iMaster NCE-Campus智简园区网络建设自动化方案

1、iMaster NCE-Campus智简园区网络建设自动化方案数字化转型的趋势及挑战华为智简园区整体方案介绍iMaster NCE-Campus网络建设自动化应用场景商用案例数字化时代，网络新要求：无线化，物联化、云化制造金融养殖教育办公零售无人化管理大数据分析全无线办公资产管理AGV漫游高清质检自助结账电子价签无人网点机器人引导AR/VR教学线上教学数字化时代，网络新挑战CTO?承载业务多样性网络如何做到自动化下发移动应用日新月异网络策略如何快速调整业务快速扩张，分支增加网络如何快速响应LAN和WAN管理网络如何有效统一编排蜂群流量造成带宽不足如何优先保障VIP用户体验多种业务隔离多业务如何

2、隔离不相互影响网元类型多运维越复杂网络如何智能运维和优化数字化转型的趋势及挑战华为智简园区整体方案介绍iMaster NCE-Campus网络建设自动化应用场景商用案例Wi-Fi 6改变企业Wi-Fi 6时代 园区自动驾驶网络管理控制系统，iMaster NCE-Campus源自华为5G的AirEngine Wi-Fi 6，打造全无线园区开放的行业应用开发平台 SDK | API 管理、控制、分析TelemetryNETCONF/YANGCloudEngine S系列园区交换机AirEngine Wi-Fi 6 客流分析电子书包健康管理智慧办公网络层管控层改 变 办 公Wi-Fi 6时代的高品

3、质承载网络一根光电混合缆接入全万兆，释放Wi-Fi 6的速度Multi-GE交换机 + 高密25GE盒式交换机 + 100G核心，构建Wi-Fi 6超宽通道全无线融合策略管理，高达10K AP，50K用户并发，满足Wi-Fi 6时代海量用户并发接入万人无线园区，百G核心CloudEngine 12700E，吞吐57.6Tbps，管理5万无线用户，6倍性能建网全自动，使能Wi-Fi 6的业务规划自动化 建网自动化 策略自动化运维全智能，保障Wi-Fi 6的体验用户体验可视 故障定界 网络调优自愈极速业界独家双频16天线10.75Gbps，是业界的2倍覆盖稳智能天线波随人动，覆盖远20%应用稳Dy

4、namicTurbo应用加速，小型园区极简开局，大型园区4步部署完成4步配置部署基于5W1H进行精细化权限策略管控酒店大企业普教6维度策略管控DHCPAPP注册查询中心3. 自动注册上线1.规划及预配置4. 配置自动化下发1.规划及预配置3.自动注册上线4.配置自动化下发1.规划及预配置4.自动注册上线5.配置自动化下发3. 通过注册查询中心获取注册信息.2.同步信息DHCP Server2.通过DHCP server获取注册信息2. 通过APP扫码部署IP设备即插即用：ZTP极简开局开局方式适用设备控制器连接Internet适用场景APPAP需要网络简单，以AP部署为主DHCPAP、LSW、

5、AR不需要网络规划管理，有DHCP Server管理能力注册查询中心AP、FW、LSW、AR需要MSP及公有云为主注册查询中心物理网络部署自动化业务策略发放自动化设备即插即用POL设备即插即用：ONT极简开局物理网络部署自动化业务策略发放自动化设备即插即用1.规划及预配置ONTONTOLT分光器2. ONT上电3. OLT上报ONT自动发现Trap4. 配置自动下发安装极简ONT上电即走，1分钟业务开通ONT即插即用即换即通配置极简OLTONTETH口untagETH口VLAN100VLAN200VLAN300VLAN1000VLAN1001VLAN1002VLAN1003NCE自动配置PON

6、参数业务配置化繁为简，无需配置PON参数IP工程师可完成POL网络配置V300R20C00新增备注：IP+POL融合管理只有企业海外本地部署场景支持，其他场景不支持有线无线网络即插即用零配置替换APP扫码零配置替换（C不支持）规划、安装自动拓扑发现自动配置下发自动路由编排通过Excel录入设备信息和拓扑 网络资源池规划：IP、VLAN预配置，基于配置模板和特性模板（C不支持预配置）设备安装和连线，并上电手工核心交换机注册到控制器汇聚/接入/AP自动被发现(LLDP)并上线，并进行拓扑校验（C不支持校验）设备自动获取配置创建Fabric，使能路由自动编排，交换机OSPF路由自动编排中大型园区网络

