敏捷园区网解决方案瞄准解决用户园区网络中存在的问题,通过“业务随行”、“全网安全协防”、“质量感知”、“有线无线深度融合”和“全可编程&一机双平面”五大创新功能来帮助企业客户完成面向新业务趋势变化的网络转型,让网络更敏捷地为业务服务。
-
- 背景/挑战
业务发展对传统网络的挑战
从1989年第一台以太网交换机面世至今,经过20多年的发展,网络已经逐渐成为支撑IT发展的重要基础。随着以太网交换机、路由器等网络设备在转发性能、功能特性、端口速率等方面的快速发展,网络持续发挥着“高性能、低成本、易于使用”等优势。然而近几年来,随着BYOD移动办公、云计算、SDN软件定义网络、物联网以及大数据等概念的持续升温,新技术、新应用层出不穷,这些应用和业务进入企业园区,对园区网络带来了诸多挑战。
- 应用移动化带来的挑战:静态 VS 动态
随着Wi-Fi网络逐渐进入企业园区,员工需要通过任何设备,在任何时间、地点访问公司的网络资源,享受移动办公的便捷。与传统园区网络相比,这不仅导致园区网络流量变得不可预测,进而要求与用户相关的网络访问控制策略、QoS策略等能够跟随用户位置的迁移而动态变化。而在现有企业园区网络中,这些策略多是人工静态配置的,工作量庞大同时完全无法快速响应用户需求,用户权限难以管理,难以保障一致的业务体验。 - 云计算带来的挑战:虚拟化、实时性、优质体验
为了提高资源利用率、提升IT管理效率并降低运营成本,桌面云已经在园区网中逐渐普及。数据中心的计算和存储资源趋于虚拟化和动态化,进而要求网络能像计算/存储资源一样,动态灵活分配,完美支持云计算。另外,越来越多的业务数据都存储在了云端,网络就像计算机的总线互联CPU、硬盘、内存一样互联着数据中心的计算存储资源。而桌面云需要承载电子流、邮件、实时视频会议、语音会议等多种业务,其中多媒体业务对网络质量的要求非常高,一旦网络质量不佳,用户体验就会下降。那么应该如何优化网络结构,从而保障卓越的用户业务体验呢? - 新兴多业务带来的挑战:多变的业务 VS 僵化的网络
以定义网络设备功能的IETF RFC文稿数为例,最初的20年共发布1000多篇RFC文档,而最近短短10年就新增了近3000篇,这足以说明相关网络业务功能正在加速发展。 企业为了获得商业成功,希望尽量缩短新业务的上线时间,传统网络如何应对?在企业网络里大量使用的是交换机,传统的交换机其包转发功能基于ASIC芯片实现,包转发功能在出厂时就已经固定,如何快速适应各种新业务应用以及新标准的大量涌现。同时现在网络里承载视频、语音、实时交互的业务越来越多,如何保证一张网承载多种业务的同时带来优质体验。 - 物联网带来的挑战:标准、开放、复杂环境
万物互联(IOT)已经不再是一个概念,而是未来企业和工业发展的必然趋势。有数据表明,2013 年已有100 亿物件联网,未来10 年更将会呈现爆炸性增长态势,到2020 年网络中的节点数量将超过500 亿。爆炸式增长的物联网给网络带来了新的挑战,如何适应如此大规模的节点数量,如何适应物联网时代的多样的接口形态和通信收发方式,如何保证网络的安全性、设备如何适应严酷的工业环境,都将对网络带来挑战。 - 网络安全带来的挑战:单点静态防御 VS多点动态未知威胁
BYOD移动办公带来便利的背后也带来很多安全问题,公私两用,接入各种网络,导致终端安全和信息安全问题激增,安全防护边界已经模糊化。攻击手段正变得多样化,据统计75%的威胁发生在应用层,大于50%的攻击是有组织的团队行为,如何应对多样化的攻击手段,已经成为企业需要重点考虑的问题。与此同时,当前攻击趋向于使用未知威胁变种,以躲避传统防护手段,仅中国2010年新增网络病毒1798万,企业如何应对大量的未知威胁,如何减缓攻击避免灾难,也是大的挑战。 - 网络运维人员面临的挑战:状态不可知、管理不自动
