智慧园区网解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
络位置解耦
Overlay网络可以跨三层网络拉通多个园 区,中间网络无关
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
网随人动的园区网络
位置解耦合柔性网络 +
IP组
192.168.0.0/16 10.10.1.0/24 10.10.2.0/24 10.10.3.0/24 10.10.4.0/24
IP锁定到用户
是 是 是 否 否
14
基于角色的IP地址分配方式
过去
IP≠用户 网段≠业务
现在
IP=用户 网段=业务
真正实现控制到用户
包括精准溯源、流量限速等
最易的业务控制
用户移动,传统区域安全防护失效 用户移动,IP变更,如何实现审计到人 部门搬迁、工位调整需要不断的调整网络
10.10.1.10 10.10.1.20 10.11.1.10 10.11.1.20
传统园区多业务隔离
研发 网络
VPNA VPNB VPNC
生产 网络
办公 网络
物理专网
办公区
研发区
MPLS+VLAN 虚拟园区网
办公专网 生Hale Waihona Puke Baidu专网
终端 终端
基于业务的网络切片: 实现每专用业务一个逻辑连接
过去
物理专网:重复建设,投资浪费
MPLS专网:技术复杂,运维困难
自动构建端到端的隔离网络
现在
交付快 安全强 运维简
18
终端/用户与位置解耦
AB
园区
BA
A
B
过去
手动配置隔离端口
A 现在
自动识别,自动划 分隔离端口
B
网随人动的通道隔离方案
部门C
Vlan40P/EVRXMLAITN4 PERMIT
……
PERMIT
DENY
部门C PERMIT
DENY
访客
DENY
DENY
DENY
访客组
DENY DENY DENY
IP组 I网段
隔离域 VRF1
部I门I网A段
Servers
III网段
部门B Servers
VRF1部门C
Servers
VRF1
PEIRVM网IT段 PERMIT VRF2PERMIT
统一用户管理
POE
POE
用户接入网络不再区分接入方式是有线网还是无线 网,基于用户角色统一策略
CAPWAP封装
统一数据转发
AP流量本地转发和有线统一,迎合园区流量从有线
为主到无线趋势的过渡
统一策略执行
有线无线终端用户/IP统一分配,策略执行点统一
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
小白运维
设备上线
业务部署
故障排除
安全审计
设备上线 自动化上线 软件安装 一键静默安装 接入设备 标准化
地址规划 一劳永逸 业务部署 一键部署 策略部署 一键下发 终端部署 任意位置部署
故障替换 即插即用 故障定位 可视化 偏远园区 免现场运维
行为审计 所见即所得 病毒隔离 一键隔离
全程自动化、免干预
终端支持:单终端多帐号(公共机场景)
用户即使在公共机上,也能获得自己所属角色的绑定IP,和在专属机器上的体验一致 对于公共机来说,不同用户切换,公共机的所属安全组不停切换,绑定IP不停切换 通过EIA和后台dhcp server的交互,完成对绑定表项的刷新
IP地址容量管理
终端业务 IP地址段 使用情况
10.10.11.50
10.10.10.50
IP位址分离,实现IP可在任意位置接入、包括跨园区
10.10.11.50
基于角色的IP地址分配方式
基于位置的IP分配
10.10.11.1
10.10.10.1
10.10.11.50
10.10.10.50
基于角色的IP分配
用户组
市场部 研发部 财务部 监控设备 门禁系统
桌面分发控制服务器部 署在数据中心公共区
瘦客户端部署在园区公共区; 该区与园区其它区通过VRF进行 隔离; 瘦客户端进行MAC认证,下发园 区访问规则仅能访问桌面分发控 制服务器
研发
电转
机技
气架仪车术
分事表事中
公业楼业心
司部
部区
办公
……
生产
电转
机技
气架仪车术
分事表事中
公业楼业心
司部
部区
工控
电转
机技
