华为敏捷园区网解决方案10_技术主打胶片综合版

敏捷园区网解决方案技术主打胶片企业网络产品线解决方案部1目录2全网安全协防345业务随行质量感知iPCA有线无线深度融合1总述2敏捷园区网一期解决方案全景图及适用场景概览全网安全协防MSV业务链安全联动质量感知iPCA3目录2全网安全协防345业务随行质量感知iPCA有线无线深度融合1总述4业务随行子目录问题与挑战1业务随行实现原理与关键技术2典型应用场景3FAQ45业务随行：自由移动下的网络挑战北京深圳硅谷1.策略：权限2.策略：安全3.体验：优先级4.体验：带宽AgileControllerWAN/Internet自动翻译自动部署用户：xx位置：深圳网络资源网络资源网络资源在允许用户自由移动、任意接入的大背景下，如何实现用户的业务策略和网络体验能够保持一致？6BYOD，身份/终端多样无线接入，人员移动办公驱动力BYOD：大量特殊终端，特殊用户加入园区网络，权限划分越来越精细，用户分组越来越多。端到端体验保证：不同接入场景（有线/无线、内网/远程、LAN/WAN），如何保证接入层的透明和端到端网络体验的一致。策略管理，打破物理隔离提高协同效率：普通员工和外包员工，既要一起办公，协同工作，又要防止数据泄露，安全策略面临挑战。策略部署挑战：快速部署：敏捷开发，快速组建项目团队，传统ACL和VLAN等静态部署无法适应并快速部署。用户分级，QoS保证业务随行驱动力无线接入：WLAN的广泛部署，允许用户大范围移动，同一用户IP地址频繁变更。移动办公：丰富的VPN技术允许用户在各种位置、各种网络中远程接入，园区网络失去明显边界。流量分级：人员移动引起蜂群流量现象。广域出口中，普通用户和VIP用户抢占有限的带宽。QoS和网络体验无法有效管理。优先保证：远程接入中，SSLVPN网关的连接数和带宽都是有限资源，如何保证VIP用户能及时获得最佳的远程接入体验。7业务随行核心需求体验随身不同用户享有不同的网络服务等级。在用户自由移动的前提下，保证其网络体验可以保持一致。例如：•可用带宽•在带宽瓶颈点上的转发优先级•在与低级别用户竞争VPN网关接入权等有限资源时获得优先。策略随行不同用户对应不同的业务策略。在用户自由移动的前提下，保证基于身份的业务策略在任何位置都可以得到一致执行。例如：•用户可以访问的网络资源（权限）•用户间的互访控制（权限）•需要实施的应用安全检测策略（安全）自由移动8传统技术能否实现策略随行和体验随身？传统技术采用NAC技术应对策略随行动态VLAN+静态ACLVLAN与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。将用户分配至特定VLAN使其拥有特定网络权限。VLAN划分方法一：根据用户接入位置动态分配不同VLANVLAN划分方案二：用户任意位置接入分配至同一VLAN动态VLAN+动态ACL用户与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。为用户分配特定ACL使其拥有特定网络权限。同时将用户分配至不同VLAN实现各类用户间的隔离。静态VLAN+动态ACL用户与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。将用户分配特定ACL使其拥有特定网络权限。不限制用户接入位置情况下，不同用户可能位于同一VLAN。重定向/策略路由通过ACL或流分类功能区分不同类型的流量，通过重定向（二层设备）或策略路由（三层设备）功能可以将指定流量从指定接口发送出去，或者发送给指定的下一跳设备。采用QoS技术应对体验随身流量监管通过ACL或流分类功能区分不同类型的流量，针对各种流量限制其最大速率。拥塞管理通过ACL或流分类区分不同类型的流量，将各种流量送入指定的接口调度队列。接口在发送流量时将按照一定规则，依次发送各个队列中的报文，实现重要报文优先转发的效果。优先级映射通过ACL或流分类区分不同类型的流量，针对各种流量重新标记其报文头部中的优先级字段。