智能园区网络建设方案案例
1.1 背景描述
1.1.1 园区网络现※状
**通讯成①立于1997年,是全球领先↓的通讯与信息解决方案及服↘务提供商,当前广↘州科学城总部研发基地由于园区网络设←备老旧需进行替换和改造,既有的老旧园区网络采用传▂统的组网方式,存在多个业务系统,没有按照信息安全规定要求进行系统间路由╳隔离,部门调动时,网络无及时进行匹配,耗时长,响应〇速度慢,对于网络中用户权限控制,一般采用用户认证加授权 VLAN 或 ACL 的方式实现用户访〗问资源或用户间的隔离,存在一定╲风险,此外网络的业务部署【,一般都是采用手】工配置命令行,或通过 SNMP 来配置。都是基于设备语言,效率低,业务上线】速度慢,同时现网所√运行的设备即将或者已经达△到厂家建议使用年限,基于以上,**通讯对广州』总部的园区网络进行数字化改造。
**通讯广州科学城总部研发基地
1.1.2 园区「网络面临的问题
-
-
-
- 一网无法多用
-
-
企业各业务系统的终端实际部署①位置在一起,这就很难再用传统的独立建网方式实现网络隔离,要求能做到▼物理网络共享,逻辑上隔离,降低成本。
-
-
-
- 隔离效果差
-
-
不同权限的用户有混坐的情况,如研发▽人员、外包人员等⌒ ,且人○员位置经常变动, 不同权限的用户间也有权限控制⌒ 的需求,而传统的 VLAN 或 ACL 的隔离方式↑管理工作量巨大,策略数量也是大部分网络设备所↓无法承受的。
-
-
-
- 业务部@ 署慢
-
-
园区部署新业务,按照传统的业务开通方法,需要在大量设备上配置大量命令,耗时耗力。
1.2 解决思路
华为的解决思路是:
-
-
- 业务跟网络解耦
-
在物理网络(underlay)之上,创建逻辑上的叠加网络(overlay),以此实现■业务跟网络的解耦,从而实现在不改变基础网络的情况下,实现一网多用和业〖务的灵活部署。
-
-
- 用户身↑份跟网络 IP/VLAN 解耦
-
基于用ζ户身份的访问控制,包括权◆限控制和优先级等。用户身ζ份由用户接入网络时下发,跟 IP/VLAN 无绑定关【系,实现业务随▽行。
-
-
- 控制器自动『化配置
-
网络中部署集中『的控制器,基于上面两个解耦技术,将园区网〖络按照用户管理视角抽象,只需关注人、人的身份、虚拟网络,图形化的配置虚拟网络的业务和业务随行策略,实◣现业务的快速部署。
1.3 总体网络架构
1.3.1 总体网络设计原则
园区网通常是一种用户高□密度的非运营网络,在有限的空间内聚集了大□量的终端和用户。同时对于园〗区网而言,注重的是网◇络的简单可靠、易部署、易维护。因此在园〗区网中,拓扑结构∑ 通常以星型结构为主,较少使用环◥网结构(环网结构较多的运用在运营商的ζ 城域网络和骨干网络ζ 中,可以节约光纤资源)。
基于星型结构的园㊣区网设计,通常遵循如下原则:
- 层次化
将园区网络划分为核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。
- 模块化
将园︼区网络中的每个部门或者每个功能区划◤分为一个模块,模▓块内部的调整涉及范围小,易于进Ψ行问题定位。
- 冗余性
关键设备采用双节点『冗余设计;关键链路□ 采用Trunk方式冗余备份或者负↑载分担;关键设备的∮电源、主控板等关键部件冗余备份。提高了整个网◥络的可靠性。
- 安全隔离
园区网络应具备有效的安全控制。按业务、按权限∮进行分区逻辑隔离,对特别重∮要的业务采取物理隔离。
- 可管理性和可维护々性
网络应当具有良好的可管理○性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。
1.3.2 园区网总体逻辑架构
华为SD-Campus园区网络◣的逻辑架构如下图所示
-
-
- AC-Campus
-
云管理控∩制器,负责 overlay 网络的业务№管理和自动化部署。
-
-
- IAE
-
负责认ㄨ证用户管理、业※务随行策略配置和自动♀化下发。
-
-
- eSight
-
负责园区及分支设备零※配置开局、无线定位、设备 underlay 配置、设备监控ㄨ等。
-
-
- Route Node
-
