华为敏捷园区网解决方案深入分析ppt课件.pptx

《华为敏捷园区网解决方案深入分析ppt课件.pptx》由会员分享，可在线阅读，更多相关《华为敏捷园区网解决方案深入分析ppt课件.pptx（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、H3CH3C基础架构解决方案基础架构解决方案园区网园区网解决方案工作组解决方案工作组HW 敏捷园区网解决方案分析2在园区网方案竞争中，HW给你带来哪些困惑？随板AC随板Bras敏捷园区控制器（SDN）质量守恒（IPCA）SVF安全协防3产品竞争止痛4S77/97/12700 X1E(随板AC)线卡言过其实 X1E系列线卡描述线卡带宽 ET1D2G48TX1E 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 48G ET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP) 48G ET1D2S04SX1E4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百

2、兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+) 72G ET1D2S08SX1E 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+) 88G 5、 根据第2条分析，X1E必须与非X1E单板共存，但非X1E单板MAC，ARP，FIB,NetStream，buffer均远远低于X1E，交换机整机表项需同步，所以X1E高规格表项，根本无法发挥真实作用。1、X1E线卡作为随板AC，宣称可以管理4K AP?事实如此吗？ 整机性能：S7703/S9703:512 、S7706/S7712:1024 、 S9706/S9

3、712:2048 、 S12708/S12712:4096 单块X1E 规格仅仅为512个AP，远远低于业界规格.如果考虑AC备份，成本极高。2、X1E线卡最大带宽是88G，而当前主流的交换机线卡带宽为480G,所以X1E不适合作为交换单板使用，需要配置非X1E单板与X1E单板共存，满足正常交换带宽。3、 X1E线卡作为随板AC ，仅支持无线业务从X1E单板接入。 组网复杂，无线必须从接入POE交换开始单独组网，否则无法在X1E接口上区分无线与有线业务。4、 X1E线卡作为随板AC ，仅支持通过命令行方式配置业务，不支持通过WEB网管配置业务。 AP配置异常复杂，每个AP序列号均需录入，通过命

4、令行配置极其繁琐极易出错。5S77/97/12700 X1E(随板Bas)线卡言过其实 2 、X1E线卡作为随板Bras,仅支持PPPoE业务从X1E单板接入？X1E线卡带宽最大为88G，相当于一个低端盒式交换机的带宽，一定会成为网络瓶颈。比如学生内部打游戏。X1E系列线卡描述线卡带宽 ET1D2G48TX1E 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 48G ET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP) 48G ET1D2S04SX1E4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百兆/千兆combo电接口板(X1E,RJ45/S

5、FP/SFP+) 72G ET1D2S08SX1E 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+) 88G 4、 X1E线卡作为随板Bras ，PPPoE业务仅支持单层VLAN接入，不支持QinQ接入。华为在园区网，特别是校园网，一直以“运营网”方式推行方案.对于教职工区，就是运营网络，没有QinQ,如何区分业务，如何定位用户。3、 X1E线卡不支持MPLS园区网通过MPLS业务隔离是普遍需求，X1E不支持MPLS 如何在园区网使用？1 、X1E线卡作为随板Bras,宣称整机支持64K用户数量，是否适合所有机型？华为64

6、K用户，特指PPPOE用户：具体整机规格:S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64K。所以X1E每块单板PPPOE规格为8K。如果要满足64K用户，必须是127，并且需配置8块X1E单板，同时还需考虑备份，此方案成本极高。6S77/97/12700 X1E线卡大量功能缺失 MPLSGRESFLOW用户自定义ACL组播VPNVLL7华为的license都配置了吗？基础特性(需授权)MPLSIPV6NQA流量分析FW板卡（未授权状态）虚拟防火墙（10）SSLVPN 并发（100）FW板卡（授权）ET1D2FW00

7、S0/1：max(500) ET1D2FW00S02：max(1000)SSL VPN max(5000个)IPS（未授权状态）文件类型过滤内容过滤应用行为控制邮件内容过滤审计功能国密算法（SM2/SM3/SM4）IPS（授权）入侵防御反病毒URL远程查询XIE单板（未授权）IPV4 FIB 256KIPV6 FIB 128KPPPOE用户 256个WLAN AP 16个XIE单板（授权）IPV4 FIB IPV4 FIB (max)(max)： S7703/S9703:256K S7706/S7712:512K S9706/S9712:1M S12708/S12712:3M IPV6 FIB

8、 IPV6 FIB (max):(max):S7703/S9703:128K S7706/S7712:256K S9706/S9712:464K S12708/S12712:464KPPPOEPPPOE (max): (max):S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64KAP(max):AP(max):S7703/S9703:512 S7706/S7712:1024 S9706/S9712:2048 S12708/S12712:4096 机框出现故障，FW,IPS license必须重新申请，无法满足紧急故障

