智慧园区网解决方案

智慧园区网解决方案传统园区如何实现移动安全汇聚接入0000用户移动，传统区域安全防护失效用户移动，IP变更，如何实现审计到人部门搬迁、工位调整需要不断的调整网络传统园区多业务隔离网络物理专网VPNCVPNBVPNAVPNCVPNBVPNA办公区研发区MPLS+VLAN虚拟园区网多业务隔离左右为难物理专网：重复建设，投资浪费VLAN隔离：强度不够，场景受限MPLS专网：技术复杂，运维困难数字化时代，园区物联终端激增智慧楼宇智慧楼宇智慧建筑智慧园区智慧城市物联网是构建数字化智慧园区的基础-20152016201720182019202020212022202320242025AP-20152016201720182019202020212022202320242025APCEMALANorthAmericaWE80,000,000,00070,000,000,00060,000,000,00050,000,000,00040,000,000,00030,000,000,00020,000,000,00010,000,000,000越来越多的物联终端如何高效、安全的接入园区网络？传统园区面临复杂运维业务类型越来越多网络规模越来越大业务类型越来越多各类病毒威胁访问控制复杂各类病毒威胁设备故障替换、配置还原压力超大ADCampus方案架构 第三方应用、业务应用系统语音、视频；端口、IP地址，RESTful接口运维诊断APP基于SDN基于SDN的网络驱动器南向标准协议（南向标准协议（SNMP/MIB,openflow、BGPNETCONF......）VXLAN网络VXLAN网络《:控制层设计—SDN控制器VxlantunnelVxlantunnelVxlantunnelVxlantunnel校园B校园A运维诊断APP策略定义APP用户管理APP终端管理APP资源分配APP网络编排APP其他APPSDN控制器：南向标准协议（SNMP、Netconf等）校园B校园A物理承载网络lSDN控制器对网络进行抽象以屏蔽lSDN控制器对所有网络设备集中编lSDN控制器通过业务或控制APP自动网络层设计—OverlayjjVxlantunnelOverlay网络VxlantunnelOverlay网络VTEPVTEP1骨干网络VTEP2P客户端数据中心物理承载网络lOverlay网络中不同VTEP之间通过Vxlantunnel打通大2层直连网络lOverlay网络中通过不同Vxlan进行业务隔离lOverlay网络可以实现园区用户或业务与网络位置解耦lOverlay网络可以跨三层网络拉通多个园区，中间网络无关位置解耦合柔性网络+0用户位置变更、终端任意部署、网络管理策略随动资源随动安全资源安全策略隔离通道策略随动资源随动安全资源安全策略隔离通道IP地址与网络位置解耦0000IP位址分离，实现IP可在任意位置接入、包括跨园区基于角色的IP地址分配方式010.10.1000市场部/16是研发部/24是财务部/24是监控设备/24否/24否基于角色的IP地址分配方式IP≠用户IP≠用户网段≠业务包括精准溯源、流量限速等针对视频监控、一卡通、研究生等直接通过IP网段识别IP=用户IP=用户网段=业务IP地址潮汐问题解决、终端数量变动带来地址池问题34…策略随行，隔离通道动态跟随DirectorVxLAN100VxLAN100VxLAN100VxLAN100VxLAN100VxLAN100VxLANFabricVxLAN100 0000业务隔离：更优的虚拟专网基于业务的网络切片：基于业务的网络切片：实现每专用业务一个逻辑连接智能设备专网智能设备专网物理专网：重复建设，投资浪费MPLS专网：技术复杂，运维困难办公专网办公专网生产专网终端/用户与位置解耦 ABBA ABBA网随人动的通道隔离方案园区控制器园区控制器主主RRABAB业务隔离点ABAB业务隔离点ACL/VRFlIP地址、隔离通道、访问策略随动用户l与位置无关，与终端无关、与接入方式无关、与中间网络无关拿备RR主RR拿VTEP节点拿备RR主RR拿VTEP节点多园区统一组网，统一用户、统一IP分配、统一网络策略WAN分支NVTEP节点WAN分支NVTEP节点主园区无差别VPN接入VPNVPN网关VPN网关性能高、运行简单可靠、适于大型局域网的远程互联远程接入(Remote-Access)：接入灵活，使用方便，成本低，适于远程主机直接接入系统网络终端支持：云桌面（瘦客户端）数据中心数据中心桌面分发控制服务器部署在数据中心公共区桌面分发控制服务器部署在数据中心公共区 