7、Underlay自动化流程实现汇聚、接入交换机和AP的即插即用物理网络部署自动化业务策略发放自动化网络即插即用基于终端类型识别，实现终端即插即用内置业界最全的终端指纹库需求&挑战仿冒很难定位某车企10+/天认证报障50+类智能终端某高校终端由二级学院采集MAC采集难、易错物理网络部署自动化业务策略发放自动化终端信息报文终端信息报文终端信息报文摄像头IP话机打印机PC笔记本手机流量统计认证授权仿冒检测终端识别我是谁终端类型、OS等我能做什么PC/笔记本访问内网手机访问安全区域 流量大小、时长等我做了什么报警，隔离我被替换了终端即插即用物理网络部署自动化业务策略发放自动化类型识别技术技术说明适用场

8、景信息上报MAC OUIMAC地址前三字节用于表示厂商各种设备HTTP UserAgent浏览器UserAgent信息中包含厂商、终端类型、操作系统、浏览器等信息手机、平板、工作站音视频智能终端，如电视棒DHCP Option终端DHCP报文的部分属性可用于终端分类，常用属性有55、60、12手机、平板、工作站、哑终端LLDP链路层设备发现协议，可上报设备型号IP电话、摄像头、网络设备等mDNSmDNS报文含有终端型号信息和业务信息苹果终端、打印机等主动扫描SNMP Query通过查询SNMP mib节点中的设备信息相关的节点获取识别信息网络设备、打印机NMAP通过NMAP软件终端进行OS、服

9、务扫描嵌入式设备，如打印机信息上报指纹库主动扫描来自业界最全指纹库如何进行终端类型识别？来自业界最全终端指纹库终端识别引擎多规则速配算法加速匹配算法抗干扰判定算法终端类型识别如何做到又快又准？识别结果识别报文规则提取算法识别规则预加载提高10+倍匹配速度提高4-5倍匹配速度提高准确率提高识别能力策略匹配策略下发物理网络部署自动化业务策略发放自动化物理网络部署自动化业务策略发放自动化类型（OS带版本）测试终端数识别准确终端数终端识别准确率手机686595.59%平板55100%苹果笔记本/识别类型识别率大类99.73%厂商98.89%型号96.37%OS97.70%类型测试终端数识别准确终端数识

10、别准确率手机706897.14%平板77100%苹果笔记本33100%南研N7食堂实测（移动终端）：测试终端数识别准确终端数识别准确率9751936296%实验室实测（移动终端）终端类型Huawei识别库（厂商、终端数量）工作站（win/linux/）270款（Android、IOS精确到细版本）移动终端（手机/平板）124家，1835款打印机23家，745款IP摄像头7家，217款IP话机29家，312款网络设备（AP、Switch、Router等）45家，173款笔记本电脑，桌面3家，94款物联终端（门禁、传感器）暂无终端识别库能力终端识别准确率物理网络部署自动化业务策略发放自动化终端识别

11、统计终端识别统计报表设备类型设备厂商操作系统终端型号终端识别粒度用户接入认证认证方式Portal认证：用户名密码、匿名、短信、QQ、新浪微博、微信、Facebook、Twitter、Passcode认证；PPSK认证；MAC认证；802.1x认证（内置Radius服务器）；802.1x认证（外部Radius服务器对接）传输协议认证数据采用HTTP2.0、Radius协议传输配置数据采用NetConf协议传输开放认证支持对接第三方Portal服务器支持对接QQ、新浪微博、微信、facebook、 Twitter社交媒体用户管理Portal ServerPortal页面定制内置RADIUS ser

