《华为敏捷园区网项目解决深入分析报告》由会员分享,可在线阅读,更多相关《华为敏捷园区网项目解决深入分析报告(45页珍藏版)》请在金锄头文库上搜索。
1、H3C基础架构解决方案 园区网解决方案工作组 HW 敏捷园区网解决方案分析 2 在园区网方案竞争中,HW给你带来哪些困惑? 随板AC随板Bras 敏捷园区控制器 (SDN) 质量守恒(IPCA)SVF 安全协防 3 产品竞争止痛 4 S77/97/12700 X1E(随板AC)线卡言过其实 X1E系列线卡描述线卡带宽 ET1D2G48TX1E 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 48G ET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP) 48G ET1D2S04SX1E 4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百兆/千兆com
2、bo电 接口板(X1E,RJ45/SFP/SFP+) 72G ET1D2S08SX1E 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接 口板(X1E,RJ45/SFP/SFP+) 88G 5、 根据第2条分析,X1E必须与非X1E单板共存,但非X1E单板MAC,ARP,FIB,NetStream,buffer均远 远低于X1E,交换机整机表项需同步,所以X1E高规格表项,根本无法发挥真实作用。 1、X1E线卡作为随板AC,宣称可以管理4K AP?事实如此吗? 整机性能:S7703/S9703:512 、S7706/S7712:1024 、 S9706/S9712
3、:2048 、 S12708/S12712:4096 单块X1E 规格仅仅为512个AP,远远低于业界规格.如果考虑AC备份,成本极高。 2、X1E线卡最大带宽是88G,而当前主流的交换机线卡带宽为480G,所以X1E不适合作为交换单板使用,需要 配置非X1E单板与X1E单板共存,满足正常交换带宽。 3、 X1E线卡作为随板AC ,仅支持无线业务从X1E单板接入。 组网复杂,无线必须从接入POE交换开始单独组网,否则无法在X1E接口上区分无线与有线业务。 4、 X1E线卡作为随板AC ,仅支持通过命令行方式配置业务,不支持通过WEB网管配置业务。 AP配置异常复杂,每个AP序列号均需录入,通过
4、命令行配置极其繁琐极易出错。 5 S77/97/12700 X1E(随板Bas)线卡言过其实 2 、X1E线卡作为随板Bras,仅支持PPPoE业务从X1E单板接入? X1E线卡带宽最大为88G,相当于一个低端盒式交换机的带宽,一定会成为网络瓶颈。比如学生内部打游戏。 X1E系列线卡描述线卡带宽 ET1D2G48TX1E 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 48G ET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP) 48G ET1D2S04SX1E 4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百兆/千兆combo电 接口板(X1E
5、,RJ45/SFP/SFP+) 72G ET1D2S08SX1E 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接 口板(X1E,RJ45/SFP/SFP+) 88G 4、 X1E线卡作为随板Bras ,PPPoE业务仅支持单层VLAN接入,不支持QinQ接入。 华为在园区网,特别是校园网,一直以“运营网”方式推行方案.对于教职工区,就是运营网络,没有QinQ,如 何区分业务,如何定位用户。 3、 X1E线卡不支持MPLS 园区网通过MPLS业务隔离是普遍需求,X1E不支持MPLS 如何在园区网使用? 1 、X1E线卡作为随板Bras,宣称整机支持64K用户数量,
6、是否适合所有机型? 华为64K用户,特指PPPOE用户:具体整机规格:S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64K。所以X1E每块单板PPPOE规格为8K。如果要满足64K用户,必须是127,并且需配置8 块X1E单板,同时还需考虑备份,此方案成本极高。 6 S77/97/12700 X1E线卡大量功能缺失 MPLSGRE SFLOW 用户自定义ACL组播VPN VLL 7 华为的license都配置了吗? 基础特性(需授权) MPLS IPV6 NQA 流量分析 FW板卡(未授权状态 ) 虚拟防火墙(10)
7、SSLVPN 并发(100 ) FW板卡(授权) ET1D2FW00S0/1: max(500) ET1D2FW00S02: max(1000) SSL VPN max(5000个) IPS(未授权状态) 文件类型过滤 内容过滤 应用行为控制 邮件内容过滤 审计功能 国密算法( SM2/SM3/SM4) IPS(授权) 入侵防御 反病毒 URL远程查询 XIE单板(未授权 ) IPV4 FIB 256K IPV6 FIB 128K PPPOE用户 256 个 WLAN AP 16个 XIE单板(授权) IPV4 FIB (max): S7703/S9703:256K S7706/S7712:5
8、12K S9706/S9712:1M S12708/S12712:3M IPV6 FIB (max):S7703/S9703:128K S7706/S7712:256K S9706/S9712:464K S12708/S12712:464K PPPOE (max):S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64K AP(max):S7703/S9703:512 S7706/S7712:1024 S9706/S9712:2048 S12708/S12712:4096 机框出现故障,FW,IPS license必须重新
