华为敏捷园区网解决方案深入分析

9
华为敏捷园区网解决方案
华为认为敏捷园区网与传 统园区网的三大改变：
1、SDN引入园区网 2、敏捷交换机替代传统交换机
3、安全能力池化

10
华为敏捷园区网的亮点和价值
业务随行，自由移动新体验：集中控制用户策略，用户权限，优先级，带宽，包括园区，分支接入，移动接入； 全网安全协防，从单点防护进入全网防护年代：可以发现任意位置的安全侵入事件，彻底解决了移动环境下存在大 量安全威胁点，单点安全无法防护的问题。 有线无线深度融合，让运维管理不再繁琐：通过融合AC，有线无线流量可以统一转发；通过超级虚拟交换网技术 SVF，创新性地将盒式接入交换机和AP 分别虚拟为核心/ 汇聚框式交换机的板卡和端口，管理一个网络就像管理一 台交换机一样简单；通过融合用户认证和管理功能，为有线无线用户提供统一认证和接入策略控制，管理员可以获 得一致的用户管理体验。 质量感知，第一次让IP 感知质量：包守恒算法iPCA 全可编程&一机双平面，第一次实现SDN 在园区网络直接部署：基于华为自研的具备全可编程的ENP芯片，使设备 的转发功能具备向未来标准演进的能力，可以直接通过Controller 来自定义设备的转发行为，大大缩减了新功能和 新业务的上线时间，从根本上具备了让网络实现软件定义的能力

5
S77/97/12700 X1E线卡大量功能缺失
MPLS
GRE
组播VPN
用户自定义ACL
VLL
SFLOW

6
华为的license都配置了吗？
基础特性(需授权) MPLS IPV6 NQA 流量分析 XIE单板（未授权） IPV4 FIB 256K IPV6 FIB 128K PPPOE用户 256 个 WLAN AP 16个 XIE单板（授权）
设备Manager

18
看看我司安全联动方案
1.黑客攻击 事件 1.黑客攻击 事件
限流 限应用
ACG IPS
限连接
FW
隔离或下线、 黑名单
接入
Servers
4. 下线或隔 离用户 安全管理中心 2. 事件升告警，并基于告警下发 联动动作策
AAA/EAD
3.单事件响应，下发策略(自动或 手动)：防火墙限连接；限应用； IPS限流
Aglie Controller:
好像是Esight

15
华为敏捷园区网解决方案亮点2——全网安全协防
全网安全协防，从单点防护进入全网防护年代

16
全网安全协防

17
实现安全协防的Controller
Controller 实际就是SOC
好像没有USER XXX 信息
好像也没有Location XXX 信息

13
策略随行：集中式策略，组间精细控制
Esight？
对应我司EIA
Esight？

14
小结：
业务随行，自由移动新体验
类似HW BYOD方案，不同用户，不同地点，不同访问权限！
HW 敏捷园区网解决方案分析
H3C基础架构解决方案—— 园区网解决方案工作组
在园区网方案竞争中，HW给你带来哪些困惑？
随板AC
随板Bras
SVF
质量守恒（IPCA）
安全协防
敏捷园区控制器 （SDN）

2
产品竞争止痛

3
S77/97/12700 X1E(随板AC)线卡言过其实

21
有线无线深度融合，让运维管理不再繁琐
华为认为，11AC时代AC的转发能力不足，AC与交换机融合， 利用交换机Tbit转发性能弥补AC性能，可以吗? 前面在进行产品分析时，随板AC已经分析，基本不可用!

22
SVF架构(Super VirtualFabric)
19

小结：
Aglie Controller:
好像是soc
全网安全协防，从单点防护进入全网防护年代：
抄袭我司方案

20
华为敏捷园区网解决方案亮点3——有线无线深度融合
有线无线深度融合，融合了转发，融合了管理，融合 了策略控制，让企业无线网络的部署变得前所未有的 简洁，极致简化园区有线无线网络的运维管理工作。

11
华为敏捷园区网解决方案亮点1——业务随行，移动接入
业务随行，第一次把网络资源跟人关联起来，让网 络资源自动跟随人移动，第一次让网络变得人性化， 让上班族获得自由。

12
业务随行，移动接入 Agile controller
可以操作用户，位置信息，这个太神奇了！我们看看 Openflow 1.3 十元组：
置这种配置管理方式是典型的无线AP 管理方式，因为AP的配置按照分组来配置，配置基本相同。如果接入有 线交换机也如此配置，配置量是非常大的，维护起来极为不方便。
2、Capwap 隧道必须依靠芯片转发，对芯片要求高。目前X1E的性能最高为88G，有线无线同时转发，
存在严重性能瓶颈，而采用本地转发又会丢失很多无线特性。
3、SVF无法解决传统网络问题：二层环路，三层设备无法工作AA模式
24
华为敏捷园区网解决方案亮点4——质量感知
质量感知，第一次让IP感知质量