12、ver认证设备NetConf配置 社交媒体认证微信Facebook3rd Radius Server802.1xPortalMACHTTP 2.0认证Radius认证TwitterAP交换机AR防火墙QQ新浪微博物理网络部署自动化业务策略发放自动化接入认证用户接入认证实施步骤配置认证规则配置授权规则配置授权结果用户在线控制策略设备纳管自动化网络部署完成控制器自动化配置下发物理网络部署自动化业务策略发放自动化物理网络部署自动化业务策略发放自动化权限带宽QoS应用安全接入时间When用户身份Who接入位置Where设备属性Whose接入方式How终端类型What条件：基于5W1H的策略结果：精细化

13、的权限控制用户/用户组/角色站点、区域、设备组、设备类型、设备、SSID、IP地址按星期/时间PC/IOS/Android等公司/自带终端有线/无线Portal、MAC、802.1x认证方式等VLAN/ACL/安全组，VIP用户上行带宽/下行带宽，DSCP高/中/低流量时长管控（仅Portal）应用组/应用URL过滤智能策略引擎智能策略引擎，实现精细化的策略控制6套系统模板（PHONE和PC各6套），可根据场景自由选择内置多种语言：简体中文，英语，德语，西班牙语，可扩展支持其他语言用户名密码模板匿名认证模板短信认证模板Facebook模板微信模板Passcode模板PC页面PHONE页面Por

14、tal页面定制-丰富精美的预置模板物理网络部署自动化业务策略发放自动化完整的页面-认证页面-认证成功页面-用户须知页面-注册页面-注册成功页面-修改密码页面-用户名验证页面-重置密码页面-全屏倒计时广告页丰富的控件-标题/图片/文本/背景/语言链接 -认证控件/多图片轮换/视频/拨号组件/页面缩略图灵活的样式编辑-拖拽式操作，可拖动调整行顺序，拖动调整行高、列宽-区域样式设置，包括背景图片、背景色、边框大小颜色、边框圆角、内边距、外边距添加控件设置参数Portal页面定制-所见即所得的页面编辑器物理网络部署自动化业务策略发放自动化V300R20C00增强交换机APAR防火墙WAC维度能力接入方

15、式有线无线区域站点区域，关联多个设备设置指定区域信息，如研发区、测试区接入设备类型：LSW、FW，AR、AP、WAC准入设备组：关联多个具体设备具体接入设备，通过ESN定位到具体设备SSID时间时间终端终端IP地址自定义参数根据认证设备能力不同，略有不同，可关联设备IP、MAC、SSID、Sysname、用户IP、MAC等定制页面、定制推送策略6大维度，10+精细化推送能力1234http请求或认证请求请求重定向认证请求根据推送策略推送不同页面Portal页面推送策略精细化推送能力物理网络部署自动化业务策略发放自动化与第三方终端安全厂家联动应用场景方案价值与第三方厂家联动提供终端安全检查能力对

16、安全要求比较高，需要对终端进行合规检查，检查合格才能接入网络的场景；方案约束终端侧需安装第三方终端安全厂家的客户端必须是802.1x认证目前已对接的第三方厂家为：IVANTI（海外）、奇安信（国内），其他厂家可通过通用接口对接（华为侧提供接口文档，第三方厂家根据文档提供接口对接即可）用户登录认证返回状态信息通过接口查询终端合规状态（Restful API）下发控制策略（合规接入，不合规无法接入）用户上线认证请求定时轮巡查询终端合规状态返回状态信息不合规，通过COA下线终端用户接入网络用户被踢下线，无法使用网络第三方终端安全厂家1234561234物理网络部署自动化业务策略发放自动化V300R2

17、0C00新增用户身份来源说明主要用于本地自建账号用户名/密码，MAC账号，访客自注册账号企业员工，访客人员，运维人员对接社交媒体微信，QQ，新浪微博，Facebook，Twitter访客人员对接AD/LDAPMicrosoft AD，Novell Edirectory，IBM Tivoli，Sun One，JIT Galaxy，Open LDAP企业员工，访客人员对接第三方数据库采用接口封装方式对接SQL Server数据库，Oracle数据库企业员工，访客人员对接第三方HTTP服务器设置认证URL企业员工，访客人员对接第三方Radius服务器RADIUS中继企业员工对接Token服务器RSA

