项目背景
移动化、大数据、人工智能、物联网和云计算等新技术正加速各行业数字化转型与升级。数字化转型也对企业的可持续发展产生了伟大影响。企业园区网络作为企业数字化转型的基石,随着BYOD移动办公、云计算、SDN软件定义网络、物联网、人工智能以及大数据等概念的持续升温,新技术、新应用层出不穷,这些应用和营业进入企业园区,给传统园区网络带来了许多挑衅。
接入终端及营业多样化,必要融合承载的园区网络
传统园区网络的有线、Wi-Fi及IoT等营业各自自力规划部署,自力管理,网络总体建设成本高;网络管理、运维工作量也大。
应用和营业激增带来的部署、策略复杂性,网络主动化成为普遍需求
传统模式下,网络部署必要手工通过饬令行或Web管理等体例,逐台配置设备,对于规模较大的园区,手工重复工作量大,配置繁琐;新营业上线必要新增专用营业网络,并且逐台设备进行部署,周期长,成本高。面向用户和营业的策略部署,传统的通过VLAN+ACL进行策略管理的体例,必要手工配置策略,维护工作量大,且网络部署服从低下。
无法随时随地感知用户体验,成为网络运维最大挑衅
传统运维模式下,网管只能监控网络KPI,无法感知用户体验,IT人员无法第临时间感知营业故障;故障发生后更多是依靠专业人员的运维经验判定营业故障缘故原由,故障无法快速定位;网络指标劣化后,由IT人员借助网管评估网络状态,做出针对性的优化策略并部署,网络无法实现自立优化。
网络设计
SDN网络解决方案在大中型园区场景的网络架构如图所示,分为网络层、管理层和应用层。
设计架构
网络层
引入假造化技术,把网络层分为物理网络和假造网络。
物理网络:又称为Underlay网络,为园区网络提供基础连接服务。为了适应多类型终端的接入需求,物理网络提供同一的三网融合接入能力,可以同时接入有线终端、无线终端和IoT(Internet of Things,物联网)终端。
假造化网络:又称为Overlay网络,通过假造化技术,在物理网络上构建出一张或者多张假造的Overlay网络,营业策略被部署在假造化网络上,与物理网络离开,从而将营业的复杂度和网络的复杂度相互解耦。假造网络可以有多张,服务于不同的营业,或者服务于不同的客户群。
管理层
管理层为网络提供配置管理,营业管理,维护和故障检测、安全威胁分析等管理能力。传统园区网络中,使用网管体系进行网络管理,网管体系虽然能够呈现网络状况,但是缺乏天真性和主动化能力。假如营业需求发生变动,必要管理员对营业进行规划,然后手工重新修改响应网络设备(路由器、交换机、防火墙)上的配置。这种手工调整的体例服从低且容易出错。在快速转变的营业环境下,网络的天真性特别很是关键,必要有主动化的工具来帮忙管理网络和营业。CloudCampus采用iMaster NCE-Campus实现网络和营业的主动发放。
iMaster NCE-Campus实现了对设备、应用的抽象,许可应用通过编排、调用抽象模型,快速实现应用的开发和主动部署。通过iMaster NCE-Campus,网络管理员面对的不再是自力的若干个设备(例如:交换机、路由器、AP等)和设备上的离散的配置(例如访问控制策略、QoS策略、路由策略),而是对外呈现出完备的网络概念。
应用层
智简园区网络解决方案基于iMaster NCE-Campus提供了标准化接口,通过开放API接口将网络识别的用户身份、网络资源、营业质量、网络中的位置信息、网络拓扑等多种信息,对上层营业开放,通过这些标准化的开放接口,第三方可以根据自身营业需求量身定制营业创新应用,知足在教育、商业、企业、当局等多个领域的营业需求。
解决方案
基于SDN和VXLAN假造化技术,能最大化地降低网络部署、网络管理以及网络维护的复杂度。用户可以自定义网络路由和营业策略,无需逐个设备进行配置,由iMaster NCE-Campus主动下发配置到网络设备,实现网络和营业发放主动化。
VXLAN假造化网络逻辑架构
各个条理的基本功能如下:
物理网络层(Underlay)是由实体网络设备(如交换机、AP、防火墙、路由器等)建立的物理拓扑组网,为园区所有营业提供互联互通的能力,是园区营业数据转发的基础承载网络。
假造网络层(Overlay)是在物理层基础上通过假造化技术抽象出来的,将物理层网络资源进行池化处理,是营业层可按需调度网络资源池。假造网络层涉及的概念有:
Fabric是通过假造化技术(VXLAN)构建在物理Underlay拓扑之上的全互联逻辑拓扑。营业网络在Fabric上创建,从而实现营业网络与物理网络的解耦,当营业网络必要调整转变时,不必要改变物理网络的拓扑结构。
