15华为互联新校园携手众教育华为敏捷教育城域网方案V2030p

---华为敏捷教育城域网方案112小学中学教育厅/局教育城域网班级班级教授老师学生教育资源云平台班班通人人通校校通教育资源公共服务平台教育管理公共服务平台教育城域网是“三通两平台”中的重要网络设施3上网访问语音、视频教学应用教育城域网业务质量无法保障谁占用了带宽业务流量是否正常网络故障发生在哪里教学视频出现马赛影响教学效果语音时断时续无法在线交流网络出现故障影响考生成绩教育域域网教育厅/局教育资源云平台视频、语音对网络质量敏感•网络时延不超过400ms•丢包率上限值为1×10-3•包误差率上限值为1×10-44教育城域网运维管理越来越力不从心中小学无线校园建设增加网络运维负担运维投入逐年增长，成本逐年递增，管理越来越困难教育城域网设备数量高速增长，日益臃肿接入终端爆炸性增长，海量用户接入，无形中增加管理难度教学应用从单一化的老师备课系统向多元化的云应用发展，教学内容更加丰富，系统也越来越复杂家长老师学生老师老师学生教育城域网教育城域网教育城域网教育基础网络建设教育业务发展阶段教育资源云时代5下一代教育城域网需要做出改变极致体验、精简运维、开放融合的敏捷教育城域网移动性云计算大数据社交网络物联网关注设备联通关注师生业务体验粗放式业务分发精细化策略实施网络实时感知质量关注单点设备关注整网协同网络边界消失传统硬件定义网络硬件成本软件定义可编程应用个性化扩展动态自动部署业务发放零等待设备从静态配置627华为敏捷教育城域网架构数字图书远程教育虚拟实验移动学习①SDN理念下校园业务全网协同控制，用户和策略精准管理Internet教育管理平台教育资源平台城域骨干S12700城域汇聚S12700/S7700各个学校SVF学校内部教室食堂楼道操场②CSS2集群，保障高可靠性④SVF超级虚拟化,全网单节点管理,接入设备零配置③有线无线深度融合，优化网络部署，保障策略一致，提高转发效率S5700USG6000USG6000S7700S5700AP6XXX全网有线无线设备统一管理8用户接入集中认证城域骨干S12700城域汇聚S12700/S7700区教委信息中心Internet上级教委…随板AC学校A学校X防火墙交换机S5700APxxxx交换机S5700APxxxx方案组成方案优势城域核心部署S12700敏捷交换机，CCS2方式部署每个学校出口可根据需要选择设备，例如防火墙，交换机，AR等均可汇聚/核心的随板AC集中管理各个学校的AP，并在汇聚/核心完成用户接入认证认证点敏捷交换机随板AC，实现有线无线用户统一认证和管理，提升用户使用体验AgileController完成接入用户的认证及策略下发，做到安全可控及策略跟随防火墙/高效运维开放创新极致体验9城域骨干S12700城域汇聚S12700/S7700区教委信息中心Internet上级教委随板ACSVN学校B学校N城域漫游城域漫游及远程接入—让业务随处可用出差远程接入方案组成核心骨干采用S12700，配合Controller完成对不同区域接入用户的认证。在区教委信息中心部署SVN安全接入网关，师生从公网接入，通过controller实现SVN的接入认证方案优势权限、带宽策略跟着教师移动而移动，不同位置相同体验，满足高易用性要求的场景在公网上通过加密通道访问内部教育资源，安全策略因人而异，满足高安全性要求。