移动互联网浪潮下,各行各业正发生着前所未有的改变,企业、校园网络里有越来越的无线设备接入。并且不仅限于当下的工作/学习环境,还需要在分支机构、总部、分校区,甚至路上。智能终端的普遍使用给园区网络的有线、无线设备的一体化管理提出了更高要求。同时,IOT (Internet of Everything)给园区内的无线接入设备带来了几何倍增的增长,其业务关系和配置策越复杂度带来了巨大挑战。让“人适应网络”的园区网在新趋势下显得僵化、繁琐。
新华三的ADCampus解决方案创新引入了VXLAN+SDN的技术,通过构建基于VXLAN的新一代的柔性园区基础网络,配合软件定义的相关理念,颠覆了传统的园区网“人适应网”的现状,实现整个园区网范围内的“网随人动”的效果,在不需要做任何网络配置调整,增加运维复杂度的基础上,让人和终端可以在整个企业的园区任意角落移动,保持用户和终端始终处于既定的隔离网络、延续既定的网络策略,从而大大降低园区网的运维复杂度,满足移动化和物联网浪潮下对于园区网络新的诉求。
“网随人动”应用是核心
大量的用户、大量的设备、大量的流量,其“化繁为简”的核心是抓住应用。新华三提出为每个应用提供一个逻辑独立的网络,以满足每个应用自有的、对网络的各项需求,构建“面向应用的网络重构、面向应用的资源虚化、面向应用的分层控制”能力的网络,其实现步骤是:识别、标记、策略、跟随。
具体来说,识别:ADCampus方案可以自动识别用户所属的用户组、也可以自动识别物联终端,比如IP电话、视频监控设备等。
标记:ADCampus利用柔性网络的位址分离的能力,既可以把用户组或同一类终端捆绑成同一类业务,通过固定的IP网段对该业务进行标记;还可以通过该网段内IP对终端或用户进行终生绑定,成为用户或终端在网络的唯一标识。
策略:ADCampus方案可以针对园区网内的业务按照VRF进行业务上的强隔离,也可以针对同业务内的终端和用户按照ACL进行弱隔离;还可以结合5W1H的场景限定网络内相关人员和终端在不同时间、位置等场景下获取不同的网络权限。
跟随:用户\终端位置变动、IP不变、接入的虚拟网络不变、策略不变;园区内部门办公室调整、部门内人员增加,网络也无需调整,可以自适应。
将“网随人动”的美好照进现实
一、IP决定用户网段就是业务:
“IP就是用户”价值在于将用户和IP实现一一对应,针对IP的控制同时就实现了针对用户的控制,可以方便审计到人;终端和IP的捆绑,间接实现了终端的安全接入。
“网段就是业务”价值在于将IP网段和园区内的用户组或业务进行耦合,对于业务或用户组的控制直接通过该对应的IP网段实现就可达成,一条ACL就可以实现业务之间的隔离。
为此,ADCampus Director提供多种用户使用场景QSP(快速业务部署向导),快速实现业务配置,包括设备自动上线、网络业务、服务链、组间策略、场景定义、接入设备和接入用户管理等功能。通过向导化的组织,用户只需点选几步,就能快速完成场景下的业务部署,无需输入任何命令行,操作简单高效,大大提升管理效率。
同时,ADCampus柔性网络最大的特点就是针对用户和终端而言整个网络无状态,实现用户或终端的即插即用、用户的权限随行。其核心技术就是基础网络“位址分离”,IP地址和位置解耦合,让同一IP可以在任意位置接入,包括有线网络、无线网络之间做漫游,跨广域网的多园区之间漫游、园区与分支之间漫游,它也是在用户和终端移动场景下“IP就是用户/网段就是业务”的技术基础。
二、自动化部署,将消灭命令行进行到底
ADCampus解决方案的自动化从根本上解决了自动化部署的问题,ADCampus柔性网络在基础网络层面将整个网络设备按照角色进行分类,分别为核心层设备、汇聚层设备、接入层设备,各设备的配置完全统一,将整网设备的配置文件简化成3份,让自动化部署真正成为最简单的网络部署方式。
此外ADCampus的自动化部署还解决了自动化上线一贯的问题,设备物理位置标识的问题,自动部署之后,如果不能标识物理位置,对后期运维的故障定位非常困难,ADCampus的自动化方案在设备安装前提前规划,设备自动部署上线之后管理平台自动导入位置标识,并且还可以通过管理界面监控整个全网自动化上线的全过程。
ADCampus的自动化可以大幅提升运维效率:如下例:某园区网络,96台接入、2台汇聚、2台核心:
三、园区一键启动,管理可控、可视
ADCampus方案引入SDN理念,通过园区控制器除了可以实现自动化部署之外、还可以实现用户、终端的资源分配、用户组的策略定义;并且在定义资源分配和用户组策略的过程中采用向导式的配置模式以及可视化的策略定义界面,一方面让用户能快速上手、确保操作正确,同时完全屏蔽底层SHELL命令。
ADCampus提供了多种拓扑视图,包括全景拓扑、自定义拓扑、Overlay拓扑。
在业务上实现通用组、安全组的分层管理。通用组管理分为设备组管理和接口组管理,支持管理员将设备和设备接口划分到不同的组内,方便管理员对设备和设备接口进行整组的管理,包括各种策略的执行与修改等。系统已内置相应的设备组和接口组,让管理员方便添加设备和接口。安全组管理包含安全组、资源组、访问控制模板以及组间策略等几大功能部分。
通过仪表盘将运维变得更加便捷。仪表盘支持在Dashboard页面中展示安全组及其活跃度、在线用户数量,同时支持展示告警统计、有线无线资源统计、终端设备使用情况和用户接入方式统计数量等。
推荐产品:S10500系列、S7500E-X系列、S7500E系列、S5560X系列、H3C VCF控制器软件、H3C DR2000应用驱动园区软件、S1020V等。
本文转自d1net(转载)