《adcampus技术白皮书1.0(无权限)》由会员分享,可在线阅读,更多相关《adcampus技术白皮书1.0(无权限)(20页珍藏版)》请在金锄头文库上搜索。
1、ADCampus 技术白皮书技术白皮书Copyright 2015 杭州华三通信技术有限公司 版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。i目 录1 当前园区网的问题 12 ADCampus 解决方案概述23 ADCampus 方案亮点介绍44 ADCampus 典型组网与应用155 缩略语 1711 当前园区网的问题当前园区网的问题通常一个现代 IT 系统由三部分组成:“云” , “管”和“端” 。 “云”通常指远端的公有云/私有云数据中心,是企业应用的承载中心;“端”就是需要
2、接入网络,使用云服务的各种固定和移动终端;“管”就是连接“端”和“云”的传送通道,主要包括广域网和园区网两部分。这三者之间相互影响,相互适应。对于园区网来说,作为连接“端”和“云”的中间管道,经常受“端”和“云”两方面的影响,因为和终端的联系最紧密,因此受“端”的影响更大一些。目前包括 gartner 在内的主流研究机构都发布了对于“端”的趋势分析和预测。总结为两点:终端的移动化和无线化成为趋势。现在每个人都有不止一个移动终端,移动互联越来越深入到人们的生活中。在企业中,BYOD 应用越来越广泛,无线移动办公成为主流。从咨询机构的报告来看,无线产品出货量的增长速度远远高于有线产品的出货量。IO
3、E 万物互联成为趋势。现今世界 99%的物体还没有联网,将来物联网会带来百亿级别的智能物体接入,我们的灯泡,汽车,冰箱,微波炉,我们的家具未来都要上网。那么“端”的这些变化对园区网会带来哪些影响和冲击呢?1.移动化的冲击:移动化的冲击:策略如何跟随,体验如何保持不变?除了无线漫游,企业中还存在其他方式的移动,比如员工从办公位跑到会议室里边开会,需要共享胶片和资源,相关的权限需要继续保持;员工从总部出差到分支希望一些重要的业务权限不变;公司搬家后希望即插即用,业务不中断等等。但从目前网络现状看,很难做到或者说 IT 需要花费很大的代价进行网络配置调整,用户的体验也不够好。比如,某公司一部分员工分
4、流搬家到新的办公大楼之后,预先做了大量的工作进行网段重划和配置调整以保证业务连续性,但不幸的是搬家后 IP 电话/打印机等必须的办公设备依旧长达近两周时间不能使用,对正常办公影响较大。如何方便的进行用户审计?传统网络状态下,用户移动,IP 地址发生变化,当审计的时候,由于用户的 IP 地址不停变化,需要结合不同时间段内用户的 IP 地址情况综合去查,查询虽然可以实现,但是比较麻烦,达不到所见即所得的状态,即见 IP 地址即见用户,单独审计 IP 的效果。2.无线化的冲击:无线化的冲击:2企业中无线技术出现之后,网络中始终存在着有线和无线两张不同的网络,虽然无线接入逐渐占据主流,但是有线无线混跑
5、的局面在未来一段时间还将长期存在,那么客户会面临有线无线两张网络的割裂问题,管理割裂:有线无线两组不同的人来同时管理网络;数据转发割裂:有线走交换机转发,无线走 capwap 的 AC 集中式转发;策略执行点割裂:有线的执行点在交换机上,无线的策略执行点在AC 上。这样网络的运维往往需要两套人马,带来了成本的上升和管理复杂问题。虽然业界对于有线无线融合已经有呼声,并且也都提出了一些方案,但总是存在这样那样的问题,不能达到满意的效果。3.IOE 的冲击:的冲击:IOE 带来了终端接入数量的爆炸式增长, IOE 接入园区网络的方式主要有两种,一种是直接接入园区网,比如监控摄像头,移动 POS 终端
6、等;另外一种是通过物联网关接入,比如楼宇自动化系统中,使用物联网关路由器,一侧使用 ethernet 端口接园区网络,网关其他端口接各种现场控制总线。IOE终端接入园区网络之后,往往和园区网现有业务有不同的属性,需要进行安全隔离和 QOS 保证;同时对于直接接入园区网的大量物联网终端,配置管理工作量较大,如何实现简单运维,快速部署也是园区网需要考虑的课题。 那么当前园区网存在哪些问题呢?总结为两个词:僵化那么当前园区网存在哪些问题呢?总结为两个词:僵化和复杂复杂。僵化就是不灵活,网络往往与物理位置紧耦合。网管人员往往根据地理位置,楼栋,划分若干个L3 网段,终端基本不能大范围移动;如果要移动,
7、策略不能自动跟随,体验难以保持不变。复杂就是网络运维工作量巨大,网管人员 80%-90%的时间都陷在网络运维的泥潭里不能自拔,只有 10%-20%的时间才能用于创新。 2 ADCampus 解决方案概述解决方案概述为了解决园区网存在的上述问题,H3C 提出了自己的 ADCampus 新园区架构。ADCampus 架构最大的两个特征是柔性和极简 。柔性一方面指网络架构本身非常灵活,业务部署(应用/终端)可以做到与位置无关;另一方面指网络架构本身开放可编程。柔性具体包括如下 4 大亮点:1)位址分离位址分离/名址绑定名址绑定:位指位置,址指 IP 地址,名指用户本身或者业务。位址分离就是 IP 地
