福建总代、dp培训-敏捷网络

《福建总代、dp培训-敏捷网络》由会员分享，可在线阅读，更多相关《福建总代、dp培训-敏捷网络（46页珍藏版）》请在金锄头文库上搜索。

1、让网络更敏捷地为业务服务 -华为敏捷园区网解决方案 目录 四个故事和一个背景 挑战与解决方案 1 2 敏捷园区网全家福 3 物联网 云计算 大数据 移动化 社交网络 你的网络准备好了吗？ 下一代网络需要什么？ 1.从关注技术、设备和连通，转向关注业务、体验 2.从关注单点，转向关注整网协同 3.从IP尽力而为，转向IP实时感知质量 4.从设备静态手工配置，转向设备动态自动部署 5.网络从硬件定义，转向软件定义 移动性 云计算 大数据 社交网络 物联网 需要网络更敏捷地为业务服务 业务 随行 全网安 全协防 质量 感知 SDN& 平滑演进 有线无线 深度融合 （快速） （灵活） AP 敏捷交换机

2、 敏捷交换机 WAN/Internet eSight 统一管理 NE/AR/SVN AP 交换机 敏捷核心 安全资源中心 融合接入 Campus Controller 敏捷汇聚 敏捷交换机 园区出口 敏捷园区网：第一次把SDN思想引入园区 Campus Controller 全网协同控制 网络资源动态分配 全网安全控制 安全资源动态分配 敏捷交换机 敏捷感知和执行 用户&应用 质量&问题 安全事件 NGFW 分支网 L2 SW AR 分支网 L2 SW AR 互联网接入 目录目录 四个故事和一个背景 挑战与解决方案 1 2 敏捷园区网全家福 3 故事一 一个员工的投诉 一个员工的投诉： 为什么

3、换个办公楼我就访问不了原来的服务器了？ 为什么在北京出差总显示接到独联体俄罗斯去，电话会议根本开不了！ -基于IP的权限控制 -资源占满 业务随行：以用户为中心的业务体验保障 策略随行 体验随身 Beijing Shenzhen Silicon valley Policies, resources Campus Controller WAN/Internet User XXX Location XXX 1. 优先级 2. 带宽 1. 权限(Permit/Deny) 2. 业务流 3. 安全（IPS/AV/应用安全） 体验有保障 接入无差别 敏捷交换机/ 随板AC 数据中心 Campus Con

4、troller WAN/Internet WAN/Internet VIP员工 远程接入 出差用户 企业分支 企业园区 业务随行：方案部署逻辑图 VIP优先级保障 权限策略 带宽保障 执行点设备 NGFW SVN 业务流策略 VIP远程接入资源保障 1、组/策略定 义和下发同步 2、用户认证上线， 用户组识别 3、策略执行 交换机：S12700/S9700/S7700/S5720HI NGFW：USG6300/6500/6600系列 SVN：SVN5800系列 安全保障 认证点设备 让权限策略、安全策略、体验策略 灵活的跟着用户走。 业务随行 故事二 小偷与小黑 WAN/Internet 单点

5、有效防御 外部攻击 WAN/Internet 防火墙单点防御失效 移动终端攻击 AP AP 外部传统攻击 AP 传统网络接入方式、位置固定，攻击点和攻击手段单一 移动化后，办公场所无限扩展，接入终端非常丰富，导致攻击点和攻击手段也多样化 无线窃听攻击 移动网络攻击 边界消失、传统安全失效 小偷 小黑 VS 偷偷溜进小区 看谁不在家 撬门 进门。 视频监控 混进园区网（木马或病毒） 看哪些终端在线 找漏洞 复制。 ？ 全网安全协防：从单点防护步入全网防护年代 1、全网安全事件采集 网络设备、安全设备、主机设备、终端等事件日志 2、大数据关联分析 对海量日志信息进行关联分析，呈现全网安全状态，发现

