下一代園區架構與模型——統一架構，全局協(xié)同
2013-08-09 14:17:10   評論：0 點(diǎn)擊：

　　1、有線(xiàn)無(wú)線(xiàn)深度融合的統一接入和統一策略執行。

　　無(wú)線(xiàn)AC與交換機物理和邏輯架構實(shí)現融合。無(wú)線(xiàn)AC的功能統一在支持縱向堆疊的交換機（部署位置可以是接入層、也可以是匯聚層）實(shí)現。無(wú)論是AP，還是更底層的接入層交換機從組網(wǎng)形態(tài)上講實(shí)現了統一， 既可以由有線(xiàn)無(wú)線(xiàn)一體化的接入層交換機實(shí)現管理，也可以是有線(xiàn)/無(wú)線(xiàn)一體化的匯聚層交換機通過(guò)縱向堆疊來(lái)實(shí)現統一的管理。在統一架構的交換機中，實(shí)現無(wú)線(xiàn)SSID和固網(wǎng)VLAN的管理機制統一。充分利用VLAN成熟的配置和管理等實(shí)現機制，滿(mǎn)足用戶(hù)的運維習慣，支持用戶(hù)靈活切換網(wǎng)絡(luò )接入行為。

　　安全策略執行不再分別下發(fā)到AC、交換機，而是統一到支持縱向堆疊的交換機來(lái)實(shí)現，從而規避分布的策略控制點(diǎn)導致策略管理和配置復雜性問(wèn)題。傳統有線(xiàn)網(wǎng)絡(luò )中的接入/匯聚交換機都是潛在的策略控制點(diǎn)，運維人員需要花費大量精力對其進(jìn)行配置，包括用戶(hù)組策略建立，認證參數配置等；部署無(wú)線(xiàn)后，AC單獨作為無(wú)線(xiàn)用戶(hù)策略控制點(diǎn)，又新增了額外配置工作量。華為獨特的創(chuàng )新技術(shù)，實(shí)現有線(xiàn)/無(wú)線(xiàn)一體化在匯聚層交換機的融合，同時(shí)這一統一架構交換機可以對底層接入交換機（包括AP）實(shí)現縱向堆疊集群化的管理，讓組網(wǎng)既能靈活滿(mǎn)足安全的需要，也可規模降低組網(wǎng)建設成本。 通過(guò)這個(gè)融
合，將使管理變得更加簡(jiǎn)便。

　　下一代園區網(wǎng)的架構與模型

　　隨著(zhù)WLAN技術(shù)從802.11 a/b發(fā)展到802.11n以及802.11AC，無(wú)線(xiàn)接入帶寬從幾十兆提高到1G，流量轉發(fā)瓶頸問(wèn)題更加嚴重，傳統的集中轉發(fā)網(wǎng)絡(luò )架構，會(huì )使AC成為無(wú)線(xiàn)網(wǎng)絡(luò )的關(guān)鍵瓶頸。有線(xiàn)無(wú)線(xiàn)深度融合將通過(guò)華為的新一代可編程交換機，通過(guò)轉發(fā)面編程，在傳統有線(xiàn)轉發(fā)的基礎上融合包括CAPWAP隧道終結在內的無(wú)線(xiàn)AC轉發(fā)功能，使有線(xiàn)和無(wú)線(xiàn)業(yè)務(wù)都能在同一個(gè)路徑上實(shí)現流量轉發(fā)，消除流量瓶頸。

　　2、全局協(xié)同基于統一Campus Controller（one Controller）來(lái)實(shí)現應用和業(yè)務(wù)感知，以及策略集中控制、管理和分發(fā)。園區網(wǎng)用戶(hù)接入網(wǎng)絡(luò )首先要求進(jìn)行身份的識別和基于身份權限的控制。

　　隨著(zhù)BYOD的發(fā)展，對于用戶(hù)接入需要感知的內容不再局限于身份和接入端口，還包括接入的位置，以及時(shí)間、智能終端的類(lèi)型識別等等。對于用戶(hù)之間的互訪(fǎng)控制、網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)控制、信息內容的訪(fǎng)問(wèn)管理等安全策略則需要更加精細化、智能化。總之，網(wǎng)絡(luò )安全策略控制是網(wǎng)絡(luò )更好地支撐企業(yè)信息安全的關(guān)鍵點(diǎn)。策略由單一屬性演變?yōu)槎鄬傩浴１热纾�同一用�?hù)使用PC或者PAD時(shí)，權限不同； 采用筆記本應用有線(xiàn)或者無(wú)線(xiàn)接入時(shí)，權限不同；訪(fǎng)客在既有身份權限確認的基礎上，需要加入時(shí)間限制。而下一代智慧園區網(wǎng)通過(guò)統一的策略控制器Campus Controller，自動(dòng)感知用戶(hù)的多維度屬性，在用戶(hù)接入網(wǎng)絡(luò )后統一自動(dòng)下發(fā)精細化的安全控制策略，在統一的策略控制點(diǎn)上執行策略 ，實(shí)現精細化的管理；也可以與邊緣接入交換機進(jìn)行聯(lián)動(dòng)控制；同時(shí)還需要依托用戶(hù)的全維度、全屬性感知實(shí)現監控負載，優(yōu)化路徑的需求。而統一的策略中心既實(shí)現對策略的統一管理、控制和分發(fā)，同時(shí)還提供開(kāi)放接口，可以供上層應用獲取可編程的資源能力，實(shí)現軟件定義能力。

　　3、全局協(xié)同，實(shí)現有效的網(wǎng)絡(luò )與安全聯(lián)動(dòng)的效應基于全局的對用戶(hù)感知、網(wǎng)絡(luò )行為的深入感知，可以實(shí)現網(wǎng)絡(luò )與安全的深度聯(lián)動(dòng)；實(shí)現統一部署、按需監測；實(shí)現基于Flow的細粒度檢測，確保全網(wǎng)網(wǎng)絡(luò )及安全的深度聯(lián)動(dòng)。