25
质量感知IPCA
IPCA：进入系统的包+内部产生的包=离开系统的包+内部x)： S7703/S9703:256K S7706/S7712:512K S9706/S9712:1M S12708/S12712:3M IPV6 FIB (max):S7703/S9703:128K S7706/S7712:256K S9706/S9712:464K S12708/S12712:464K PPPOE (max):S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64K
4
S77/97/12700 X1E(随板Bas)线卡言过其实
X1E系列线卡 ET1D2G48TX1E ET1D2G48SX1E ET1D2S04SX1E ET1D2S08SX1E 描述 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 48端口百兆/千兆以太网光接口板(X1E,SFP) 4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百兆/千兆combo电 接口板(X1E,RJ45/SFP/SFP+) 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接 口板(X1E,RJ45/SFP/SFP+) 线卡带宽 48G 48G 72G 88G
IPCA的工作场景——设备级监控
1、利用IPCA监控ENP 单板故障 2、利用ENP包围方式监控交换网故障 3、非ENP 单板无法监控故障
1、整网均为华为敏捷系列，使能IPCA即可监控 2、目前华为敏捷系列交换机为S127，S97，S93， 27 S77，57,USG 6000，并非全系列款型。

7
敏捷园区网方案解密

8
本篇你能了解到的………
1、何为华为敏捷园区网方案？到底是质的飞跃还是又一次概念的包装？ 2、华为宣称敏捷园区网的5大亮点解析？
何为安全协防方案？ 何为有线无线深度融合方案？ IRF3 VS SVF ？ 质量守恒(IPCA)是否无所不能？ Campus Agile Controller到底为何物？
1 、X1E线卡作为随板Bras,宣称整机支持64K用户数量，是否适合所有机型？ 华为64K用户，特指PPPOE用户：具体整机规格:S7703/S9703:8K S7706/S7712:16K S9706/S9712:32K S12708/S12712:64K。所以X1E每块单板PPPOE规格为8K。如果要满足64K用户，必须是127，并且需配置8 块X1E单板，同时还需考虑备份，此方案成本极高。 2 、X1E线卡作为随板Bras,仅支持PPPoE业务从X1E单板接入？ X1E线卡带宽最大为88G，相当于一个低端盒式交换机的带宽，一定会成为网络瓶颈。比如学生内部打游戏。 3、 X1E线卡不支持MPLS 园区网通过MPLS业务隔离是普遍需求，X1E不支持MPLS 如何在园区网使用？ 4、 X1E线卡作为随板Bras ，PPPoE业务仅支持单层VLAN接入，不支持QinQ接入。 华为在园区网，特别是校园网，一直以“运营网”方式推行方案.对于教职工区，就是运营网络，没有QinQ,如 何区分业务，如何定位用户。
AP(max):S7703/S9703:512 S7706/S7712:1024 S9706/S9712:2048 S12708/S12712:4096
机框出现故障， FW,IPS license必须重新申请，无法满足紧急故障处理要求 ! （授权） FW 板卡（授权） FW板卡（未授权状态） IPS（未授权状态） IPS 虚拟防火墙（10） SSLVPN 并发（100） ET1D2FW00S0/1： max(500) ET1D2FW00S02： max(1000) SSL VPN max(5000个) 文件类型过滤 内容过滤 应用行为控制 邮件内容过滤 审计功能 国密算法 （SM2/SM3/SM4） 入侵防御 反病毒 URL远程查询
X1E系列线卡 ET1D2G48TX1E ET1D2G48SX1E 描述 48端口十兆/百兆/千兆以太网电接口板(X1E,RJ45)* 线卡带宽 48G
48端口百兆/千兆以太网光接口板(X1E,SFP) 48G 4端口万兆光接口和24端口百兆/千兆光接口和8端口十兆/ 百兆/千兆combo电 ET1D2S04SX1E 接口板(X1E,RJ45/SFP/SFP+) 72G 8端口万兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo电接 ET1D2S08SX1E 口板(X1E,RJ45/SFP/SFP+) 88G 1、X1E线卡作为随板AC，宣称可以管理4K AP?事实如此吗？ 整机性能：S7703/S9703:512 、S7706/S7712:1024 、 S9706/S9712:2048 、 S12708/S12712:4096 单块X1E 规格仅仅为512个AP，远远低于业界规格.如果考虑AC备份，成本极高。 2、X1E线卡最大带宽是88G，而当前主流的交换机线卡带宽为480G,所以X1E不适合作为交换单板使用，需要 配置非X1E单板与X1E单板共存，满足正常交换带宽。 3、 X1E线卡作为随板AC ，仅支持无线业务从X1E单板接入。 组网复杂，无线必须从接入POE交换开始单独组网，否则无法在X1E接口上区分无线与有线业务。 4、 X1E线卡作为随板AC ，仅支持通过命令行方式配置业务，不支持通过WEB网管配置业务。 AP配置异常复杂，每个AP序列号均需录入，通过命令行配置极其繁琐极易出错。 5、 根据第2条分析，X1E必须与非X1E单板共存，但非X1E单板MAC，ARP，FIB,NetStream，buffer均远 远低于X1E，交换机整机表项需同步，所以 X1E高规格表项，根本无法发挥真实作用。
Capwap 隧道
Capwap 隧道
Capwap 隧道

23
小结：SVF VS IRF3 属性\技术 协议 技术属性 功能 SVF Capwap 类集群技术 配置统一管理 IRF3 IRF3 网络虚拟化技术 简化网络结构
SVF 实际上通过Capwap协议对有线接入交换机与无线AP实现统一管理，在配置上形成集中，有线无线 在一个巨大Campus网络下仅仅需要维护一份配置。这种方式存在以下几个问题。 1、Capwap管理配置不适合有线。原因如下，capwap的模式分为三级：全局配置 、分组配置 、组员配