《华为敏捷园区网解决深入分析》由会员分享,可在线阅读,更多相关《华为敏捷园区网解决深入分析(44页珍藏版)》请在金锄头文库上搜索。
1、H3C基础架构解决方案 园区网解决方案工作组 HW敏捷园区网解决方案分析 在园区网方案竞争中 HW给你带来哪些困惑 随板AC 随板Bras 敏捷园区控制器 SDN 质量守恒 IPCA SVF 安全协防 产品竞争止痛 S77 97 12700X1E 随板AC 线卡言过其实 5 根据第2条分析 X1E必须与非X1E单板共存 但非X1E单板MAC ARP FIB NetStream buffer均远远低于X1E 交换机整机表项需同步 所以X1E高规格表项 根本无法发挥真实作用 1 X1E线卡作为随板AC 宣称可以管理4KAP 事实如此吗 整机性能 S7703 S9703 512 S7706 S771
2、2 1024 S9706 S9712 2048 S12708 S12712 4096单块X1E规格仅仅为512个AP 远远低于业界规格 如果考虑AC备份 成本极高 2 X1E线卡最大带宽是88G 而当前主流的交换机线卡带宽为480G 所以X1E不适合作为交换单板使用 需要配置非X1E单板与X1E单板共存 满足正常交换带宽 3 X1E线卡作为随板AC 仅支持无线业务从X1E单板接入 组网复杂 无线必须从接入POE交换开始单独组网 否则无法在X1E接口上区分无线与有线业务 4 X1E线卡作为随板AC 仅支持通过命令行方式配置业务 不支持通过WEB网管配置业务 AP配置异常复杂 每个AP序列号均需录
3、入 通过命令行配置极其繁琐极易出错 S77 97 12700X1E 随板Bas 线卡言过其实 2 X1E线卡作为随板Bras 仅支持PPPoE业务从X1E单板接入 X1E线卡带宽最大为88G 相当于一个低端盒式交换机的带宽 一定会成为网络瓶颈 比如学生内部打游戏 4 X1E线卡作为随板Bras PPPoE业务仅支持单层VLAN接入 不支持QinQ接入 华为在园区网 特别是校园网 一直以 运营网 方式推行方案 对于教职工区 就是运营网络 没有QinQ 如何区分业务 如何定位用户 3 X1E线卡不支持MPLS园区网通过MPLS业务隔离是普遍需求 X1E不支持MPLS如何在园区网使用 1 X1E线卡
4、作为随板Bras 宣称整机支持64K用户数量 是否适合所有机型 华为64K用户 特指PPPOE用户 具体整机规格 S7703 S9703 8KS7706 S7712 16KS9706 S9712 32KS12708 S12712 64K 所以X1E每块单板PPPOE规格为8K 如果要满足64K用户 必须是127 并且需配置8块X1E单板 同时还需考虑备份 此方案成本极高 S77 97 12700X1E线卡大量功能缺失 MPLS GRE SFLOW 用户自定义ACL 组播VPN VLL 华为的license都配置了吗 基础特性 需授权 MPLSIPV6NQA流量分析 FW板卡 未授权状态 虚拟防
5、火墙 10 SSLVPN并发 100 FW板卡 授权 ET1D2FW00S0 1 max 500 ET1D2FW00S02 max 1000 SSLVPNmax 5000个 IPS 未授权状态 文件类型过滤内容过滤应用行为控制邮件内容过滤审计功能国密算法 SM2 SM3 SM4 IPS 授权 入侵防御反病毒URL远程查询 XIE单板 未授权 IPV4FIB256KIPV6FIB128KPPPOE用户256个WLANAP16个 XIE单板 授权 IPV4FIB max S7703 S9703 256KS7706 S7712 512KS9706 S9712 1MS12708 S12712 3MIP