该字段可用于ACL和流分类匹配，并最终影响流量监管和拥塞管理效果。9技术分析：“动态VLAN+静态ACL”能否实现策略随行？汇聚交换机1网关汇聚交换机2网关接入交换机A（二层）认证点接入交换机B（二层）认证点接入交换机C（二层）认证点核心交换机认证中心资源用户认证后分配VLAN•传统方案技术思想：•在交换机上预先配置静态ACL，ACL中描述了允许或禁止访问的服务器IP网段，并与VLAN绑定。•在用户认证上线时，认证中心结合用户身份和接入位置，分配至不同的VLAN。•不同VLAN内的用户因为绑定的ACL不同，所获得的网络访问权限也不同。•传统方案问题：•根据用户可能的接入位置，授权策略需要配置多条。预配置工作量大，从管理角度看实际并未做到位置无关。•需要提前在每台交换机上创建VLAN并配置静态ACL，存在大量配置工作量，后续ACL维护难以为继。•每类用户对应一个或多个VLAN。例如本例中，每增加一个用户类型，每个接入交换机都需要增加一个VLAN，网关上要新增预留三个网段。实际部署时，增删用户类型难以操作，网络运行时会有大量VLAN和IP网段闲置。认证中心的授权策略（结合身份和接入位置分配VLAN）用户接入交换机VLAN员工A1员工B3员工C5外包A2外包B4外包C6ACL3000ACL3001VLAN1VLAN2员工外包ACL3000ACL3001VLAN3VLAN4员工外包ACL3000ACL3001VLAN5VLAN6员工外包结合身份和接入位置分配VLAN方案10技术分析：“动态VLAN+静态ACL”能否实现策略随行？汇聚交换机1网关汇聚交换机2网关接入交换机A（二层）认证点接入交换机B（二层）认证点接入交换机C（二层）认证点核心交换机认证中心资源用户认证后分配VLAN•传统方案技术思想：•在交换机上预先配置静态ACL，ACL中描述了允许或禁止访问的服务器IP网段，并与VLAN绑定。•在用户认证上线时，认证中心只根据用户身份分配至不同的VLAN。•不同VLAN内的用户因为绑定的ACL不同，所获得的网络访问权限也不同。•传统方案问题：•VLAN需要跨交换机部署。如果同一网关下接入交换机（例如本例中的A和B）数量很多，多交换机共用同一VLAN将形成大广播域。•需要提前在每台交换机上创建VLAN并配置静态ACL，存在大量配置工作量，后续ACL维护难以为继。•VLAN对应IP地址大量闲置。例如假设每台接入交换机最多可供48人接入，同一网关下有10台接入交换机。则每个网关需要为每类用户预留480个以上的IP地址以满足极限情况。但是实际网络运行时，不同类型用户接入在同一网关下，有很多IP地址是闲置的。认证中心的授权策略（仅根据身份分配VLAN）用户VLAN员工1外包2ACL3000ACL3001VLAN1VLAN2员工外包ACL3000ACL3001VLAN1VLAN2员工外包ACL3000ACL3001VLAN1VLAN2员工外包仅根据身份分配VLAN方案11技术分析：“动态VLAN+动态ACL”能否实现策略随行汇聚交换机1网关核心交换机认证中心资源用户认证后分配VLAN和ACL•传统方案技术思想：•在用户认证上线时，认证中心根据用户身份分配所属VLAN和关联的ACL。通过VLAN将不同类型的用户进行隔离。•ACL跟每个用户一一绑定，ACL的具体内容既可以在交换机上预配置，也可以由认证中心动态下发。•不同用户因为绑定的ACL不同，所获得的网络访问权限也不同。•传统方案问题：•VLAN需要跨交换机部署。如果同一网关下接入交换机（例如本例中的A和B）数量很多，多交换机共用同一VLAN将形成大广播域。•虽然ACL可以由认证中心统一下发，以减少交换机上的ACL配置工作量。但是交换机采用硬件匹配ACL，此方案中ACL需要与用户一一绑定，即使是同一个组中的不同用户也不能共享ACL。因此实际每条ACL包含的规则数量受限，否则会因交换机处理芯片支持的规则数量（TCAM表项数）不足而无法生效。