版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
H3CADCampus解决方案---应用驱动的园区网方案搬家的故事僵化的网络VS快速迁移的需求一个制造业IT运维人员的烦恼市场财务生产简单的业务需求VS复杂的访问控制主管园区网还会有哪些挑战?移动化有线无线策略、转发融合的挑战移动的用户和静态的安全策略的挑战用户快速移动时如何审计到人园区网还会有哪些挑战?物联网大量不同类型的终端,如何保障可信接入业务的快速识别与质量保障管道的安全与业务的隔离的挑战园区网还会有哪些挑战?运维人力:IT承载企业创新,但现网运维占据太多时间能力:由网络连接转向业务性能运维时,需要运维人员具备全业务能力:网络、服务器、数据库、业务系统等ADCampus业务驱动的园区网极简柔性位址分离/名址绑定策略随行、业务按需交付开放网络自动化统一网络最终目标:对设备无命令行的手工配置,自动化最终目标:业务部署(应用/终端)与位置无关;开放汇聚接入SDN控制器VXLAN方案基本思路-转发核心VXLANVLANVLANVLAN10VXLAN10VLAN20VXLAN20策略执行点RR汇聚接入SDN控制器VXLAN方案基本思路-控制核心VXLANVLANVLANRRMP-BGP柔性位址分离@IP地址与位置解耦合AC汇聚接入核心传统网管ACOverlay传统方式的问题:IP地址规划复杂/业务识别复杂用户的IP地址变化,不绑定新方案的特色和优势:IP地址规划简单业务识别简单,基于最基本的IP即可定义业务(摄像头)SDN控制器10.10.1.1010.10.1.2010.11.1.1010.11.1.2010.10.1.1010.10.1.20传统网络ADCampus网络10.10.0.0/16网段10.11.0.0/16网段名址绑定@基于用户名的IP分配园区出口核心交换机用户认证点交换机SDN控制器DHCP用户名用户组所属VLANIP组A财务Vlan10I网段B市场Vlan20II网段C监控Vlan30III网段……………………如上:前期针对用户做好IP策略规划1.用户首次认证成功上线分配VLAN2.根据VLAN绑定地址池DHCP获取IP3.控制器通知DHCP服务器完成用户名与已分配IP的绑定4.用户后续第二次上线,也是先认证,下发业务vlan。5.终端通过dhcp申请地址,由于之前地址已经设置过绑定,只能申请到固定的地址,形成绑定针对视频终端等设备,可采用MAC认证的方式,实现基于业务的IP分配可实现用户与IP绑定,也可实现用户组与IP组绑定LANWAN名址绑定的价值用户&业务IP业务识别简单,无需复杂设备,基于最基本的IP即可定义业务用户审计方便,审计到IP即审计到用户IP地址分配更清晰,非常适合业务部门自行分配IP情况全网只需一条ACL即可实现业务间的访问控制有线、无线终端可漫游(如:学校刷卡机接入,IP电话接入等策略随行-用户安全分组与位置无关核心汇聚接入接入Overlay核心汇聚接入接入市场部财务部研发部市场组财务组市场部研发组传统组网中一个部门的用户只能位于同一个物理区域ADCampus中一个部门的用户属于同一个用户安全组,可以从网络中的任意位置接入策略随行-流程核心汇聚接入接入Overlay数据中心资源组1资源组2目的组源组策略集中管理:管理员定义安全组以及组间策略策略一键下发,实时生效用户认证上线时根据5W1H进入相应的用户安全组,分配IP并绑定,获得相应的访问权限用户移动后,认证后仍然会进入相同的安全组并获取绑定的IP,访问权限不变Campus
Director√××√×××研发Servers市场Servers公共ServersInternetAccessVIP组PERMITPERMITPERMITPERMIT研发组PERMITDENYPERMITDENY市场组DENYPERMITPERMITPERMIT访客组DENYDENYDENYPERMIT业务按需交付-当前的问题园区出口防火墙防火墙上网管理数据中心IPS防病毒园区出口防火墙上网管理数据中心IPS防病毒传统组网中服务节点串联组网,存在如下问题:性能瓶颈:业务设备性能一般较弱,串联组网时成为瓶颈。难以区分流量:相不相关的流量均流经业务设备。拓扑依赖:新增或删除业务设备时,都需要重新规划、断网切换,对现网影响较大。传统组网中服务节点旁挂组网,存在如下问题:引流配置复杂:需要逐跳的在每个接口上配置策略路由。理解困难:需要分析流量的走向,进出接口,下一跳出接口。服务链技术数据报文在网络中传递时,需要经过各种安全服务节点,提供给用户安全、自定义的网络服务。常见的服务节点(ServiceNode):防火墙(FW)、负载均衡(LB)、入侵检测(IPS)、VPN等。服务链定义:SDN控制器对网络进行逻辑抽象,并实现对业务的灵活自定义编排;业务流量按照控制器的编排顺序经过一组抽象业务功能节点,完成对应业务功能的处理。