随着视频、语音等实时类业务的部署,对网络的丢包、时延、抖动提出了更高的要求。然而由于IP网络无连接的特性,网络中没有任何业务的状态信息。当用户体验到视频马赛克、语音听不清等情况时,网络并不知道,网络管理员也根本不知道用户体验不好,更无法发现是什么因素影响了业务体验。网络缺少一个能够自动感知用户体验和自动定位问题的机制。另外,随着无线网络的大量覆盖,终端接入的AP、交换机数量不断增加,传统手工配置的方式已经给网路运维人员带来非常大的挑战。如何解放运维人员、减少配置管理的工作量? 有线、无线网络目前还是两套管理和认证系统,如何实现有线无线网络的统一管理也成为目前网络所急需解决的问题。
方案概述
敏捷网络是华为公司面向企业市场发布的下一代网络解决方案,它继承了业界SDN的最新理念和研究成果,通过全可编程、质量感知、平滑演进三大架构创新,并融入华为20年优质高效的网络部署经验,让网络能够快速、灵活地为业务服务。华为敏捷园区网解决方案瞄准解决用户园区网络中存在的问题,是敏捷网络在园区网的落地实现,与传统园区网相比,在架构上做了如下3大改变:
第一,第一次把SDN架构引入园区,给网络增加了智慧的大脑(Agile Controller)。敏捷园区网通过Agile Controller集中式控制,实现整个园区网络包括出口路由器/SVN的全网系统控制,可以动态地调配网络资源,实现网络资源跟随用户移动,从而保证了自由移动环境下每个用户的业务体验。同时它可以调配全网安全资源,实现网络的协同整体防护。
第二,用敏捷交换机替代了传统交换机,给网络增加了敏捷的肢体。通过敏捷交换机使网络实现了敏捷感知和执行的能力,可以感知用户&应用、网络质量&问题以及安全事件。
第三,实现了安全能力资源化,防火墙等安全资源不再是某个单点的功能,而是可以全网共享的功能。
敏捷园区网解决方案
敏捷园区网解决方案通过“业务随行”、“全网安全协防”、“质量感知”、“有线无线深度融合”和“全可编程&一机双平面”五大创新功能来帮助企业客户完成面向新业务趋势变化的网络转型,为用户提供一个最大限度适应业务的架构,让网络更敏捷地为业务服务。
方案详述
业务随行,自由移动新体验
随着网络新技术快速发展、BYOD的普及,移动办公、无线接入逐渐兴起,用户希望自由自在地移动、随时随地地办公。但不同接入位置割裂的用户策略,带来糟糕的远程、移动办公体验阻碍我们获得自由,让我们的美好愿望全部落空。问题在于,传统网络资源是按照物理位置分配的,它不会随着用户移动。
一个员工在不同的地方办公,从各个位置访问企业资源,网络须要根据其接入的位置和使用的终端分配安全策略和权限,以及保证体验所需的带宽/优先级等网络资源。换句话说,用户的策略、对应的业务体验能够随着用户的移动而动态迁移,最终实现的效果是移动办公的人员不管在哪里、使用什么终端接入,体验能够一致。这就要求网络需要具备动态分配资源和部署策略的能力,网络资源需要跟着用户走。
业务随行
华为通过引入Agile Controller和敏捷交换机,基于SDN的思想把管控集中在Controller,达到全网统一的效果。具体来说,是通过在Controller上基于用户组定义权限、业务流安全策略以及体验相关的用户优先级、带宽、VPN资源策略,并下发至园区各交换机、NGFW、SVN等策略执行设备,当用户在内网有线、内网无线、外网远程等不同地点、使用不同的终端设备接入时,Controller会自动识别用户身份及其所在用户组,并向网络中相应执行设备发布用户策略信息来执行策略,从而保障不同位置接入用户的一致使用安全和使用体验。
