华为敏捷园区网解决方案1.0_技术主打胶片综合版素材.pptx

敏捷园区网解决方案技术主打胶片 企业网络产品线解决方案部 目录 2 全网安全协防 3 4 5 业务随行 质量感知iPCA 有线无线深度融合 1 总述 敏捷园区网一期解决方案全景图及适用场景概览 业务随行 有线无线深度融合 全网安全协防 MSV业务链 安全联动 质量感知iPCA 网络规划与建设 网络运维 目录 2 全网安全协防 3 4 5 业务随行 质量感知iPCA 有线无线深度融合 1 总述 业务随行子目录 业务随行：自由移动下的网络挑战 北京 深圳 硅谷 策略：权限 策略：安全 体验：优先级 体验：带宽 Agile Controller WAN/Internet 自动翻译 自动部署 用户：xx 位置：深圳 在允许用户自由移动、任意接入的大背景下，如何实现用户的业务策略和网络体验能够保持一致？ BYOD，身份/终端多样 无线接入，人员移动办公 驱动力 BYOD： 大量特殊终端，特殊用户加入园区网络，权限划分越来越精细，用户分组越来越多。 端到端体验保证： 不同接入场景（有线/无线、内网/远程、LAN/WAN），如何保证接入层的透明和端到端网络体验的一致。 策略管理，打破物理隔离 提高协同效率： 普通员工和外包员工，既要一起办公，协同工作，又要防止数据泄露，安全策略面临挑战。 策略部署挑战：快速部署： 敏捷开发，快速组建项目团队，传统ACL和VLAN等静态部署无法适应并快速部署。 用户分级，QoS保证 业务随行驱动力 无线接入： WLAN的广泛部署，允许用户大范围移动，同一用户IP地址频繁变更。 移动办公： 丰富的VPN技术允许用户在各种位置、各种网络中远程接入，园区网络失去明显边界。 流量分级： 人员移动引起蜂群流量现象。广域出口中，普通用户和VIP用户抢占有限的带宽。QoS和网络体验无法有效管理。 优先保证： 远程接入中，SSL VPN网关的连接数和带宽都是有限资源，如何保证VIP用户能及时获得最佳的远程接入体验。 业务随行核心需求 体验随身 不同用户享有不同的网络服务等级。在用户自由移动的前提下，保证其网络体验可以保持一致。 例如： 可用带宽 在带宽瓶颈点上的转发优先级 在与低级别用户竞争VPN网关接入权等有限资源时获得优先。 策略随行 不同用户对应不同的业务策略。在用户自由移动的前提下，保证基于身份的业务策略在任何位置都可以得到一致执行。 例如： 用户可以访问的网络资源（权限） 用户间的互访控制（权限） 需要实施的应用安全检测策略（安全） 自由移动 传统技术能否实现策略随行和体验随身？ 传统技术 采用NAC技术应对策略随行 动态VLAN+静态ACL VLAN与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。将用户分配至特定VLAN使其拥有特定网络权限。 VLAN划分方法一： 根据用户接入位置动态分配不同VLAN VLAN划分方案二： 用户任意位置接入分配至同一VLAN 动态VLAN+动态ACL 用户与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。为用户分配特定ACL使其拥有特定网络权限。同时将用户分配至不同VLAN实现各类用户间的隔离。 静态VLAN+动态ACL 用户与ACL绑定，ACL中限定了用户可访问的网络资源（IP地址范围）。将用户分配特定ACL使其拥有特定网络权限。不限制用户接入位置情况下，不同用户可能位于同一VLAN。 重定向/策略路由 通过ACL或流分类功能区分不同类型的流量，通过重定向（二层设备）或策略路由（三层设备）功能可以将指定流量从指定接口发送出去，或者发送给指定的下一跳设备。 采用QoS技术应对体验随身 流量监管 通过ACL或流分类功能区分不同类型的流量，针对各种流量限制其最大速率。 拥塞管理 通过ACL或流分类区分不同类型的流量，将各种流量送入指定的接口调度队列。接口在发送流量时将按照一定规则，依次发送各个队列中的报文，实现重要报文优先转发的效果。 优先级映射 通过ACL或流分类区分不同类型的流量，针对各种流量重新标记其报文头部中的优先级字段。该字段可用于ACL和流分类匹配，并最终影响流量监管和拥塞管理效果。 技术分析：“动态VLAN+静态ACL”能否实现策略随行？ 汇聚交换机1 网关 汇聚交换机2 网关 接入交换机A（二层） 认证点 接入交换机B（二层） 认证点 接入交换机C（二层） 认证点 核心交换机 认证中心 资源 用户认证后分配VLAN 传统方案技术思想： 在交换机上预先配置静态ACL，ACL中描述了允许或禁止访问的服务器IP网段，并与VLAN绑定。 在用户认证上线时，认证中心结合用户身份和接入位置，分配至不同的VLAN。 不同VLAN内的用户因为绑定的ACL不同，所获得的网络访问权限也不同。 传统方案问题： 根据用户可能的接入位置，授权策略需