华为敏捷园区网解决方案深入分析

H3C基础架构解决方案——园区网解决方案工作组HW敏捷园区网解决方案分析在园区网方案竞争中，HW给你带来哪些困惑？随板AC随板Bras敏捷园区控制器（SDN）质量守恒（IPCA）SVF安全协防(随板AC)线卡言过其实X1E系列线卡描述线卡带宽ET1D2G48TX1E48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP)48GET1D2S04SX1E4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+)88G5、根据第2条分析，X1E必须与非X1E单板共存，但非X1E单板MAC，ARP，FIB,NetStream，buffer均远远低于X1E，交换机整机表项需同步，所以X1E高规格表项，根本无法发挥真实作用。1、X1E线卡作为随板AC，宣称可以管理4KAP?事实如此吗？整机性能：S7703/S9703:512、S7706/S7712:1024、S9706/S9712:2048、S12708/S12712:4096单块X1E规格仅仅为512个AP，远远低于业界规格.如果考虑AC备份，成本极高。2、X1E线卡最大带宽是88G，而当前主流的交换机线卡带宽为480G,所以X1E不适合作为交换单板使用，需要配置非X1E单板与X1E单板共存，满足正常交换带宽。3、X1E线卡作为随板AC，仅支持无线业务从X1E单板接入。组网复杂，无线必须从接入POE交换开始单独组网，否则无法在X1E接口上区分无线与有线业务。4、X1E线卡作为随板AC，仅支持通过命令行方式配置业务，不支持通过WEB网管配置业务。AP配置异常复杂，每个AP序列号均需录入，通过命令行配置极其繁琐极易出错。(随板Bas)线卡言过其实2、X1E线卡作为随板Bras,仅支持PPPoE业务从X1E单板接入？X1E线卡带宽最大为88G，相当于一个低端盒式交换机的带宽，一定会成为网络瓶颈。比如学生内部打游戏。X1E系列线卡描述线卡带宽ET1D2G48TX1E48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太网光接口板(X1E,SFP)48GET1D2S04SX1E4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接口板(X1E,RJ45/SFP/SFP+)88G4、X1E线卡作为随板Bras，PPPoE业务仅支持单层VLAN接入，不支持QinQ接入。华为在园区网，特别是校园网，一直以“运营网”方式推行方案.对于教职工区，就是运营网络，没有QinQ,如何区分业务，如何定位用户。3、X1E线卡不支持MPLS园区网通过MPLS业务隔离是普遍需求，X1E不支持MPLS如何在园区网使用？1、X1E线卡作为随板Bras,宣称整机支持64K用户数量，是否适合所有机型？华为64K用户，特指PPPOE用户：具体整机规格:S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64K。所以X1E每块单板PPPOE规格为8K。如果要满足64K用户，必须是127，并且需配置8块X1E单板，同时还需考虑备份，此方案成本极高。线卡大量功能缺失MPLSGRESFLOW用户自定义ACL组播VPNVLL都配置了吗？基础特性(需授权)MPLSIPV6NQA流量分析FW板卡（未授权状态）虚拟防火墙（10）SSLVPN并发（100）FW板卡（授权）ET1D2FW00S0/1：max(500)ET1D2FW00S02：max(1000)SSLVPNmax(5000个)IPS（未授权状态）文件类型过滤内容过滤应用行为控制邮件内容过滤审计功能国密算法（SM2/SM3/SM4）IPS（授权）入侵防御反病毒URL远程查询XIE单板（未授权）IPV4FIB256KIPV6FIB128KPPPOE用户256个WLANAP16个XIE单板（授权）IPV4FIB(max)：S7703/S9703:256KS7706/S7712:512KS9706/S9712:1MS12708/S12712:3MIPV6FIB(max):S7703/S9703:128KS7706/S7712:256KS9706/S9712:464KS12708/S12712:464KPPPOE(max):S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64KAP(max):S7703/S9703:512S7706/S7712:1024S9706/S9712:2048S12708/S12712:4096机框出现故障，FW,IPSlicense必须重新申请，无法满足紧急故障处理要求!本篇你能了解到的………1、何为华为敏捷园区网方案？到底是质的飞跃还是又一次概念的包装？2、华为宣称敏捷园区网的5大亮点解析？何为安全协防方案？何为有线无线深度融合方案？