。

 

 

 

1.4.3.3 策略自動化

策略自動化的核心是 IAEIAE 完成安全組定義,安全組策略的定義與下發,用戶認證后安全組授權。

 

2-14  5W1H 情景感知的安全組上下文定義

 

 

2-15  策略自動化過程

 

 

 

 

1.5 方案亮點

1.5.1 基于VxLAN的SDN多業務融合網絡

華為 SD-Campus 解決方案具有如下優勢:

  1. 自動化

華為 SD-Campus 方案中,overlay 網絡的配置通過 AC-Campus 控制器集中配置,自動化下發,極大的減少額配置工作量及配置出錯的概率,將大中型園區網絡開局周期單位從”周”提升至”天”。

  1. 設備利舊,保護客戶投資

現網客戶網絡存在大量接入層設備,華為 SD-Campus 方案 VXLAN 起在匯聚層, 對于接入交換機及 AP 可利舊,減少客戶向 SD-Campus 遷移的投資。

  1. 轉發面同步安全組,性能高

傳統園區的策略隨行方案中,有多個策略執行點的情況下,安全組信息無法在設備間同步。跨策略執行點的流量需要到防火墻上執行策略,防火墻跟 IAE 之間進行安全組的信息同步,性能差。

在 SD-Campus 方案中,源安全組在 VXLAN 報文中攜帶,到目的策略執行點查目的安全組,都是在轉發面實現,沒有控制面的同步過程,性能高。

  1. 分布式網關,漫游流量無迂回

傳統園區跨 AC 漫游時,網關網段不一致,只能三層漫游,流量需要通過 CAPWAP

繞回原 AC 轉發,轉發路徑長,故障點多,性能差。

SD-Campus 方案中,隨板 AC 作為分布式網關,用戶從任意 AC 接入,其網關地址都不變。AC 間漫游為二層漫游,流量無迂回,轉發路徑短,故障點少,性能高。

 

1.5.2 業務隨行

  1. 以用戶、業務和體驗為中心的策略管理

通過在Agile Controller上基于用戶組、應用識別來定義相應權限策略、訪問控制策略、業務流策略以及體驗相關的用戶/業務優先級、帶寬、VPN資源策略等等。不僅實現用戶組間以及用戶組到資源組之間的權限控制,實現靈活并精細化進行用戶權限控制的同時,減少設備資源ACL消耗。同時,基于設備的應用識別,可以實現針對特定用戶、特定業務的帶寬、優先級保障,解決了傳統園區用戶移動辦公IP地址變化體驗無法保障的問題。

  1. 全網統一的用戶體驗保障

無論用戶在分支、園區總部、出差遠程接入,無論用戶訪問企業內網資源、互聯網資源,在VPN接入網關、互聯網出口防火墻、分支出口設備等影響體驗的關鍵執行點上,都有相應的帶寬和QoS策略,保障用戶一致的業務體驗。對于VIP用戶的某些特定業務流量,可以進行優先調度,并給予充分的帶寬保證。例如:提供VPN網關自動優選、VIP用戶優先接入。當用戶在遠程VPN接入,VPN客戶端會自動選擇時延最短的最優網關作為接入網關。而當某網關的可用資源已經被在線用戶耗盡無法接入新用戶時,網關可以自動強制部分普通用戶下線,為VIP釋放系統資源,保證VIP用戶的優先接入和高優先級業務的體驗。

1.5.3 質量感知iPCA

  1. 設備級監控可以7*24開啟監測,隨時查看設備質量。
  2. 使用網絡級監控可以對第三方或者非敏捷設備,以及非管轄區域的網絡質量進行監測。通過監測敏捷設備的端口,可獲知非敏捷設備區域的丟包情況。
  3. 使用路徑逐段檢測提供業務流全路徑的分段監測結果,快速定位故障方向、故障鏈路、故障設備。
  4. 網絡級監控支持同一個業務流多點對多點的測量。
  5. 通過eSight網管拓撲批量使能,無需下發復雜配置。
  6. 由eSight網管提供監測結果可視化圖表界面,方便管理員對設備運維