气架仪车术
……
PERMIT
DENY
……
PERMIT
DENY
PERMIT
PERMIT
DENY
DENY
DENY
Internet Access
PERMIT DENY PERMIT PERMIT
策略随行,隔离通道动态跟随
园区一
Director
WAN
VxLAN100
10.10.10.1
VxLAN100
10.10.10.1
SDN控制器对所有网络设备集中编 排及控制,构建灵活的业务系统
SDN控制器通过业务或控制APP自动 将逻辑对象映射到物理网络,并调 用API下发到实体设备,最终完成配 置部署
网络层设计—Overlay
VSI/Vxlan 10 VSI/Vxlan 20
VSI/Vxlan 10 VSI/Vxlan 20
无差别VPN接入
远程接入
远程主机 点对点接入
Internet
VPN网关
局域网
局域网
VPN网关
点对点接入(Site-to-Site):
性能高、运行简单可靠、适于大型局域网的远程互联
远程接入(Remote-Access):
接入灵活,使用方便,成本低,适于远程主机直接接入 系统网络
支持VPN网关 Director集中配置 权限控制简单 控制点统一
WAN
园区控制器
主RR
备RR
iBGP
主园区
A
B
业务隔离点 ACL/VRF
分支1
B
A
IP地址、隔离通道、访问策略随动用户 与位置无关,与终端无关、与接入方式无关、与中间网络无关
分支N
无差别多园区接入
WAN
园区控制器 主RR
备RR
园区一
VTEP节点
多园区统一组网,统一用户、统一IP分配、统一网络策略
主RR
iBGP
备RR
园区二
无差别分支接入
园区控制器 主RR
备RR
WAN
主园区
VTEP节点
分支1
分支N
分支网络无差别接入,无需专门VPN技术,可跨越任意IP网络 4-7层服务节点可以和总部共享,减少分支部署成本和管理难度。 可统筹全网IP分配,业务隔离策略、保证网络规划的一致性 用户及绑定IP可实现总部、分支之间漫游
[接入明细]
有线无线统一部署、网随人动
控制流量 数据流量
POE
POE
AP集中/本地转发,AC只负责针对AP的控制报文
AC
通过无线承载网络位址分离,保障无线终端的跨三层漫游
CAPWAP解封
高性能无线接入
降低AC的表项与性能要求,满足802.11ac wave 2时 代无线高带宽接入,流量不迂回
2015
2016
2017 2018 2019 2020 2021 2022 AP CEMA LA North America WE
2023
2024
2025
越来越多的物联终端如何高效、安全的接入园区网络?
传统园区面临复杂运维
网络规模越来越大
业务类型越来越多
访问控制复杂
各类病毒威胁
设备故障替换、配置还原压力超大
针对视频监控、一卡通、研究生等直接通过IP网段识别
最简的业务随行方案
IP和用户跟随、网段和业务跟随
节约IP地址
IP地址潮汐问题解决、终端数量变动带来地址池问题
15
基于角色的IP地址分配方式
用户组 部门A 部门B 部门C 监控设备部门A ……
部门B
网络属性 Vlan10/VXLAN1
部门A Vlan20部/V门XLBAN2 Vlan30/VXLAN3
智慧园区网解决方案
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
传统园区如何实现移动安全
核心
汇聚 接入
10.10.0.0/16网段
AC 10.11.0.0/16网段
用户管理APP 终端管理APP
资源分配APP 策略定义APP
自动上线APP 其他APP
SDN 控制器
校园B
Overlay网络
校园A
SDN 控制器:南向标准协议(SNMP、 Netconf 等)
校园B
物理承载网络
校园A
SDN控制器对网络进行抽象以屏蔽 底层复杂度,为上层提供简单的、 高效的配置与管理
用户管理APP 终端管理APP
资源分配APP 策略定义APP
自动部署APP 其他APP
基于SDN的网络驱动器 AD-Campus Director
南向标准协议(SNMP/MIB, openflow、BGP NETCONF ‧‧‧‧‧‧)
