H3C ADCampus解決方案演示

H3CADCampus解決方案---應(yīng)用驅(qū)動(dòng)的園區(qū)網(wǎng)方案搬家的故事僵化的網(wǎng)絡(luò)VS快速遷移的需求一個(gè)制造業(yè)IT運(yùn)維人員的煩惱市場財(cái)務(wù)生產(chǎn)簡單的業(yè)務(wù)需求VS復(fù)雜的訪問控制主管園區(qū)網(wǎng)還會(huì)有哪些挑戰(zhàn)？移動(dòng)化有線無線策略、轉(zhuǎn)發(fā)融合的挑戰(zhàn)移動(dòng)的用戶和靜態(tài)的安全策略的挑戰(zhàn)用戶快速移動(dòng)時(shí)如何審計(jì)到人園區(qū)網(wǎng)還會(huì)有哪些挑戰(zhàn)？物聯(lián)網(wǎng)大量不同類型的終端，如何保障可信接入業(yè)務(wù)的快速識(shí)別與質(zhì)量保障管道的安全與業(yè)務(wù)的隔離的挑戰(zhàn)園區(qū)網(wǎng)還會(huì)有哪些挑戰(zhàn)？運(yùn)維人力：IT承載企業(yè)創(chuàng)新，但現(xiàn)網(wǎng)運(yùn)維占據(jù)太多時(shí)間能力：由網(wǎng)絡(luò)連接轉(zhuǎn)向業(yè)務(wù)性能運(yùn)維時(shí)，需要運(yùn)維人員具備全業(yè)務(wù)能力：網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等ADCampus業(yè)務(wù)驅(qū)動(dòng)的園區(qū)網(wǎng)極簡柔性位址分離/名址綁定策略隨行、業(yè)務(wù)按需交付開放網(wǎng)絡(luò)自動(dòng)化統(tǒng)一網(wǎng)絡(luò)最終目標(biāo)：對設(shè)備無命令行的手工配置，自動(dòng)化最終目標(biāo)：業(yè)務(wù)部署（應(yīng)用/終端）與位置無關(guān)；開放匯聚接入SDN控制器VXLAN方案基本思路-轉(zhuǎn)發(fā)核心VXLANVLANVLANVLAN10VXLAN10VLAN20VXLAN20策略執(zhí)行點(diǎn)RR匯聚接入SDN控制器VXLAN方案基本思路-控制核心VXLANVLANVLANRRMP-BGP柔性位址分離@IP地址與位置解耦合AC匯聚接入核心傳統(tǒng)網(wǎng)管ACOverlay傳統(tǒng)方式的問題：IP地址規(guī)劃復(fù)雜/業(yè)務(wù)識(shí)別復(fù)雜用戶的IP地址變化，不綁定新方案的特色和優(yōu)勢：IP地址規(guī)劃簡單業(yè)務(wù)識(shí)別簡單，基于最基本的IP即可定義業(yè)務(wù)（攝像頭）SDN控制器10.10.1.1010.10.1.2010.11.1.1010.11.1.2010.10.1.1010.10.1.20傳統(tǒng)網(wǎng)絡(luò)ADCampus網(wǎng)絡(luò)10.10.0.0/16網(wǎng)段10.11.0.0/16網(wǎng)段名址綁定@基于用戶名的IP分配園區(qū)出口核心交換機(jī)用戶認(rèn)證點(diǎn)交換機(jī)SDN控制器DHCP用戶名用戶組所屬VLANIP組A財(cái)務(wù)Vlan10I網(wǎng)段B市場Vlan20II網(wǎng)段C監(jiān)控Vlan30III網(wǎng)段……………………如上：前期針對用戶做好IP策略規(guī)劃1.用戶首次認(rèn)證成功上線分配VLAN2.根據(jù)VLAN綁定地址池DHCP獲取IP3.控制器通知DHCP服務(wù)器完成用戶名與已分配IP的綁定4.用戶后續(xù)第二次上線，也是先認(rèn)證，下發(fā)業(yè)務(wù)vlan。5.終端通過dhcp申請地址，由于之前地址已經(jīng)設(shè)置過綁定，只能申請到固定的地址，形成綁定針對視頻終端等設(shè)備，可采用MAC認(rèn)證的方式，實(shí)現(xiàn)基于業(yè)務(wù)的IP分配可實(shí)現(xiàn)用戶與IP綁定，也可實(shí)現(xiàn)用戶組與IP組綁定LANWAN名址綁定的價(jià)值用戶&業(yè)務(wù)IP業(yè)務(wù)識(shí)別簡單，無需復(fù)雜設(shè)備，基于最基本的IP即可定義業(yè)務(wù)用戶審計(jì)方便，審計(jì)到IP即審計(jì)到用戶IP地址分配更清晰，非常適合業(yè)務(wù)部門自行分配IP情況全網(wǎng)只需一條ACL即可實(shí)現(xiàn)業(yè)務(wù)間的訪問控制有線、無線終端可漫游（如:學(xué)校刷卡機(jī)接入，IP電話接入等策略隨行-用戶安全分組與位置無關(guān)核心匯聚接入接入Overlay核心匯聚接入接入市場部財(cái)務(wù)部研發(fā)部市場組財(cái)務(wù)組市場部研發(fā)組傳統(tǒng)組網(wǎng)中一個(gè)部門的用戶只能位于同一個(gè)物理區(qū)域ADCampus中一個(gè)部門的用戶屬于同一個(gè)用戶安全組，可以從網(wǎng)絡(luò)中的任意位置接入策略隨行-流程核心匯聚接入接入Overlay數(shù)據(jù)中心資源組1資源組2目的組源組策略集中管理：管理員定義安全組以及組間策略策略一鍵下發(fā)，實(shí)時(shí)生效用戶認(rèn)證上線時(shí)根據(jù)5W1H進(jìn)入相應(yīng)的用戶安全組，分配IP并綁定，獲得相應(yīng)的訪問權(quán)限用戶移動(dòng)后，認(rèn)證后仍然會(huì)進(jìn)入相同的安全組并獲取綁定的IP，訪問權(quán)限不變Campus

