華為-教育城域網(wǎng)敏捷交換機解決方案V2.0

---華為敏捷教育城域網(wǎng)方案1發(fā)展趨勢和挑戰(zhàn)教育城域網(wǎng)小學中學教育廳/局教育城域網(wǎng)班級班級教授老師學生教育資源云平臺班班通人人通校校通教育資源公共服務平臺教育管理公共服務平臺教育城域網(wǎng)是“三通兩平臺”中的重要網(wǎng)絡設施教育城域網(wǎng)業(yè)務質(zhì)量無法保障誰占用了帶寬業(yè)務流量是否正常網(wǎng)絡故障發(fā)生在哪里教學視頻出現(xiàn)馬賽影響教學效果語音時斷時續(xù)無法在線交流網(wǎng)絡出現(xiàn)故障影響考生成績教育域域網(wǎng)教育廳/局教育資源云平臺視頻、語音對網(wǎng)絡質(zhì)量敏感網(wǎng)絡時延不超過400ms丟包率上限值為1×10-3包誤差率上限值為1×10-4教育城域網(wǎng)運維管理越來越力不從心中小學無線校園建設增加網(wǎng)絡運維負擔運維投入逐年增長，成本逐年遞增，管理越來越困難教育城域網(wǎng)設備數(shù)量高速增長，日益臃腫接入終端爆炸性增長，海量用戶接入，無形中增加管理難度教學應用從單一化的老師備課系統(tǒng)向多元化的云應用發(fā)展，教學內(nèi)容更加豐富，系統(tǒng)也越來越復雜家長老師學生老師老師學生教育城域網(wǎng)教育城域網(wǎng)教育城域網(wǎng)教育基礎網(wǎng)絡建設教育業(yè)務發(fā)展階段教育資源云時代下一代教育城域網(wǎng)需要做出改變極致體驗、精簡運維、開放融合的敏捷教育城域網(wǎng)移動性云計算大數(shù)據(jù)社交網(wǎng)絡物聯(lián)網(wǎng)關注設備聯(lián)通關注師生業(yè)務體驗粗放式業(yè)務分發(fā)精細化策略實施網(wǎng)絡實時感知質(zhì)量關注單點設備關注整網(wǎng)協(xié)同網(wǎng)絡邊界消失傳統(tǒng)硬件定義網(wǎng)絡硬件成本軟件定義可編程應用個性化擴展動態(tài)自動部署業(yè)務發(fā)放零等待設備從靜態(tài)配置2華為敏捷城域網(wǎng)解決方案高品質(zhì)融合城域網(wǎng)華為敏捷教育城域網(wǎng)架構數(shù)字圖書遠程教育虛擬實驗移動學習①SDN理念下校園業(yè)務全網(wǎng)協(xié)同控制，用戶和策略精準管理Internet教育管理平臺教育資源平臺城域骨干S12700城域匯聚S12700/S7700各個學校SVF學校內(nèi)部教室食堂樓道操場②CSS2集群，保障高可靠性SVF超級虛擬化,全網(wǎng)單節(jié)點管理,接入設備零配置有線無線深度融合，優(yōu)化網(wǎng)絡部署，保障策略一致，提高轉(zhuǎn)發(fā)效率S5700USG6000USG6000S7700S5700AP6XXX全網(wǎng)有線無線設備統(tǒng)一管理用戶接入集中認證城域骨干S12700城域匯聚S12700/S7700區(qū)教委信息中心Internet上級教委…隨板AC學校A學校X防火墻交換機S5700APxxxx交換機S5700APxxxx方案組成方案優(yōu)勢城域核心部署S12700敏捷交換機，CCS2方式部署每個學校出口可根據(jù)需要選擇設備，例如防火墻，交換機，AR等均可匯聚/核心的隨板AC集中管理各個學校的AP，并在匯聚/核心完成用戶接入認證認證點敏捷交換機隨板AC，實現(xiàn)有線無線用戶統(tǒng)一認證和管理，提升用戶使用體驗AgileController完成接入用戶的認證及策略下發(fā)，做到安全可控及策略跟隨防火墻/高效運維開放創(chuàng)新極致體驗城域骨干S12700城域匯聚S12700/S7700區(qū)教委信息中心Internet上級教委隨板ACSVN學校B學校N城域漫游城域漫游及遠程接入—讓業(yè)務隨處可用出差遠程接入方案組成核心骨干采用S12700，配合Controller完成對不同區(qū)域接入用戶的認證。在區(qū)教委信息中心部署SVN安全接入網(wǎng)關，師生從公網(wǎng)接入，通過controller實現(xiàn)SVN的接入認證方案優(yōu)勢權限、帶寬策略跟著教師移動而移動，不同位置相同體驗，滿足高易用性要求的場景在公網(wǎng)上通過加密通道訪問內(nèi)部教育資源，安全策略因人而異，滿足高安全性要求。高效運維開放創(chuàng)新極致體驗用戶接入分布認證區(qū)教委信息中心Internet上級教委…學校A學校X防火墻APxxxxAPxxxx方案組成方案優(yōu)勢城域核心部署S12700敏捷交換機，CCS2方式部署每個學校出口可根據(jù)需要選擇設備，例如防火墻，交換機，AR等均可每個學校匯聚/核心的隨板AC集中管理各個學校的AP，并在各個學校本地完成用戶接入認證認證點各個學校本地認證，實現(xiàn)有線無線用戶統(tǒng)一認證和管理，對網(wǎng)絡依賴減少，保證可靠性，每個學?？筛鶕?jù)自身需要設置自身特有要求，提升用戶使用體驗漫游用戶統(tǒng)一中繼到教委進行認證，保證在其他學校和本身學校的權限一致防火墻/高效運維開放創(chuàng)新極致體驗認證點本地認證漫游認證教育城域網(wǎng)有線無線深度融合，保障一致化體驗WLAN千兆接入時代802.112M802.11b11M802.11g54M802.11n2×2300M802.11ac1G/7G3×3450M有線無線一體化有線無線分離有線無線融合敏捷交換機融合AC融合用戶認證網(wǎng)關有線無線策略控制點敏捷城域網(wǎng)插卡式AC有線策略控制點傳統(tǒng)城域網(wǎng)分散轉(zhuǎn)發(fā)：有線無線分別轉(zhuǎn)發(fā)，傳統(tǒng)AC管理AP能力1K，