高效运维开放创新极致体验10用户接入分布认证区教委信息中心Internet上级教委…学校A学校X防火墙APxxxxAPxxxx方案组成方案优势城域核心部署S12700敏捷交换机，CCS2方式部署每个学校出口可根据需要选择设备，例如防火墙，交换机，AR等均可每个学校汇聚/核心的随板AC集中管理各个学校的AP，并在各个学校本地完成用户接入认证认证点各个学校本地认证，实现有线无线用户统一认证和管理，对网络依赖减少，保证可靠性，每个学校可根据自身需要设置自身特有要求，提升用户使用体验漫游用户统一中继到教委进行认证，保证在其他学校和本身学校的权限一致防火墙/高效运维开放创新极致体验认证点本地认证漫游认证教育城域网11有线无线深度融合，保障一致化体验WLAN千兆接入时代802.112M802.11b11M802.11g54M802.11n2×2300M802.11ac1G/7G3×3450M有线无线一体化有线无线分离有线无线融合敏捷交换机•融合AC•融合用户认证网关•有线无线策略控制点敏捷城域网插卡式AC•有线策略控制点传统城域网分散转发：有线无线分别转发，传统AC管理AP能力1K，转发能力20Gb/s，随着802.11ac千兆时代到来AC性能成为瓶颈分散认证：无线用户在独立AC上认证，而有线用户在接入或核心层认证，认证分散，管理复杂分散管控：无线有线用户分别管理，分散控制，安全管控效果差分散网元：额外投资购买AC设备或插卡，增加运维点和故障点融合转发：有线无线业务统一转发，整机4KAP管理能力，1Tbps转发能力，性能无瓶颈融合认证：有线无线用户统一认证，多种认证方式按需选择，核心层统一认证点，减少认证复杂度融合管控：有线无线用户统一管控，基于用户、地点、时间，业务类型等多维度进行精细化安全管控融合网络：有线无线网络统一管理，随板AC节省投资，减少故障点，SVF虚拟有线无线，简化网络，提升运维效率独立AC高效运维开放创新极致体验12高性能虚拟化核心--教育应用体验的基石业界唯一的核心交换机单主控集群设计主控主控主控主控业务口软件集群只要一框无主控，集群分裂，该框流量全损失主控主控主控主控即便集群系统仅剩一个主控，集群业务仍持续稳定交换网硬件集群传统集群CSS2集群主机S12708S12712可用度(%)99.99999.999-华为敏捷交换机S12700高可靠性设计1+1监控板M+N电源冗余1+1双层风扇1+1主控板3+1交换网板高效运维开放创新极致体验13障碍物自定义一键自动AP布放室外3D覆盖仿真合理规划，精确部署验证部署，提升网络质量售前AP计算器室内场强覆盖仿真场强信噪比测试漫游测试一键化性能测试接入测试智能网规，极致无线接入体验的保障定向天线，AP精准覆盖，降低同频干扰极致体验精准管理高效运维高效运维开放创新极致体验14创新敏捷分布式覆盖方案，增强学生宿舍上网体验86*86中心APAP9430DN-24集面板AP和智分AP优势于一体与面板AP优势对比射频模块统一由中心AP控制，用户漫游体验更加迅速只对中心AP授权，APlicense数量大大减少，成本降低与智分AP优势对比射频模块部放于房间内部，信号覆盖效果高，美观，易安装射频模块通过网线与中心AP互联，不会存在智分馈线拉远信号衰减的问题，拉远覆盖距离最大100m射频模块独立覆盖一个房间，单房间无线接入性能高达1.167Gbps，相比智分是多个房间共享一个射频带宽5G2.4G5G2.4G5G2.4G5G2.4G5G2.4G5G5G5G2.4G双频双流覆盖24个宿舍远端射频模块APR240D…………无线控制器2.4G2.4G高效运维开放创新极致体验15业务随行：用自然语言定义城域网策略SourceGroupDestinationResource•场景需求需要使用简单明了的方式规划校园各级用户的策略权限；需要解决有线无线混合部署的情况下，用户在移动中能保持一致体验；•解决方案配合AgileController业务随行，用自然语言方式定义策略矩阵，一键式下发到核心层执行策略，摒弃了传统ACL+IP的管理方式。•方案亮点校园用户权限的定义不再与IP相关，更加灵活简便；软件图形化界面定义替代机器ACL配置方式，更加清晰、人性化。极致体验精准管理高效运维城域网传统方案业务随行方案有线capwap端口隔离根据位置规划Vlan，再根据Vlan规划IP，基于IP执行策略策略依赖IP地址，而IP地址又跟接入位置绑定，不能适应移动性及有线无线融合场景。Web认证无法支持二次地址分配！对于先分地址后认证的场景无法根据用户属性变更策略。