VXLAN网络
控制层设计—SDN控制器
运维诊断APP 网络编排APP
集中部署、一键下发
定位快、恢复快、省人力
回溯简单、病毒快速隔离
设备自动化—三份配置打天下
SPINSpEine
Leaf
(分LE布A式F 网
关)
ACCEAScScess
VTEP A Access1
RR
RR
Overlay Network
VTEP B
Access2
VTEP C Access3
分布式网关:每个均是其下挂主机的网关,所有VTEP对网络中的一个VNI具有相同的虚拟
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
ADCampus方案架构
运维诊断APP 网络编排APP
第三方应用、业务应用系统
语音、视频;端口、IP地址,RESTful接口
办公 网络
生产 网络
Overlay网络
Vxlan tunnel
办公 网络
生产 网络
VTEP1
骨干网络 P
VTEP2 客户端
数据中心 物理承载网络
Overlay网络中不同VTEP之间通过Vxlan tunnel打通大2层直连网络
Overlay网络中通过不同Vxlan进行业务隔离 Overlay网络可以实现园区用户或业务与网
终端支持:云桌面(瘦客户端)
主要是解决瘦客户端
数
认证接入网络问题
据
中
心
电信
国际 链路
联通
出口安全资源池
防毒
IPS
LB
流控
FW
SSL
服务资源池区
研 发
工 控
生 产
办 公
网 络 管 理
内 网 云 桌 面
外 网 云 桌 面
物 联
网
公 共
DC核心
网闸
防火墙
园区核心
安全设备控制瘦客户端 网段仅能访问公共区的 桌面分发控制服务器
VxLAN100 VxLAN Fabric
10.10.10.1
园区二
VxLAN100
10.10.10.1
10.10.10.50
10.10.10.50
10.10.10.50
用户移动,动态进入VPN,策略随行,体验不变
10.10.10.50
业务隔离:更优的虚拟专网
逻辑网络
智能设备专网
逻辑网络 逻辑网络 物理网络
多业务隔离左右为难
物理专网: 重复建设,投资浪费 VLAN隔离: 强度不够,场景受限 MPLS专网: 技术复杂,运维困难
生产区
数字化时代,园区物联终端激增
智慧楼宇
智慧建筑 智慧园区 智慧城市
物联网是构建数字化智慧园区的基础
80,000,000,000 70,000,000,000 60,000,000,000 50,000,000,000 40,000,000,000 30,000,000,000 20,000,000,000 10,000,000,000
监控终端 192.168.0.0/24
一卡通终端 10.153.1.0/24
打印机
10.10.2.0/16
终端接入情况 IP地址使用情况 地址冲突位置可视
终端IP地址使用情况清晰可视
MAC:0135-AD45-378F IP: 10.153.1.19 接入位置:LSW-S5130 接入端口:Interface 1-0-12 接入时间:2017-11-15 16:32:05 开户类型:自动
分事表事中
公业楼业心
司部
部区
物联
打 印 机
A T M
门 禁
一 卡 通
公共
瘦 客 户 端
终端支持:单帐号多终端
所有帐号,默认最大绑定一个IP。绑定多终端,其实是指最大允许多个绑定的IP同时在线 如果帐号最大在线IP未达到绑定上限个数,允许新终端接入和绑定,并挤占非在线用户的绑定IP 如果帐号对应的在线用户数已经达到上限,使用该帐号的新用户不允许接入 在绑定过程中,EIA和dhcp server agent交互,实时刷新DHCP server上的绑定关系,确保正确绑定
SDN的网络驱动器
10.10.11.1
10.10.10.1
10.10.11.50
用户位置变更、终端任意部署、网络管理 “零”干预
网随人动
资源随动
策略随动
IP地址
安全资源 隔离通道 网络策略 安全策略
12
IP地址与网络位置解耦
10.10.11.1
10.10.10.1
10.10.11.1