6、安全 隐患 3、全网安全快速响应 实时告警，并给出处理建议 灵活下发安全策略，快速进行安全事件响应 4、安全资源动态分配 全网的安全设备资源池化，可根据区域、用户组、安全事件动态 分配安全资源，提升全网安全防护能力 安全事件采集 安全策略生效 Campus Controller 安全资源中心 第三方 安全设备 NGFW 大数据关联分析 安全资源动态分配 扁鹊评论三兄弟的医术： 长兄最好，中兄次之，我最差。 我长兄治病， 是治病于病情发作之前； 我中兄治病， 是治病于病情初起之时； 而我扁鹊治病， 是治病于病情严重之时。 安全威胁度 TOP高危资产 全网安全事件 全网攻击拓扑 攻击源与路径 安全

7、事件概况 全面、直观； 分区域、不同颜色展示； 可钻取分支机构查看详情； 受攻击时闪烁警示； 显示攻击路径； 严重级别告警靠前； 点击查看详细信息； 直观度量； 点击查看评分细节； 快速识别全网安全态势瓶颈点； 可主动实施有针对性的安全策略； 显示总数和未处理事件； 点击查看更多详情； 病情发作之前：丰富的安全态势呈现，帮助用户快速感知网络现状 病情发作之初:深度关联分析，及时阻断恶意终端违规行为 客户问题： 随着园区无线网络和BYOD办公普及，园区网络无边界化，各类 终端可以随时随地接入园区网络，需要及时发现恶意终端并阻 断其恶意行为，防止攻击和泄密事件的发生。 解决方案： 1、恶意终端攻击

8、行为：恶意终端对每台设备进行密码猜解，每 台设备仅登陆一到两次，在单设备看来属于正常的操作。 2、日志收集：设备将终端操作日志上报到Campus Controller， 如：登陆日志等。 3、大数据关联分析： 关联规则制定： 同一IP在20分钟内，收集到来自不同设备（包 括网络、安全、服务器等）登陆失败信息合计超过20次。 关联分析：发现恶意终端，并生成安全事件通知运维人员。 4、下发安全策略：运维人员依据分析结果下发安全策略，快速 阻断非法用户。 客户价值： 快速发现终端的攻击行为，在安全事故发生前及时阻断，保护 企业业务数据和业务环境的安全。 Campus Controller 大数据关联

9、分析 服务器区 NGFW 病情发作之初：基于特殊组的安全检查，防止终端仿冒 客户问题： 园区网的哑终端如打印机等一般采用MAC信息或MAC与IP信息 绑定的认证方式。非法终端通仿冒，绕过认证系统接入园区内部 网络，而安全设备部署位置过高，又无法及时发现非法接入。 解决方案： 1、安全资源动态调用：在controller配置打印机组，对打印机组的业务流，都需要经过安全中心检测，查看是否是打印机相关流量； 2、非法终端接入：非法终端通过仿冒哑终端，绕过认证系统接入园区内部网络，向网络发起访问。 3、阻断异常访问并告警：非法终端流量流经安全中心检查，不属于打印机相应协议和端口，阻断流量并上报告警。

10、客户价值： 有效防止黑客或用户仿冒终端非法入侵园区网络。 安全资源中心 NGFW 核心敏捷交换机 员工 打印机 员工 打印机 Campus Controller 非法终端接入 阻断异常访 问并告警 敏捷交换机 敏捷交换机 隧道 安全策略 隧道 业务流 安全资源动态调用 病情严重之时：全网设备协同，控制区域性安全事件暴发 安全事件采集 Campus Controller 大数据关联分析 安全资源动态调用 安全资源中心 第三方 安全设备 NGFW 客户问题： 某区域因为某种原因大量终端感染僵尸木马、蠕虫等，防止 进一步扩散对网络和业务产生更大影响。但又不能简单将该 区域设备阻断，影响员工正常业务处

11、理。 解决方案： 1、发现问题：大数据安全关联分析：启用usercase中“区域 网络攻击”模板。通过关联分析，发现某区域多台终端异常 行为。 2、应急处理：安全资源动态调用：运维人员调用安全资源对 该区域的流量进行清洗，防止安全事件进一步扩散，又可以 保障正常业务流通行。 3、最终解决：终端安全加固： 分析终端感染原因因病毒库 较老无法查出。通过campus controller下发病毒库升级策略 进行终端加固。 客户价值： 及时发现区域安全事件，并能快速调用安全资源进行有效防 御，防止全网安全事件暴发同时影响整个企业网络和业务。 业务流 安全策略 隧道 实时感知全网安全状态，灵活调用 安全