认证中心的授权策略（根据身份分配VLAN和ACL）用户VLANACL员工13001外包23002接入交换机A（二层）认证点VLAN1VLAN2ACL3001ACL3002员工外包根据身份分配VLAN和ACL方案12技术分析：“静态VLAN+动态ACL”能否实现策略随行？核心交换机认证中心资源用户认证后分配ACL•传统方案技术思想：•在交换机上根据接口静态划分VLAN，避免广播域和VLAN、IP地址闲置问题。在用户认证上线时，认证中心根据用户身份分配关联的ACL。•ACL跟每个用户一一绑定，ACL的具体内容既可以在交换机上预配置，也可以由认证中心动态下发。•不同用户因为绑定的ACL不同，所获得的网络访问权限也不同。•传统方案问题：•无法做到VLAN内用户互访的隔离。因为不同类型用户会获得同一网段的地址，用户之间互访隔离的ACL无法提前定义好。•同时对于部署在园区边界，不是认证点的防火墙设备，传统基于IP地址包过滤策略将难以配置。•虽然ACL可以由认证中心统一下发，以减少交换机上的ACL配置工作量。但是交换机采用硬件匹配ACL，此方案中ACL需要与用户一一绑定，即使是同一个组中的不同用户也不能共享ACL。因此实际每条ACL包含的规则数量受限，否则会因交换机处理芯片支持的规则数量（TCAM表项数）不足而无法生效。认证中心的授权策略（根据身份分配ACL）用户ACL员工3001外包3002汇聚交换机1网关接入交换机A（二层）认证点VLAN1VLAN2ACL3001ACL3002ACL3001ACL3002员工外包员工外包根据身份分配ACL方案13技术分析：“基于IP的重定向/策略路由”能否实现策略随行？园区出口LAN核心交换机用户认证点交换机园区方案二：园区核心旁挂安全设备集中进行流量检测。如果不同用户会共用同一网段IP，则核心交换机无法通过配置重定向或策略路由实现将特定用户流量引导至安全设备检测。安全设备WAN安全设备园区方案一：园区认证点旁挂安全设备分布式进行流量检测。传统NAC技术不能基于用户下发重定向或策略路由，认证点交换机无法实现只将特定用户流量引导至安全设备检测。同时安全设备部署点低，数量多，成本高。背景：传统网络安全方案中，要在园区中旁路部署防火墙进行流量安全清洗，通常要在交换机上使用重定向（二层设备）或策略路由（三层设备）来将特定流量引导至安全设备。但是传统重定向和策略路由只能基于IP地址配置，并且只能引流至直连设备。14技术分析：“基于IP的QoS”能否实现体验随身？防火墙认证点交换机用户防火墙WANLAN资源传统QoS策略采用ACL或流分类来描述流量，对匹配ACL的流量执行限速、队列调度、优先级标记等动作。ACL、流分类主要依靠报文头部中携带的字段来对流量进行分类，比如IP地址、MAC地址、端口号、IP优先级等。允许用户自由移动后，用户所属的IP网段不再固定，边界设备上无法提前定义好ACL，相应地，也就无法配置QoS策略。考虑到数据中心至用户的下行方向流量往往所需带宽更大，更容易出现瓶颈。所以体验保证不仅需要考虑流量的源用户，还需要考虑流量的目的用户。允许用户自由移动后，描述下行流量的ACL同样无法提前定义。只有边界设备识别报文的用户信息，才可能保证下行流量根据目的用户得到准确的体验保证。15传统技术的关键问题与局限性总结大部分业务策略需要基于IP地址配置传统ASIC交换机基于硬件来对报文和策略进行匹配，这决定了传统交换机的业务策略需要基于报文头部中携带的字段（IP地址、MAC地址、端口号、IP优先级等）配置。业务策略与网络拓扑与IP规划强耦合，因此人员移动和网络变动将导致业务策略需要频繁同步更新。在自由移动的场景下，业务策略将无法提前定义。只有认证点设备可以执行基于用户的策略传统NAC技术中，只有认证点设备会与认证中心交互获取上线终端的用户信息，这决定了只有用户的接入设备可以通过报文的IP地址/MAC地址来识别报文的“源用户属性”，从而执行基于用户的策略。业务策略配置主要依靠逐台设备手工配置传统配置管理技术中，网管通常只能