策略随行:集中式策略,组间精细控制
策略随行
- 全局集中式策略控制
基于SDN全局统一思想,以Controller为核心集中式配置和维护全网的用户策略;一次配置,统一生效,减少不一致矛盾。改变传统基于机器语言的繁琐配置,采用易于理解的自然语言,配置简单明了。 - 组间策略控制
通过提供用户组间权限控制以及用户组到资源组之间的策略控制,在实现灵活并精细化进行用户权限控制的同时,减少设备资源ACL消耗。 - 基于用户组的业务流安全策略
结合安全资源动态分配方案,可以实现在认证交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于用户组的安全业务策略,规定流量需要被哪些安全设备处理,以及处理的先后顺序。
体验随身:统一用户体验,VIP用户保障
体验随身
- 统一的用户体验保障
无论用户在分支、园区总部、出差远程接入,无论用户访问企业内网资源、互联网资源,在VPN接入网关、互联网出口防火墙、分支出口设备等影响体验的关键执行点上,都有相应的带宽和QoS策略,保障用户一致的业务体验。对于VIP用户流量,可以进行优先调度,并给予充分的带宽保证。 - VPN网关自动优选、VIP用户优先接入
当用户在远程VPN接入,VPN客户端会自动选择时延最短的最优网关作为接入网关。而当某网关的可用资源已经被在线用户耗尽无法接入新用户时,网关可以自动强制部分普通用户下线,为VIP释放系统资源,保证VIP用户的优先接入。
业务随行,第一次把网络资源跟人关联起来,让网络资源自动跟随人移动,第一次让网络变得人性化,让上班族获得自由。
全网安全协防,从单点防护进入全网防护年代
移动办公和Wi-Fi引入企业后,任何角色、任意设备、任意地点都可以接入企业园区网络。在带来灵活便捷的同时,网络安全威胁源从传统的互联网出口点,变成了互联网出口、园区Wi-Fi接入、远程接入等多个点。黑客入侵、病毒传播的方法和途径正变得多样化和复杂化,安全威胁的无边界、安全设施的各自为战、现有网络安全改造的复杂部署实施,使得传统基于物理位置的单点防御、边界防护思想越来越难以奏效。企业需要能够整合全网安全资源并加以协调使用,主动发现威胁,高效、灵活、全面防护。
为此,华为公司通过Agile Controller + 安全资源中心 + 敏捷交换机,借助大数据分析和SDN的思想,对全网安全能力进行整合、调度使用,实现全网安全协同防护。在这种体系架构下,网络中的安全监控点无所不在,由Controller进行全网的安全事件收集,进行大数据关联分析并下发安全策略;安全功能不再受限于物理位置,通过将可疑流量引入虚拟的安全资源中心,实现全网安全资源的按需使用。
全网安全协防
大数据分析:主动防御,快速响应
Agile Controller通过集成安全行为分析软件,能够搜集全网各类设备的日志信息,记录全网各类安全事件,基于大数据关联分析深入挖掘单点设施难以发现的潜在威胁或攻击;再通过交互界面呈现给管理员并产生告警,管理员可以根据需要调整安全策略进行响应;系统还可以生成各种报表对全网安全态势进行呈现。借助这种大数据分析的思想,帮助安全运维人员及时发现安全威胁和隐患,加快响应处理,阻止安全事故的发生。
全网安全分析和主动防御
- 全网安全关联分析,主动发现威胁、快速响应
支持包括网络、安全、IT等多种设备的日志采集,并依据定义的关联规则对海量日志数据进行关联分析、发现威胁;系统内置默认关联规则模板,同时支持定制关联规则;可以通过短信、邮件等方式快速通知到运维人员,通过安全策略下发等对安全问题进行快速处理。 - 丰富的安全态势呈现,安全状况尽在眼前