Director√××√×××研發(fā)Servers市場Servers公共ServersInternetAccessVIP組PERMITPERMITPERMITPERMIT研發(fā)組PERMITDENYPERMITDENY市場組DENYPERMITPERMITPERMIT訪客組DENYDENYDENYPERMIT業(yè)務(wù)按需交付-當(dāng)前的問題園區(qū)出口防火墻防火墻上網(wǎng)管理數(shù)據(jù)中心IPS防病毒園區(qū)出口防火墻上網(wǎng)管理數(shù)據(jù)中心IPS防病毒傳統(tǒng)組網(wǎng)中服務(wù)節(jié)點(diǎn)串聯(lián)組網(wǎng)，存在如下問題：性能瓶頸：業(yè)務(wù)設(shè)備性能一般較弱，串聯(lián)組網(wǎng)時(shí)成為瓶頸。難以區(qū)分流量：相不相關(guān)的流量均流經(jīng)業(yè)務(wù)設(shè)備。拓?fù)湟蕾嚕盒略龌騽h除業(yè)務(wù)設(shè)備時(shí)，都需要重新規(guī)劃、斷網(wǎng)切換，對現(xiàn)網(wǎng)影響較大。傳統(tǒng)組網(wǎng)中服務(wù)節(jié)點(diǎn)旁掛組網(wǎng)，存在如下問題：引流配置復(fù)雜：需要逐跳的在每個(gè)接口上配置策略路由。理解困難：需要分析流量的走向，進(jìn)出接口，下一跳出接口。服務(wù)鏈技術(shù)數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)中傳遞時(shí)，需要經(jīng)過各種安全服務(wù)節(jié)點(diǎn)，提供給用戶安全、自定義的網(wǎng)絡(luò)服務(wù)。常見的服務(wù)節(jié)點(diǎn)（ServiceNode）：防火墻（FW）、負(fù)載均衡(LB)、入侵檢測（IPS）、VPN等。服務(wù)鏈定義：SDN控制器對網(wǎng)絡(luò)進(jìn)行邏輯抽象，并實(shí)現(xiàn)對業(yè)務(wù)的靈活自定義編排；業(yè)務(wù)流量按照控制器的編排順序經(jīng)過一組抽象業(yè)務(wù)功能節(jié)點(diǎn)，完成對應(yīng)業(yè)務(wù)功能的處理。什么是服務(wù)鏈SDNControllervSwitchvSwitchAPPServiceNodesvSwitchvSwitchWEB服務(wù)鏈業(yè)務(wù)節(jié)點(diǎn)SpineSpineVxLANNetworkLeafLeafLeafLeafLeafVMVMVMVMVMVMVMVMVMVMVMVM安全資源池ADCampus中的ServiceChain園區(qū)出口數(shù)據(jù)中心用戶組A用戶組B防火墻上網(wǎng)管理業(yè)務(wù)（Service）按需交付部署與位置無關(guān)：服務(wù)節(jié)點(diǎn)的部署位置不再受限，可集中部署。平滑擴(kuò)容：服務(wù)節(jié)點(diǎn)的增加或刪除不影響原有網(wǎng)絡(luò)的拓?fù)浜吐酚膳渲煤唵危汗芾韱T在CampusDirector的圖形界面編排服務(wù)鏈，Director自動(dòng)下發(fā)引流配置。管理員不用逐跳配置命令行。業(yè)務(wù)按需交付-解決之道（Future）SDN控制器源目的ACGFW服務(wù)鏈編排業(yè)務(wù)設(shè)備故障流量倒換（Future）防火墻路徑定義，自動(dòng)引流出口審計(jì)SDN控制器檢測到故障路徑重新定義開放網(wǎng)絡(luò)-基于SDN封閉僵化：應(yīng)用對網(wǎng)絡(luò)需求－開發(fā)－驗(yàn)證－部署部署