IRF3VSSVF？质量守恒(IPCA)是否无所不能？CampusAgileController到底为何物？华为敏捷园区网解决方案华为认为敏捷园区网与传统园区网的三大改变：1、SDN引入园区网2、敏捷交换机替代传统交换机3、安全能力池化华为敏捷园区网的亮点和价值业务随行，自由移动新体验：集中控制用户策略，用户权限，优先级，带宽，包括园区，分支接入，移动接入；全网安全协防，从单点防护进入全网防护年代：可以发现任意位置的安全侵入事件，彻底解决了移动环境下存在大量安全威胁点，单点安全无法防护的问题。有线无线深度融合，让运维管理不再繁琐：通过融合AC，有线无线流量可以统一转发；通过超级虚拟交换网技术SVF，创新性地将盒式接入交换机和AP分别虚拟为核心/汇聚框式交换机的板卡和端口，管理一个网络就像管理一台交换机一样简单；通过融合用户认证和管理功能，为有线无线用户提供统一认证和接入策略控制，管理员可以获得一致的用户管理体验。质量感知，第一次让IP感知质量：包守恒算法iPCA全可编程&一机双平面，第一次实现SDN在园区网络直接部署：基于华为自研的具备全可编程的ENP芯片，使设备的转发功能具备向未来标准演进的能力，可以直接通过Controller来自定义设备的转发行为，大大缩减了新功能和新业务的上线时间，从根本上具备了让网络实现软件定义的能力业务随行，第一次把网络资源跟人关联起来，让网络资源自动跟随人移动，第一次让网络变得人性化，让上班族获得自由。华为敏捷园区网解决方案亮点1——业务随行，移动接入业务随行，移动接入Agilecontroller可以操作用户，位置信息，这个太神奇了！我们看看Openflow1.3十元组：好像没有USERXXX信息好像也没有LocationXXX信息？Esight？策略随行：集中式策略，组间精细控制对应我司EIA业务随行，自由移动新体验小结：类似HWBYOD方案，不同用户，不同地点，不同访问权限！AglieController:好像是Esight全网安全协防，从单点防护进入全网防护年代华为敏捷园区网解决方案亮点2——全网安全协防黑客攻击事件3.单事件响应，下发策略(自动或手动)：防火墙限连接；限应用；IPS限流4.下线或隔离用户限连接限流限应用隔离或下线、黑名单ServersIPSACGFW接入1.黑客攻击事件2.事件升告警，并基于告警下发联动动作策小结：AglieController:好像是soc全网安全协防，从单点防护进入全网防护年代：抄袭我司方案有线无线深度融合，融合了转发，融合了管理，融合了策略控制，让企业无线网络的部署变得前所未有的简洁，极致简化园区有线无线网络的运维管理工作。华为敏捷园区网解决方案亮点3——有线无线深度融合有线无线深度融合，让运维管理不再繁琐华为认为，11AC时代AC的转发能力不足，AC与交换机融合，利用交换机Tbit转发性能弥补AC性能，可以吗?前面在进行产品分析时，随板AC已经分析，基本不可用!架构(SuperVirtualFabric)Capwap隧道Capwap隧道Capwap隧道属性\技术SVFIRF3协议CapwapIRF3技术属性类集群技术网络虚拟化技术功能配置统一管理简化网络结构小结：SVFVSIRF3SVF实际上通过Capwap协议对有线接入交换机与无线AP实现统一管理，在配置上形成集中，有线无线在一个巨大Campus网络下仅仅需要维护一份配置。这种方式存在以下几个问题。1、Capwap管理配置不适合有线。原因如下，capwap的模式分为三级：全局配置、分组配置、组员配置这种配置管理方式是典型的无线AP管理方式，因为AP的配置按照分组来配置，配置基本相同。如果接入有线交换机也如此配置，配置量是非常大的，维护起来极为不方便。2、Capwap隧道必须依靠芯片转发，对芯片要求高。目前X1E的性能最高为88G，有线无线同时转发，存在严重性能瓶颈，而采用本地转发又会丢失很多无线特性。3、SVF无法解决传统网络问题：二层环路，三层设备无法工作AA模式质量感知，第一次让IP感知质量华为敏捷园区网解决方案亮点4——质量感知：进入系统的包+内部产生的包=离开系统的包+内部吸收的包的工作场景——设备级监控1、利用IPCA监控ENP单板故障2、利用ENP包围方式监控交换网故障3、非ENP单板无法监控故障1、整网均为华为敏捷系列，使能IPCA即可监控2、目前华为敏捷系列交换机为S127，S97，S93，S77，57,USG6000，并非全系列款型。的工作场景——网络级监控敏捷系列敏捷系列敏捷系列非敏捷/非华为设备1、通过包围方式监控非华为/非敏捷设备2、组网局限性，非华为设备必须只能与敏捷系列连接敏捷系列敏捷系列敏捷系列敏捷系列利用敏捷系列监控广域网链路监控似乎是不错的方案，前提是所有广域网设备都是ENP小结：从算法上来了解IPCA的局限性华为IPCA网络级丢包统计基于IPFPM（灵活包匹配）实现，IPFPM是一种可以实现对点到点网络或者多点到多点网络中业务流进行直接测量，得到丢包率、丢包数量等性能指标的统计方法。1、