VN(Virtual Network,假造网络)是在Fabric上基于营业需求创建多个假造网络,实现营业隔离。传统园区网络为了实现营业隔离,办公网和安防网是自力的两套物理网络,在假造化网络中,通过假造网络层实现物理网络的共享,通过创建两个VN(如图3-1中的VN1和VN2)即可实如今一套物理网上创建营业隔离的办公网和安防网。
营业层由iMaster NCE-Campus实现基于全网的营业策略编排和控制。
方案上风
超宽
有线、无线与物联网融合,知足接入终端及营业多样化
华为园区交换机通过融合无线接入控制器WAC(WLAN Access Controller),实现有线无线深度融合,为用户提供有线和无线同等化的管理和体验。华为AP支撑IoT模块,AP与IoT基站合一,实现Wi-Fi&IoT网络融合极简管理。通过融合用户认证和管理功能及策略联动功能,为有线无线用户提供同一认证和接入策略控制,管理员可以获得同等的用户管理体验,简化有线无线网络的运维管理。
全场景WLAN,知足客户差异化的接入需求
针对通俗室内、高密场馆、室外场景以及密集房间等多种场景,华为提供最新Wi-Fi 6 AP、高密AP和分布式Wi-Fi 方案,实现高密度无死角的WLAN覆盖以及接入体验保障,部署便捷,节约投资成本。
Wi-Fi 6是第6代Wi-Fi,标准吸纳了大量5G关键技术,如OFDMA、MU-MIMO、1024 QAM等。Wi-Fi 6相比Wi-Fi 5实现网络带宽提拔4倍,并发用户数提拔4倍,网络时延从平均30ms降低至20ms,可以轻松应对有超大带宽、超高密接入、超低时延要求的应用场景,如4K超高清视频会议(超大带宽)、高密场馆(超高并发)、VR(超低时延)等应用场景。华为依托于对5G技术的深厚理解和掌握,也成为了Wi-Fi 6标准的重要贡献者,公司专家担任了5个Wi-Fi国际标准工作组主席职位。
多速率以太(Multi-GE)接入,更高带宽,更天真的网络部署
随着802.11ac 标准及产品的问世,无线终端接入速率已超过1Gbps,千兆端口接入已无法知足。华为提供业界款型雄厚的多速率以太交换机,为AP提供300米远距PoE++(60W)供电传输,实现网络扁平化部署,降低投资成本。
极简
物理网络主动化:设备预配置,即插即用
通过iMaster NCE-Campus控制器图形化界面,完成设备即插即用主动化开局和Underlay网络路由编排、互通性配置,实现主动化部署。
假造网络主动化:主动化构建假造网络,实现一网多用
通过iMaster NCE-Campus同一部署Fabric,基于BGP-EVPN 的控制面,主动建立VXLAN 隧道,实现全主动化的假造化网络建设,并进行营业集中式配置,实现营业主动发放。
用户策略主动化:以用户、营业、体验为中间,用户策略随行,营业体验随身
营业随行方案通过iMaster NCE-Campus规划用户组及组间策略,主动下发策略至网络设备。用户认证通过之后,当用户在不同地点,使用不同终端接入时,控制器会主动识别用户身份,并向网络中响应实行设备下发策略,从而达到接入无差别和体验有保障的结果。不论用户在什么位置接入,都将获取同一的策略和同等的营业体验。
智能
智简园区网络解决方案引入iMaster NCE-CampusInsight 园区网络分析器,推翻传统聚焦资源状况的监控体例,基于Telemetry 技术实现按照用户、应用、时间维度的数据可视,基于机器学习算法进行特性分析和基线运算,实现潜在故障识别和根因定位,提拔用户体验。
每时刻、每用户全旅程体验可见
iMaster NCE-CampusInsight采用业界标准的Telemetry技术,动态秒级抓取网络KPI数据,故障可回溯;通过多维度采集数据,实时呈现每个用户的网络画像,全旅程网络体验(谁、何时、连接至哪个AP、体验、题目)可视。
网络题目主动识别
通过大数据和人工智能技术,主动识别连接类、空口性能类、漫游类和设备类题目,提拔潜在题目识别率到85%;行使机器学习历史数据动态生成基线,通过和实时数据对比分析,从而展望可能发生的故障。
网络题目智能定界,分析根因
基于网络运维专家体系和多种智能算法,智能识别故障模式以及影响范围,帮忙管理员定界题目;基于大数据平台,分析题目可能发生的缘故原由并给出修复建议。
安全
华为HiSec Insight平台基于大数据关联分析和智能自学习技术采集分析网络设备的日志、NetStream流、ECA加密流量数据等进行未知威胁识别和可视化显现,同时通过Restful接口向iMaster NCE-Campus下发安全策略,实现威胁主动阻断。
开放
智简园区网络架构全条理开放,支撑150+服务类API,与30+行业生态合作伙伴共建生态圈,加速行业数字化转型。此外,华为设备的开发流程完全遵从国际通用标准和行业标准,支撑完善对接第三方厂商的设备,实现互联互通。