單臺(tái)配置，復(fù)雜，周期長核心匯聚接入接入OverlaySDN控制器3rdAPP3rdAPP核心匯聚接入接入網(wǎng)管開放，可編程靈活/簡單3rdAPP或自有APP直接網(wǎng)絡(luò)驗(yàn)證部署整網(wǎng)配置，簡單，周期短封閉的傳統(tǒng)網(wǎng)絡(luò)開放的ADCampus網(wǎng)絡(luò)極簡開局自動(dòng)化（Fabric自動(dòng)化建立）核心匯聚接入接入在每一臺(tái)核心/匯聚交換機(jī)上：

創(chuàng)建VRF

配置三層接口、IP地址配置單播路由協(xié)議配置組播路由協(xié)議在每一臺(tái)匯聚交換機(jī)上：

創(chuàng)建VLAN將VLAN劃入VRF

下行口trunk相關(guān)的VLAN在每一臺(tái)接入交換機(jī)上：

創(chuàng)建VLAN上行口trunk所有的VLAN核心匯聚接入接入OverlaySDN控制器傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)配置ADCampus基礎(chǔ)配置Underlay網(wǎng)絡(luò)自動(dòng)化配置：自動(dòng)獲取IP地址

自動(dòng)確定設(shè)備角色核心/匯聚交換機(jī)自動(dòng)使能路由匯聚/接入交換機(jī)自動(dòng)配置互連接口Overlay網(wǎng)絡(luò)自動(dòng)化配置：核心/匯聚交換機(jī)自動(dòng)建立隧道

