华为敏捷园区网解决方案深入分析

H3C基础架构解决方案园区网解决方案工作组,HW敏捷园区网解决方案分析,在园区网方案竞争中，HW给你带来哪些困惑？,随板AC,随板Bras,敏捷园区控制器（SDN）,质量守恒（IPCA）,SVF,安全协防,产品竞争止痛,S77/97/12700X1E(随板AC)线卡言过其实,5、根据第2条分析，X1E必须与非X1E单板共存，但非X1E单板MAC，ARP，FIB,NetStream，buffer均远远低于X1E，交换机整机表项需同步，所以X1E高规格表项，根本无法发挥真实作用。,1、X1E线卡作为随板AC，宣称可以管理4KAP?事实如此吗？整机性能：S7703/S9703:512、S7706/S7712:1024、S9706/S9712:2048、S12708/S12712:4096单块X1E规格仅仅为512个AP，远远低于业界规格.如果考虑AC备份，成本极高。,2、X1E线卡最大带宽是88G，而当前主流的交换机线卡带宽为480G,所以X1E不适合作为交换单板使用，需要配置非X1E单板与X1E单板共存，满足正常交换带宽。,3、X1E线卡作为随板AC，仅支持无线业务从X1E单板接入。组网复杂，无线必须从接入POE交换开始单独组网，否则无法在X1E接口上区分无线与有线业务。,4、X1E线卡作为随板AC，仅支持通过命令行方式配置业务，不支持通过WEB网管配置业务。AP配置异常复杂，每个AP序列号均需录入，通过命令行配置极其繁琐极易出错。,S77/97/12700X1E(随板Bas)线卡言过其实,2、X1E线卡作为随板Bras,仅支持PPPoE业务从X1E单板接入？X1E线卡带宽最大为88G，相当于一个低端盒式交换机的带宽，一定会成为网络瓶颈。比如学生内部打游戏。,4、X1E线卡作为随板Bras，PPPoE业务仅支持单层VLAN接入，不支持QinQ接入。华为在园区网，特别是校园网，一直以“运营网”方式推行方案.对于教职工区，就是运营网络，没有QinQ,如何区分业务，如何定位用户。,3、X1E线卡不支持MPLS园区网通过MPLS业务隔离是普遍需求，X1E不支持MPLS如何在园区网使用？,1、X1E线卡作为随板Bras,宣称整机支持64K用户数量，是否适合所有机型？华为64K用户，特指PPPOE用户：具体整机规格:S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64K。所以X1E每块单板PPPOE规格为8K。如果要满足64K用户，必须是127，并且需配置8块X1E单板，同时还需考虑备份，此方案成本极高。,S77/97/12700X1E线卡大量功能缺失,MPLS,GRE,SFLOW,用户自定义ACL,组播VPN,VLL,华为的license都配置了吗？,基础特性(需授权),MPLSIPV6NQA流量分析,FW板卡（未授权状态）,虚拟防火墙（10）SSLVPN并发（100）,FW板卡（授权）,ET1D2FW00S0/1：max(500)ET1D2FW00S02：max(1000)SSLVPNmax(5000个),IPS（未授权状态）,文件类型过滤内容过滤应用行为控制邮件内容过滤审计功能国密算法（SM2/SM3/SM4）,IPS（授权）,入侵防御反病毒URL远程查询,XIE单板（未授权）,IPV4FIB256KIPV6FIB128KPPPOE用户256个WLANAP16个,XIE单板（授权）,IPV4FIB(max)：S7703/S9703:256KS7706/S7712:512KS9706/S9712:1MS12708/S12712:3MIPV6FIB(max):S7703/S9703:128KS7706/S7712:256KS9706/S9712:464KS12708/S12712:464KPPPOE(max):S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64KAP(max):S7703/S9703:512S7706/S7712:1024S9706/S9712:2048S12708/S12712:4096,机框出现故障，FW,IPSlicense必须重新申请，无法满足紧急故障处理要求!,敏捷园区网方案解密,本篇你能了解到的,1、何为华为敏捷园区网方案？