轉(zhuǎn)發(fā)能力20Gb/s，隨著802.11ac千兆時代到

來AC性能成為瓶頸分散認證：無線用戶在獨立AC上認證，而有線用戶在接

入或核心層認證，認證分散，管理復雜分散管控：無線有線用戶分別管理，分散控制，安全管控

效果差分散網(wǎng)元：額外投資購買AC設備或插卡，增加運維點和

故障點融合轉(zhuǎn)發(fā)：有線無線業(yè)務統(tǒng)一轉(zhuǎn)發(fā)，整機4KAP管理

能力，1Tbps轉(zhuǎn)發(fā)能力，性能無瓶頸融合認證：有線無線用戶統(tǒng)一認證，多種認證方式按

需選擇，核心層統(tǒng)一認證點，減少認證復雜度融合管控：有線無線用戶統(tǒng)一管控，基于用戶、地點、

時間，業(yè)務類型等多維度進行精細化安全管控融合網(wǎng)絡：有線無線網(wǎng)絡統(tǒng)一管理，隨板AC節(jié)省投資，減

少故障點，SVF虛擬有線無線，簡化網(wǎng)絡，提

升運維效率獨立AC高效運維開放創(chuàng)新極致體驗高性能虛擬化核心--教育應用體驗的基石業(yè)界唯一的核心交換機單主控集群設計主控主控主控主控業(yè)務口軟件集群只要一框無主控，集群分裂，該框流量全損失主控主控主控主控即便集群系統(tǒng)僅剩一個主控，集群業(yè)務仍持續(xù)穩(wěn)定交換網(wǎng)硬件集群傳統(tǒng)集群CSS2集群主機S12708S12712可用度(%)>99.999>99.999-華為敏捷交換機S12700高可靠性設計1+1監(jiān)控板M+N電源冗余1+1雙層風扇1+1主控板3+1交換網(wǎng)板高效運維開放創(chuàng)新極致體驗障礙物自定義一鍵自動AP布放室外3D覆蓋仿真合理規(guī)劃，精確部署驗證部署，提升網(wǎng)絡質(zhì)量售前AP計算器室內(nèi)場強覆蓋仿真場強信噪比測試漫游測試一鍵化性能測試接入測試智能網(wǎng)規(guī)，極致無線接入體驗的保障定向天線，AP精準覆蓋，降低同頻干擾極致體驗精準管理高效運維高效運維開放創(chuàng)新極致體驗創(chuàng)新敏捷分布式覆蓋方案，增強學生宿舍上網(wǎng)體驗86*86中心APAP9430DN-24集面板AP和智分AP優(yōu)勢于一體與面板AP優(yōu)勢對比射頻模塊統(tǒng)一由中心AP控制，用戶漫游體驗更加迅速只對中心AP授權，APlicense數(shù)量大大減少，成本降低與智分AP優(yōu)勢對比射頻模塊部放于房間內(nèi)部，信號覆蓋效果高，美觀，易安裝射頻模塊通過網(wǎng)線與中心AP互聯(lián)，不會存在智分饋線拉遠信號衰減的問題，拉遠覆蓋距離最大100m射頻模塊獨立覆蓋一個房間，單房間無線接入性能高達1.167Gbps，相比智分是多個房間共享一個射頻帶寬5G2.4G5G2.4G5G2.4G5G2.4G5G2.4G5G5G5G2.4G雙頻雙流覆蓋24個宿舍遠端射頻模塊APR240D…………無線控制器2.4G2.4G高效運維開放創(chuàng)新極致體驗業(yè)務隨行：用自然語言定義城域網(wǎng)策略SourceGroupDestinationResource場景需求

需要使用簡單明了的方式規(guī)劃校園各級用戶的策略權限；需要解決有線無線混合部署的情況下，用戶在移動中能保持一致體驗；解決方案配合Agile

Controller業(yè)務隨行，用自然語言方式定義策略矩陣，一鍵式下發(fā)到核心層執(zhí)行策略，摒棄了傳統(tǒng)ACL+IP的管理方式。方案亮點校園用戶權限的定義不再與IP相關，更加靈活簡便；軟件圖形化界面定義替代機器ACL配置方式，更加清晰、人性化。極致體驗精準管理高效運維城域網(wǎng)傳統(tǒng)方案業(yè)務隨行方案有線capwap端口隔離根據(jù)位置規(guī)劃Vlan，再根據(jù)Vlan規(guī)劃IP，基于IP執(zhí)行策略策略依賴IP地址，而IP地址又跟接入位置綁定，不能適應移動性及有線無線融合場景。Web認證無法支持二次地址分配！對于先分地址后認證的場景無法根據(jù)用戶屬性變更策略。校內(nèi)資源帶寬InternetVIP允許10M允許教師組允許4M允許學生組允許2M禁止有線IP網(wǎng)段1有線IP網(wǎng)段2無線IP網(wǎng)段N無線capwap策略服務根據(jù)IP段執(zhí)行策略通過SDN軟件控制理念，用自然語言制定策略，基于用戶和業(yè)務制定策略，與IP地址解耦AgileController策略矩陣高效運維開放創(chuàng)新極致體驗iPCApacketconservationalgorithmforinternet

