华为敏捷园区网解决方案彩页(详版)

华为敏捷网络官方微信二维码华为敏捷园区网解决方案1234选择华为业务发展对传统网络的挑战华为敏捷园区网解决方案客户价值4华为敏捷园区网解决方案业务发展对传统网络的挑战1从1989年第一台以太网交换机面世至今，经过20多年的发展，网络已经逐渐成为支撑IT发展的重要基础。随着以太网交换机、路由器等网络设备在转发性能、功能特性、端口速率等方面的快速发展，网络持续发挥着“高性能、低成本、易于使用”等优势。然而近几年来，随着BYOD移动办公、云计算、SDN软件定义网络、物联网以及大数据等概念的持续升温，新技术、新应用层出不穷，这些应用和业务进入企业园区，对园区网络带来了诸多挑战。●●应用移动化带来的挑战：静态●VS●动态●随着Wi-Fi网络逐渐进入企业园区，员工需要通过任何设备，在任何时间、地点访问公司的网络资源，享受移动办公的便捷。与传统园区网络相比，这不仅导致园区网络流量变得不可预测，进而要求与用户相关的网络访问控制策略、QoS策略等能够跟随用户位置的迁移而动态变化。而在现有企业园区网络中，这些策略多是人工静态配置的，工作量庞大同时完全无法快速响应用户需求，用户权限难以管理，难以保障一致的业务体验。5华为敏捷园区网解决方案●●云计算带来的挑战：虚拟化、实时性、优质体验●为了提高资源利用率、提升IT管理效率并降低运营成本，桌面云已经在园区网中逐渐普及。数据中心的计算和存储资源趋于虚拟化和动态化，进而要求网络能像计算/存储资源一样，动态灵活分配，完美支持云计算。另外，越来越多的业务数据都存储在了云端，网络就像计算机的总线互联CPU、硬盘、内存一样互联着数据中心的计算存储资源。而桌面云需要承载电子流、邮件、实时视频会议、语音会议等多种业务，其中多媒体业务对网络质量的要求非常高，一旦网络质量不佳，用户体验就会下降。那么应该如何优化网络结构，从而保障卓越的用户业务体验呢？●●新兴多业务带来的挑战：多变的业务●VS●僵化的网络●以定义网络设备功能的IETF●RFC文稿数为例，最初的20年共发布1000多篇RFC文档，而最近短短10年就新增了近3000篇，这足以说明相关网络业务功能正在加速发展。●企业为了获得商业成功，希望尽量缩短新业务的上线时间，传统网络如何应对？在企业网络里大量使用的是交换机，传统的交换机其包转发功能基于ASIC芯片实现，包转发功能在出厂时就已经固定，如何快速适应各种新业务应用以及新标准的大量涌现。同时现在网络里承载视频、语音、实时交互的业务越来越多，如何保证一张网承载多种业务的同时带来优质体验。●●●物联网带来的挑战：标准、开放、复杂环境●万物互联（IOT）已经不再是一个概念，而是未来企业和工业发展的必然趋势。有数据表明，2013●年已有100●亿物件联网，未来10●年更将会呈现爆炸性增长态势，到2020●年网络中的节点数量将超过500●亿。爆炸式增长的物联网给网络带来了新的挑战，如何适应如此大规模的节点数量，如何适应物联网时代的多样的接口形态和通信收发方式，如何保证网络的安全性、设备如何适应严酷的工业环境，都将对网络带来挑战。●●网络安全带来的挑战：单点静态防御●VS多点动态未知威胁●BYOD移动办公带来便利的背后也带来很多安全问题，公私两用，接入各种网络，导致终端安全和信息安全问题激增，安全防护边界已经模糊化。攻击手段正变得多样化，据统计75%的威胁发生在应用层，大于50%的攻击是有组织的团队行为，如何应对多样化的攻击手段，已经成为企业需要重点考虑的问题。与此同时，当前攻击趋向于使用未知威胁变种，以躲避传统防护手段，仅中国2010年新增网络病毒1798万，企业如何应对大量的未知威胁，如何减缓攻击避免灾难，也是大的挑战。●●网络运维人员面临的挑战：状态不可知、管理不自动随着视频、语音等实时类业务的部署，对网络的丢包、时延、抖动提出了更高的要求。然而由于IP网络无连接的特性，网络中没有任何业务的状态信息。