9、申请,无法满足紧急故障处理要求! 8 敏捷园区网方案解密 9 本篇你能了解到的 1、何为华为敏捷园区网方案?到底是质的飞跃还是又一次概念的包装? 2、华为宣称敏捷园区网的5大亮点解析? n 何为安全协防方案? n 何为有线无线深度融合方案? n IRF3 VS SVF ? n 质量守恒(IPCA)是否无所不能? n Campus Agile Controller到底为何物? 10 华为敏捷园区网解决方案 华为认为敏捷园区网与传 统园区网的三大改变: 1、SDN引入园区网 2、敏捷交换机替代传统交换机 3、安全能力池化 11 华为敏捷园区网的亮点和价值 业务随行,自由移动新体验:集中控制用户策略
10、,用户权限,优先级,带宽,包括园区,分支接入,移动接入; 全网安全协防,从单点防护进入全网防护年代:可以发现任意位置的安全侵入事件,彻底解决了移动环境下存在大 量安全威胁点,单点安全无法防护的问题。 有线无线深度融合,让运维管理不再繁琐:通过融合AC,有线无线流量可以统一转发;通过超级虚拟交换网技术 SVF,创新性地将盒式接入交换机和AP 分别虚拟为核心/ 汇聚框式交换机的板卡和端口,管理一个网络就像管理一 台交换机一样简单;通过融合用户认证和管理功能,为有线无线用户提供统一认证和接入策略控制,管理员可以获 得一致的用户管理体验。 质量感知,第一次让IP 感知质量:包守恒算法iPCA 全可编程
11、&一机双平面,第一次实现SDN 在园区网络直接部署:基于华为自研的具备全可编程的ENP芯片,使设备 的转发功能具备向未来标准演进的能力,可以直接通过Controller 来自定义设备的转发行为,大大缩减了新功能和 新业务的上线时间,从根本上具备了让网络实现软件定义的能力 12 业务随行,第一次把网络资源跟人关联起来,让网 络资源自动跟随人移动,第一次让网络变得人性化 , 让上班族获得自由。 华为敏捷园区网解决方案亮点1业务随行,移动接入 13 业务随行,移动接入 Agile controller 可以操作用户,位置信息,这个太神奇了!我们看看 Openflow 1.3 十元组: 好像没有USE
12、R XXX 信息 好像也没有Location XXX 信息 14 Esight? Esight? 策略随行:集中式策略,组间精细控制 对应我司EIA 15 业务随行,自由移动新体验 小结: 类似HW BYOD方案,不同用户,不同地点,不同访问权限! Aglie Controller: 好像是Esight 16 全网安全协防,从单点防护进入全网防护年代 华为敏捷园区网解决方案亮点2全网安全协防 17 全网安全协防 18 实现安全协防的Controller 设备Manager Controller 实际就是SOC 19 看看我司安全联动方案 安全管理中心 AAA/EAD 1.黑客攻击 事件 3.单
13、事件响应,下发策略(自动或 手动):防火墙限连接;限应用; IPS限流 4. 下线或隔 离用户 限连接 限流 限应用 隔离或下线、 黑名单 ServersIPS ACG FW 接入 1.黑客攻击 事件 2. 事件升告警,并基于告警下发 联动动作策 20 小结: Aglie Controller: 好像是soc 全网安全协防,从单点防护进入全网防护年代:抄袭我司方案 21 有线无线深度融合,融合了转发,融合了管理,融合 了策略控制,让企业无线网络的部署变得前所未有的 简洁,极致简化园区有线无线网络的运维管理工作。 华为敏捷园区网解决方案亮点3有线无线深度融合 22 有线无线深度融合,让运维管理不
14、再繁琐 华为认为,11AC时代AC的转发能力不足,AC与交换机融 合,利用交换机Tbit转发性能弥补AC性能,可以吗? 前面在进行产品分析时,随板AC已经分析,基本不可用! 23 SVF架构(Super VirtualFabric) Capwap 隧道 Capwap 隧道 Capwap 隧道 24 属性技术SVFIRF3 协议CapwapIRF3 技术属性类集群技术网络虚拟化技术 功能配置统一管理简化网络结构 小结:SVF VS IRF3 SVF 实际上通过Capwap协议对有线接入交换机与无线AP实现统一管理,在配置上形成集中,有线无线 在一个巨大Campus网络下仅仅需要维护一份配置。这种
15、方式存在以下几个问题。 1、Capwap管理配置不适合有线。原因如下,capwap的模式分为三级:全局配置 、分组配置 、组员配 置这种配置管理方式是典型的无线AP 管理方式,因为AP的配置按照分组来配置,配置基本相同。如果接入有 线交换机也如此配置,配置量是非常大的,维护起来极为不方便。 2、Capwap 隧道必须依靠芯片转发,对芯片要求高。目前X1E的性能最高为88G,有线无线同时转发 ,存在严重性能瓶颈,而采用本地转发又会丢失很多无线特性。 3、SVF无法解决传统网络问题:二层环路,三层设备无法工作AA模式 25 质量感知,第一次让IP感知质量 华为敏捷园区网解决方案亮点4质量感知 26
16、 质量感知IPCA IPCA:进入系统的包+内部产生的包=离开系统的包+内部吸收的包 27 IPCA的工作场景设备级监控 1、利用IPCA监控ENP 单板故障 2、利用ENP包围方式监控交换网故障 3、非ENP 单板无法监控故障 1、整网均为华为敏捷系列,使能IPCA即可监控 2、目前华为敏捷系列交换机为S127,S97,S93, S77,57,USG 6000,并非全系列款型。 28 IPCA的工作场景网络级监控 敏捷系列 敏捷系列 敏捷系列 非敏捷/非华为设备 1、通过包围方式监控非华为/非敏捷设备 2、组网局限性,非华为设备必须只能与敏捷系列连接 敏捷系列 敏捷系列 敏捷系列 敏捷系列 利用敏捷系列监控广域网链路监控似乎是不错的方案, 前提是所有广域网设备都是ENP 29 小结:从算法上来了解IPCA的局限性 华为IPCA 网络级丢包统计基于IP FPM(灵活包匹配)实现,IP FPM是一种可以实现对点到点网络或者多点到多点网络 中业务流进行直接测量,得到丢包率、丢包