網(wǎng)絡包守恒算法簡化網(wǎng)絡：數(shù)百臺有線無線設備虛擬為一臺，只需一個管理網(wǎng)元，接入交換機和無線AP即插即用。集中管理：集中在核心設備配置業(yè)務，指定接入設備上的用戶側(cè)端口，業(yè)務即可自動下發(fā)到接入設備，構建面向業(yè)務的網(wǎng)絡。節(jié)省成本：海量接入設備，一臺管理網(wǎng)元，輕松運維，節(jié)省成本。一張網(wǎng)絡，一臺設備，一種管理S7700AP6010DN中小學SVFS5700LIS5700LIS5700LIAP6510DN中小學T-bit1M21N2接入交換機虛擬成有線接口卡AP虛擬成交換機的無線端口一臺虛擬的超級交換機高效運維開放創(chuàng)新極致體驗SVF--讓教育城域網(wǎng)成功瘦身快速感知安全狀態(tài)--保護教育關鍵信息資產(chǎn)考試題庫學籍信息校產(chǎn)信息財務信息城域骨干教育資源平臺，教育管理平臺教育關鍵信息資產(chǎn)安全資源中心NGfirewallIPSAntiddos訪問考題題庫訪問財務信息訪問校產(chǎn)信息學校A學校B學校N定制關鍵信息資產(chǎn)安全策略Controller基于關鍵資產(chǎn)業(yè)務需求，下發(fā)安全策略，靈活調(diào)用安全資源中心能力；基于大數(shù)據(jù)的安全分析引流對應業(yè)務流到安全資源中心進行檢測，具備4~7層安全能力，并持續(xù)升級快速發(fā)現(xiàn)安全風險并有效保護關鍵資產(chǎn)。減少對運維人力投入和運維人員能力的要求，降低運維成本。全網(wǎng)海量安全日志進行分析，挖掘與相應資產(chǎn)的風險狀態(tài)Internet高效運維開放創(chuàng)新極致體驗IPCA實現(xiàn)校園城域網(wǎng)絡質(zhì)量靈敏感知iPCA丟包故障點在2號設備第6塊板卡第1個端口UserGE312業(yè)務流即檢測流NQAUserGE網(wǎng)絡存在丟包！模擬檢測流真實業(yè)務流iPCA精準檢測能力溯源隨路檢測，零偏差：直接對目標業(yè)務流染色，業(yè)務流與檢測流合一輕松定界：eSight網(wǎng)管可視化顯示，穿越網(wǎng)絡所有入口出口的目標流量，輕松定界流量路徑、性能瓶故障點芯片級精準定位：ENP芯片內(nèi)置檢測點，定位精度可達鏈路、設備、板卡、直至芯片NQA/SAA粗粒度檢測根因仿真業(yè)務流，易失真：通過仿真/插入?yún)f(xié)議報文方式，檢測業(yè)務流，檢測流與實際業(yè)務流之間容易失真故障定位時間長：NQA通過不斷嘗試可能出現(xiàn)故障設備IP地址的方式，逐步縮小故障范圍，定位時間長檢測顆粒度粗：整臺設備作為檢測點，檢測粒度粗，無法精確定位故障點VS高效運維開放創(chuàng)新極致體驗eSight可視化管理運維教育城域網(wǎng)有線、無線設備統(tǒng)一管理可視化網(wǎng)絡拓撲，故障快速定位360度監(jiān)控，一鍵式端到端故障診斷eSightmobile移動化運維多種性能統(tǒng)計形式直觀反饋網(wǎng)絡性能呈現(xiàn)各種監(jiān)控及歷史數(shù)據(jù)監(jiān)控指標直觀呈現(xiàn)整網(wǎng)情況eSightmobile高效運維開放創(chuàng)新極致體驗eSightWLAN全生命周期管理12三步完成無線業(yè)務開通，模板化配置3

