H3CADCampus解決方案---應用驅動的園區網方案搬家的故事僵化的網絡VS快速遷移的需求一個制造業IT運維人員的煩惱市場財務生產簡單的業務需求VS復雜的訪問控制主管園區網還會有哪些挑戰？移動化有線無線策略、轉發融合的挑戰移動的用戶和靜態的安全策略的挑戰用戶快速移動時如何審計到人園區網還會有哪些挑戰？物聯網大量不同類型的終端，如何保障可信接入業務的快速識別與質量保障管道的安全與業務的隔離的挑戰園區網還會有哪些挑戰？運維人力：IT承載企業創新，但現網運維占據太多時間能力：由網絡連接轉向業務性能運維時，需要運維人員具備全業務能力：網絡、服務器、數據庫、業務系統等ADCampus業務驅動的園區網極簡柔性位址分離/名址綁定策略隨行、業務按需交付開放網絡自動化統一網絡最終目標：對設備無命令行的手工配置，自動化最終目標：業務部署（應用/終端）與位置無關；開放匯聚接入SDN控制器VXLAN方案基本思路-轉發核心VXLANVLANVLANVLAN10VXLAN10VLAN20VXLAN20策略執行點RR匯聚接入SDN控制器VXLAN方案基本思路-控制核心VXLANVLANVLANRRMP-BGP柔性位址分離@IP地址與位置解耦合AC匯聚接入核心傳統網管ACOverlay傳統方式的問題：IP地址規劃復雜/業務識別復雜用戶的IP地址變化，不綁定新方案的特色和優勢：IP地址規劃簡單業務識別簡單，基于最基本的IP即可定義業務（攝像頭）SDN控制器10.10.1.1010.10.1.2010.11.1.1010.11.1.2010.10.1.1010.10.1.20傳統網絡ADCampus網絡10.10.0.0/16網段10.11.0.0/16網段名址綁定@基于用戶名的IP分配園區出口核心交換機用戶認證點交換機SDN控制器DHCP用戶名用戶組所屬VLANIP組A財務Vlan10I網段B市場Vlan20II網段C監控Vlan30III網段……………………如上：前期針對用戶做好IP策略規劃1.用戶首次認證成功上線分配VLAN2.根據VLAN綁定地址池DHCP獲取IP3.控制器通知DHCP服務器完成用戶名與已分配IP的綁定4.用戶后續第二次上線，也是先認證，下發業務vlan。5.終端通過dhcp申請地址，由于之前地址已經設置過綁定，只能申請到固定的地址，形成綁定針對視頻終端等設備，可采用MAC認證的方式，實現基于業務的IP分配可實現用戶與IP綁定，也可實現用戶組與IP組綁定LANWAN名址綁定的價值用戶&業務IP業務識別簡單，無需復雜設備，基于最基本的IP即可定義業務用戶審計方便，審計到IP即審計到用戶IP地址分配更清晰，非常適合業務部門自行分配IP情況全網只需一條ACL即可實現業務間的訪問控制有線、無線終端可漫游（如:學校刷卡機接入，IP電話接入等策略隨行-用戶安全分組與位置無關核心匯聚接入接入Overlay核心匯聚接入接入市場部財務部研發部市場組財務組市場部研發組傳統組網中一個部門的用戶只能位于同一個物理區域ADCampus中一個部門的用戶屬于同一個用戶安全組，可以從網絡中的任意位置接入策略隨行-流程核心匯聚接入接入Overlay數據中心資源組1資源組2目的組源組策略集中管理：管理員定義安全組以及組間策略策略一鍵下發，實時生效用戶認證上線時根據5W1H進入相應的用戶安全組，分配IP并綁定，獲得相應的訪問權限用戶移動后，認證后仍然會進入相同的安全組并獲取綁定的IP，訪問權限不變Campus

Director√××√×××研發Servers市場Servers公共ServersInternetAccessVIP組PERMITPERMITPERMITPERMIT研發組PERMITDENYPERMITDENY市場組DENYPERMITPERMITPERMIT訪客組DENYDENYDENYPERMIT業務按需交付-當前的問題園區出口防火墻防火墻上網管理數據中心IPS防病毒園區出口防火墻上網管理數據中心IPS防病毒傳統組網中服務節點串聯組網，存在如下問題：性能瓶頸：業務設備性能一般較弱，串聯組網時成為瓶頸。難以區分流量：相不相關的流量均流經業務設備。拓撲依賴：新增或刪除業務設備時，都需要重新規劃、斷網切換，對現網影響較大。傳統組網中服務節點旁掛組網，存在如下問題：引流配置復雜：需要逐跳的在每個接口上配置策略路由。理解困難：需要分析流量的走向，進出接口，下一跳出接口。服務鏈技術數據報文在網絡中傳遞時，需要經過各種安全服務節點，提供給用戶安全、自定義的網絡服務。常見的服務節點（ServiceNode）：防火墻（FW）、負載均衡(LB)、入侵檢測（IPS）、VPN等。服務鏈定義：SDN控制器對網絡進行邏輯抽象，并實現對業務的靈活自定義編排；業務流量按照控制器的編排順序經過一組抽象業務功能節點，完成對應業務功能的處理。什么是服務鏈SDNControllervSwitchvSwitchAPPServiceNodesvSwitchvSwitchWEB服務鏈業務節點SpineSpineVxLANNetworkLeafLeafLeafLeafLeafVMVMVMVMVMVMVMVMVMVMVMVM安全資源池ADCampus中的ServiceChain園區出口數據中心用戶組A用戶組B防火墻上網管理業務（Service）按需交付部署與位置無關：服務節點的部署位置不再受限，可集中部署。平滑擴容：服務節點的增加或刪除不影響原有網絡的拓撲和路由配置簡單：管理員在CampusDirector的圖形界面編排服務鏈，Director自動下發引流配置。管理員不用逐跳配置命令行。業務按需交付-解決之道（Future）SDN控制器源目的ACGFW服務鏈編排業務設備故障流量倒換（Future）防火墻路徑定義，自動引流出口審計SDN控制器檢測到故障路徑重新定義開放網絡-基于SDN封閉僵化：應用對網絡需求－開發－驗證－部署部署