路由出口节ㄨ点,园区需要到数据中●心或者 Internet 时通过此节︽点转发;如果路由出口节ξ 点是防火墙时,FW Node 可以复用此节点。
-
-
- FW Node
-
安全节点,需要做 L4-L7 高级安全策略(如 IPS、AV 等)时需要部署该节点。
-
-
- Border Node
-
L3 网关设备,用于 Fabric 网络和第三方网络间三层转发,用户跟第三方网络流量从这里出▅入 VXLAN 隧道。
-
-
- Edge Node
-
用户的 VXLAN 网关,可能是 L2 网关也有可能】是№ L3 网关,接入用户的流量▅从这里进入 VXLAN 网络。Edge 节点同时也作为无↘线控制器,无线流量经由 CAPWAP 隧道到达 Edge 节点,Edge 节点剥 CAPWAP 隧道后↘进入 VXLAN 网络。
-
-
- Transparency Node
-
Fabric 网络的▲透传节点,不感知 Fabric。透传节点不⊙需要支持 VXLAN,可以是传统♂三层交换机⊙。
-
-
- Access Node(Wired)
-
有线接入节∩点,用户从这里接入有线网络并最终□接入 Fabric 网络,可以和 Edge Node
合一。
-
-
- Access Node(Wireless)
-
无线接入卐节点,用户从这里接入无线◥网络,并最终接入 Fabric 网络。无线接入节点不需要支持 VXLAN,传统的无线接入节点(AP)都可以。
1.3.3 园区∞网总体物理架构
对应逻辑架构,园区㊣ 网络的物理架构◆』如图2-2所示。
- 核心层
在核心层部署两台核∞心交换机S12708,集群方式部署提①高可靠性,同时S12708作为VxLAN网络分布式三层◥网关。核心层Ψ 与汇聚层10G互联。
核心交换机旁挂两∑ 台防火墙,实现园▆区内部业务访问隔离、安全管控←等功能。
- 汇聚层
改造后的园区最终有3个汇聚节▓点,分别位于A、B、E三栋楼;每个汇聚点部署两台汇聚交☆换机S7706,通过集群方式提高可靠性,同时S7706作为VxLAN网络分布式二层网关。汇聚层与接入层千兆互联。
- 接入层
部署接入「交换机,满足园区内有█线终端接入需求。建议每4台接入ω 组成一个堆叠组,提高可靠性的同时节省了光纤资源。
- 数〗据中心区
部署2台数据中心万兆接入交※换机CE6856HI和6台数据中心千兆接ㄨ入交换机CE5855EI,实现服务器的万兆及千兆接入需▓求。同时数据中心接入交换机╲支持SDN功能演进。
- 网络管♀理区
在网管区部署esight网管系统,实现全网设备∩可视化管理;
部署园区SDN控制器Agile Controller-Campus,实现基△于园区Vxlan架构下的业务随行、业务→快速部署等SDN特性;
该组网结构具有如下特点:
- 以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
- 各部门和功能分区模块清晰,模块内部调〓整涉及范围小,易于进行问题定位。
- 双节≡点冗余设计,关键○链路均采用Trunk链路,保证网络︻的可靠性。
- 支持@ 各种业务终端接入,一张IP网络承载所有业务〖。
- 支@ 持分支接入、员工远程接№入、合作伙伴接入、外部用户访问等各种外联场景。
1.4 SD-Campus 网络原理
1.4.1 Underlay 网络原理
Underlay 网络,access 节点为二层设备,对流量做二层转发。Access 节点可以为堆叠, 或者环网。但是 Access 到 Edge 必须〗是树形组网,因一个 Access 节点只能到一︽个 Edge 做认证。
Underlay 其他节点都是三层设备,对流量做三层转︾发,Underlay 的路由可〖以部署
OSPF/ISIS/BGP 等。
Edge 设备跟 Border 设备间可以■用 ECMP 冗余组网,提高三层网㊣络可靠性及增加通道带宽。
1.4.2 Overlay 网络原理--数据平面
1.4.2.1 VXLAN 三层网卐关部署
VXLAN 三层网关按部卐署方式的不同,可以分为集中式网关和分布Ψ式网关。
图2-7 VXLAN 集中√式三层网关