12、资源，快速响应安全事件。 全网安全协防 故事三 一个网络管理员的愿望 我的愿望： 不管有线无线，我不用担心扩容的问题！ 不管有线还是无线，我只要配置一次全全搞定！ 不管有线还是无线用户，我只要一个平台全全管理！ 可是现实。 传统无线园区 独立AC 无线策略控制点 认证网关 有线策略控制点 有线策略控制点 AAA服务器 网管系统 有线、无线流量分离转发，AC成为瓶颈 无线流量需绕行AC，主流产品性能为管理AP 1K、 无线转发能力20Gb/s，随着未来11ac千兆时代到 来渐成瓶颈 有线、无线网络管理各成体系，维护排障难度大 海量接入交换机安装、管理、维护繁琐，堆叠等方 式不能简化无线网络 有线

13、、无线用户分散认证和策略控制，难于管控 有线用户认证和策略控制点或分散在接入交换机或 单独部署认证网关，无线则在AC设备 深度融合的有线无线网络将改变现状，让园区网络更加敏捷 有线无线天人合一，实现深度融合！ 形体合一 行为合一 思想合一 形体合一：交换机和AC融合转发，性能卓越 敏捷交换机 融合AC 敏捷交换机通过编程实现AC功能，有线无线流量统一转发，性能无瓶颈 无需额外购买AC设备，节省槽位，节省投资 敏捷交换机 传统独立AC 整机无线 转发能力 1Tb/s 50倍 20G 整机管理 AP数量 4K 8倍 512 整机无线 用户数量 64K 6倍 10K 融合转发 有线业务 无线业务 客

14、户价值 敏捷园区：融合转发 敏捷交换机随板 Tbit AC 行为合一：SVF超级虚拟交换网，有线无线融合管理 核心/汇聚交换机 接入交换机 虚拟主控 虚拟端口 虚拟板卡 1 2 3 n 1 2 n 1 2 n AP SVF，一台“设备”管理一个园区 简化设备管理：数百台有线无线设备虚拟为一台，只需一个网元 简化业务配置：业务配置模板化，有线无线统一的业务配置模板 面向业务的网络：所有业务均在核心设备上配置，自动下发到接入设备集中管控，灵活调整 eSight 云状架构，按需扩展 园区虚拟 台设备 接入交换机和无线AP只是虚拟交换机的扩展端口 1 敏捷园区 敏捷园区：融合管理 敏捷交换机 融合认证

15、网关 有线无线策略控制点 controller 计费服务器 思想合一：UUM统一用户策略管理 敏捷园区：融合策略 敏捷交换机 传统交换机 用户数 64K 8倍 8K 带宽粒度 1Kb/s 8倍 8Kb/s 流队列数 64K 174倍 374 H-Qos 5级 2级 敏捷交换机统一用户管理 有线无线用户 统一认证 PPPoE MAC 802.1X Portal 用户、业务 精准管理 H-Qos ACL 安全 端 优 口 先 调 级 度 调 度 用 户 用 户 组 业 务 端 口 类 5级H-Qos 融合转发、融合管理、融合策略 有线无线深度融合 故事四 一个CIO的困惑 一个CIO的困惑： 业务

16、部门主管总是问我：为什么电话会议听得断断续续！ 我的运维人员告诉我：网络很OK，没有问题。 我们检测不出网络的问题！ 网络质量检测技术分类及传统技术存在的问题 间接测量技术 直接测量技术 原理：通过插入检测报文，计算检测报文丢包率来间接模拟业务的丢包率。也称为带外检测技术。 现有技术：PING、NQA、BFD等 存在的问题：点到点检测模拟报文，不能真实反映业务的性能状况 原理：将业务流划分为一系列测量区间，在入口和出口分别统计对应区间的发包数和收包数，同一个区间的丢包数=发包数-收包数。也称为带内检测技术。 现有技术：Y.1731等 现有技术存在的问题： 点到点检测，需要插入协议报文做测量区间标识，报文