1.5.4 零配置部署

  1. 可視化

對于網管人員提供全圖形的操作界面,從網絡規劃、配置生成、拓撲糾錯、部署過程展示實現端到端的可視化操作。

  1. 安全性

實現了端到端全部署流程的安全性,包括:使用白名單功能,過濾非法設備;網管本地保存了所有待部署設備的配置,這些配置由網管實現了自動加密壓縮保存,避免意外泄露;在待部署配置文件傳遞到待部署設備的過程中,通過使用SFTP加密傳輸通道保證了安全性。

  1. 配置文件易生成

通過在網管上選擇功能參數最終形成接入層交換機的配置模板,將配置差異設置為變量,并針對不同的接入層交換機分別進行賦值,即可最終批量生成每個接入層交換機單獨的配置文件。

  1. 縮短部署時間

利用零配置部署方案,可以從端到端流程上縮短部署時間,從原來數天才能完成的人工部署,數小時就可以實現。

  1. 部署規模大

傳統的交換機部署方案中,部署的規模都受限于管理設備的性能,通常規模幾十到上百臺。通過網管的介入,可以同時建立多個部署任務,同時部署規模輕松上千。

  1. 統一集中管理

部署管理服務建立在網管上,提供統一的部署策略和操作界面,并和部署后的設備管理流程有機結合,實現了網管從規劃到部署,設備運行管理,批量版本升級,故障設備替換等全生命周期管理。

1.6 設備清單

本次**通信園區SDN網絡改造項目--敏捷園區網絡的清單如下:

序號

配置名稱

數量

1

科學城園區網絡設備

 

 1.1

S12708 核心交換機

2

 1.2

S7706 A棟匯聚交換機

2

  1.3

S7706 E棟匯聚交換機

2

  1.4

S5732-H24S6Q B棟匯聚交換機

2

 1.5

S5720-52P-LI-AC 接入交換機

148

  1.6

接入層光模塊+堆疊線纜

810

 1.7

eSight Network 網管系統

1

 1.8

Agile Controller-Campus 園區網SDN控制器服務器

3

1.9

Agile Controller-Campus HW V100R003

1

2

科學城數據中心網絡設備

 

 2.1

S6730-H48X6C數據中心萬兆接入交換機

2

2.2

S5731-S48T4X 數據中心千兆接入交換機

6

3

科學城安全設備

 

 3.1

USG6580E 業務防火墻

2

3.2

終端準入系統iVanti3年維保)

2000

4

原廠規劃服務

 

4.1

SDN網絡規劃設計與實施服務

1

4.2

數通工程技術應用支持_原廠支持服務

1

總計

智能園區網絡建設方案案例

 

1.1 背景描述

1.1.1 園區網絡現狀

**通訊成立于1997年,是全球領先的通訊與信息解決方案及服務提供商,當前廣州科學城總部研發基地由于園區網絡設備老舊需進行替換和改造,既有的老舊園區網絡采用傳統的組網方式,存在多個業務系統,沒有按照信息安全規定要求進行系統間路由隔離,部門調動時,網絡無及時進行匹配,耗時長,響應速度慢,對于網絡中用戶權限控制,一般采用用戶認證加授權 VLAN ACL 的方式實現用戶訪問資源或用戶間的隔離,存在一定風險,此外網絡的業務部署,一般都是采用手工配置命令行,或通過 SNMP 來配置。都是基于設備語言,效率低,業務上線速度慢,同時現網所運行的設備即將或者已經達到廠家建議使用年限,基于以上,**通訊對廣州總部的園區網絡進行數字化改造。

**通訊廣州科學城總部研發基地

1.1.2 園區網絡面臨的問題

        1. 一網無法多用

企業各業務系統的終端實際部署位置在一起,這就很難再用傳統的獨立建網方式實現網絡隔離,要求能做到物理網絡共享,邏輯上隔離,降低成本。

        1. 隔離效果差

不同權限的用戶有混坐的情況,如研發人員、外包人員等,且人員位置經常變動, 不同權限的用戶間也有權限控制的需求,而傳統的 VLAN ACL 的隔離方式管理工作量巨大,策略數量也是大部分網絡設備所無法承受的。