18、 SecurID、达芬奇密码动态身份认证系统等企业员工证书认证对接证书服务器，支持X509证书企业员工多种用户认证源，满足统一用户管理需求物理网络部署自动化业务策略发放自动化V300R20C00更新公众场合账号无需审批，简易灵活，分发方便，自动注销企事业单位严格控制访客账号审批及访问权限企业学校机关单位科研机构酒店咖啡厅饭店营业厅超市商场体育场展馆 注册 员工申请 访客自助申请 审批 免审批 管理员审批 接待人审批 分发 手机短信 Email Web 审计及注销 用户上下线审计 到期后自动注销 定时清理账号 认证 匿名认证 用户名/密码认证 手机验证码 社交媒体认证全生命周期的访客管理，满足不

19、同场景需求物理网络部署自动化业务策略发放自动化访客管理访客注册账号密码，接入网络注册界面访客到达后，需要临时上网，连接WiFi弹出登录页面点击注册，输入注册信息，后台管理员、接待人审批或免审批访客使用注册后的账号密码，接入网络物理网络部署自动化业务策略发放自动化微信认证访客连接WIFI，提示关注公众号，点击”关注我们”关注公众号点“我要上网”公众号回复认证链接，点击后即可认证成功物理网络部署自动化业务策略发放自动化The Login screen is displayed after a guest associates with Wi-Fi. The guest taps Facebook

20、on the screen for authentication.The guest is redirected to . The guest enters the account and taps Log in.Tap Continue.The guest connects to the network.Facebook Authentication物理网络部署自动化业务策略发放自动化 北京深圳硅谷策略：权限策略：安全体验：优先级/带宽WAN/Internet用户：xx位置：深圳网络资源网络资源用户随时随地接入网络，实现用户的业务策略和网络体验能够保持一致网络资源网络资源业务随行：策略随行，

21、体验随身物理网络部署自动化业务策略发放自动化业务随行定义安全组定义组策略Netconf/YANG业务随行，基于用户组的访问控制策略物理网络部署自动化业务策略发放自动化用户名用户组接入方式接入地点准入时间权限访问带宽优先级Mark物理系有线宿舍8:00-22:00科研、互联网、资料共享2Mbps中Joy经研院有线办公室全天科研、互联网、OA、管理、资料4Mbps较高Terry外校有线/无线任意8:00-18:00公开资料共享500kbps低Jim校长有线/无线行政楼全天所有4Mbps最高定义安全组策略并全网下发WAN/Internet用户上线认证根据5W1H将用户映射到安全组，并下发设备策略控制

22、执行：权限/带宽/优先级/应用/安全DC/Internet物理网络部署自动化业务策略发放自动化1324业务随行，实现用户随时随地接入权限一致 按需查询 IP-Group同步 报文携带VxLAN报文头携带源安全组ID基于IP地址从控制器查询安全组是哪个安全组？是财务组IP安全组group_FINgroup_R&D控制器周期向策略执行点交换机同步IP-Group部分防火墙支持局限：流量需要绕行防火墙支持业务随行的交换机都支持，丰富了业务随行的应用场景VXLAN交换机支持局限：要求用VXLAN组网版本增强：控制器支持向交换机同步IP-Group信息物理网络部署自动化业务策略发放自动化2014年201

23、8年2020年业务随行3.0业务随行2.0认证点与策略点不可分离跨网关组间隔离，要求绕行防火墙不兼容第三方组网认证点与策略点不可分离跨网关组间隔离，要求VxLAN组网不兼容第三方组网认证点和策略点可分离无需防火墙或VxLAN兼容第三方组网业务随行1.0降低要求增强特性基于组策略的控制支持权限、应用、安全策略支持VxLAN组网，报文头携带组信息支持区域差异化策略（多矩阵）支持IP-Group同步IP-Group同步是业务随行3.0的关键增强，显著降低组网要求，提升业务随行方案的场景适用性。业务随行3.0：特性持续提升，要求持续降低物理网络部署自动化业务策略发放自动化IP-Group同步使得业务随