6、V6FIB max S7703 S9703 128KS7706 S7712 256KS9706 S9712 464KS12708 S12712 464KPPPOE max S7703 S9703 8KS7706 S7712 16KS9706 S9712 32KS12708 S12712 64KAP max S7703 S9703 512S7706 S7712 1024S9706 S9712 2048S12708 S12712 4096 机框出现故障 FW IPSlicense必须重新申请 无法满足紧急故障处理要求 敏捷园区网方案解密 本篇你能了解到的 1 何为华为敏捷园区网方案 到底是质的飞跃
7、还是又一次概念的包装 2 华为宣称敏捷园区网的5大亮点解析 何为安全协防方案 何为有线无线深度融合方案 IRF3VSSVF 质量守恒 IPCA 是否无所不能 CampusAgileController到底为何物 华为敏捷园区网解决方案 华为认为敏捷园区网与传统园区网的三大改变 1 SDN引入园区网 2 敏捷交换机替代传统交换机 3 安全能力池化 华为敏捷园区网的亮点和价值 业务随行 自由移动新体验 集中控制用户策略 用户权限 优先级 带宽 包括园区 分支接入 移动接入 全网安全协防 从单点防护进入全网防护年代 可以发现任意位置的安全侵入事件 彻底解决了移动环境下存在大量安全威胁点 单点安全无法
8、防护的问题 有线无线深度融合 让运维管理不再繁琐 通过融合AC 有线无线流量可以统一转发 通过超级虚拟交换网技术SVF 创新性地将盒式接入交换机和AP分别虚拟为核心 汇聚框式交换机的板卡和端口 管理一个网络就像管理一台交换机一样简单 通过融合用户认证和管理功能 为有线无线用户提供统一认证和接入策略控制 管理员可以获得一致的用户管理体验 质量感知 第一次让IP感知质量 包守恒算法iPCA 全可编程 一机双平面 第一次实现SDN在园区网络直接部署 基于华为自研的具备全可编程的ENP芯片 使设备的转发功能具备向未来标准演进的能力 可以直接通过Controller来自定义设备的转发行为 大大缩减了新功
9、能和新业务的上线时间 从根本上具备了让网络实现软件定义的能力 业务随行 第一次把网络资源跟人关联起来 让网络资源自动跟随人移动 第一次让网络变得人性化 让上班族获得自由 华为敏捷园区网解决方案亮点1 业务随行 移动接入 业务随行 移动接入 Agilecontroller可以操作用户 位置信息 这个太神奇了 我们看看Openflow1 3十元组 好像没有USERXXX信息 好像也没有LocationXXX信息 Esight Esight 策略随行 集中式策略 组间精细控制 对应我司EIA 业务随行 自由移动新体验 小结 类似HWBYOD方案 不同用户 不同地点 不同访问权限 AglieContr
10、oller 好像是Esight 全网安全协防 从单点防护进入全网防护年代 华为敏捷园区网解决方案亮点2 全网安全协防 全网安全协防 实现安全协防的Controller 设备Manager Controller实际就是SOC 看看我司安全联动方案 安全管理中心 AAA EAD 1 黑客攻击事件 3 单事件响应 下发策略 自动或手动 防火墙限连接 限应用 IPS限流 4 下线或隔离用户 隔离或下线 黑名单 Servers IPS ACG FW 接入 1 黑客攻击事件 2 事件升告警 并基于告警下发联动动作策 小结 AglieController 好像是soc 全网安全协防 从单点防护进入全网防护年
11、代 抄袭我司方案 有线无线深度融合 融合了转发 融合了管理 融合了策略控制 让企业无线网络的部署变得前所未有的简洁 极致简化园区有线无线网络的运维管理工作 华为敏捷园区网解决方案亮点3 有线无线深度融合 有线无线深度融合 让运维管理不再繁琐 华为认为 11AC时代AC的转发能力不足 AC与交换机融合 利用交换机Tbit转发性能弥补AC性能 可以吗 前面在进行产品分析时 随板AC已经分析 基本不可用 SVF架构 SuperVirtualFabric Capwap隧道 Capwap隧道 Capwap隧道 小结 SVFVSIRF3 SVF实际上通过Capwap协议对有线接入交换机与无线AP实现统一管