校内资源带宽InternetVIP允许10M允许教师组允许4M允许学生组允许2M禁止有线IP网段1有线IP网段2无线IP网段N无线capwap策略服务根据IP段执行策略通过SDN软件控制理念，用自然语言制定策略，基于用户和业务制定策略，与IP地址解耦AgileController策略矩阵高效运维开放创新极致体验16iPCApacketconservationalgorithmforinternet网络包守恒算法简化网络：数百台有线无线设备虚拟为一台，只需一个管理网元，接入交换机和无线AP即插即用。集中管理：集中在核心设备配置业务，指定接入设备上的用户侧端口，业务即可自动下发到接入设备，构建面向业务的网络。节省成本：海量接入设备，一台管理网元，轻松运维，节省成本。一张网络，一台设备，一种管理S7700AP6010DN中小学SVFS5700LIS5700LIS5700LIAP6510DN中小学T-bit1M21N2接入交换机虚拟成有线接口卡AP虚拟成交换机的无线端口一台虚拟的超级交换机高效运维开放创新极致体验SVF--让教育城域网成功瘦身17快速感知安全状态--保护教育关键信息资产考试题库学籍信息校产信息财务信息城域骨干教育资源平台，教育管理平台教育关键信息资产安全资源中心NGfirewallIPSAntiddos访问考题题库访问财务信息访问校产信息学校A学校B学校N定制关键信息资产安全策略Controller基于关键资产业务需求，下发安全策略，灵活调用安全资源中心能力；基于大数据的安全分析引流对应业务流到安全资源中心进行检测，具备4~7层安全能力，并持续升级快速发现安全风险并有效保护关键资产。减少对运维人力投入和运维人员能力的要求，降低运维成本。全网海量安全日志进行分析，挖掘与相应资产的风险状态Internet高效运维开放创新极致体验18IPCA实现校园城域网络质量灵敏感知iPCA丢包故障点在2号设备第6块板卡第1个端口UserGE312业务流即检测流NQAUserGE网络存在丢包！模拟检测流真实业务流iPCA精准检测能力溯源随路检测，零偏差：直接对目标业务流染色，业务流与检测流合一轻松定界：eSight网管可视化显示，穿越网络所有入口出口的目标流量，轻松定界流量路径、性能瓶故障点芯片级精准定位：ENP芯片内置检测点，定位精度可达链路、设备、板卡、直至芯片NQA/SAA粗粒度检测根因仿真业务流，易失真：通过仿真/插入协议报文方式，检测业务流，检测流与实际业务流之间容易失真故障定位时间长：NQA通过不断尝试可能出现故障设备IP地址的方式，逐步缩小故障范围，定位时间长检测颗粒度粗：整台设备作为检测点，检测粒度粗，无法精确定位故障点高效运维开放创新极致体验19eSight可视化管理运维教育城域网eSight•有线、无线设备统一管理•可视化网络拓扑，故障快速定位•360度监控，一键式端到端故障诊断•eSightmobile移动化运维•多种性能统计形式•直观反馈网络性能•呈现各种监控及历史数据•监控指标直观呈现整网情况eSightmobile高效运维开放创新极致体验20eSightWLAN全生命周期管理12三步完成无线业务开通，模板化配置3日常监控4规划设计业务部署故障诊断简易规划、所见即所得，扩容有理可依端到端一键式快速故障定位，移动化运维从整体到局部，360用户体验，通过数据分析给出优化建议高效运维开放创新极致体验21eSight分级部署，监管分离，网络尽在掌握高效运维开放创新极致体验eSight对全网有线无线设备统一监控和管理：教委部署上级网管，负责汇总各分支分校的信息，统一监控。各分支学校部署下级网管，自行对各个学校的设备进行监控和管理。下级网管通过RESTHTTPS安全协议向上级网管上报信息，上级网管进行整网信息的汇总呈现：统一的拓扑管理统一的资源管理统一的告警管理区教委信息中心…学校A学校X防火墙APxxxxAPxxxx防火墙/教育城域网Int