智慧园区网解决方案

1、智慧园区网解决方案0102传统园区面临的挑战ADCampus解决方案ADCampus网随人动03ADCampus小白运维04ADCampus宽带物联05AC汇聚接入核心0000/16网段/16网段传统园区如何实现移动安全用户移动，传统区域安全防护失效用户移动，IP变更，如何实现审计到人部门搬迁、工位调整需要不断的调整网络研发网络生产网络办公网络物理专网虚拟园区网传统园区多业务隔离多业务隔离左右为难物理专网：重复建设，投资浪费VLAN隔离：强度不够，场景受限MPLS专网：技术复杂，运维困难VPNAVPNBVPNC办公区研发区生产区MPLS+VLAN数字化时代，园区物联终端激增智慧楼宇智慧建筑智慧

2、园区智慧城市物联网是构建数字化智慧园区的基础越来越多的物联终端如何高效、安全的接入园区网络？传统园区面临复杂运维网络规模越来越大业务类型越来越多访问控制复杂设备故障替换、配置还原压力超大各类病毒威胁0102传统园区面临的挑战ADCampus解决方案ADCampus网随人动03ADCampus小白运维04ADCampus宽带物联05资源分配APP网络编排APP策略定义APP终端管理APP运维诊断APP用户管理APP其他APP第三方应用、业务应用系统南向标准协议（SNMP/MIB, openflow、BGP NETCONF ）基于SDN的网络驱动器AD-Campus DirectorVXLAN网络

3、自动部署APPADCampus方案架构语音、视频；端口、IP地址，RESTful接口控制层设计SDN控制器物理承载网络SDN 控制器：南向标准协议（SNMP、 Netconf 等）Vxlan tunnelVxlan tunnelOverlay网络运维诊断APP用户管理APP资源分配APP自动上线APP网络编排APP终端管理APP策略定义APP其他APP校园A校园B校园A校园BSDN 控制器SDN控制器对网络进行抽象以屏蔽底层复杂度，为上层提供简单的、高效的配置与管理SDN控制器对所有网络设备集中编排及控制，构建灵活的业务系统SDN控制器通过业务或控制APP自动将逻辑对象映射到物理网络，并调用A

4、PI下发到实体设备，最终完成配置部署网络层设计Overlay物理承载网络Overlay网络Vxlan tunnelVTEP1VTEP2骨干网络数据中心客户端办公网络生产网络VSI/Vxlan 10VSI/Vxlan 20VSI/Vxlan 10VSI/Vxlan 20办公网络生产网络POverlay网络中不同VTEP之间通过Vxlan tunnel打通大2层直连网络Overlay网络中通过不同Vxlan进行业务隔离Overlay网络可以实现园区用户或业务与网络位置解耦Overlay网络可以跨三层网络拉通多个园区，中间网络无关0102传统园区面临的挑战ADCampus解决方案ADCampus网随

5、人动03ADCampus小白运维04ADCampus宽带物联05ADCampus应用案例06网随人动的园区网络12 0位置解耦合柔性网络+SDN的网络驱动器用户位置变更、终端任意部署、网络管理“零”干预IP地址安全资源隔离通道网络策略安全策略网随人动资源随动策略随动 0IP地址与网络位置解耦 0IP位址分离，实现IP可在任意位置接入、包括跨园区0基于角色的IP地址分配方式14

6、00基于位置的IP分配基于角色的IP分配用户组IP组IP锁定到用户市场部/16是研发部/24是财务部/24是监控设备/24否门禁系统/24否基于角色的IP地址分配方式15过去IP用户网段业务现在IP=用户网段=业务真正实现控制到用户包括精准溯源、流量限速等最易的业务控制针对视频监控、一卡通、研究生等直接通过IP网段识别最简的业务随行方案IP和用户跟随、网段和业务跟随节约IP地址IP地址潮汐问题解决、终端数量变动带来地址池问题用户组网络属性IP组隔离域部门AVlan10/VXLAN1I网段VRF1部门BVlan20/VXLAN2II网段

7、VRF1部门CVlan30/VXLAN3III网段VRF1监控设备Vlan40/VXLAN4IV网段VRF2部门A部门B部门C访客组部门AServers部门BServers部门CServersInternet Access部门APERMITPERMITDENYPERMITPERMITPERMITPERMIT部门BPERMITDENYDENYPERMITDENYPERMITDENY部门CPERMITDENYDENYDENYPERMITPERMITPERMIT访客DENYDENYDENYDENYDENYDENYPERMIT基于角色的IP地址分配方式WAN00园区一园区二10.1