核心/匯聚交換機(jī)自動(dòng)使能地址同步協(xié)議耗時(shí)：數(shù)天耗時(shí)：數(shù)小時(shí)逐臺(tái)，手工整網(wǎng)，自動(dòng)統(tǒng)一網(wǎng)絡(luò)--傳統(tǒng)無線接入存在的問題無線ACAP集中轉(zhuǎn)發(fā)處理能力是瓶頸轉(zhuǎn)發(fā)流量繞行策略控制點(diǎn)分散AP本地跨匯聚交換機(jī)實(shí)現(xiàn)無線終端的漫游無線ACAP本地轉(zhuǎn)發(fā)統(tǒng)一網(wǎng)絡(luò)--有線無線統(tǒng)一無線本地轉(zhuǎn)發(fā)：降低AC性能要求，滿足11ac時(shí)代無線高帶寬接入，流量不迂回統(tǒng)一用戶管理：有線用戶與無線用戶統(tǒng)一使用5W1H來統(tǒng)一劃分用戶組統(tǒng)一數(shù)據(jù)轉(zhuǎn)發(fā)：AP流量本地轉(zhuǎn)發(fā)和有線統(tǒng)一，統(tǒng)一流量監(jiān)控統(tǒng)一策略執(zhí)行：有線無線終端用戶/IP統(tǒng)一分配，策略執(zhí)行點(diǎn)統(tǒng)一AP本地轉(zhuǎn)發(fā)，AC只負(fù)責(zé)控制報(bào)文通過無線承載網(wǎng)絡(luò)名址分離，保障無線終端的漫游spineleafAccessAccessVxlan網(wǎng)管運(yùn)維中心AAA服務(wù)器DHCP無線ACSDN控制器統(tǒng)一網(wǎng)絡(luò)--園區(qū)分支統(tǒng)一(future)核心AccessAccessOverlay分支網(wǎng)絡(luò)無差別接入，無需專門VPN技術(shù)，可跨越任意IP網(wǎng)絡(luò)4-7層服務(wù)節(jié)點(diǎn)可以和總部共享，減少分支部署成本和管理難度?？山y(tǒng)籌全網(wǎng)IP分配，業(yè)務(wù)隔離策略、保證網(wǎng)絡(luò)規(guī)劃的一致性終端IP可實(shí)現(xiàn)總部、分支之間漫游VXLANIP通道匯聚接入WAN總部分支1分支2統(tǒng)一網(wǎng)絡(luò)--業(yè)務(wù)通道虛擬化業(yè)務(wù)一物理網(wǎng)絡(luò)終端分布式GW內(nèi)置VTEP分布式GW內(nèi)置VTEP分布式GW內(nèi)置VTEPvlanWAN業(yè)務(wù)二分布式GW內(nèi)置VTEP分布式GW內(nèi)置VTEP分布式GW內(nèi)置VTEPvlan10WANvlan20WAN業(yè)務(wù)二：192.168.1.0/24業(yè)務(wù)一：192.168.2.0/24統(tǒng)一網(wǎng)絡(luò)--多業(yè)務(wù)統(tǒng)一接入Access認(rèn)證，根據(jù)業(yè)務(wù)角色分配VLAN、分配IP地址映射到相關(guān)的VRF以及相應(yīng)的VXLAN通道Vxlan映射成業(yè)務(wù)可訪問的VLAN資源組業(yè)務(wù)服務(wù)器服務(wù)鏈自動(dòng)引流進(jìn)行安全處理端到端安全隔離由于IP按照業(yè)務(wù)分配，對于隔離要求不高的業(yè)務(wù)，全網(wǎng)設(shè)備可以通過一條共有簡單ACL實(shí)現(xiàn)隔離總結(jié):ADCampus的價(jià)值終端用戶網(wǎng)絡(luò)運(yùn)維信息中心極致體驗(yàn)極簡運(yùn)維柔性創(chuàng)新柔性演進(jìn)與創(chuàng)新，面向未來的網(wǎng)絡(luò)極簡運(yùn)維，智能運(yùn)維的網(wǎng)絡(luò)極致體驗(yàn)，體驗(yàn)一致的網(wǎng)絡(luò)位址分離/名址綁定策略隨行業(yè)務(wù)按需交付開放網(wǎng)絡(luò)統(tǒng)一網(wǎng)絡(luò)自動(dòng)化方案落地ADCampus支持的網(wǎng)絡(luò)模型技術(shù)：IRF2+接入核心兩層架構(gòu)小規(guī)模核心匯聚接入接入OverlaySDN控制器核心匯聚接入接入技術(shù)：Overlay大規(guī)模IRFSDN控制器L3L2L3L2現(xiàn)有網(wǎng)絡(luò)改造方案匯聚接入核心現(xiàn)有網(wǎng)絡(luò)園區(qū)出口iMC新建ADCampus區(qū)CampusDirectorL3VTEPL3VTEPL3VTEPL3VTEPL3L3L3L3ADCampusOverlayL3V