24、行适用场景更广泛新增高校ME60组网的业务随行华为交换机(策略执行点）第三方AC、交换机（认证点）第三方AP华为交换机（认证点）华为APX新增第三方混合组网的业务随行ME60 网关（认证、计费）交换机(策略执行点）XIPGroupgroup_FINgroup_R&DIP-Group信息同步：控制器向交换机同步IP地址和Group的关联信息，认证点和策略点分离，从而实现灵活组网，包括支持第三方混合组网新增跨L3网关组网的整网业务随行华为交换机（认证点）华为交换机或独立AC（认证点）华为交换机(策略执行点）XNew物理网络部署自动化业务策略发放自动化物理网络部署自动化业务策略发放自动化IP-Gro

25、up同步典型应用场景逐步替换友商设备第三方Radius ServerIP-Group同步认证流程业务随行策略执行Radius中继核心客户组网接入核心替换，引入NCE-Campus网络中接入层已有友商设备做认证且无法替换，使用IP-Group特性即可实现适配，并应用业务随行，逐步替换友商设备认证点智能HQoS：用户和应用双因素的QoS策略摄像头视频监控VIP用户其他用户 基于两级调度用户和应用队列普通用户VIP用户1定义谁是VIP用户定义应用优先级(举例)楼宇监控场景：无线视频业务增加，占用大量网络资源，在某些场合造成下行拥塞 随板AC、独立AC支持大缓存、4级队列基于用户和应用双因素的QoS策

26、略，保障关键用户和应用体验需求&挑战大家都是视频业务，QoS策略无效S12700E 40*25GE单板，4G 缓存AirEngine 9700-M 512M缓存限制：无线网络需要隧道转发模式S12700E 仅40*25GE支持HQoS，S5731/32-H支持上行25G建议VIP用户占比不超过10%WAC 通过Web网管进行应用调度模板配置规格：S12700E 支持16K VIP用户/板卡；AirEngine 9700-M支持1800 用户/板卡NCE-Campus 最多31个应用调度模板物理网络部署自动化业务策略发放自动化智能HQoS智能HQoS ：WAC(随板AC或独立AC)：流 + 用户

27、 + AP + 端口，4级队列Queue CS7流队列（FQ）(每应用优先级调度、整形)Queue CS6Queue EFQueue AF4Queue AF3Queue AF2Queue AF1Queue BEVIP用户1DRR：15DRR:15DRR:10DRR:10DRR:10应用1 2M应用2 2M应用3 2M应用4 15M应用5 15M应用6 30M应用7 40M应用8 30MPQPQPQSQ1流量整形300MGQ1用户队列（SQ）(每用户调度，按优先级调度）AP队列（GQ）（每AP整形)端口整形（DP）DRR1:1VIP用户1VIP用户2普通用户组VIP用户1VIP用户2流量整形20

28、0MGQ2SQ2最大整形值SQ3AP1AP2普通用户3VIP用户2普通用户4普通用户5SPDRR1:1Shaping（bypass）DP1普通用户3普通用户4普通用户5每应用每用户优先级调度，4级队列缓存和整形，精细化管控交换机、WAC通过大缓存，来支持多级队列调度物理网络部署自动化业务策略发放自动化智能HQoS ：无线侧基于用户和业务优先级的调度基于应用分配带宽VR类业务语音类业务视频类业务Web类业务普通用户VIP用户用户组调度高优先级用户优先调度空口切片调度基于空口切片技术，传输时延低至10ms应用调度普通用户VIP用户物理网络部署自动化业务策略发放自动化VIP接入保障：保障VIP用户优

29、先接入As IsTo Be1.用户密度大，达到接入阈值后，VIP用户无法保障接入；1.人员密集的园区办公场景，有效保障VIP用户的接入；普通用户VIP用户普通用户VIP用户1. 认证授权为VIP用户，使能AP中射频和SSID对VIP用户的保障。2. AP设备侧调整EDCA参数，调整空口报文交互优先级，保证VIP用户的接入。2.不需要额外部署设备，降低成本。2. 额外为VIP用户的位置增加设备，增加成本，治标不治本。VIP用户和普通用户竞争，无法保证优先级及VIP用户的有效接入。EDCA(Enhanced Distributed Channel Access)：增强的分布式信道访问物理网络部署自