8、0.10.1Director00用户移动，动态进入VPN，策略随行，体验不变VxLAN100VxLAN100VxLAN100VxLAN100VxLAN Fabric策略随行，隔离通道动态跟随业务隔离：更优的虚拟专网18终端终端物理网络办公专网逻辑网络逻辑网络生产专网智能设备专网逻辑网络物理专网：重复建设，投资浪费MPLS专网：技术复杂，运维困难过去现在自动构建端到端的隔离网络交付快安全强运维简基于业务的网络切片：实现每专用业务一个逻辑连接终端/用户与位置解耦ABAB园区ABAB过去现在手动配置隔离端口自动识别，自动划分隔离端口网随人动的通道隔离方案iBG

9、P主RR备RRWAN园区控制器主园区分支1分支NABAB业务隔离点ACL/VRFIP地址、隔离通道、访问策略随动用户与位置无关，与终端无关、与接入方式无关、与中间网络无关无差别多园区接入VTEP节点iBGP主RR备RR主RR备RRWAN园区控制器园区一园区二多园区统一组网，统一用户、统一IP分配、统一网络策略分支网络无差别接入，无需专门VPN技术，可跨越任意IP网络4-7层服务节点可以和总部共享，减少分支部署成本和管理难度。可统筹全网IP分配，业务隔离策略、保证网络规划的一致性用户及绑定IP可实现总部、分支之间漫游VTEP节点主RR备RRWAN园区控制器主园区分支1分支N无差别分支接入无差别V

10、PN接入Internet点对点接入远程接入VPN网关VPN网关远程主机局域网局域网点对点接入(Site-to-Site)：性能高、运行简单可靠、适于大型局域网的远程互联远程接入(Remote-Access)：接入灵活，使用方便，成本低，适于远程主机直接接入系统网络支持VPN网关Director集中配置权限控制简单控制点统一终端支持：云桌面（瘦客户端）园区核心出口安全资源池FW防毒IPSLB流控SSL电信联通国际链路生产工控研发 办公物联打印机ATM门禁一卡通转架事业部仪表楼机车事业部技术中心区电气分公司转架事业部仪表楼机车事业部技术中心区电气分公司转架事业部仪表楼机车事业部技术中心区服务资源池

11、区研发生产办公工控网络管理物联网内网云桌面外网云桌面电气分公司DC核心防火墙网闸数据中心公共公共瘦客户端桌面分发控制服务器部署在数据中心公共区瘦客户端部署在园区公共区；该区与园区其它区通过VRF进行隔离；瘦客户端进行MAC认证，下发园区访问规则仅能访问桌面分发控制服务器安全设备控制瘦客户端网段仅能访问公共区的桌面分发控制服务器主要是解决瘦客户端认证接入网络问题终端支持：单帐号多终端所有帐号，默认最大绑定一个IP。绑定多终端，其实是指最大允许多个绑定的IP同时在线如果帐号最大在线IP未达到绑定上限个数，允许新终端接入和绑定，并挤占非在线用户的绑定IP如果帐号对应的在线用户数已经达到上限，使用该帐

12、号的新用户不允许接入在绑定过程中，EIA和dhcp server agent交互，实时刷新DHCP server上的绑定关系，确保正确绑定终端支持：单终端多帐号(公共机场景)用户即使在公共机上，也能获得自己所属角色的绑定IP，和在专属机器上的体验一致对于公共机来说，不同用户切换，公共机的所属安全组不停切换，绑定IP不停切换通过EIA和后台dhcp server的交互，完成对绑定表项的刷新IP地址容量管理终端业务IP地址段使用情况监控终端/24一卡通终端/24打印机/16MAC：0135-AD45-378FIP： 9接入位置：LSW-S5130接入端口：Interface 1-0-12接入时间：

13、2017-11-15 16:32:05开户类型：自动 接入明细终端IP地址使用情况清晰可视终端接入情况IP地址使用情况地址冲突位置可视有线无线统一部署、网随人动POEPOEPOEPOECAPWAP封装CAPWAP解封用户接入网络不再区分接入方式是有线网还是无线网，基于用户角色统一策略统一用户管理高性能无线接入降低AC的表项与性能要求，满足802.11ac wave 2时代无线高带宽接入，流量不迂回AP流量本地转发和有线统一，迎合园区流量从有线为主到无线趋势的过渡统一数据转发统一策略执行有线无线终端用户/IP统一分配，策略执行点统一AC控制流量数据流量AP集中/本地转发，AC只负责针对AP的控制

14、报文通过无线承载网络位址分离，保障无线终端的跨三层漫游0102传统园区面临的挑战ADCampus解决方案ADCampus网随人动03ADCampus小白运维04ADCampus宽带物联05小白运维设备上线业务部署故障排除安全审计设备上线软件安装自动化上线一键静默安装一劳永逸一键下发一键部署任意位置部署地址规划策略部署业务部署终端部署即插即用可视化免现场运维故障替换故障定位偏远园区行为审计病毒隔离所见即所得一键隔离全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离接入设备标准化分布式网关：每个均是其下挂主机的网关，所有VTEP对网络中的一个VNI具有相同的虚拟网关I