10.10.11.1
Overlay网络可以跨三层网络拉通多个园 区,中间网络无关
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
网随人动的园区网络
位置解耦合柔性网络 +
IP组
192.168.0.0/16 10.10.1.0/24 10.10.2.0/24 10.10.3.0/24 10.10.4.0/24
IP锁定到用户
是 是 是 否 否
14
基于角色的IP地址分配方式
过去
IP≠用户 网段≠业务
现在
IP=用户 网段=业务
真正实现控制到用户
包括精准溯源、流量限速等
最易的业务控制
用户移动,传统区域安全防护失效 用户移动,IP变更,如何实现审计到人 部门搬迁、工位调整需要不断的调整网络
10.10.1.10 10.10.1.20 10.11.1.10 10.11.1.20
传统园区多业务隔离
研发 网络
VPNA VPNB VPNC
生产 网络
办公 网络
物理专网
办公区
研发区
MPLS+VLAN 虚拟园区网
办公专网 生Hale Waihona Puke Baidu专网
终端 终端
基于业务的网络切片: 实现每专用业务一个逻辑连接
过去
物理专网:重复建设,投资浪费
MPLS专网:技术复杂,运维困难
自动构建端到端的隔离网络
现在
交付快 安全强 运维简
18
终端/用户与位置解耦
AB
园区
BA
A
B
过去
手动配置隔离端口
A 现在
自动识别,自动划 分隔离端口
B
网随人动的通道隔离方案
部门C
Vlan40P/EVRXMLAITN4 PERMIT
……
PERMIT
DENY
部门C PERMIT
DENY
访客
DENY
DENY
DENY
访客组
DENY DENY DENY
IP组 I网段
隔离域 VRF1
部I门I网A段
Servers
III网段
部门B Servers
VRF1部门C
Servers
VRF1
PEIRVM网IT段 PERMIT VRF2PERMIT
统一用户管理
POE
POE
用户接入网络不再区分接入方式是有线网还是无线 网,基于用户角色统一策略
CAPWAP封装
统一数据转发
AP流量本地转发和有线统一,迎合园区流量从有线
为主到无线趋势的过渡
统一策略执行
有线无线终端用户/IP统一分配,策略执行点统一
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
小白运维
设备上线
业务部署
故障排除
安全审计
设备上线 自动化上线 软件安装 一键静默安装 接入设备 标准化
地址规划 一劳永逸 业务部署 一键部署 策略部署 一键下发 终端部署 任意位置部署
故障替换 即插即用 故障定位 可视化 偏远园区 免现场运维
行为审计 所见即所得 病毒隔离 一键隔离
全程自动化、免干预
终端支持:单终端多帐号(公共机场景)
用户即使在公共机上,也能获得自己所属角色的绑定IP,和在专属机器上的体验一致 对于公共机来说,不同用户切换,公共机的所属安全组不停切换,绑定IP不停切换 通过EIA和后台dhcp server的交互,完成对绑定表项的刷新
IP地址容量管理
终端业务 IP地址段 使用情况
10.10.11.50
10.10.10.50
IP位址分离,实现IP可在任意位置接入、包括跨园区
10.10.11.50
基于角色的IP地址分配方式
基于位置的IP分配
10.10.11.1
10.10.10.1
10.10.11.50
10.10.10.50
基于角色的IP分配
用户组
市场部 研发部 财务部 监控设备 门禁系统
桌面分发控制服务器部 署在数据中心公共区
瘦客户端部署在园区公共区; 该区与园区其它区通过VRF进行 隔离; 瘦客户端进行MAC认证,下发园 区访问规则仅能访问桌面分发控 制服务器
研发
电转
机技
气架仪车术
分事表事中
公业楼业心
司部
部区
办公
……
生产
电转
机技
气架仪车术
分事表事中
公业楼业心
司部
部区
工控
电转
机技
气架仪车术
……
PERMIT
DENY
……
PERMIT
DENY
PERMIT
PERMIT