集中式网关场景下,所有跨子网的流量都要到三层网【关上转发,转▽发路径不是最优,网关流量处理压力大。、
图2-8 VXLAN 分布式三层
分※布式网关场景下,同一个 edge 节点既做二层网关,也做三层网关。同一个 Edge 节点上不同子网流量通信直接在 Edge 上转发,转发◥路径优。
分布式网关场景下,各 Edge 节点可◥以提供相同的网关 MAC 地址和 IP 地址,用户位置移动后,网关 IP 和 MAC 不变,用户不感知实际接入网关的位¤置变化。
1.4.3 SD-Campus 自动化◇原理
1.4.3.1 Underlay 自动化
Underlay 自动化通︻过 eSight 部署零配置开局︻实现。
1.4.3.2 Overlay 自动化
AC-Campus 作为 overlay 自动化◢功能的核心,实现将用户业︾务语言到网络具体配置的ω 自动翻译与下发。
图2-13 Overlay 自动化
- 首先,需要在控制器上创建站点并加入设备,为后ω 续业务编排做准备。
- 预留全局资源,包括 VLAN 和子网,后续 VN 网络所用ぷ的 VLAN 和子网从配置的全局资源中分配。
- Fabric 网络的■管理。
- 首先,创建 Fabric,通常一个站点ㄨ创建一个 Fabric,Fabric 中加入设备◤并标识角色(Border/edge/access),如果是 border 或 edge,需要指︽定环回口地址,用于
VTEP 地址。
-
- 其次,配置策□ 略联动,指定对应的控制设【备和接入设备及通信所用 IP 地址。
- 再次,指定 Fabric 跟卐外部网关的连接,用卐于虚拟网络跟外部的通信。
-
- 最后,指定 DHCP server 地址,在 edge 上做 DHCP relay。
- VN 网络的管』理。
- 首先创建 VN 网络。
- 接着配置 VN 所关联的子网。
- 最后指定哪些△端口可以接入该 VN 网络及这些端口√认证的方式。
1.4.3.3 策略自动△化
策略自动化的核心是 IAE,IAE 完成↓安全组定义,安全组策略的定义与下发,用户认证后安全组授权。
图2-14 5W1H 情景感知的安全组上下文「定义
图2-15 策略自动化过程
1.5 方案亮点
1.5.1 基于VxLAN的SDN多业务融∩合网络
华为 SD-Campus 解决方案具有如Ψ 下优势:
- 自动化
华为 SD-Campus 方案中,overlay 网络的配置通∩过 AC-Campus 控制器集◣中配置,自ㄨ动化下发,极大的减※少额配置工作量及配置出错的概率,将大中※型园区网络开局周期单位从”周”提升至”天”。
- 设备利旧,保护客▂户投资
现ㄨ网客户网络存在大量接入层设备,华为 SD-Campus 方案 VXLAN 起◤在汇聚层, 对于接入交换︾机及 AP 可利旧,减少客户♂向 SD-Campus 迁移的投资。
- 转发面同步安全组,性能高
传统园区的策◤略随行方案中,有多个策略执行点的情况下,安全№组信息无法在设备间同步。跨策略№执行点的流量需要到防火墙上执行策♀略,防火墙跟 IAE 之间进行安全组的信息▅同步,性能差。
在 SD-Campus 方案中,源安全组▆在 VXLAN 报文中携⊙带,到目的策略执行☆点查目的安全组,都是在转发面⊙实现,没有控制∏面的同步过程,性能高。
- 分布式网关,漫游流量无》迂回
传统■园区跨 AC 漫游时,网关网段不一致,只能三层漫游,流量需要通卐过 CAPWAP
绕回原 AC 转发,转发路径长,故障点多,性能差。
SD-Campus 方案中,随板 AC 作为分布式网关,用户从╲任意 AC 接入,其网关地址都不变。AC 间漫游∞为二层漫游,流量无迂回,转发路径→短,故障点少,性能高。
1.5.2 业务随行
通过在Agile Controller上基于用户①组、应用识别来定义相应◥权限策略、访问控制策①略、业务流策略以及体Ψ 验相关的用户/业务优①先级、带宽、VPN资源策略等等。不仅实现用户组间以及用户组到资源组之间的权限控制,实现灵活并精细化进行用户权限控制的同时,减少设备资源ACL消耗。同时,基于设备的应用︻识别,可以实现针对特定用户、特定业务↑的带宽、优先级保↑障,解决了传统园→区用户移动办公IP地址变化体验无法▓保障的问题。