12、理 在配置上形成集中 有线无线在一个巨大Campus网络下仅仅需要维护一份配置 这种方式存在以下几个问题 1 Capwap管理配置不适合有线 原因如下 capwap的模式分为三级 全局配置 分组配置 组员配置这种配置管理方式是典型的无线AP管理方式 因为AP的配置按照分组来配置 配置基本相同 如果接入有线交换机也如此配置 配置量是非常大的 维护起来极为不方便 2 Capwap隧道必须依靠芯片转发 对芯片要求高 目前X1E的性能最高为88G 有线无线同时转发 存在严重性能瓶颈 而采用本地转发又会丢失很多无线特性 3 SVF无法解决传统网络问题 二层环路 三层设备无法工作AA模式 质量感知 第一次
13、让IP感知质量 华为敏捷园区网解决方案亮点4 质量感知 质量感知IPCA IPCA 进入系统的包 内部产生的包 离开系统的包 内部吸收的包 IPCA的工作场景 设备级监控 1 利用IPCA监控ENP单板故障2 利用ENP包围方式监控交换网故障 3 非ENP单板无法监控故障 1 整网均为华为敏捷系列 使能IPCA即可监控 2 目前华为敏捷系列交换机为S127 S97 S93 S77 57 USG6000 并非全系列款型 IPCA的工作场景 网络级监控 敏捷系列 敏捷系列 敏捷系列 非敏捷 非华为设备 1 通过包围方式监控非华为 非敏捷设备 2 组网局限性 非华为设备必须只能与敏捷系列连接 敏捷系
14、列 敏捷系列 敏捷系列 敏捷系列 利用敏捷系列监控广域网链路监控似乎是不错的方案 前提是所有广域网设备都是ENP 小结 从算法上来了解IPCA的局限性 华为IPCA网络级丢包统计基于IPFPM 灵活包匹配 实现 IPFPM是一种可以实现对点到点网络或者多点到多点网络中业务流进行直接测量 得到丢包率 丢包数量等性能指标的统计方法 1 FPM不支持组播数据包的检测 2 FPM不支持隧道接口和MPLS接口 3 FPM不能执行IP包的分片或者TCP流的重组 4 FPM不能使用IP选项来对数据包进行分类 5 FPM是一种无状态不能缓解网络攻击 因为缓解攻击是需要有状态的数据包分类 因为FPM是无状态的
15、所以它不能跟踪由协议控制的自协商的端口号 换句话说 如果需要使用FPM技术 那么必须手工的定义端口号 6 FPM检测只对IPv4的单播数据包有效 IPCA技术虽好 但使用局限性太多 CampusAgileControle到底为何物 Esight SOC SDNController CampusAgileController详解 1 华为敏捷控制器AgileController是什么 2 华为敏捷控制器剖析 以业务体验为中心重新定义网络 基于全网视角的安全协防 产品开放合作能力 华为敏捷控制器是什么 华为敏捷控制器是什么 是eSight的包装吗 1 AgileController与eSight完
16、全不同界面风格 2 AgileController与eSight的授权模式完全不同 3 AgileController与eSight的功能有所不同 AgileController不是eSight的包装 是PolicyCenter 来自于华赛 华为敏捷控制器是什么 有哪些功能 相当于我司EIA EIP 华为敏捷控制器是什么 有哪些功能 后文深度剖析 华为敏捷控制器是什么 有哪些功能 EAD 行为审计 SSM功能类似 华为敏捷控制器是什么 业务编排 重点功能剖析 一 华为敏捷控制器是什么 业务编排 重点功能剖析 二 GRE隧道 核心交换 编排设备 与业务设备建立GRE隧道 在交换与安全设备之间建立GRE隧道 实现是业务分流 是很高明的做法吗 交换机GRE隧道规格 多路径 等问题如何处理 华为敏捷控制器是什么 业务随行 重点功能剖析 业务随行解决的问题 1 在园区网不同位置接入网络访问权限无法保持一致2 VIP用户的网络带宽无法得到保证的问题 业务随行两个关键对象 安全组 安全组 区分不同的安全组的目的在于方便管理员控制不同的安全组之间的访问权限 安全组列表最多支持512个安全组 每个安全组