DENY
DENY
DENY
Internet Access
PERMIT DENY PERMIT PERMIT
策略随行,隔离通道动态跟随
园区一
Director
WAN
VxLAN100
10.10.10.1
VxLAN100
10.10.10.1
SDN控制器对所有网络设备集中编 排及控制,构建灵活的业务系统
SDN控制器通过业务或控制APP自动 将逻辑对象映射到物理网络,并调 用API下发到实体设备,最终完成配 置部署
网络层设计—Overlay
VSI/Vxlan 10 VSI/Vxlan 20
VSI/Vxlan 10 VSI/Vxlan 20
无差别VPN接入
远程接入
远程主机 点对点接入
Internet
VPN网关
局域网
局域网
VPN网关
点对点接入(Site-to-Site):
性能高、运行简单可靠、适于大型局域网的远程互联
远程接入(Remote-Access):
接入灵活,使用方便,成本低,适于远程主机直接接入 系统网络
支持VPN网关 Director集中配置 权限控制简单 控制点统一
WAN
园区控制器
主RR
备RR
iBGP
主园区
A
B
业务隔离点 ACL/VRF
分支1
B
A
IP地址、隔离通道、访问策略随动用户 与位置无关,与终端无关、与接入方式无关、与中间网络无关
分支N
无差别多园区接入
WAN
园区控制器 主RR
备RR
园区一
VTEP节点
多园区统一组网,统一用户、统一IP分配、统一网络策略
主RR
iBGP
备RR
园区二
无差别分支接入
园区控制器 主RR
备RR
WAN
主园区
VTEP节点
分支1
分支N
分支网络无差别接入,无需专门VPN技术,可跨越任意IP网络 4-7层服务节点可以和总部共享,减少分支部署成本和管理难度。 可统筹全网IP分配,业务隔离策略、保证网络规划的一致性 用户及绑定IP可实现总部、分支之间漫游
[接入明细]
有线无线统一部署、网随人动
控制流量 数据流量
POE
POE
AP集中/本地转发,AC只负责针对AP的控制报文
AC
通过无线承载网络位址分离,保障无线终端的跨三层漫游
CAPWAP解封
高性能无线接入
降低AC的表项与性能要求,满足802.11ac wave 2时 代无线高带宽接入,流量不迂回
2015
2016
2017 2018 2019 2020 2021 2022 AP CEMA LA North America WE
2023
2024
2025
越来越多的物联终端如何高效、安全的接入园区网络?
传统园区面临复杂运维
网络规模越来越大
业务类型越来越多
访问控制复杂
各类病毒威胁
设备故障替换、配置还原压力超大
针对视频监控、一卡通、研究生等直接通过IP网段识别
最简的业务随行方案
IP和用户跟随、网段和业务跟随
节约IP地址
IP地址潮汐问题解决、终端数量变动带来地址池问题
15
基于角色的IP地址分配方式
用户组 部门A 部门B 部门C 监控设备部门A ……
部门B
网络属性 Vlan10/VXLAN1
部门A Vlan20部/V门XLBAN2 Vlan30/VXLAN3
智慧园区网解决方案
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
传统园区如何实现移动安全
核心
汇聚 接入
10.10.0.0/16网段
AC 10.11.0.0/16网段
用户管理APP 终端管理APP
资源分配APP 策略定义APP
自动上线APP 其他APP
SDN 控制器
校园B
Overlay网络
校园A
SDN 控制器:南向标准协议(SNMP、 Netconf 等)
校园B
物理承载网络
校园A
SDN控制器对网络进行抽象以屏蔽 底层复杂度,为上层提供简单的、 高效的配置与管理
用户管理APP 终端管理APP
资源分配APP 策略定义APP
自动部署APP 其他APP
基于SDN的网络驱动器 AD-Campus Director
南向标准协议(SNMP/MIB, openflow、BGP NETCONF ‧‧‧‧‧‧)
VXLAN网络
控制层设计—SDN控制器
运维诊断APP 网络编排APP