当用户体验到视频马赛克、语音听不清等情况时，网络并不知道，网络管理员也根本不知道用户体验不好，更无法发现是什么因素影响了业务体验。网络缺少一个能够自动感知用户体验和自动定位问题的机制。另外，随着无线网络的大量覆盖，终端接入的AP、交换机数量不断增加，传统手工配置的方式已经给网路运维人员带来非常大的挑战。如何解放运维人员、减少配置管理的工作量？●有线、无线网络目前还是两套管理和认证系统，如何实现有线无线网络的统一管理也成为目前网络所急需解决的问题。华为敏捷园区网解决方案06华为敏捷园区网解决方案2敏捷网络是华为公司面向企业市场发布的下一代网络解决方案，它继承了业界SDN的最新理念和研究成果，通过全可编程、质量感知、平滑演进三大架构创新，并融入华为20年优质高效的网络部署经验，让网络能够快速、灵活地为业务服务。华为敏捷园区网解决方案瞄准解决用户园区网络中存在的问题，是敏捷网络在园区网的落地实现，与传统园区网相比，在架构上做了如下3大改变：●第一，第一次把SDN架构引入园区，给网络增加了智慧的大脑（Agile●Controller）。敏捷园区网通过Agile●Controller集中式控制，实现整个园区网络包括出口路由器/SVN的全网系统控制，可以动态地调配网络资源，实现网络资源跟随用户移动，从而保证了自由移动环境下每个用户的业务体验。同时它可以调配全网安全资源，实现网络的协同整体防护。●第二，用敏捷交换机替代了传统交换机，给网络增加了敏捷的肢体。通过敏捷交换机使网络实现了敏捷感知和执行的能力，可以感知用户&应用、网络质量&问题以及安全事件。●第三，实现了安全能力资源化，防火墙等安全资源不再是某个单点的功能，而是可以全网共享的功能。2.1方案概述分支网L2SWARAR分支网L2SW互联网接入WAN/InterneteSight统一管理园区出口敏捷核心敏捷汇聚融合接入NE/AR/SVN敏捷交换机敏捷交换机敏捷交换机交换机交换机APAP安全资源中心NGFWAgileController敏捷园区网解决方案敏捷园区网解决方案通过“业务随行”、“全网安全协防”、“质量感知”、“有线无线深度融合”和“全可编程&一机双平面”五大创新功能来帮助企业客户完成面向新业务趋势变化的网络转型，为用户提供一个最大限度适应业务的架构，让网络更敏捷地为业务服务。7华为敏捷园区网解决方案07随着网络新技术快速发展、BYOD的普及，移动办公、无线接入逐渐兴起，用户希望自由自在地移动、随时随地地办公。但不同接入位置割裂的用户策略，带来糟糕的远程、移动办公体验阻碍我们获得自由，让我们的美好愿望全部落空。问题在于，传统网络资源是按照物理位置分配的，它不会随着用户移动。●一个员工在不同的地方办公，从各个位置访问企业资源，网络须要根据其接入的位置和使用的终端分配安全策略和权限，以及保证体验所需的带宽/优先级等网络资源。换句话说，用户的策略、对应的业务体验能够随着用户的移动而动态迁移，最终实现的效果是移动办公的人员不管在哪里、使用什么终端接入，体验能够一致。这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。华为通过引入Agile●Controller和敏捷交换机，基于SDN的思想把管控集中在Controller，达到全网统一的效果。具体来说，是通过在Controller上基于用户组定义权限、业务流安全策略以及体验相关的用户优先级、带宽、VPN资源策略，并下发至园区各交换机、NGFW、SVN等策略执行设备，当用户在内网有线、内网无线、外网远程等不同地点、使用不同的终端设备接入时，Controller会自动识别用户身份及其所在用户组，并向网络中相应执行设备发布用户策略信息来执行策略，从而保障不同位置接入用户的一致使用安全和使用体验。2.2方案详述业务随行2.2.1 业务随行，自由移动新体验SiliconvalleyPolicies,resourcesPolicies,resourcesPolicies,resourcesShenzhenBeijingWAN/InternetAgileControllerUserxxxLocationxxx接入无差别体验有保障策略随行1.