8、址与位置解耦,名址绑定就是用户/业务和 IP 地址绑定,IP 地址不光从技术层面承载连通性,3支撑路由转发,而且还具有了直接标识业务/用户的功能,策略可以直接根据 5 元组来实施,大大简化了传统网络策略的部署。最终达到所见即所得的效果:IP 即用户,网段即业务。同时也大大简化了网络的审计。2)策略随行策略随行:指用户移动到哪里,策略就跟随到哪里,用户的体验不变,比如研发的员工从总部出差到各个办事处,依旧能获得研发的权限,访问研发的相关资源,和在总部一样。3)业务按需交付业务按需交付:业务指 4-7 层服务,如防火墙,IPS,ACG 等,这里引入了服务链概念,把园区传统的通过策略路由方式的复杂引
9、流策略转换为一种简单的按需使用,自由编排的引流方式来快速实现。4)开放网络开放网络:指 ADCampus 除了基础网络架构之外,还提供 controller,提供软件定义能力,通过 controller 上层接口开放,允许第三方进行增值开发,快速提供新的功能。极简指网络管理大幅简化,真正将网管员从低价值劳动中解放出来。ADCampus 的目标是消灭命令行,从 controller 一点进入管理网络。极简具体包括如下两大亮点:1)有线无线深度统一:将有线无线两张割裂的网络进行深度融合,一套网管,一种数据平面,一套策略。2)自动化上线:设备开箱,上电后自动加载版本,加载配置,网管员零干预启动。少量
10、的基于设备角色的配置模板,更简单。ADCampus 的网络架构如下所示:汇聚接入CampusDirector核心VXLANVLANVLANVLAN 10VXLAN 10VLAN 20VXLAN 20策略执行点4网络由接入,汇聚,核心三层设备组成,外部搭配重要的园区控制器:Campus director。具体来看,有如下一些特点:接入到汇聚使用 vlan 进行联通,在汇聚层设备上,不同 vlan 映射到不同 Vxlan 进行隔离,同时汇聚和核心设备之间运行 Vxlan 构建 overlay 网络,构建一个逻辑上的大二层网络,同时采用分布式 L3 网关并通过可靠的机制有效地抑制广播风暴。策略管理上
11、采用了面向业务的分组模式,将属性或者访问权限相近的用户分到一个安全组中,同时也将服务器侧的资源划分到安全组进行统一管理。策略定义时,基于矩阵表格的方式简单直观。具体策略可简单可复杂,实现各种高级复杂的策略控制功能。基于 5W1H 的灵活的用户认证接入机制,根据 who(谁) ,whose(谁的设备) ,what(什么设备) ,when(什么时间) ,where(什么地点) ,how(什么方式)多个维度覆盖各种接入场景。用户可根据自己的需求,灵活定制场景,满足自己个性化的需求。支持用户终端在整个生命周期中 mac 和 IP 的强绑定,终端不管移动到哪里,可以做到终端始终绑定唯一固定的 IP,满足
12、某些企业强安全需求。整网的核心是园区网控制器组件:Campus Director。所有对网络的自动化上线,接入管理,用户组/策略管理,业务配置管理全部在 director 上通过直观的图形化界面完成。Director 将管理员的操作在后台转化为网络设备的具体命令进行下发给设备执行。3 ADCampus 方案亮点介绍方案亮点介绍1.位址分离/名址绑定传统网络存在的问题:传统网络划分 L3 网段时往往与位置紧密关联。一个企业要根据不同的办公室,不同的楼层/楼栋划分不同 L3 网段,这种模式下要想实现用户移动(比如员工出差)非常困难。因为用户移动往往要跨越不同 L3 网段,IP 地址必须进行更换,往
13、往会丧失原先的权限,给工作带来麻烦。比如研发的员工到市场部出差,往往只能获取市场人员的权限,丧失研发人员的权限,不能查看研发的资料,如果要查看,只能通过其他的途径来进行,降低工作效率。5再比如研发部有两栋大楼,由于工作关系,员工在这两栋大楼同时有 2 个办公位,由于 L3 网段的划分,导致员工在这两个办公位办公时获得的 IP 地址不一样,那么网管就需要针对这个员工的策略控制也得做两套,增加了网管的负担,也浪费了交换机的 acl 资源。还有同一个部门/工作组分散在不同的大楼里,使用不同的 IP 地址,虽然他们的权限完全一样,但是还需要网管人员针对单个 IP 地址设置相同的控制策略,也明显增加了网
14、管人员的负担。归根结底,是因为传统网络的设计,其设计理念就是和位置紧耦合,也不愿也不能方便地实现员工的移动办公,IP 地址只提供技术上的路由连通性功能,没有身份或者业务标识的功能,导致审计也变得复杂。ADCampus 网络采用创新的网络架构,可以做到网络无状态,接入无差别,IP 地址与位置解耦,不管用户移动到哪里,IP 地址都能随身携带。IP 地址不光能承担路由连通性的技术功能,还具有身份和业务的标识功能。上例中员工出差,在 ADCampus 网络中,研发员工可以继续享受总部研发的权限,方便地查看研发的相关资料,就像自己还身处于总部一样。即使该研发人员和某个市场人员的终端连接到同一个交换机的相邻两个端口,依旧要受研发/市场两个部门之间的策略控制;同时该研发人员不管在哪里,可以做到始终使用固定的 IP 地址,这样见 IP 地址就见该员工,审计只追踪该 IP 地址的行为即可,审计大大简化;上例中员工在多个办公楼有多个工位/终端的情况,在新的架构下,用户不需要分派两个地址,只需要一个固定的 IP 地址即可,不管在哪个