什么是服务链SDNControllervSwitchvSwitchAPPServiceNodesvSwitchvSwitchWEB服务链业务节点SpineSpineVxLANNetworkLeafLeafLeafLeafLeafVMVMVMVMVMVMVMVMVMVMVMVM安全资源池ADCampus中的ServiceChain园区出口数据中心用户组A用户组B防火墙上网管理业务(Service)按需交付部署与位置无关:服务节点的部署位置不再受限,可集中部署。平滑扩容:服务节点的增加或删除不影响原有网络的拓扑和路由配置简单:管理员在CampusDirector的图形界面编排服务链,Director自动下发引流配置。管理员不用逐跳配置命令行。业务按需交付-解决之道(Future)SDN控制器源目的ACGFW服务链编排业务设备故障流量倒换(Future)防火墙路径定义,自动引流出口审计SDN控制器检测到故障路径重新定义开放网络-基于SDN封闭僵化:应用对网络需求-开发-验证-部署部署
单台配置,复杂,周期长核心汇聚接入接入OverlaySDN控制器3rdAPP3rdAPP核心汇聚接入接入网管开放,可编程灵活/简单3rdAPP或自有APP直接网络验证部署整网配置,简单,周期短封闭的传统网络开放的ADCampus网络极简开局自动化(Fabric自动化建立)核心汇聚接入接入在每一台核心/汇聚交换机上:
创建VRF
配置三层接口、IP地址配置单播路由协议配置组播路由协议在每一台汇聚交换机上:
创建VLAN将VLAN划入VRF
下行口trunk相关的VLAN在每一台接入交换机上:
创建VLAN上行口trunk所有的VLAN核心汇聚接入接入OverlaySDN控制器传统网络基础配置ADCampus基础配置Underlay网络自动化配置:自动获取IP地址
自动确定设备角色核心/汇聚交换机自动使能路由汇聚/接入交换机自动配置互连接口Overlay网络自动化配置:核心/汇聚交换机自动建立隧道
核心/汇聚交换机自动使能地址同步协议耗时:数天耗时:数小时逐台,手工整网,自动统一网络--传统无线接入存在的问题无线ACAP集中转发处理能力是瓶颈转发流量绕行策略控制点分散AP本地跨汇聚交换机实现无线终端的漫游无线ACAP本地转发统一网络--有线无线统一无线本地转发:降低AC性能要求,满足11ac时代无线高带宽接入,流量不迂回统一用户管理:有线用户与无线用户统一使用5W1H来统一划分用户组统一数据转发:AP流量本地转发和有线统一,统一流量监控统一策略执行:有线无线终端用户/IP统一分配,策略执行点统一AP本地转发,AC只负责控制报文通过无线承载网络名址分离,保障无线终端的漫游spineleafAccessAccessVxlan网管运维中心AAA服务器DHCP无线ACSDN控制器统一网络--园区分支统一(future)核心AccessAccessOverlay分支网络无差别接入,无需专门VPN技术,可跨越任意IP网络4-7层服务节点可以和总部共享,减少分支部署成本和管理难度。可统筹全网IP分配,业务隔离策略、保证网络规划的一致性终端IP可实现总部、分支之间漫游VXLANIP通道汇聚接入WAN总部分支1分支2统一网络--业务通道虚拟化业务一物理网络终端分布式GW内置VTEP分布式GW内置VTEP分布式GW内置VTEPvlanWAN业务二分布式GW内置VTEP分布式GW内置VTEP分布式GW内置VTEPvlan10WANvlan20WAN业务二:192.168.1.0/24业务一:192.168.2.0/24统一网络--多业务统一接入Access认证,根据业务角色分配VLAN、分配IP地址映射到相关的VRF以及相应的VXLAN通道Vxlan映射成业务可访问的VLAN资源组业务服务器服务链自动引流进行安全处理端到端安全隔离由于IP按照业务分配,对于隔离要求不高的业务,全网设备可以通过一条共有简单ACL实现隔离总结:ADCampus的价值终端用户网络运维信息中心极致体验极简运维柔性创新柔性演进与创新,面向未来的网络极简运维,智能运维的网络极致体验,体验一致的网络位址分离/名址绑定策略随行业务按需交付开放网络统一网络自动化方案落地ADCampus支持的网络模型技术:IRF2+接入核心两层架构小规模核心汇聚接入接入OverlaySDN控制器核心汇聚接入接入技术:Overlay大规模IRFSDN控制器L3L2L3L2现有网络改造方案汇聚接入核心现有网络园区出口iMC新建ADCampus区CampusDirectorL3VTEPL3VTEPL3VTEPL3VTEPL3L3L3L3ADCampusOverlayL3V
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论