        1. 業務部署慢

園區部署新業務,按照傳統的業務開通方法,需要在大量設備上配置大量命令,耗時耗力。

 

 

1.2 解決思路

華為的解決思路是:

      1. 業務跟網絡解耦

 

在物理網絡underlay)之上,創建邏輯上的疊加網絡overlay,以此實現業務跟網絡的解耦,從而實現在不改變基礎網絡的情況下,實現一網多用和業務的靈活部署。

 

      1. 用戶身份跟網絡 IP/VLAN 解耦

基于用戶身份的訪問控制,包括權限控制和優先級等。用戶身份由用戶接入網絡時下發,跟 IP/VLAN 無綁定關系,實現業務隨行。

      1. 控制器自動化配置

網絡中部署集中的控制器,基于上面兩個解耦技術,將園區網絡按照用戶管理視角抽象,只需關注人、人的身份、虛擬網絡,圖形化的配置虛擬網絡的業務和業務隨行策略,實現業務的快速部署。

1.3 總體網絡架構

1.3.1 總體網絡設計原則

園區網通常是一種用戶高密度的非運營網絡,在有限的空間內聚集了大量的終端和用戶。同時對于園區網而言,注重的是網絡的簡單可靠、易部署、易維護。因此在園區網中,拓撲結構通常以星型結構為主,較少使用環網結構(環網結構較多的運用在運營商的城域網絡和骨干網絡中,可以節約光纖資源)。

基于星型結構的園區網設計,通常遵循如下原則:

  1. 層次化

將園區網絡劃分為核心層、匯聚層、接入層。每層功能清晰,架構穩定,易于擴展和維護。

  1. 模塊化

將園區網絡中的每個部門或者每個功能區劃分為一個模塊,模塊內部的調整涉及范圍小,易于進行問題定位。

  1. 冗余性

關鍵設備采用雙節點冗余設計;關鍵鏈路采用Trunk方式冗余備份或者負載分擔;關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網絡的可靠性。

  1. 安全隔離

園區網絡應具備有效的安全控制。按業務、按權限進行分區邏輯隔離,對特別重要的業務采取物理隔離。

  1. 可管理性和可維護性

網絡應當具有良好的可管理性。為了便于維護,應盡可能選取集成度高、模塊可通用的產品。

 

1.3.2 園區網總體邏輯架構

華為SD-Campus園區網絡的邏輯架構如下所示


      1. AC-Campus

云管理控制器,負責 overlay 網絡的業務管理和自動化部署。

      1. IAE

負責認證用戶管理、業務隨行策略配置和自動化下發。

      1. eSight

負責園區及分支設備零配置開局、無線定位、設備 underlay 配置、設備監控等。

      1. Route Node

路由出口節點,園區需要到數據中心或者 Internet 時通過此節點轉發;如果路由出口節點是防火墻時,FW Node 可以復用此節點。

      1. FW Node

安全節點,需要做 L4-L7 高級安全策略(如 IPSAV 等)時需要部署該節點。

      1. Border Node

L3 網關設備,用于 Fabric 網絡和第三方網絡間三層轉發,用戶跟第三方網絡流量從這里出入 VXLAN 隧道。

      1. Edge Node

用戶的 VXLAN 網關,可能是 L2 網關也有可能是 L3 網關,接入用戶的流量從這里進入 VXLAN 網絡。Edge 節點同時也作為無線控制器,無線流量經由 CAPWAP 隧道到達 Edge 節點,Edge 節點剝 CAPWAP 隧道后進入 VXLAN 網絡。

      1. Transparency Node

Fabric 網絡的透傳節點,不感知 Fabric。透傳節點不需要支持 VXLAN,可以是傳統三層交換機。

      1. Access Node(Wired)

有線接入節點,用戶從這里接入有線網絡并最終接入 Fabric 網絡,可以和 Edge Node

合一。

      1. Access Node(Wireless)

無線接入節點,用戶從這里接入無線網絡,并最終接入 Fabric 網絡。無線接入節點不需要支持 VXLAN,傳統的無線接入節點AP)都可以。

 