可实时查看整网的安全健康状态,呈现整网的健康度。基于区域的安全态势呈现,点击攻击流可以展现具体的攻击事件;基于关键资产的安全态势呈现,点击每个资产可以展示具体的安全事件;基于紧急程度的安全事件呈现,并给出处理建议。
安全资源动态分配:安全能力随需调用,摆脱物理位置限制
作为园区网络的“大脑”, Agile Controller通过业务编排的方式灵活调用安全资源中心的安全能力,如防火墙、上网行为管理、防病毒等。比如当市场人员访问互联网时需要经过防火墙和上网行为管理安全过滤,IT管理人员可以在Controller编排定义“市场组访问Internet”的业务链,定义其必须通过安全资源中心的NGFW。
安全资源动态分配
通过将安全设备虚拟化为安全资源中心,只要网络可达,敏捷交换机就可以通过隧道技术灵活调用这些安全资源对业务流量进行防护,使得安全设备的部署和使用不再受物理位置的限制,可以随需调用。这将快速释放全网的安全能力,无论是针对BYOD移动办公、新应用、临时工作组等业务流量的安全防护,还是发现安全事件后的有效防御响应,都不再受限于难以改造和部署的现网,甚至不必重新购买安全设备,减少投资。
- 业务流检测灵活编排,适应各种安全需要
在Controller上,可以对全网各业务流量按需配置相应安全策略,支持基于用户组或传统ACL的方式来定义业务流;业务流可按需调用多种安全资源能力,包括防火墙、入侵检测、防病毒等安全能力。 - 全网安全资源共享使用,提高安全资源利用率
不仅支持将NGFW等安全设施虚拟为安全资源中心,还可开放接口支持第三方安全设备的集成;安全设备可多次被敏捷交换机调用,可同时被不同的敏捷交换机调用。
通过大数据关联分析和安全资源动态分配来实现全网安全协防,可以发现任意位置的安全侵入事件,彻底解决了移动环境下存在大量安全威胁点,单点防火墙无法防护的问题。从此,网络安全由单点防护步入全网防护年代,让CIO不再为安全担忧。
有线无线深度融合,让运维管理不再繁琐
传统园区网络中常见的无线部署方式有独立AC或插卡式AC,有线和无线网络在转发和控制层面上是分离的。随着802.11ac时代的到来和BYOD移动办公的逐渐普及,AC设备由于转发能力、端口速率等各方面的限制将逐渐成为性能瓶颈。同时由于有线和无线网络用户认证和策略管理分别在交换机和AC单独维护,给IT管理人员的配置、管理带来极大的工作量。
华为创新性提出有线无线深度融合的理念,将有线网络和无线网络互相取长补短,形成有线、无线两张网络在用户使用体验、管理体验两个方面的趋同和极致优化,帮助企业获得一致的使用和管理体验。
传统园区和敏捷园区的对比
融合AC:有线无线统一转发,性能卓越
利用敏捷交换机提供的全可编程能力,无线功能已经作为一个特性内置到有线板卡中,有线和无线网络转发、控制、管理层面都融为一体。这种网元层面的融合有效的解决了有线和无线网络独立控制和转发的现状。交换机的交换能力和可扩展性完全消除了AC设备或插卡集中转发控制的流量瓶颈,敏捷交换机整机转发能力可达T bit;用户不需要单独购买AC设备或者插卡,节省投资。
融合管理:一个网络等于一台交换机,极致简化管理
通过超级虚拟交换网技术SVF(Super Virtual Fabric),创新性地将盒式接入交换机虚拟为核心/汇聚框式交换机板卡,将AP虚拟为核心/汇聚框式交换机的端口,将原来“核心/汇聚+接入交换机+AP”的网络架构虚拟化为一台交换机,整个园区网络成为“One Box”,实现设备、业务、用户管理层面的统一和简化。
SVF架构
- 简化设备管理
数百台有线无线设备虚拟为一台交换机,IT管理人员只需管理一个网元。创新借鉴业界AC管理AP的成功经验,让敏捷交换机把接入层交换机也管理起来。核心交换机自动发现下联汇聚和接入交换机、AP的网络拓扑,自动建立通道,接入交换机和AP接入网络即可自动下载配置,即插即用。 - 简化业务配置