日常監(jiān)控4規(guī)劃設計業(yè)務部署

故障診斷簡易規(guī)劃、所見即所得，擴容有理可依端到端一鍵式快速故障定位，移動化運維從整體到局部，360用戶體驗，通過數(shù)據(jù)分析給出優(yōu)化建議高效運維開放創(chuàng)新極致體驗eSight分級部署，監(jiān)管分離，網(wǎng)絡盡在掌握高效運維開放創(chuàng)新極致體驗eSight對全網(wǎng)有線無線設備統(tǒng)一監(jiān)控和管理：教委部署上級網(wǎng)管，負責匯總各分支分校的信息，統(tǒng)一監(jiān)控。各分支學校部署下級網(wǎng)管，自行對各個學校的設備進行監(jiān)控和管理。下級網(wǎng)管通過RESTHTTPS安全協(xié)議向上級網(wǎng)管上報信息，上級網(wǎng)管進行整網(wǎng)信息的匯總呈現(xiàn)：統(tǒng)一的拓撲管理統(tǒng)一的資源管理統(tǒng)一的告警管理區(qū)教委信息中心…學校A學校X防火墻APxxxxAPxxxx防火墻/教育城域網(wǎng)Internet上級教委上級網(wǎng)管下級網(wǎng)管下級網(wǎng)管數(shù)據(jù)上報流程教育城域網(wǎng)IPv6平滑演進華為主導v4tov6transition社區(qū)工作。在IETFIAB全會上作為唯一的設備商發(fā)表IPv6過渡材料，沖擊IPv6標準的制高點華為主導ipv6migration和ipv6na項目，參與其他3個項目,提交文稿33篇全部被接納。華為主導v4tov6Migration項目，并擔任Editor，工作組文稿23篇，個人文稿61篇。最近5年50％的IPv6項目由華為牽頭，包括：IPv6接入網(wǎng)總體技術要求；DHCPv6標準項目；IPv6過渡的CCSA技術報告等。IPv4/IPv6雙?；旌辖M網(wǎng)，平滑過渡華為參與和貢獻區(qū)縣城域網(wǎng)市級城域網(wǎng)區(qū)縣城域網(wǎng)S12700/S9700/S7700S12700/S9700/S7700S12700/S9700/S7700Cernet2IPv6CernetIPv4IPv4局域網(wǎng)IPv6局域網(wǎng)IPv4局域網(wǎng)IPv6局域網(wǎng)IPv4/IPv6雙棧IPv4/IPv6雙棧高效運維開放創(chuàng)新極致體驗基礎網(wǎng)絡層系統(tǒng)平臺層業(yè)務層基于LBS（基于位置服務）的創(chuàng)新服務開放無線定位API