到底是质的飞跃还是又一次概念的包装？,2、华为宣称敏捷园区网的5大亮点解析？,何为安全协防方案？何为有线无线深度融合方案？IRF3VSSVF？质量守恒(IPCA)是否无所不能？CampusAgileController到底为何物？,华为敏捷园区网解决方案,华为认为敏捷园区网与传统园区网的三大改变：,1、SDN引入园区网,2、敏捷交换机替代传统交换机,3、安全能力池化,华为敏捷园区网的亮点和价值,业务随行，自由移动新体验：集中控制用户策略，用户权限，优先级，带宽，包括园区，分支接入，移动接入；,全网安全协防，从单点防护进入全网防护年代：可以发现任意位置的安全侵入事件，彻底解决了移动环境下存在大量安全威胁点，单点安全无法防护的问题。,有线无线深度融合，让运维管理不再繁琐：通过融合AC，有线无线流量可以统一转发；通过超级虚拟交换网技术SVF，创新性地将盒式接入交换机和AP分别虚拟为核心/汇聚框式交换机的板卡和端口，管理一个网络就像管理一台交换机一样简单；通过融合用户认证和管理功能，为有线无线用户提供统一认证和接入策略控制，管理员可以获得一致的用户管理体验。,质量感知，第一次让IP感知质量：包守恒算法iPCA,全可编程&一机双平面，第一次实现SDN在园区网络直接部署：基于华为自研的具备全可编程的ENP芯片，使设备的转发功能具备向未来标准演进的能力，可以直接通过Controller来自定义设备的转发行为，大大缩减了新功能和新业务的上线时间，从根本上具备了让网络实现软件定义的能力,业务随行，第一次把网络资源跟人关联起来，让网络资源自动跟随人移动，第一次让网络变得人性化，让上班族获得自由。,华为敏捷园区网解决方案亮点1业务随行，移动接入,业务随行，移动接入,Agilecontroller可以操作用户，位置信息，这个太神奇了！我们看看Openflow1.3十元组：,好像没有USERXXX信息,好像也没有LocationXXX信息,Esight？,Esight？,策略随行：集中式策略，组间精细控制,对应我司EIA,业务随行，自由移动新体验,小结：,类似HWBYOD方案，不同用户，不同地点，不同访问权限！,AglieController:,好像是Esight,全网安全协防，从单点防护进入全网防护年代,华为敏捷园区网解决方案亮点2全网安全协防,全网安全协防,实现安全协防的Controller,设备Manager,Controller实际就是SOC,看看我司安全联动方案,安全管理中心,AAA/EAD,1.黑客攻击事件,3.单事件响应，下发策略(自动或手动)：防火墙限连接；限应用；IPS限流,4.下线或隔离用户,隔离或下线、黑名单,Servers,IPS,ACG,FW,接入,1.黑客攻击事件,2.事件升告警，并基于告警下发联动动作策,小结：,AglieController:,好像是soc,全网安全协防，从单点防护进入全网防护年代：,抄袭我司方案,有线无线深度融合，融合了转发，融合了管理，融合了策略控制，让企业无线网络的部署变得前所未有的简洁，极致简化园区有线无线网络的运维管理工作。,华为敏捷园区网解决方案亮点3有线无线深度融合,有线无线深度融合，让运维管理不再繁琐,华为认为，11AC时代AC的转发能力不足，AC与交换机融合，利用交换机Tbit转发性能弥补AC性能，可以吗?,前面在进行产品分析时，随板AC已经分析，基本不可用!,SVF架构(SuperVirtualFabric),Capwap隧道,Capwap隧道,Capwap隧道,小结：SVFVSIRF3,SVF实际上通过Capwap协议对有线接入交换机与无线AP实现统一管理，在配置上形成集中，有线无线在一个巨大Campus网络下仅仅需要维护一份配置。这种方式存在以下几个问题。,1、Capwap管理配置不适合有线。原因如下，capwap的模式分为三级：全局配置、分组配置、组员配置这种配置管理方式是典型的无线AP管理方式，因为AP的配置按照分组来配置，配置基本相同。如果接入有线交换机也如此配置，配置量是非常大的，维护起来极为不方便。2、Capwap隧道必须依靠芯片转发，对芯片要求高。目前X1E的性能最高为88G，有线无线同时转发，存在严重性能瓶颈，而采用本地转发又会丢失很多无线特性。