30、动化业务策略发放自动化VIP体验保障VIP带宽预留：保障VIP终端的带宽需求VIP用户-会议终端普通用户Wi-Fi 6 AP为VIP预留OFDMA频谱资源20%带宽预留(举例)会议室场景：人员突增，抢占空口资源，无线会议终端的体验下降。随机流动，蜂群式流量会议终端其它办公终端需求&挑战按需预留：当AP无VIP用户时，不会预留仅为VIP用户预留足够多的资源定义谁是VIP用户定义VIP用户的带宽预留比例物理网络部署自动化业务策略发放自动化数字化转型的趋势及挑战华为智简园区整体方案介绍iMaster NCE-Campus应用场景 -建设自动化 -简单业务园区 -多业务园区 -多分支互联商用案例背景信

31、息承载业务区域众多，网络复杂科研巨构医学化工文科楼宇学生、家属生活区Source: 百度组网多样复杂，一网多用，网络如何自动化发放？西安交通大学：新校区需承载多种业务，网络需自动化发放和快速调整多业务网络共存：教学办公业务网络运营收费业务网络（家属、宿舍）商住用户（企业业务承载和租赁）学生一卡通网络资产管理网络（价值超过40万等专业大型设备）物联网专网（园区能源、设施、门禁门锁、饮食）2017年入选国家”双一流“建设高校名单“985工程”重点建设的首批九所大学之一“211工程”重点建设的首批七所大学之一iMaster NCE-Campus 多业务园区自动化方案物理网络部署自动化通过极简开局及L

32、AN网络即插即用实现自动化；虚拟网络开通自动化通过NCE-Campus，web页面集中部署，软件定义虚拟网络；业务策略发放自动化业务随行，通过NCE-Campus，软件定义网络策略一套物理网络承载多业务，逻辑隔离，节省成本效率提升，分钟级完成网络调整1套一网多用5分钟快速调整3步部署完成3步配置部署虚拟网络Netconf/Yang虚拟监控网虚拟物联网虚拟办公网策略联动策略执行点接入控制点 汇聚交换机作为Fabric Edge汇聚和接入交换机策略联动，无须改造接入层设备 随板AC作为Fabric Edge无须AP支持VXLAN协议，可以利旧AP 接入交换机作为Fabric EdgeEdge随板A

33、CBorderFabric Edge接入交换机Edge汇聚交换机备注：根据L3网关的位置不同分为集中式网关和分布式网关两种方案VXLANVLAN单Border组网的部署方式虚拟网络开通自动化业务策略发放自动化物理网络部署自动化一网多用策略联动策略执行点接入控制点EdgeBorderFabric EdgeEdge汇聚交换机VXLANUnified Virtual FabricVLAN接入交换机采用第三方设备，端口隔离无线AP和AC采用第三方设备，通过静态部署进入Fabric，需本地转发第三方AC透传节点采用第三方设备路由器和防火墙支持第三方设备除了Border和Edge，其它设备均支持采用第三方

34、设备对第三方设备的兼容虚拟网络开通自动化业务策略发放自动化物理网络部署自动化VxLAN组网优化：多Border灵活组网，满足不同场景需求Edge-1Edge-2DCInternetVxLANBorder2Border1Edge-1Edge-2InternetVxLANBorder2Border1规格：支持分布式网关组网，Border数量最大8个Edge-1Edge-2InternetInternetVxLANBorder2Border1L3分支1分支2场景1：单园区，多个Border接相同网络，实现出口冗余。典型客户：单园区多Border接相同网络，实现非堆叠场景下的可靠性场景2：单园区，多个

35、Border接不同网络，实现不同业务不同Border。典型客户：单园区核心设备有不同外部互联出口，核心环形组网，分别有独立外部互联出口场景3：多园区，多个Border接不同网络，实现各分支独立Border出口。典型客户：多园区，核心设备有不同外部互联出口，多分支一个Fabric网络，每分支有独立出口。虚拟网络开通自动化业务策略发放自动化物理网络部署自动化V300R20C00增强As IsTo BeBorderEdge汇聚交换机VXLANReceiverReceiverReceiverMulticastSourceBorderEdge汇聚交换机VXLANReceiverReceiverRecei