1.3.3 園區網總體物理架構

對應邏輯架構,園區網絡的物理架構如圖2-2所示。

園區網絡的物理架構 

  1. 核心層

在核心層部署兩臺核心交換機S12708,集群方式部署提高可靠性,同時S12708作為VxLAN網絡分布式三層網關。核心層與匯聚層10G互聯。

核心交換機旁掛兩臺防火墻,實現園區內部業務訪問隔離、安全管控等功能。

  1. 匯聚層

改造后的園區最終有3個匯聚節點,分別位于A、B、E三棟樓;每個匯聚點部署兩臺匯聚交換機S7706,通過集群方式提高可靠性,同時S7706作為VxLAN網絡分布式二層網關。匯聚層與接入層千兆互聯。

  1. 接入層

部署接入交換機,滿足園區內有線終端接入需求。建議每4臺接入組成一個堆疊組,提高可靠性的同時節省了光纖資源。

  1. 數據中心區

部署2臺數據中心萬兆接入交換機CE6856HI和6臺數據中心千兆接入交換機CE5855EI,實現服務器的萬兆及千兆接入需求。同時數據中心接入交換機支持SDN功能演進。

  1. 網絡管理區

在網管區部署esight網管系統,實現全網設備可視化管理;

部署園區SDN控制器Agile Controller-Campus,實現基于園區Vxlan架構下的業務隨行、業務快速部署等SDN特性;

 

該組網結構具有如下特點:

  1. 以核心節點為“根”的星型分層拓撲,架構穩定,易于擴展和維護。
  2. 各部門和功能分區模塊清晰,模塊內部調整涉及范圍小,易于進行問題定位。
  3. 雙節點冗余設計,關鍵鏈路均采用Trunk鏈路,保證網絡的可靠性。
  4. 支持各種業務終端接入,一張IP網絡承載所有業務。
  5. 支持分支接入、員工遠程接入、合作伙伴接入、外部用戶訪問等各種外聯場景。

1.4 SD-Campus 網絡原理

1.4.1 Underlay 網絡原理

Underlay 網絡,access 節點為二層設備,對流量做二層轉發。Access 節點可以為堆疊, 或者環網。但是 Access 到 Edge 必須是樹形組網,因一個 Access 節點只能到一個 Edge 做認證。

Underlay 其他節點都是三層設備,對流量做三層轉發,Underlay 的路由可以部署

OSPF/ISIS/BGP 等。

Edge 設備跟 Border 設備間可以用 ECMP 冗余組網,提高三層網絡可靠性及增加通道帶寬。

1.4.2 Overlay 網絡原理--數據平面

 

 

1.4.2.1 VXLAN 三層網關部署

VXLAN 三層網關按部署方式的不同,可以分為集中式網關和分布式網關。

 

2-7  VXLAN 集中式三層網關

集中式網關場景下,所有跨子網的流量都要到三層網關上轉發,轉發路徑不是最優,網關流量處理壓力大。、

 

2-8  VXLAN 分布式三層

分布式網關場景下,同一個 edge 節點既做二層網關,也做三層網關。同一個 Edge 節點上不同子網流量通信直接在 Edge 上轉發,轉發路徑優。

分布式網關場景下,各 Edge 節點可以提供相同的網關 MAC 地址和 IP 地址,用戶位置移動后,網關 IP 和 MAC 不變,用戶不感知實際接入網關的位置變化。

 

 

1.4.3 SD-Campus 自動化原理

1.4.3.1 Underlay 自動化

Underlay 自動化通過 eSight 部署零配置開局實現。

 

1.4.3.2 Overlay 自動化

AC-Campus 作為 overlay 自動化功能的核心,實現將用戶業務語言到網絡具體配置的自動翻譯與下發。

 

2-13  Overlay 自動化

 