單臺配置，復雜，周期長核心匯聚接入接入OverlaySDN控制器3rdAPP3rdAPP核心匯聚接入接入網管開放，可編程靈活/簡單3rdAPP或自有APP直接網絡驗證部署整網配置，簡單，周期短封閉的傳統網絡開放的ADCampus網絡極簡開局自動化（Fabric自動化建立）核心匯聚接入接入在每一臺核心/匯聚交換機上：

創建VRF

配置三層接口、IP地址配置單播路由協議配置組播路由協議在每一臺匯聚交換機上：

創建VLAN將VLAN劃入VRF

下行口trunk相關的VLAN在每一臺接入交換機上：

創建VLAN上行口trunk所有的VLAN核心匯聚接入接入OverlaySDN控制器傳統網絡基礎配置ADCampus基礎配置Underlay網絡自動化配置：自動獲取IP地址

自動確定設備角色核心/匯聚交換機自動使能路由匯聚/接入交換機自動配置互連接口Overlay網絡自動化配置：核心/匯聚交換機自動建立隧道

核心/匯聚交換機自動使能地址同步協議耗時：數天耗時：數小時逐臺，手工整網，自動統一網絡--傳統無線接入存在的問題無線ACAP集中轉發處理能力是瓶頸轉發流量繞行策略控制點分散AP本地跨匯聚交換機實現無線終端的漫游無線ACAP本地轉發統一網絡--有線無線統一無線本地轉發：降低AC性能要求，滿足11ac時代無線高帶寬接入，流量不迂回統一用戶管理：有線用戶與無線用戶統一使用5W1H來統一劃分用戶組統一數據轉發：AP流量本地轉發和有線統一，統一流量監控統一策略執行：有線無線終端用戶/IP統一分配，策略執行點統一AP本地轉發，AC只負責控制報文通過無線承載網絡名址分離，保障無線終端的漫游spineleafAccessAccessVxlan網管運維中心AAA服務器DHCP無線ACSDN控制器統一網絡--園區分支統一(future)核心AccessAccessOverlay分支網絡無差別接入，無需專門VPN技術，可跨越任意IP網絡4-7層服務節點可以和總部共享，減少分支部署成本和管理難度。可統籌全網IP分配，業務隔離策略、保證網絡規劃的一致性終端IP可實現總部、分支之間漫游VXLANIP通道匯聚接入WAN總部分支1分支2統一網絡--業務通道虛擬化業務一物理網絡終端分布式GW內置VTEP分布式GW內置VTEP分布式GW內置VTEPvlanWAN業務二分布式GW內置VTEP分布式GW內置VTEP分布式GW內置VTEPvlan10WANvlan20WAN業務二：192.168.1.0/24業務一：192.168.2.0/24統一網絡--多業務統一接入Access認證，根據業務角色分配VLAN、分配IP地址映射到相關的VRF以及相應的VXLAN通道Vxlan映射成業務可訪問的VLAN資源組業務服務器服務鏈自動引流進行安全處理端到端安全隔離由于IP按照業務分配，對于隔離要求不高的業務，全網設備可以通過一條共有簡單ACL實現隔離總結:ADCampus的價值終端用戶網絡運維信息中心極致體驗極簡運維柔性創新柔性演進與創新，面向未來的網絡極簡運維，智能運維的網絡極致體驗，體驗一致的網絡位址分離/名址綁定策略隨行業務按需交付開放網絡統一網絡自動化方案落地ADCampus支持的網絡模型技術：IRF2+接入核心兩層架構小規模核心匯聚接入接入OverlaySDN控制器核心匯聚接入接入技術：Overlay大規模IRFSDN控制器L3L2L3L2現有網絡改造方案匯聚接入核心現有網絡園區出口iMC新建ADCampus區CampusDirectorL3VTEPL3VTEPL3VTEPL3VTEPL3L3L3L3ADCampusOverlayL3V