36、verMulticastSource报文在网络中广播，不需要接收的用户也会收到发送的数据，造成信息泛滥和信息安全性问题，节点带宽压力大，易阻塞。引入组播后，信息只发送给指定的接收者，减少无效复制和转发，保证网络带宽被有效利用。不支持组播Over VXLAN，组播流量泛洪。支持组播Over VXLAN，按需转发。提供组播 over VxLAN功能，减少网络压力虚拟网络开通自动化业务策略发放自动化物理网络部署自动化V300R20C00新增组播部署场景场景按组播源位置关键配置转发类型1组播源在虚拟网络外IGMP Snooping二层组播2组播源直连Border设备IGMP Snooping，IGMP

37、查询器二层组播3组播源直连Edge/Access设备IGMP Snooping，IGMP查询器二层组播BorderEdge汇聚交换机VXLANSource2ReceiverReceiverReceiverMulticastSourc1Source3ReceiverReceiver应用场景方案价值减少VXLAN网络中广播流量，减轻设备性能压力节省VXLAN网络的带宽保证部署在VXLAN网络中IP组播业务的服务质量大型企业中应用视频或者广播系统，如IPTV、语音广播等；方案约束只支持二层组播。组播源在虚拟网络内部时需要配置IGMP查询器虚拟网络开通自动化业务策略发放自动化物理网络部署自动化V300

38、R20C00新增Overlay VXLAN隧道动态创建：BGP-EVPN通过在VTEP之间交换BGP EVPN路由实现VTEP的自动发现、主机信息相互通告问题1：N个节点需要创建N(N-1)/2条隧道，静态配置工作量很大VXLAN隧道问题2：通过数据流量泛洪来同步主机信息，造成大量流量泛洪VXLAN报文泛洪VTEP A用户A用户B用户A访问用户B，VTEP A要进行流量泛洪来寻找用户B所属VTEP控制面BGP-EVPN数据面VXLANType2路由MAC/IP路由Type3路由Inclusive Multicast路由Type5路由IP前缀路由主机MAC地址/ARP/IP路由通告互相传递二层V

39、NI和VTEP IP地址信息，用于VTEP的自动发现和VXLAN隧道的动态建立主机MAC地址/ARP/IP路由通告，VXLAN网络中的主机访问外部网络3种主要的控制面路由类型的作用：As IsTo Be没有控制面，通过静态配置或数量流量泛洪来通告主机路由虚拟网络开通自动化业务策略发放自动化物理网络部署自动化创建虚拟网络VxLANVN1VN2VNnStep1VN设置:网关位置、外部网络，子网创建VNStep2有线接入：业务接入类型、认证方式、授权Step3无线接入：站点、设备VN 1VN nVN 2虚拟网络开通自动化业务策略发放自动化物理网络部署自动化业务逻辑隔离策略 VN xxxxxx组3xx

40、x组2专网InternetVN xxxInternet敏感数据策略整体分为两层：第一层是VN网络间隔离，各个VN间不能互访，由Border节点交换机或防火墙负责策略执行；第二层是VN内不同用户网络权限通过用户组进行划分，不同用户组访问权限不同，不同用户组之间可设置互访或不互访，由edge汇聚节点交换机负责策略执行。FabricSWSW第二层策略执行第一层策略执行敏感数据xxx组1部门1部门2虚拟网络开通自动化业务策略发放自动化物理网络部署自动化多业务逻辑隔离NetworkAdmin185某用户认证上线2发放虚拟网络(和VLAN/DHCP/静态路由等35802.1x 认证通知接入交换机下发授权V

41、LAN，允许用户通信打开802.1x 认证端口，下发授权VLAN，用户正式上线通信。9基于安全组做策略控制创建虚拟网络与子网创建安全组及对应组策略EdgeBorder4发放安全组和安全组策略6Radius认证7通知认证通过(携带安全组、授权VLAN等相关信息)10虚拟网络开通自动化业务策略发放自动化物理网络部署自动化虚拟网络用户接入认证过程数字化转型的趋势及挑战华为智简园区整体方案介绍iMaster NCE-Campus应用场景 -建设自动化 -简单业务园区 -多业务园区 -多分支互联园区商用案例背景信息LANWAN共存门店众多，无线、VPN共存：全国有100+家以上无人金融网点Source:

