Agile Controller-Campus 业务随行培训.pptxVIP

修订记录课程编码适用产品产品版本课程版本ISSUE开发/优化者时间审核人开发类型（新开发/优化）本页不打印业务随行产品培训前言第一段结构：随着企业的发展，和BYOD的兴起，用户的接入位置和接入方式不再固定，用户的IP也不再固定，但是传统网络中通过ACL(IP)、VLAN(IP)来管理用户的策略，导致用户的策略要经常的变更，难以维护。为了解决这个问题，华为推出了以AgileController为核心的业务随行解决方案。第二段固定：本课程介绍业务随行特性软硬件组成和常见组网应用。目标学完本课程后，您将能够:了解业务随行的应用场景了解业务随行的功能实现掌握业务随行配置部署方法掌握业务随行故障处理方法目录业务随行应用场景业务随行功能实现业务随行配置部署业务随行故障处理业务随行：以业务和体验为中心策略随行体验随身BeijingShenzhenSiliconvalleyAgileControllerWAN/InternetUserXXXLocationXXX优先级带宽权限(Permit/Deny)业务流安全（IPS/AV/应用安全）体验有保障接入无差别敏捷交换机/随板AC数据中心AgileControllerWAN/InternetWAN/InternetVIP员工远程接入出差用户企业分支企业园区业务随行：方案部署逻辑图VIP优先级保障权限策略带宽保障执行点设备NGFWSVN业务流策略VIP远程接入资源保障1、组/策略定义和下发同步2、用户认证上线，用户组识别3、策略执行交换机：S12700/S9700/S7700/S5720HINGFW：USG6300/6500/6600系列SVN：SVN5800系列安全保障认证点设备应用场景一：移动办公业务随行应用场景：移动办公场景下，用户会在不同地方接入企业网络，而用户须要获得一致的策略和体验，也就是策略随行体验随身。客户诉求：因为同一个用户会在不同的地方接入，而不同的用户可能在一个物理位置接入，使得网络设备的配置非常复杂，部署大量的静态VLAN或ACL等。尤其是须要进行调整时，对于IT部门来说是非常复杂的工作。敏捷园区方案：在Controller上统一部署用户组和组间策略，下发至全网设备。用户上线自然获取其统一的策略和体验。价值：做到移动办公场景下策略随行体验随身。应用场景二：临时团队随时建立销售员工研发员工外包员工访客VIP数据中心应用场景：临时团队在同一个物理区域办公（接入同一交换机和AP），而不同角色可以获取不同权限，并实现不同角色之间的互访与隔离。临时团队随时建立，随时解散。研发销售VIP访客服务器研发允许允许禁止允许允许销售允许禁止允许允许允许VIP允许允许允许允许允许访客禁止禁止禁止禁止允许服务器允许允许允许允许允许客户诉求：接入交换机配置VLAN和ACL，将VLAN或ACL与用户绑定，实现基于源用户的权限控制。问题1：须要更改交换机配置，且配置复杂，工作量大，增删用户类型时难以维护。问题2：如果只下发ACL，那么无法做到VLAN内的用户互访隔离。问题3：随着用户类型增加，接入交换机上的预配置VLAN和IP网段成倍增加。敏捷园区方案：因为Controller上已经定义好用户组和组间策略，并已下发给交换机和其它网络设备。不同角色的用户上线时关联至不同的组，自然就获取不同的用户权限，以及相互之间的互访与隔离。价值：临时团队随时建立随时解散，不须要临时对网络设备进行任何配置。源组目的组应用场景三：VIP用户体验保障WAN/InternetVIP数据中心敏捷交换机/随板AC认证交换机根据Controller下发的策略为VIP用户分配更高的带宽NGFW根据Controller下发的策略将VIP用户流量送入高优先级队列调度为VIP用户保证VPN接入资源，当SVN资源用尽可以自动强制普通用户下线，保证VIP用户接入WAN/Internet通过Controller和网络设备的协作为VIP用户分配更多的资源保障，集中式的控制使得VIP用户得到端到端一致的体验保障。带宽优先级VPN资源VIP用户VPN远程接入目录业务随行应用场景业务随行功能实现业务随行配置部署业务随行故障处理业务随行逻辑架构AgileController业务随行主要概念业务随行部署三步曲Step1：定义安全组Step2：定义并部署组策略Step3：系统自动运行在Controller中定义安全组向组中添加成员：动态类型：特定用户（使用授权策略描述）静态类型：固定IP地址或网段在Controller中定义组策略体验策略（VIP组转发优先级）权限策略（组间是否允许互访）部署组策略执行点设备与Controller对接Controller自动将安全组和组策略下发至执行点认证：用户尝试接入网络，Controller校验身份凭证。授权：Controll