设备、用户、业务等在核心交换机统一配置;有线无线设备采用一致模板配置,一键下发,极致简化。 - 简化维护
核心交换机统一进行补丁、升级版本等维护操作,接入交换机、AP全自动升级,“零”人工参与。
融合策略:有线无线用户统一管理,一致体验
借鉴自身在通信领域的积累,华为让敏捷交换机在业务层面融合了用户认证和管理功能,首先可以支持MAC/Portal/802.1x/PPPoE等多种认证协议,为有线和无线接入的用户提供统一认证。比如可以借助敏捷交换机和接入交换机之间的管理隧道(CAPWAP隧道),将802.1x认证部署到汇聚的敏捷交换机,从而避免海量接入交换机配置的工作量,同时又通过敏捷交换机自身的隧道管理能力,实现不认证用户无法二层接入,保障安全性。
另外,对于接入用户的控制策略,可以实现统一配置,按需联动,所有的策略只需要配置在敏捷交换机。比如VLAN这种用于安全隔离互访的策略可以自动推送部署在接入区;而对于限制用户权限或者业务优先级的ACL、QoS等策略可以在核心层统一控制,所有的控制过程都是由敏捷交换机完成策略的推送和实施,不需要管理员做额外的工作,最大程度智能化园区的用户管理。
有线无线深度融合,融合了转发,融合了管理,融合了策略控制,让企业无线网络的部署变得前所未有的简洁,极致简化园区有线无线网络的运维管理工作。
质量感知,第一次让IP感知质量
随着企业网络中视频、桌面云、VoIP等实时性业务的不断增加,对网络质量的要求越来越高,语音模糊、视频会议马赛克、应用慢如蜗牛,如何保证用户的业务体验,已经成为IT管理人员面临的重要挑战。影响业务体验的因素除了熟知的网络带宽、QoS、断网类故障外,其它一些因素长期影响用户业务体验,却无法被发现和检测,例如:网络安全攻击引入的异常流量和异常处理、流控失效、设备亚健康引起的故障、隐藏的网络配置错误等等。因此,我们需要一种手段,无论是任何因素影响业务体验,网络都能够自我感知并精确定位。
由于IP网络是面向无连接的网络,网络中只有数据包,没有任何业务连接的信息,这成就了IP网络的大规模部署,但同时也引出了质量监控的难题。目前的监控技术,如BFD/NQA/Y.1731等,都是面向点对点连接的技术,在IP网络中部署时,会引入N2 问题,即所有的通信节点之间都要两两部署,严重影响IP网络的扩展性。截至目前,IP网络和以太网络中缺乏有效的质量监控措施。
传统网络和敏捷网络的对比
华为公司经过多年的技术研究,业内首创研发出了包守恒算法iPCA(Packet Conservation Algorithm for Internet)。iPCA通过在网络入口处对真实业务报文进行染色和计数,并在出口处基于染色的报文进行精确的统计计算,从而检测出网络中出现问题的区域和网元。利用iPCA技术,可以实现在整个网络内部署一张完整的网络质量和问题监控系统,任何影响终端用户体验的问题,网络都可以即时感知,并准确定位。这既保留了IP网络无连接的优势,又从根本上攻克了IP网络的体验保证难题。与传统的质量检测方法相比,iPCA技术具有如下优点:
- 零流量开销,即时质量感知和精准故障定位
iPCA技术并不会引入额外的性能和流量开销,通过对真实的业务报文进行标记、染色和计数,让用户之间的数据流在传送业务的同时具备网络质量检测的能力,而不需要插入检测报文,对业务无干扰;可以即时感知网络质量,网络问题精确定位至网络、链路、甚至是设备。 - 多入多出测量,适用任意网络规模