3、SVF无法解决传统网络问题：二层环路，三层设备无法工作AA模式,质量感知，第一次让IP感知质量,华为敏捷园区网解决方案亮点4质量感知,质量感知IPCA,IPCA：进入系统的包+内部产生的包=离开系统的包+内部吸收的包,IPCA的工作场景设备级监控,1、利用IPCA监控ENP单板故障2、利用ENP包围方式监控交换网故障,3、非ENP单板无法监控故障,1、整网均为华为敏捷系列，使能IPCA即可监控,2、目前华为敏捷系列交换机为S127，S97，S93，S77，57,USG6000，并非全系列款型。,IPCA的工作场景网络级监控,敏捷系列,敏捷系列,敏捷系列,非敏捷/非华为设备,1、通过包围方式监控非华为/非敏捷设备,2、组网局限性，非华为设备必须只能与敏捷系列连接,敏捷系列,敏捷系列,敏捷系列,敏捷系列,利用敏捷系列监控广域网链路监控似乎是不错的方案，前提是所有广域网设备都是ENP,小结：从算法上来了解IPCA的局限性,华为IPCA网络级丢包统计基于IPFPM（灵活包匹配）实现，IPFPM是一种可以实现对点到点网络或者多点到多点网络中业务流进行直接测量，得到丢包率、丢包数量等性能指标的统计方法。,1、FPM不支持组播数据包的检测。2、FPM不支持隧道接口和MPLS接口。3、FPM不能执行IP包的分片或者TCP流的重组。4、FPM不能使用IP选项来对数据包进行分类。5、FPM是一种无状态不能缓解网络攻击，因为缓解攻击是需要有状态的数据包分类。因为FPM是无状态的，所以它不能跟踪由协议控制的自协商的端口号，换句话说，如果需要使用FPM技术，那么必须手工的定义端口号。6、FPM检测只对IPv4的单播数据包有效。,IPCA技术虽好，但使用局限性太多！,CampusAgileControle到底为何物？,Esight,SOC,SDNController,CampusAgileController详解,1、华为敏捷控制器AgileController是什么？,2、华为敏捷控制器剖析？,以业务体验为中心重新定义网络？基于全网视角的安全协防？产品开放合作能力？,华为敏捷控制器是什么？,华为敏捷控制器是什么是eSight的包装吗？,1、AgileController与eSight完全不同界面风格。2、AgileController与eSight的授权模式完全不同。3、AgileController与eSight的功能有所不同。,AgileController不是eSight的包装，是PolicyCenter（来自于华赛）,华为敏捷控制器是什么有哪些功能？,相当于我司EIA+EIP,华为敏捷控制器是什么有哪些功能？,后文深度剖析,华为敏捷控制器是什么有哪些功能？,EAD+行为审计+SSM功能类似,华为敏捷控制器是什么“业务编排”重点功能剖析（一）,华为敏捷控制器是什么“业务编排”重点功能剖析（二）,GRE隧道？,核心交换(编排设备)与业务设备建立GRE隧道,在交换与安全设备之间建立GRE隧道，实现是业务分流，是很高明的做法吗？交换机GRE隧道规格？多路径？等问题如何处理？,华为敏捷控制器是什么“业务随行”重点功能剖析？,业务随行解决的问题：1、在园区网不同位置接入网络访问权限无法保持一致2、VIP用户的网络带宽无法得到保证的问题,业务随行两个关键对象安全组：安全组，区分不同的安全组的目的在于方便管理员控制不同的安全组之间的访问权限。安全组列表最多支持512个安全组。每个安全组最多支持绑定64个IP地址段。Controller最多支持2048个IP地址段。,业务随行两个关键对象访问权限控制：访问权限控制是指控制不同安全组之间访问权限。,支持“业务随行”的设备是127、97、77和USG安全设备。,安全组和访问权限控制策略通过接入策略关联起来。,业务随行主要是管理不同安全组的不同访问权限。512个安全组，2048个IP段？与业务编排功能结合起来，交换能支撑的了这么多GRE规格吗？,华为敏捷控制器是什么“安全协防”重点功能剖析？,目前华为主要在L2到L4联动，L4L7没有看到,华为敏捷控制器是什么功能总结？,1、AgileController主要完成终端接入、安全检查、行为审计等功能。2、AgileController提出了业务随行和业务编排，更多是对应于我司RAM的概念，本质上还是有很大区别。