服务资源池区网络管理内网络管理内网云桌面物联网外网云桌面安全设备控制瘦客户端网段仅能访问公共区的桌面分发控制服务器瘦客户端部署在园区公共区；该区与园区其它区通过VRF进行安全设备控制瘦客户端网段仅能访问公共区的桌面分发控制服务器瘦客户端部署在园区公共区；该区与园区其它区通过VRF进行瘦客户端进行MAC认证，下发园区访问规则仅能访问桌面分发控链路链路流控SSL联通流控SSL联通瘦客户端技术中心区机车事业部仪表楼打印机T卡瘦客户端技术中心区机车事业部仪表楼打印机T卡通电气分公司转架事业部电气分公司转架事业部仪表楼机车事业部技术中心区电气分公司转架事业部仪表楼机车事业部技术中心区l所有帐号，默认最大绑定一个IP。绑定多终端，其实是指最大允许多个绑定的IP同时在线l如果帐号最大在线IP未达到绑定上限个数，允许新终端接入和绑定，并挤占非在线用户的绑定IPl如果帐号对应的在线用户数已经达到上限，使用该帐号的新用户不允许接入l在绑定过程中，EIA和dhcpserveragent交互，实时刷新DHCPserver上的绑定关系，确保正确绑定终端支持：单终端多帐号(公共机场景)l用户即使在公共机上，也能获得自己所属角色的绑定IP，和在专属机器上的体验一致l对于公共机来说，不同用户切换，公共机的所属安全组不停切换，绑定IP不停切换l通过EIA和后台dhcpserver的交互，完成对绑定表项的刷新监控终端/24一卡通终端/24打印机/16接入位置：LSW-S5130终端接入情况IP地址使用情况地址冲突位置可视有线无线统一部署、网随人动------------->控制流量数据流量CAPWAP解封CAPWAP解封POEPOEPOEPOEPOEPOEPOEPOECAPWAP封装nAP集中/本地转发，AC只负责针对AP的控制报文n通过无线承载网络位址分离，保障无线终端的跨三层漫游降低AC的表项与性能要求，满足802.11acwave2时代无线高带宽接入，流量不迂回用户接入网络不再区分接入方式是有线网还是无线网，基于用户角色统一策略AP流量本地转发和有线统一，迎合园区流量从有线为主到无线趋势的过渡有线无线终端用户/IP统一分配，策略执行点统一一键部署一键下发任意位置部署一劳永逸可视化一键部署一键下发任意位置部署一劳永逸可视化免现场运维故障替换所见即所得行为审计 软件安装一键静默安装地址规划设备上线全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离标准化设备自动化—三份配置打天下VTEPAVTEPAVTEPCVTEPBAccess1Access3Access1Access3Access2分布式网关：每个均是其下挂主机的网关，所有VTEP对网络中的一个VNI具有相同的虚拟网关IP地址和虚拟MAC地址三份配置打天下：整个网络分为3个层级（Spine层、Leaf层、Access层），每层设备只维护1套配置，维护“三台”设备即维护了全网设备TFTPSpineLeafAccessSpineLeafAccess0ACAP扫描APP高效录入设备信息序列号序列号标签状态Spine/Leaf/Access三号楼1楼核心2台汇聚30台接入600台632份配置文件600个现场配置点632份配置文件600个现场配置点上线周期预计3-4周3份配置文件1个现场配置点3份配置文件1个现场配置点上线周期预计2-3天节省时间现场配置点节省时间现场配置点.muw.muw设备自动化—网络弹性扩展汇聚汇聚汇聚接入接入接入接入网络弹性扩展：设备自动上线、业务策略配置自动扩散控制器软件一键静默安装Director+DHCP+WSM+EIA+Licensel控制器采用最简形态，Director+WSM+EIA+License一个软件包l一键安装所有组件及DHCP在一台Server或一台PC上l安装时间由原先的1天缩短到30分钟左右，整个安装过程不需要人工干预，让交付更简单汇聚接入接入接入应用场景：高校校园网、教