9、处理要求!8敏捷园区网方案解密9本篇你能了解到的1、何为华为敏捷园区网方案？到底是质的飞跃还是又一次概念的包装？2、华为宣称敏捷园区网的5大亮点解析？n 何为安全协防方案？n 何为有线无线深度融合方案？n IRF3 VS SVF ？n 质量守恒(IPCA)是否无所不能？n Campus Agile Controller到底为何物？ 10华为敏捷园区网解决方案华为认为敏捷园区网与传统园区网的三大改变：1、SDN引入园区网2、敏捷交换机替代传统交换机3、安全能力池化11华为敏捷园区网的亮点和价值业务随行，自由移动新体验：集中控制用户策略，用户权限，优先级，带宽，包括园区，分支接入，移动接入；全网安

10、全协防，从单点防护进入全网防护年代：可以发现任意位置的安全侵入事件，彻底解决了移动环境下存在大量安全威胁点，单点安全无法防护的问题。有线无线深度融合，让运维管理不再繁琐：通过融合AC，有线无线流量可以统一转发；通过超级虚拟交换网技术SVF，创新性地将盒式接入交换机和AP 分别虚拟为核心/ 汇聚框式交换机的板卡和端口，管理一个网络就像管理一台交换机一样简单；通过融合用户认证和管理功能，为有线无线用户提供统一认证和接入策略控制，管理员可以获得一致的用户管理体验。质量感知，第一次让IP 感知质量：包守恒算法iPCA全可编程&一机双平面，第一次实现SDN 在园区网络直接部署：基于华为自研的具备全可编程

11、的ENP芯片，使设备的转发功能具备向未来标准演进的能力，可以直接通过Controller 来自定义设备的转发行为，大大缩减了新功能和新业务的上线时间，从根本上具备了让网络实现软件定义的能力12业务随行，第一次把网络资源跟人关联起来，让网络资源自动跟随人移动，第一次让网络变得人性化，让上班族获得自由。华为敏捷园区网解决方案亮点1业务随行，移动接入13业务随行，移动接入Agile controller 可以操作用户，位置信息，这个太神奇了！我们看看Openflow 1.3 十元组：好像没有USER XXX 信息好像也没有Location XXX 信息14Esight？Esight？策略随行：集中式

12、策略，组间精细控制对应我司EIA15业务随行，自由移动新体验小结：类似HW BYOD方案，不同用户，不同地点，不同访问权限！Aglie Controller: 好像是E16全网安全协防，从单点防护进入全网防护年代华为敏捷园区网解决方案亮点2全网安全协防17全网安全协防18实现安全协防的Controller设备ManagerController 实际就是SOC19看看我司看看我司安全安全联动联动方案方案安全管理中心AAA/EAD1.黑客攻击事件3.单事件响应，下发策略(自动或手动)：防火墙限连接；限应用；IPS限流4. 下线或隔离用户限连接限流限应用隔离或下线、黑名单ServersIPSACGF

13、W接入1.黑客攻击事件2. 事件升告警，并基于告警下发联动动作策20小结：Aglie Controller: 好像是soc全网安全协防，从单点防护进入全网防护年代：抄袭我司方案21有线无线深度融合，融合了转发，融合了管理，融合了策略控制，让企业无线网络的部署变得前所未有的简洁，极致简化园区有线无线网络的运维管理工作。华为敏捷园区网解决方案亮点3有线无线深度融合22有线无线深度融合，让运维管理不再繁琐华为认为，11AC时代AC的转发能力不足，AC与交换机融合，利用交换机Tbit转发性能弥补AC性能，可以吗?前面在进行产品分析时，随板AC已经分析，基本不可用!23SVF架构(Super Virtu

14、alFabric)Capwap 隧道Capwap 隧道Capwap 隧道24属性技术SVFIRF3协议CapwapIRF3技术属性类集群技术网络虚拟化技术功能配置统一管理简化网络结构小结：SVF VS IRF3SVF 实际上通过Capwap协议对有线接入交换机与无线AP实现统一管理，在配置上形成集中，有线无线在一个巨大Campus网络下仅仅需要维护一份配置。这种方式存在以下几个问题。1、Capwap管理配置不适合有线。原因如下，capwap的模式分为三级：全局配置 、分组配置 、组员配置这种配置管理方式是典型的无线AP 管理方式，因为AP的配置按照分组来配置，配置基本相同。如果接入有线交换机也

15、如此配置，配置量是非常大的，维护起来极为不方便。2、Capwap 隧道必须依靠芯片转发，对芯片要求高。目前X1E的性能最高为88G，有线无线同时转发，存在严重性能瓶颈，而采用本地转发又会丢失很多无线特性。3、SVF无法解决传统网络问题：二层环路，三层设备无法工作AA模式25质量感知，第一次让IP感知质量华为敏捷园区网解决方案亮点4质量感知26质量感知IPCAIPCA：进入系统的包+内部产生的包=离开系统的包+内部吸收的包27IPCA的工作场景设备级监控 1、利用IPCA监控ENP 单板故障2、利用ENP包围方式监控交换网故障3、非ENP 单板无法监控故障1、整网均为华为敏捷系列，使能IPCA即