  1. 首先,需要在控制器上創建站點并加入設備,為后續業務編排做準備。
  2. 預留全局資源,包括 VLAN 和子網,后續 VN 網絡所用的 VLAN 和子網從配置的全局資源中分配。
  3. Fabric 網絡的管理。
    • 首先,創建 Fabric,通常一個站點創建一個 FabricFabric 中加入設備并標識角色Border/edge/access,如果是 border edge,需要指定環回口地址,用于

VTEP 地址。

    • 其次,配置策略聯動,指定對應的控制設備和接入設備及通信所用 IP 地址。
    • 再次,指定 Fabric 跟外部網關的連接,用于虛擬網絡跟外部的通信。

 

 

    • 最后,指定 DHCP server 地址,在 edge 上做 DHCP relay
  2. VN 網絡的管理。
    • 首先創建 VN 網絡。
    • 接著配置 VN 所關聯的子網。
    • 最后指定哪些端口可以接入該 VN 網絡及這些端口認證的方式。

 

 

 

1.4.3.3 策略自動化

策略自動化的核心是 IAEIAE 完成安全組定義,安全組策略的定義與下發,用戶認證后安全組授權。

 

2-14  5W1H 情景感知的安全組上下文定義

 

 

2-15  策略自動化過程

 

 

 

 

1.5 方案亮點

1.5.1 基于VxLAN的SDN多業務融合網絡

華為 SD-Campus 解決方案具有如下優勢:

  1. 自動化

華為 SD-Campus 方案中,overlay 網絡的配置通過 AC-Campus 控制器集中配置,自動化下發,極大的減少額配置工作量及配置出錯的概率,將大中型園區網絡開局周期單位從”周”提升至”天”。

  1. 設備利舊,保護客戶投資

現網客戶網絡存在大量接入層設備,華為 SD-Campus 方案 VXLAN 起在匯聚層, 對于接入交換機及 AP 可利舊,減少客戶向 SD-Campus 遷移的投資。

  1. 轉發面同步安全組,性能高

傳統園區的策略隨行方案中,有多個策略執行點的情況下,安全組信息無法在設備間同步。跨策略執行點的流量需要到防火墻上執行策略,防火墻跟 IAE 之間進行安全組的信息同步,性能差。

在 SD-Campus 方案中,源安全組在 VXLAN 報文中攜帶,到目的策略執行點查目的安全組,都是在轉發面實現,沒有控制面的同步過程,性能高。

  1. 分布式網關,漫游流量無迂回

傳統園區跨 AC 漫游時,網關網段不一致,只能三層漫游,流量需要通過 CAPWAP

繞回原 AC 轉發,轉發路徑長,故障點多,性能差。

SD-Campus 方案中,隨板 AC 作為分布式網關,用戶從任意 AC 接入,其網關地址都不變。AC 間漫游為二層漫游,流量無迂回,轉發路徑短,故障點少,性能高。

 

1.5.2 業務隨行

  1. 以用戶、業務和體驗為中心的策略管理

通過在Agile Controller上基于用戶組、應用識別來定義相應權限策略、訪問控制策略、業務流策略以及體驗相關的用戶/業務優先級、帶寬、VPN資源策略等等。不僅實現用戶組間以及用戶組到資源組之間的權限控制,實現靈活并精細化進行用戶權限控制的同時,減少設備資源ACL消耗。同時,基于設備的應用識別,可以實現針對特定用戶、特定業務的帶寬、優先級保障,解決了傳統園區用戶移動辦公IP地址變化體驗無法保障的問題。

  1. 全網統一的用戶體驗保障

無論用戶在分支、園區總部、出差遠程接入,無論用戶訪問企業內網資源、互聯網資源,在VPN接入網關、互聯網出口防火墻、分支出口設備等影響體驗的關鍵執行點上,都有相應的帶寬和QoS策略,保障用戶一致的業務體驗。對于VIP用戶的某些特定業務流量,可以進行優先調度,并給予充分的帶寬保證。例如:提供VPN網關自動優選、VIP用戶優先接入。當用戶在遠程VPN接入,VPN客戶端會自動選擇時延最短的最優網關作為接入網關。而當某網關的可用資源已經被在線用戶耗盡無法接入新用戶時,網關可以自動強制部分普通用戶下線,為VIP釋放系統資源,保證VIP用戶的優先接入和高優先級業務的體驗。