42、 Brand Finance多分支互联，管理分离，业务调整如何统一？中国建设银行：多分支业务分离管理，网络业务需统一发放和调整多分支网络管理：分支网点内有供设备连接的有线网络及智能设备（如机器人）的无线网络分支网点内还需要有供各分支连接总部的VPN网络部署有AR、AP、POE交换机等多种设备，部署两套管理平台，管理不便，调整不便2018世界品牌500强，排名第31位100+2019年中国品牌发展指数100榜单,排名第25位iMaster NCE-Campus 多园区互联自动化方案分支站点总部物理网络部署自动化通过邮件开局、DHCP开局快速完成物理网络部署；业务策略发放自动化4步完成LAN-WA

43、N业务发放，自动化部署，分钟级上线；端到端应用级管控及Qos保障，应用级智能选路界面融合，配置端到端拉通，提升管理体验服务器从6台降为4台，统一安装部署，节省部署成本1套管理平台1/3成本降低管理效率提升200%2倍效率提升WAN互联类型WAN互联设备应用场景能力IPSec VPN基础互联AR、FW提升数据传输安全性，在分支和总部对端设备之间建立IPSec VPN，加密方式传输关键数据FullMesh/HubSpoke组网第三方设备站点对接智能选路：丢包、时延（仅FW支持智能选路）SD-WAN（EVPN）高级互联AR分支和总部间多网络出口，多链路互联支持BGP-EVPN，FullMesh/Hu

44、bSpoke，多Area域优化；智能选路：丢包、时延、抖动（基于应用、五元组）访问控制、QOS（基于应用、五元组）分支站点总部IPSec VPNIPSec VPN总部分支站点MPLSInternetInternet多园区互联融合典型场景出口网关（AR）邮件开局离线配置：管理员设备离线配置；开局邮件：控制器发送邮件至开局人员邮箱，邮件的URL中包含开局信息等；现场开局：开局人员通过笔记本或手机连接设备，点击开局URL，URL中携带的开局信息自动配置到设备；注册纳管： 设备注册上线并纳管， 后续配置通过控制器下发，如DHCP服务器Option148配置。LAN侧设备DHCP开局获取注册信息：通过D

45、HCP模式，向出口网关申请IP地址，出口网关分配IP地址，通过Option148获取控制器地址信息信息。注册纳管：设备（AP/SW）根据域名向控制器发起连接请求（携带证书），完成注册上线并纳管，后续通过控制器下发业务配置。（出口网关）123456物理网络部署自动化业务策略发放自动化自动化部署，设备分钟级上线LAN-WAN极简部署WAN出口互联LAN园区配置LAN-WAN接口路由WAN流量策略，如智能选路等LAN-WAN操作配置，4步完成物理网络部署自动化业务策略发放自动化应用管控及Qos保障在AP侧设置应用管控策略，设置不同应用的带宽策略、 DSCP标记DSCP、 Car限速 。在防火墙侧设置

46、应用管控策略，设置不同应用的带宽策略、DSCP、队列优先级（可选） ；在出口网关AR侧根据不同应用设置不同的链路保障，高优先级应用优先保障，如设置带宽策略、DSCP、队列优先级等；样例：在AP侧设置eSpace的DSCP为46，优先保证，出口网关AR侧设置eSpace应用使用MPLS链路并保证优先级。应用识别能力：AP：140+、AR：1600+、FW：6000+总部分支站点123物理网络部署自动化业务策略发放自动化端到端业务保障，应用级管控端到端业务保障4321VOIP Flow4321VOIP Flow分支总部链路故障/SLA降低动态路径调整43214321VOIP FlowFTP Flow43214321VOIP FlowFTP Flow总部432143214321VOIP Flow4321VOIP Flow分支总部（链路或应用）带宽占用率超限/剩余带宽不足50M30M80%4321432143214321