16、可监控2、目前华为敏捷系列交换机为S127，S97，S93，S77，57,USG 6000，并非全系列款型。28IPCA的工作场景网络级监控 敏捷系列敏捷系列敏捷系列非敏捷/非华为设备1、通过包围方式监控非华为/非敏捷设备2、组网局限性，非华为设备必须只能与敏捷系列连接敏捷系列敏捷系列敏捷系列敏捷系列利用敏捷系列监控广域网链路监控似乎是不错的方案，前提是所有广域网设备都是ENP29小结：从算法上来了解IPCA的局限性 华为华为IPCA IPCA 网络级丢包统计基于IP FPM（灵活包匹配）实现，IP FPM是一种可以实现对点到点网络或者多点到多点网络中业务流进行直接测量，得到丢包率、丢包数量等

17、性能指标的统计方法。1、FPM不支持组播数据包的检测。不支持组播数据包的检测。2、FPM不支持隧道接口和不支持隧道接口和MPLS接口。接口。3、FPM不能执行不能执行IP包的分片或者包的分片或者TCP流的重组。流的重组。4、FPM不能使用不能使用IP选项来对数据包进行选项来对数据包进行分类。分类。5、FPM 是一种无状态不能是一种无状态不能缓解网络攻击，因为缓解攻击是需要有状态的数据包分类。缓解网络攻击，因为缓解攻击是需要有状态的数据包分类。因为因为FPM是无状态的，所以它不能跟踪由协议控制的自协商的端口号，换句话说，如果需要使用是无状态的，所以它不能跟踪由协议控制的自协商的端口号，换句话说，

18、如果需要使用FPM技术，技术，那么必须手工的定义端口号。那么必须手工的定义端口号。6、FPM检测只对IPv4的单播数据包有效。IPCA技术虽好，但使用局限性太多！30Campus Agile Controle到底为何物？ EsightSOCSDN C31Campus Agile Controller详解1、华为敏捷控制器Agile Controller是什么？2、华为敏捷控制器剖析？n 以业务体验为中心重新定义网络？n 基于全网视角的安全协防？n 产品开放合作能力？32华为敏捷控制器是什么 ？33华为敏捷控制器是什么 是eSight的包装吗？ 1、Agile Controller与eSight

19、完全不同界面风格。2、Agile Controller与eSight的授权模式完全不同。3、Agile Controller与eSight的功能有所不同。 Agile Controller不是eSight的包装，是Policy Center（来自于华赛） 34华为敏捷控制器是什么 有哪些功能？相当于我司EIA + EIP35华为敏捷控制器是什么 有哪些功能？后文深度剖析36华为敏捷控制器是什么 有哪些功能？EAD + 行为审计 + SSM 功能类似37华为敏捷控制器是什么 “业务编排”重点功能剖析（一）38华为敏捷控制器是什么 “业务编排”重点功能剖析（二）GRE隧道？核心交换(编排设备)与业

20、务设备建立GRE隧道在交换与安全设备之间建立GRE隧道，实现是业务分流，是很高明的做法吗？交换机GRE隧道规格？多路径？等问题如何处理？39华为敏捷控制器是什么 “业务随行”重点功能剖析？业务随行解决的问题：1、在园区网不同位置接入网络访问权限无法保持一致2、 VIP用户的网络带宽无法得到保证的问题业务随行两个关键对象 安全组：安全组，区分不同的安全组的目的在于方便管理员控制不同的安全组之间的访问权限。安全组列表最多支持512个安全组。每个安全组最多支持绑定64个IP地址段。Controller最多支持2048个IP地址段。业务随行两个关键对象 访问权限控制：访问权限控制是指控制不同安全组之间

21、访问权限。支持“业务随行”的设备是127、97、77和USG安全设备。安全组和访问权限控制策略通过接入策略关联起来。业务随行主要是管理不同安全组的不同访问权限。512个安全组，2048个IP段？与业务编排功能结合起来，交换能支撑的了这么多GRE规格吗？40华为敏捷控制器是什么 “安全协防”重点功能剖析？目前华为主要在L2到L4联动，L4L7没有看到41华为敏捷控制器是什么 功能总结？1、Agile Controller主要完成终端接入、安全检查、行为审计等功能。2、 Agile Controller提出了业务随行和业务编排，更多是对应于我司RAM的概念，本质上还是有很大区别。3、 Agile Controller与SDN毫无关系，完全是概念炒作。4、使用不常用的XMPP协议与安全设备通信，无法混合组网。5、主要是软件与安全设备联动功能，与敏捷无关。这些功能与SDN有关系？牵强！42小结：n 敏捷控制器就是一个用户接入、终端管理和安全管理软件，没有多么神奇。n 来源于华赛，与eSight不同源，网管功能无，如何做SDN控制器？n 与网络关系不大，就是一些安全特性与用户的自动关联、自动防护等功能。43华为敏捷园区网解决方案-回顾华为认为敏捷园区网与传统园区网的三大改变：1、SDN引入园区网2、敏捷交换机替代传统交换机3、安全能力池化只剩敏捷！杭州华三通信技术有限公司