作为业内第一个多入多出监控技术,iPCA可以同时监控多个节点之间的两两通信,而不引入N2问题。支持点到多点、多点到多点组网,支持跨网络端到端检测,能很好解决IP网络的多路径、多方向流下的网络测量问题,如:双归接入、端口绑定、负载分担、L2+L3端到端测量等场景,对测量的网络规模无限制,也不存在跟第三方设备的对接问题。
华为iPCA技术,第一次让IP感知质量,在用户体验受损时,网络会快速感知,精确定位问题,并且提供了详细的质量记录,帮助管理员确定是什么问题影响了业务体验。从此,体验困扰不再、故障困扰不再。
全可编程&一机双平面,第一次实现SDN在园区网络直接部署
如何让企业ICT系统领先对手一步,如何让网络具备演进的能力,如何快速引入新业务和新功能,答案就是全可编程。鉴于用户现有网络中部署了大量的业务,新部署的网络在具备面向未来网络演进能力的同时,还需要能与现有网络无缝融合。
全可编程:乘上软件定义的翅膀,领先4倍的演进速度
全可编程是华为公司敏捷网络独有的增强架构,其核心就是ENP(Ethernet Network Processor)+ POF(Protocol Oblivious Forwarding)。基于华为自研的ENP芯片,使设备的转发功能具备向未来标准演进的能力。采用ASIC芯片的交换机,当需要一个涉及包转发的新功能时,由于ASIC不可编程,本质上根本无法支持,客户只能更换设备,同时客户要等待“标准——>芯片——>设备”这样一个漫长的流程后才能享受到新功能。而采用了ENP芯片的敏捷交换机后,客户可以直接通过Controller来自定义设备的转发行为,大大缩减了新功能和新业务的上线时间,从根本上具备了让网络实现软件定义的能力。
华为公司第一次实现了控制面+包转发面的全可编程,让任何新业务和新功能的定义都非常便捷,是真正的软件定义。让您的网络通过软件定义快速引入新功能,以超出传统网络硬件定义4倍的速度快速演进,获得先机。
一机双平面:平滑演进,完美兼容传统网络
华为公司推出的敏捷设备,都具备一机双平面的能力,既有传统网络平面,也有增强控制平面,可以直接在现有网络中部署,实现敏捷网络和传统网络的平滑演进,最大化保护用户投资。
平滑演进
敏捷交换机具备传统网络平面和Controller增强控制两个平面,可以独立部署到现网中,Controller的部署是完全可选的,只有需要全网协同部分功能时才需要配置Controller。基于传统网络平面,敏捷交换机可以与用户现有网络无缝融合。Controller增强控制平面主要实现一些从全网视角易解决的网络问题,如:业务随行、全网安全协防等。Controller完全可以根据用户的业务需求选配,即便网络中的Controller故障,也不会影响传统网络平面的连通性。因此,企业完全可以根据自身业务发展需要增量部署新网络或将业务迁移至增强控制平面,对现有网络无任何影响。
通过全可编程 + 一机双平面,华为实现了网络功能通过软件定义快速扩展,第一次实现SDN在园区网络直接部署,让业务创新无处不在。
-
- 客户价值
华为敏捷园区网解决方案凝聚了客户对未来网络的核心诉求,以用户为中心,自动部署网络资源、自动定位故障、网络管理更加精细友好。从网络基础机制上消除了传统网络缺乏体验保证、部署低效、单点安全防护和响应慢的问题,从业务被动适应网络转变为网络主动适应业务,从而构建一个业务友好的网络。让视频马赛克、语音模糊、上网慢以及远程办公、移动办公的糟糕体验不再困扰客户;从网络状态不可知、网络管理困难,转变为主动感知优化网络;让业务插上软件定义的翅膀,帮助客户以领先4倍的业务演进速度取得产业内的持续领先。
华为敏捷园区网解决方案的终极目标是帮助客户实现无距离障碍的自由沟通的梦想,让人与人、人与物、人与信息的沟通,不再受任何因素的干扰和限制,变得自由、舒适和高效,让体验、运维和效率得到彻底的解放。
发表评论