- 全网统一的ω 用户体验保障
无论用户▓在分支、园区总部、出差远程接入,无论用户【访问企业内网资源、互联网资】源,在VPN接入网关、互联网出口防火墙、分支出口设备等影响体◥验的关键执行点上,都有相应的带◥宽和QoS策略,保障用户一致的业务体验。对于VIP用户的某些特定业务流量,可以进行⌒优先调度,并给予充分的带宽保证。例如:提供VPN网关自动优选¤、VIP用户优先接入。当用户在远△程VPN接入,VPN客户端会自动选择时延最短的最○优网关作为接入√网关。而当某网关的可用资源已▽经被在线用户耗尽无法『接入新用户时,网关可以自动强※制部分普通用户下线,为VIP释放系统资源,保证VIP用户的优先接入和高︼优先级业务的体验。
1.5.3 质量感知iPCA
- 设备〖级监控可以7*24开启监测,随时查看设备质量↓。
- 使用网络级监控可以对第三方或者非敏捷设备,以及非管辖区域的网络质量进行№监测。通过监测敏捷设备的端口,可获知非敏捷设备区域的丢包情况。
- 使用路径逐段检测提供业务流全路径的∑ 分段监测结果,快速定位故障方向、故障链路、故障设备。
- 网络级监控支◥持同一个业务流多点对︾多点的测量。
- 通过eSight网管∮拓扑批量使能,无需∮下发复杂配置。
- 由eSight网管提供监测结果可视化图ζ 表界面,方便管理员对设备运〖维
1.5.4 零配置♀部署
- 可视化
对于网管人员提供全【图形的操作界面,从网络【规划、配置生成、拓扑纠错、部署过〗程展示实现端到端的可视化操作。
- 安全性
实现了端到端全部署流程的安全性,包括:使用白名单功能,过滤非法设备;网管本地保存了所有待部署设备的配置,这些配置由网管实现了自动加密压缩保存,避免意外∏泄露;在待部署配置文件传递到待部署设备的过程中,通过使用SFTP加密传输通道保¤证了安全性。
- 配置文件¤易生成
通过□在网管上选择功能参数最终形成接入◇层交换机的配置模板,将配置差异设置为¤变量,并々针对不同的接入层交换机分别进行赋值,即可最终批量生成每个接入层交◢换机单独的配置〓文件。
- 缩短部署时间
利用零配置部署方案,可以从端到端流程上缩短部署时间,从原来数天才能完成的人工部署,数小时就可以实现。
- 部◥署规模大
传统的交换机部署方案中,部署的规模都受限于管理设备的性能,通常规模几十到上百☆台▂。通过网管□ 的介入,可以同时建立多个◤部署任务,同时部署规模轻◤松上千。
- 统一集中管╳理
部署管理服务建□ 立在网管上,提供统一的部署■策略和操作界面,并∮和部署后的设备管理流程有机结合,实现↑了网管从规划到部署,设备运行管理,批量版本升■级,故障设备替换等全生命周期管理。
1.6 设备清单
本次**通信园区SDN网络改造项目--敏捷园区♀网络的清单如下:
序号 |
配置名称 |
数量 |
1 |
科学城园区网络设备 |
|
1.1 |
S12708 核心交换机 |
2 |
1.2 |
S7706 A栋汇聚↓交换机 |
2 |
1.3 |
S7706 E栋汇①聚交换机 |
2 |
1.4 |
S5732-H24S6Q B栋汇◆聚交换机 |
2 |
1.5 |
S5720-52P-LI-AC 接入交换机 |
148 |
1.6 |
接入①层光模块+堆叠线缆 |
810 |
1.7 |
eSight Network 网管系统 |
1 |
1.8 |
Agile Controller-Campus 园区网SDN控制器服务※器 |
3 |
1.9 |
Agile Controller-Campus HW V100R003 |
1 |
2 |
科学城数据中心网络※设备 |
|
2.1 |
S6730-H48X6C数据中心万兆接入交换机 |
2 |
2.2 |
S5731-S48T4X 数据中心千兆接入交换机 |
6 |
3 |
科学城※安全设备 |
|
3.1 |
USG6580E 业※务防火墙 |
2 |
3.2 |
终端≡准入系统iVanti(3年维保) |
2000 |
4 |
原厂规划服务 |
|
4.1 |
SDN网络规划设计与实←施服务 |
1 |
4.2 |
数通工程技术应用支持_原厂支持服务 |
1 |
总计 |