华为Agile Controller方案

华为Agile Controller 方案

概述

移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端，物理位置变得不固定，这对传统以手工静态配置为核心的传统网络形成了挑战：

1. 不同的位置、不同的终端，如何保证一致的用户办公体验？让用户感觉不到位置的差异？

2. 如何动态配置用户的权限、安全、QoS优先级等网络策略？传统的固定网络用户可以跟一个物理端口绑定，策略是管理员手工配置到离用户最近的网络设备上的，当用户位置不固定时，我们不能要求网络管理员通过手工配置去适应每个人位置的变化。这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。

3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT 攻击)的出现，都让传统的边界防护手段彻底失效。

敏捷控制器（Agile Controller）是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件，全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景，实现从接入到数据中心端到端联接的应用策略控制。Agile Controller应用SDN集中化控制原则，以业务体验为中心，基于用户和应用动态调配全网资源，实现网络与安全资源跟随用户自由移动，让网络更敏捷地为业务服务。

产品特点

以业务体验为中心重新定义网络

从以前关注技术、设备、连通性，到关注用户、业务、体验；从以前手工配置，到用自然语言规划和自动部署。

•将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。

•可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。

•让用户不再需要关注各种设备差异，只需使用自然语言进行规划，一键式完成全网策略统一部署和同步。

•实现基于最终用户的QoS调度，在网络资源有限的情况下，优先转发VIP用户流量，确保VIP用户业务体验良好。

基于全网视角的安全协防

从以前更多关注单点，到更多关注全网；从单点防护步入全网防护时代。

•统一采集网络设备、安全设备、业务系统的日志，应用大数据关联分析，发现单点设备难于发现的攻击和威胁。

•提供虚拟化的安全资源中心能力，通过智能联动将特性用户的流量进行阻断、引流，主动防御网络攻击行为。

•提供完善的终端安全、桌面管理功能，预置5000+终端安全策略，确保网络终端接入安全。

产品开放合作，易与客户现有系统对接

•提供丰富的南北向接口，开放API，实现转发面与控制面的可编程，可与客户现有设备与业务系统进行对接，提升端到端运维效率，加快新业务上线速度，营造企业快速创新环境。

•实现与业界主流云平台华为FusionSphere 、VMware vSphere、Openstack、Microsoft Hyper-v等的无缝对接，致力于打造一个弹性、开放平台，集成各个领域的优秀实践，让用户可根据业务需要灵活定义网络，做到即需即用。

基于高可靠保护的弹性架构设计

•提供集中式、分布式、分级式组网方式，适用于各种网络。

•提供接入认证备份、数据库备份等高可靠保护，保证服务的连续性。

•B/S架构，基于华为全新敏捷UI设计，简单易用。

产品组成

Agile Controller针对不同的应用场景提供多个业务组件，满足不同客户的需求。

接入控制组件

产品概述

随着企业信息化水平的提高，为了满足用户接入企业网络，通常会把网络铺设到办公区的每个角落。公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。另外，WLAN技术的成熟以及智能终端的普及，许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。WLAN在企业的应用，给企业带来很大的信息安全风险。

华为Agile Controller接入控制组件通过与网络接入控制设备联动，控制企业

内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能，支持多维度的接入控制策略，满足不同客户的业务控制需求。

产品特点

全面的准入控制技术，适用于各种网络

层次化的部门与用户管理，满足企业组织管理复杂化的需求

•部门下可以同时带子部门和用户。

•部门最大级数支持10级，能够满足最复杂的组织结构的需求。

•支持使用Excel表格方式批量导入导出部门和用户信息。

支持与企业身份数据源和社交平台无缝对接

•系统支持多种认证协议，可以与主流的AD、LDAP、Radius以及动态令牌系统对接。

•系统支持按需同步、按过滤条件同步等特性，满足各类用户的个性需求。

基于5W1H情景感知的精细化授权，灵活与安全并重

终端智能识别，认证页面自适配，满足BYOD终端权限控制

•多达200种终端识别模板, 支持MAC OUI、DHCP Option、HTTP User-Agent、SNMP等多种方式识别设备。

•支持相同用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度。•根据终端类型，认证页面自动适配，保留用户操作习惯。

•根据终端类型赋予不同的业务策略，如VLAN/ACL/带宽限制等。

运行环境

用户数≤2000的中小规模场景，配置要求如下：