权限(Permit/Deny)2.业务流3.安全（IPS/AV/应用安全）体验随身1.优先级2.带宽8华为敏捷园区网解决方案用户组定义User市场小李GroupID13IPXXXWAN/Internet研发员工园区接入数据中心敏捷交换机/随板AC组间策略定义销售员工研发服务器销售服务器研发桌面云禁止允许禁止研发BYOD禁止禁止禁止销售员工允许禁止允许VIP员工允许允许允许源组目的组组名GroupID组定义（基于5W1H）研发桌面云10研发桌面云员工研发BYOD11研发员工自带设备销售20销售员工VIP30VIP员工……AgileController●■策略随行：集中式策略，组间精细控制策略随行●●全局集中式策略控制●基于SDN全局统一思想，以Controller为核心集中式配置和维护全网的用户策略；一次配置，统一生效，减少不一致矛盾。改变传统基于机器语言的繁琐配置，采用易于理解的自然语言，配置简单明了。●●组间策略控制●通过提供用户组间权限控制以及用户组到资源组之间的策略控制，在实现灵活并精细化进行用户权限控制的同时，减少设备资源ACL消耗。●●●基于用户组的业务流安全策略●结合安全资源动态分配方案，可以实现在认证交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于用户组的安全业务策略，规定流量需要被哪些安全设备处理，以及处理的先后顺序。9华为敏捷园区网解决方案交换机/随板ACVIP员工远程接入出差用户企业分支企业园区NGFWSVNInternetRouter带宽、QoS、VIP用户策略带宽、QoS、VIP用户策略带宽、QoS、VIP用户策略带宽、QoS、VIP用户策略WANInternet●■体验随身：统一用户体验，VIP用户保障体验随身●●统一的用户体验保障●无论用户在分支、园区总部、出差远程接入，无论用户访问企业内网资源、互联网资源，在VPN接入网关、互联网出口防火墙、分支出口设备等影响体验的关键执行点上，都有相应的带宽和QoS策略，保障用户一致的业务体验。对于VIP用户流量，可以进行优先调度，并给予充分的带宽保证。●●VPN网关自动优选、VIP用户优先接入当用户在远程VPN接入，VPN客户端会自动选择时延最短的最优网关作为接入网关。而当某网关的可用资源已经被在线用户耗尽无法接入新用户时，网关可以自动强制部分普通用户下线，为VIP释放系统资源，保证VIP用户的优先接入。业务随行，第一次把网络资源跟人关联起来，让网络资源自动跟随人移动，第一次让网络变得人性化，让上班族获得自由。10华为敏捷园区网解决方案移动办公和Wi-Fi引入企业后，任何角色、任意设备、任意地点都可以接入企业园区网络。在带来灵活便捷的同时，网络安全威胁源从传统的互联网出口点，变成了互联网出口、园区Wi-Fi接入、远程接入等多个点。黑客入侵、病毒传播的方法和途径正变得多样化和复杂化，安全威胁的无边界、安全设施的各自为战、现有网络安全改造的复杂部署实施，使得传统基于物理位置的单点防御、边界防护思想越来越难以奏效。企业需要能够整合全网安全资源并加以协调使用，主动发现威胁，高效、灵活、全面防护。●为此，华为公司通过Agile●Controller●+●安全资源中心●+●敏捷交换机，借助大数据分析和SDN的思想，对全网安全能力进行整合、调度使用，实现全网安全协同防护。在这种体系架构下，网络中的安全监控点无所不在，由Controller进行全网的安全事件收集，进行大数据关联分析并下发安全策略；安全功能不再受限于物理位置，通过将可疑流量引入虚拟的安全资源中心，实现全网安全资源的按需使用。2.2.2 全网安全协防，从单点防护进入全网防护年代安全资源中心NGFW第三方安全设备AgileController②大数据关联分析④安全资源动态分配③全网安全策略下发①全网安全事件采集安全事件采集安全