育城域网、大型企业等安装一键静默安装接入设备设备上线标准化可视化免现场运维安装一键静默安装接入设备设备上线标准化可视化免现场运维故障替换所见即所得行为审计一劳永逸地址规划全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离一键部署一键下发任意位置部署一劳永逸的IP地址规划Access层每端口每VLAN，隔离广播Leaf层每个VLAN对应一个AC口，AC口默认隔离Leaf层采用分布式网关，具备广播抑制、ARP代答业务一键部署，消灭命令行鼠标拖拽策略模板鼠标拖拽策略模板组间策略自动下发用户策略配置，界面更友好一个页面完成接入组、安全组、二层网络域、VPN及组间策略配置，不需要在多个页面查找配置•安防人员确定安装位置•安防人员与IT管理人员沟通，获取摄像头IP地址•设置此IP到摄像头，形成IP与位置的对应关系•搜集摄像头MAC地址，控制器纳管•IT管理人员为每个摄像头创建MAC账号安装一键静默安装接入设备设备上线标准化一键部署一键下发任意位置部署一劳永逸地址规划安装一键静默安装接入设备设备上线标准化一键部署一键下发任意位置部署一劳永逸地址规划故障替换行为审计所见即所得全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离可视化免现场运维异型设备替换即插即用异型设备替换即插即用异型设备替换即插即用异型设备替换即插即用汇聚接入接入设备故障替换即插即用：设备自动上线、策略自动复制免现场运维还原出厂设置or更换设备完成自我修复，恢复网络部署与上线还原出厂设置or更换设备完成自我修复，恢复网络部署与上线wr取自身IP地址，同时获取SDN控制器地址；2.设备从SDN控制下载3.SDN控制器纳管此设备，自动进行业务配置。wr（死机、误操作、端口），准协议如：SNMP、设备加载业务配置即可自动恢复网络。扑结构图，分析设备状态与业务流量，可快速定位故障原因和故障设设备加载业务配置即可自动恢复网络。ll偏远分支园区网络运维力量薄弱，无需因一个小问题而派遣专业人员出差，降低工作难度l5-10分钟完成自动化部署，无需专业人员操作，普通员工即可适用场景：如教育城域网、电网变电站、油田油井、医院社区医疗等存在大量分支园区但运维力量薄弱的场景故障排除可视化—雷达探测控制区控制区雷达探测Director给每个网络节点发送探测报文，若没有收到反馈报文则告警实时告警安装一键静默安装接入设备设备上线标准化安装一键静默安装接入设备设备上线标准化一键部署一键下发任意位置部署一劳永逸地址规划可视化免现场运维故障替换全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离所见即所得行为审计基于角色的用户行为审计过去：行为审计设备基于IP地址进行审计，然后再根据IP地址反查用户现在：认证系统（EIA）和行为审计设备（ACG）联动，直接可以审计到用户传统园区需要在交换机上配置ACL，在防火墙上封端口，逐台进行手工配置，工作量大、效率低在控制器DR2000中通过图形化界面拖拽方式，一键部署全网端口隔离策略传统园区物联终端准入模型和痛点打印机、一卡通、视频摄像头等哑终端无法通过1x或者弹出基于端口和MAC的绑定操作复杂私接入网、终端不可见性系统被攻击、数据被篡改的风险物联终端准入安全需求智能识别网络能够自动感知终端上线；控制器自动识别终端类型，并根据业务类型自动分类。安全隔离终端根据业务类型自动进入隔离通道，不同业务类型的物联终端能够安全隔精细监控终端在线过程中能够进行精细化监控，防止异常仿冒、从而保护业务和数据安全性。物联终端智能识别Option55字段Agent字段终端厂商和型号终端操作系统类型和终端使用的浏览器等HttpUser-Agent：1249条物联终端自动分类MACOUI终端分类MACOUI终端分类适用于同种类型，同厂家（MAC连续）业务IP网段终端分类业务IP网段终端分类+-适用于哑终和智能终端配置静态IP地址的场景，不同终端类型属于相同业务分组的情况操作系统终端类型厂商操作系统终端类型厂商终端分类 适用于采用DHCP的哑终端或者智能终端，对安全要求较低，不愿意采用认证的场景，如企业VIP用户，云桌面的瘦终端等相应的acces