园区网解决方案
文章来源:本站
发布时间:2016-10-20 12:17:59
与传统园区网相比,在架构上做了如下3大改变:
第一,第一次把SDN架构引入园区,给网络增加了智慧的大脑(Agile Controller)。敏捷园区网通过Agile Controller集中式控制,实现整个园区网络包括出口路由器/SVN的全网系统控制,可以动态地调配网络资源,实现网络资源跟随用户移动,从而保证了自由移动环境下每个用户的业务体验。同时它可以调配全网安全资源,实现网络的协同整体防护。
第二,用敏捷交换机替代了传统交换机,给网络增加了敏捷的肢体。通过敏捷交换机使网络实现了敏捷感知和执行的能力,可以感知用户&应用、网络质量&问题以及安全事件。
第三,实现了安全能力资源化,防火墙等安全资源不再是某个单点的功能,而是可以全网共享的功能。
具体来说,是通过在Controller上基于用户组定义权限、业务流安全策略以及体验相关的用户优先级、带宽、VPN资源策略,并下发至园区各交换机、NGFW、SVN等策略执行设备,当用户在内网有线、内网无线、外网远程等不同地点、使用不同的终端设备接入时,Controller会自动识别用户身份及其所在用户组,并向网络中相应执行设备发布用户策略信息来执行策略,从而保障不同位置接入用户的一致使用安全和使用体验。
-
全局集中式策略控制
-
基于SDN全局统一思想,以Controller为核心集中式配置和维护全网的用户策略;一次配置,统一生效,减少不一致矛盾。改变传统基于机器语言的繁琐配置,采用易于理解的自然语言,配置简单明了。
-
组间策略控制
-
通过提供用户组间权限控制以及用户组到资源组之间的策略控制,在实现灵活并精细化进行用户权限控制的同时,减少设备资源ACL消耗。
-
基于用户组的业务流安全策略
-
结合安全资源动态分配方案,可以实现在认证交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于用户组的安全业务策略,规定流量需要被哪些安全设备处理,以及处理的先后顺序。
-
无论用户在分支、园区总部、出差远程接入,无论用户访问企业内网资源、互联网资源,在VPN接入网关、互联网出口防火墙、分支出口设备等影响体验的关键执行点上,都有相应的带宽和QoS策略,保障用户一致的业务体验。对于VIP用户流量,可以进行优先调度,并给予充分的带宽保证。
-
VPN网关自动优选、VIP用户优先接入当用户在远程VPN接入,VPN客户端会自动选择时延最短的最优网关作为接入网关。而当某网关的可用资源已经被在线用户耗尽无法接入新用户时,网关可以自动强制部分普通用户下线,为VIP释放系统资源,保证VIP用户的优先接入。
-
业务随行,第一次把网络资源跟人关联起来,让网络资源自动跟随人移动,第一次让网络变得人性化,让上班族获得自由。
移动办公和Wi-Fi引入企业后,任何角色、任意设备、任意地点都可以接入企业园区网络。在带来灵活便捷的同时,网络安全威胁源从传统的互联网出口点,变成了互联网出口、园区Wi-Fi接入、远程接入等多个点。黑客入侵、病毒传播的方法和途径正变得多样化和复杂化,安全威胁的无边界、安全设施的各自为战、现有网络安全改造的复杂部署实施,使得传统基于物理位置的单点防御、边界防护思想越来越难以奏效。企业需要能够整合全网安全资源并加以协调使用,主动发现威胁,高效、灵活、全面防护。
Agile Controller通过集成安全行为分析软件,能够搜集全网各类设备的日志信息,记录全网各类安全事件,基于大数据关联分析深入挖掘单点设施难以发现的潜在威胁或攻击;再通过交互界面呈现给管理员并产生告警,管理员可以根据需要调整安全策略进行响应;系统还可以生成各种报表对全网安全态势进行呈现。借助这种大数据分析的思想,帮助安全运维人员及时发现安全威胁和隐患,加快响应处理,阻止安全事故的发生。
借鉴自身在通信领域的积累,华为让敏捷交换机在业务层面融合了用户认证和管理功能,首先可以支持MAC/Portal/802.1x/PPPoE等多种认证协议,为有线和无线接入的用户提供统一认证。比如可以借助敏捷交换机和接入交换机之间的管理隧道(CAPWAP隧道),将802.1x认证部署到汇聚的敏捷交换机,从而避免海量接入交换机配置的工作量,同时又通过敏捷交换机自身的隧道管理能力,实现不认证用户无法二层接入,保障安全性。
华为公司推出的敏捷设备,都具备一机双平面的能力,既有传统网络平面,也有增强控制平面,可以直接在现有网络中部署,实现敏捷网络和传统网络的平滑演进,最大化保护用户投资。