15、P地址和虚拟MAC地址三份配置打天下：整个网络分为3个层级（Spine层、Leaf层、Access层），每层设备 只维护1套配置，维护“三台”设备即维护了全网设备Access1VTEP AVTEP BVTEP COverlay NetworkSpineLeaf（分布式网关）AccessSPINELEAFACCESSAccess2Access3RRRR设备自动化三份配置打天下序列号位置角色210235A1HPX15C000001 1-1(一号楼一层)Access210231A4F9B1640000051-2(一号楼二层)Leaf210231A4NNB1640002-1(二号楼一层)Spine D

16、irector Spine Leaf AccessDHCP TFTP AP AC设备自动化上线流程扫描APP高效录入设备信息Spine/Leaf/Access三号楼1楼通过手机扫描APP，可以直接录入设备编码、角色、标签及状态，方便快捷扫描APP序列号角色标签状态核心2台汇聚30台接入600台1套中等规模网络向导式配置一键启动可视运维AD-Campus Director配置文件数降低99%现场配置点降低99%节省时间80%以上632份配置文件600个现场配置点上线周期预计3-4周3份配置文件1个现场配置点上线周期预计2-3天自动上线传统配置设备自动上线的价值现场配置点降低99%节省时间80%以

17、上网络弹性扩展：设备自动上线、业务策略配置自动扩散核心汇聚接入接入汇聚接入园区控制器设备自动化网络弹性扩展控制器软件一键静默安装控制器控制器采用最简形态，Director+WSM+EIA+License一个软件包一键静默安装一键安装所有组件及DHCP在一台Server或一台PC上应用价值安装时间由原先的1天缩短到30分钟左右，整个安装过程不需要人工干预，让交付更简单Director+DHCP+WSM+EIA+License一键静默安装接入设备标准化核心汇聚接入接入园区控制器随着特性需求不断增加，接入设备需要不断进行版本管理与升级过去现在接入设备仅需纳管，配置端口VLAN，没有其他配置，极大降低

18、了设备的版本管理与升级问题应用场景：高校校园网、教育城域网、大型企业等小白运维设备上线业务部署故障排除安全审计一劳永逸一键下发一键部署任意位置部署地址规划策略部署业务部署终端部署即插即用可视化免现场运维故障替换故障定位偏远园区行为审计病毒隔离所见即所得一键隔离全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离设备上线软件安装自动化上线一键静默安装接入设备标准化一劳永逸的IP地址规划过去现在角色网络属性IP地址部门AVlan10/VXLAN1I网段部门BVlan20/VXLAN2II网段部门CVlan30/VXLAN3III网段监控设备Vlan40/VXLAN4IV

19、网段位置网络属性IP地址一号楼1楼Vlan10I网段一号楼2楼Vlan20II网段二号楼1楼Vlan30III网段二号楼2楼Vlan40IV网段基于位置进行网络规划和IP地址分配传统园区网络考虑到广播风暴，通常一个VLAN划1个C（256个）或更少的地址位置紧耦合，无法跨三层划分网段基于角色进行网络规划和地址分配ADCampus具备多重广播抑制：Access层每端口每VLAN，隔离广播Leaf层每个VLAN对应一个AC口，AC口默认隔离Leaf层采用分布式网关，具备广播抑制、ARP代答功能因此在进行IP地址规划时，每个网段IP地址数量可以是传统网络的数十倍和网络位置无关鼠标拖拽业务一键部署，消

20、灭命令行鼠标拖拽策略模板组间策略自动下发用户策略配置，界面更友好一个页面完成接入组、安全组、二层网络域、VPN及组间策略配置，不需要在多个页面查找配置位址分离，终端任意部署1号楼2号楼3号楼1号楼2号楼3号楼 Overlay安防人员确定安装位置安防人员与IT管理人员沟通，获取摄像头IP地址设置此IP到摄像头，形成IP与位置的对应关系搜集摄像头MAC地址，控制器纳管IT管理人员为每个摄像头创建MAC账号摄像头可以在任意位置部署，与位置无关过去现在小白运维设备上线业务部署故障排除安全审计一劳永逸一键下发一键部署任意位置部署地址规划策略部署业务部署终端部署即插即用可视化免现场运维故障替换故障定位偏远