集中部署、一键下发
定位快、恢复快、省人力
回溯简单、病毒快速隔离
设备自动化—三份配置打天下
SPINSpEine
Leaf
(分LE布A式F 网
关)
ACCEAScScess
VTEP A Access1
RR
RR
Overlay Network
VTEP B
Access2
VTEP C Access3
分布式网关:每个均是其下挂主机的网关,所有VTEP对网络中的一个VNI具有相同的虚拟
01 传统园区面临的挑战 02 ADCampus解决方案 03 ADCampus网随人动 04 ADCampus小白运维 05 ADCampus宽带物联 06 ADCampus应用案例
ADCampus方案架构
运维诊断APP 网络编排APP
第三方应用、业务应用系统
语音、视频;端口、IP地址,RESTful接口
办公 网络
生产 网络
Overlay网络
Vxlan tunnel
办公 网络
生产 网络
VTEP1
骨干网络 P
VTEP2 客户端
数据中心 物理承载网络
Overlay网络中不同VTEP之间通过Vxlan tunnel打通大2层直连网络
Overlay网络中通过不同Vxlan进行业务隔离 Overlay网络可以实现园区用户或业务与网
终端支持:云桌面(瘦客户端)
主要是解决瘦客户端
数
认证接入网络问题
据
中
心
电信
国际 链路
联通
出口安全资源池
防毒
IPS
LB
流控
FW
SSL
服务资源池区
研 发
工 控
生 产
办 公
网 络 管 理
内 网 云 桌 面
外 网 云 桌 面
物 联
网
公 共
DC核心
网闸
防火墙
园区核心
安全设备控制瘦客户端 网段仅能访问公共区的 桌面分发控制服务器
VxLAN100 VxLAN Fabric
10.10.10.1
园区二
VxLAN100
10.10.10.1
10.10.10.50
10.10.10.50
10.10.10.50
用户移动,动态进入VPN,策略随行,体验不变
10.10.10.50
业务隔离:更优的虚拟专网
逻辑网络
智能设备专网
逻辑网络 逻辑网络 物理网络
多业务隔离左右为难
物理专网: 重复建设,投资浪费 VLAN隔离: 强度不够,场景受限 MPLS专网: 技术复杂,运维困难
生产区
数字化时代,园区物联终端激增
智慧楼宇
智慧建筑 智慧园区 智慧城市
物联网是构建数字化智慧园区的基础
80,000,000,000 70,000,000,000 60,000,000,000 50,000,000,000 40,000,000,000 30,000,000,000 20,000,000,000 10,000,000,000
监控终端 192.168.0.0/24
一卡通终端 10.153.1.0/24
打印机
10.10.2.0/16
终端接入情况 IP地址使用情况 地址冲突位置可视
终端IP地址使用情况清晰可视
MAC:0135-AD45-378F IP: 10.153.1.19 接入位置:LSW-S5130 接入端口:Interface 1-0-12 接入时间:2017-11-15 16:32:05 开户类型:自动
分事表事中
公业楼业心
司部
部区
物联
打 印 机
A T M
门 禁
一 卡 通
公共
瘦 客 户 端
终端支持:单帐号多终端
所有帐号,默认最大绑定一个IP。绑定多终端,其实是指最大允许多个绑定的IP同时在线 如果帐号最大在线IP未达到绑定上限个数,允许新终端接入和绑定,并挤占非在线用户的绑定IP 如果帐号对应的在线用户数已经达到上限,使用该帐号的新用户不允许接入 在绑定过程中,EIA和dhcp server agent交互,实时刷新DHCP server上的绑定关系,确保正确绑定
SDN的网络驱动器
10.10.11.1
10.10.10.1
10.10.11.50
用户位置变更、终端任意部署、网络管理 “零”干预
网随人动
资源随动
策略随动
IP地址
安全资源 隔离通道 网络策略 安全策略
12
IP地址与网络位置解耦
10.10.11.1
10.10.10.1
10.10.11.1
10.10.11.1