高效運維開放創(chuàng)新極致體驗WLAN設備移動電子簽到全校、樓宇、樓層人流統(tǒng)計區(qū)域人流熱敏圖人員移動軌跡城域網(wǎng)SDN敏捷進化ControllerPOF+開放API

新業(yè)務/新功能控制面（CPU）包轉(zhuǎn)發(fā)（ASIC）控制面（CPU）包轉(zhuǎn)發(fā)()包轉(zhuǎn)發(fā)用固定的ASIC實現(xiàn)，增加包轉(zhuǎn)發(fā)功能需要購買新的設備傳統(tǒng)網(wǎng)絡敏捷網(wǎng)絡包轉(zhuǎn)發(fā)用可編程的ENP實現(xiàn),通過軟件升級或POF自定義就可獲得新的功能硬件定義：主要功能無法擴展演進周期>24個月軟件定義：硬件性能+軟件靈活性自由的功能擴展演進周期<6個月高效運維開放創(chuàng)新極致體驗3華為敏捷教育城域網(wǎng)案例選擇華為華為成功實踐：北京東城教育城域網(wǎng)方案亮點1、IPCA提升業(yè)務體驗，降低維護難度：獨有iPCA隨路檢測系統(tǒng)，實現(xiàn)網(wǎng)絡快速故障定位和精準管理，極大提高了教育應用質(zhì)量保障。2、SVF超級虛擬化：核心/匯聚交換機與學校出口交換機SVF深度虛擬化技術，零配置開局，極簡運維。3、

穩(wěn)定可靠的核心平臺通過CSS2交換網(wǎng)硬件集群，簡化管理的同時，增強核心層的可靠性。項目背景早在2005年，東城教委就已建設了教育城域網(wǎng)，現(xiàn)網(wǎng)設備在網(wǎng)運行時間已經(jīng)超過8年，設備功能已跟不上信息化建設對網(wǎng)絡設備的要求，現(xiàn)網(wǎng)急需網(wǎng)絡改造。網(wǎng)管認證中心數(shù)據(jù)中心網(wǎng)管認證中心數(shù)據(jù)中心教育網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)北區(qū)信息中心南區(qū)信息中心歌華B3機房歌華B7機房廣渠門中學現(xiàn)代職業(yè)學校北京55中共4所學校共24所學校共7所學校北京165中共2所學校共63所學校共4所學校歌華B4機房共22所學校共17所學校研修學院歌華B0機房共3所學校華為成功實踐：北京昌平教育城域網(wǎng)方案亮點1、穩(wěn)定可靠核心網(wǎng)絡平臺：S12700敏捷交換機構筑城域核心骨干平臺，整個網(wǎng)絡合理劃分接入?yún)^(qū)域，通過CSS2集群極大提高了城域核心的可靠性和穩(wěn)定性。2、AgileController與防火墻聯(lián)動：區(qū)域教育機構種類多樣，業(yè)務和用戶復雜，每個機構出口放置防火墻，與Controller聯(lián)動實現(xiàn)用戶接入認證和防病毒、上網(wǎng)行為管理等安全防護，實現(xiàn)精細化網(wǎng)絡安全管理，以及全網(wǎng)安全協(xié)防。項目背景為了走在教育信息化前