1.5.3 質量感知iPCA

  1. 設備級監控可以7*24開啟監測,隨時查看設備質量。
  2. 使用網絡級監控可以對第三方或者非敏捷設備,以及非管轄區域的網絡質量進行監測。通過監測敏捷設備的端口,可獲知非敏捷設備區域的丟包情況。
  3. 使用路徑逐段檢測提供業務流全路徑的分段監測結果,快速定位故障方向、故障鏈路、故障設備。
  4. 網絡級監控支持同一個業務流多點對多點的測量。
  5. 通過eSight網管拓撲批量使能,無需下發復雜配置。
  6. 由eSight網管提供監測結果可視化圖表界面,方便管理員對設備運維

1.5.4 零配置部署

  1. 可視化

對于網管人員提供全圖形的操作界面,從網絡規劃、配置生成、拓撲糾錯、部署過程展示實現端到端的可視化操作。

  1. 安全性

實現了端到端全部署流程的安全性,包括:使用白名單功能,過濾非法設備;網管本地保存了所有待部署設備的配置,這些配置由網管實現了自動加密壓縮保存,避免意外泄露;在待部署配置文件傳遞到待部署設備的過程中,通過使用SFTP加密傳輸通道保證了安全性。

  1. 配置文件易生成

通過在網管上選擇功能參數最終形成接入層交換機的配置模板,將配置差異設置為變量,并針對不同的接入層交換機分別進行賦值,即可最終批量生成每個接入層交換機單獨的配置文件。

  1. 縮短部署時間

利用零配置部署方案,可以從端到端流程上縮短部署時間,從原來數天才能完成的人工部署,數小時就可以實現。

  1. 部署規模大

傳統的交換機部署方案中,部署的規模都受限于管理設備的性能,通常規模幾十到上百臺。通過網管的介入,可以同時建立多個部署任務,同時部署規模輕松上千。

  1. 統一集中管理

部署管理服務建立在網管上,提供統一的部署策略和操作界面,并和部署后的設備管理流程有機結合,實現了網管從規劃到部署,設備運行管理,批量版本升級,故障設備替換等全生命周期管理。

1.6 設備清單

本次**通信園區SDN網絡改造項目--敏捷園區網絡的清單如下:

序號

配置名稱

數量

1

科學城園區網絡設備

 

 1.1

S12708 核心交換機

2

 1.2

S7706 A棟匯聚交換機

2

  1.3

S7706 E棟匯聚交換機

2

  1.4

S5732-H24S6Q B棟匯聚交換機

2

 1.5

S5720-52P-LI-AC 接入交換機

148

  1.6

接入層光模塊+堆疊線纜

810

 1.7

eSight Network 網管系統

1

 1.8

Agile Controller-Campus 園區網SDN控制器服務器

3

1.9

Agile Controller-Campus HW V100R003

1

2

科學城數據中心網絡設備

 

 2.1

S6730-H48X6C數據中心萬兆接入交換機

2

2.2

S5731-S48T4X 數據中心千兆接入交換機

6

3

科學城安全設備

 

 3.1

USG6580E 業務防火墻

2

3.2

終端準入系統iVanti3年維保)

2000

4

原廠規劃服務

 

4.1

SDN網絡規劃設計與實施服務

1

4.2

數通工程技術應用支持_原廠支持服務

1

總計
相關新聞
近年來,人工智能技術開始在安防市場進行大規模的應用,大力推動了傳統安防行業的革新和進化,
2021-04-06
2021年被稱為元宇宙元年,“元宇宙”概念的出現讓人們看到了“下一代互聯網”的曙光,伴隨著國內智慧城市建設步伐的加快,從...
2021-11-17
“十三五”以來,人工智能賦能安防使安防行業進入了一個全新賽道,安防系統開始從傳統的被動防御、事后追溯向主動干預和實時報警...
2021-11-01
Copyright ? 2022, 深圳市慧智達信息技術有限公司. All Rights Reserved. 粵ICP備2022017004號