21、园区行为审计病毒隔离所见即所得一键隔离全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离设备上线软件安装自动化上线一键静默安装接入设备标准化故障替换自动化-即插即用异型设备替换即插即用异型设备替换即插即用设备故障替换即插即用：设备自动上线、策略自动复制核心汇聚接入接入园区控制器免现场运维偏远分支园区网络运维力量薄弱，无需因一个小问题而派遣专业人员出差，降低工作难度5-10分钟完成自动化部署，无需专业人员操作，普通员工即可快速、准确定位 故障原因还原出厂设置 or 更换设备自动化部署与上线完成自我修复， 恢复网络SDN控制器通过南向标准协议如：SNMP、 NETCO

22、NF等构建全网拓扑结构图，分析设备状态与业务流量，可快速定位故障原因和故障设备。1.如果定位设备逻辑错误（死机、误操作、端口挂死等），还原设备到出厂状态；2.如定位设备物理故障，更换新设备。1.设备加电后通过DHCP获取自身IP地址，同时获取SDN控制器地址；2.设备从SDN控制下载“角色配置文件”并加载配置，完成网络初始配置；3.SDN控制器纳管此设备，自动进行业务配置。设备加载业务配置即可自动恢复网络。适用场景：如教育城域网、电网变电站、油田油井、医院社区医疗等存在大量分支园区但运维力量薄弱的场景故障排除可视化雷达探测控制区Director给每个网络节点发送探测报文，若没有收到反馈报文则告

23、警雷达探测实时告警小白运维设备上线业务部署故障排除安全审计一劳永逸一键下发一键部署任意位置部署地址规划策略部署业务部署终端部署即插即用可视化免现场运维故障替换故障定位偏远园区行为审计病毒隔离所见即所得一键隔离全程自动化、免干预集中部署、一键下发定位快、恢复快、省人力回溯简单、病毒快速隔离设备上线软件安装自动化上线一键静默安装接入设备标准化基于角色的用户行为审计EIAACG控制区SDN+Overlay财务市场部研发部过去：行为审计设备基于IP地址进行审计，然后再根据IP地址反查用户现在：认证系统（EIA）和行为审计设备（ACG）联动，直接可以审计到用户所见即所得，回溯简单过去传统园区需要在交换机

24、上配置ACL，在防火墙上封端口，逐台进行手工配置，工作量大、效率低现在快速隔离病毒（如勒索病毒）在控制器DR2000中通过图形化界面拖拽方式，一键部署全网端口隔离策略0102传统园区面临的挑战ADCampus解决方案ADCampus网随人动03ADCampus小白运维04ADCampus宽带物联05传统园区物联终端准入模型和痛点动态准入认证局限性打印机、一卡通、视频摄像头等哑终端无法通过1x或者弹出Portal进行动态认证医疗叫号机、自助终端等虽有智能系统，也无法动态认证MAC认证+端口绑定复杂性MAC地址收集困难基于端口和MAC的绑定操作复杂免认证终端的安全性私接入网、终端不可见性系统被攻击

25、、数据被篡改的风险物联终端准入安全需求智能识别网络能够自动感知终端上线；控制器自动识别终端类型，并根据业务类型自动分类。安全隔离终端根据业务类型自动进入隔离通道，不同业务类型的物联终端能够安全隔离。精细监控终端在线过程中能够进行精细化监控，防止异常仿冒、从而保护业务和数据安全性。物联终端智能识别终端厂商和型号终端操作系统类型和版本终端使用的浏览器等应用MAC OUI ：2616条DHCP指纹：373条Http User-Agent：1249条MAC OUI字段DHCP报文中的Option55字段http报文中的User-Agent字段识别内容识别方法识别能力物联终端自动分类基于MAC OUIM

26、AC OUI终端分类+ 00:01:E6:00:00:0000:01:E6:FF:FF:FF打印机+ 00:02:20:00:00:0000:02:20:FF:FF:FF摄像头基于业务IP网段（静态IP）业务IP网段终端分类+ 1考场IP监控+ 54校园IP监控操作系统终端类型厂商终端分类+ PrinterHP打印机+ iOSPADAppleiPAD基于终端智能识别（DHCP）适用于同种类型，同厂家（MAC连续）的哑终端批量自动上线适用于哑终和智能终端配置静态IP地址的场景，不同终端类型属于相同业务分组的情况适用于采用DHCP的哑终端或者智能终端，对安全要求较低，不愿意采用认证的场景，如企业VIP用户，云桌面的瘦终端等免认证接口组相应的access端口加入到该组配置组策略，加入二层网络域VIP用户无认证习惯的用户不愿统计MAC免认证方案上线快终端上线自动安全隔离物联终端准入位置无关IP+MAC自动收集绑定基于业务的逻辑隔离上线即隔离，简单安全SDN 网络视频监控网络办公网络智能设备网络物联终端自动化特点：隔离强运维简VxLAN100VxLAN200VxLAN300VxLAN200VxLAN300VxLAN10