- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
光影系统技术白皮书
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
在当今飞速发展的信息化时代,企业对网络管理和维护的要求不断提升。随着数字化转型进程的加速,企业网络需要支持越来越多的业务应用,包括数据传输、实时通信、云计算和物联网等,网络的复杂性和规模同时急剧增加。
光影系统是一种基于分布式部署实现架构的网络管理和维护方案。它借鉴了分布式理念,通过光主机对远端的影终端进行管理和维护。网络管理员只需要对光主机进行配置和管理,影终端作为光主机的远端扩展端口,即可实现对园区接入网络设备的集中控制和管理。
光影系统的诞生是为了应对信息化时代企业对网络管理和维护的新需求。通过集中管理、自动化运维、高安全性和灵活部署,光影系统提供了一种有效的网络管理和维护解决方案,显著提升了企业网络的效率、灵活性和安全性。它适用于大规模企业网络、政府和金融机构以及智能建筑和园区网络等场景,为企业的数字化转型提供了强有力的支持。
光影系统的基本框架如图1所示。
光影系统架构中包含两种物理设备:
· 光主机:光主机作为光影系统的核心,负责转发影终端的报文,自动发现/纳管影终端,对影终端进行集中运维。在光主机上可以对影终端进行配置,并查询影终端的端口状态、端口统计信息、PoE供电信息、光模块数据等。
· 影终端:影终端作为光主机的远端端口扩展模块,通过光主机连接外网。影终端具有以下特点:
¡ 影终端无操作系统,采用轻量化固件,使用厂商自带MCU,可实现快速启动(10s以内)。
¡ 在硬件架构和软件功能上具有尺寸小、发热量低、安装方式灵活、静音以及极简部署、即插即用的特点。
光影系统具备以下技术优势:
· 集中管理
光主机作为管理控制中心,统一管理和配置下属影终端,简化了网络设备的配置流程,提升管理效率。
· 影终端即插即用
光影系统具备影终端的自动发现、自动注册、软件自动升级和配置同步功能,减少人为干预,提高运维效率和精确性。
· 高安全性
系统通过配置SmartMC管理VLAN和端口隔离,确保管理报文与业务报文的隔离,保障管理平面的安全性,防止网络攻击和数据泄露。
· 成本节约
影终端价格低廉,通过光影系统扩展接口数量,相比购买多接口的交换机,具有更高的性价比。
· 灵活部署和扩展
基于分布式架构设计,影终端如同光主机的远端接口模块,支持PoE供电,系统支持按需扩展。光影系统兼容全光网络,可灵活增加接入交换机端口数量及最后一公里通信带宽,使网络快速适应业务变化,保持高效运转。
光影系统利用H3C自主研发并成熟应用的SmartMC(Smart Management Center,智能管理中心)功能来发现影终端,实现影终端二层发现。
SmartMC用于集中管理和维护网络边缘大量分散的网络设备。一个接入网络中可以根据需要组建多个SmartMC网络,每个SmartMC网络中有且只有一台设备为管理设备,其他设备均为成员设备。通过在管理设备上进行简单的配置,即可实现对整个网络中的所有成员设备进行批量管理,例如对成员设备进行备份和下载配置文件、软件版本升级、批量下发配置和故障设备替换等。
SmartMC网络的基本框架如图2所示。SmartMC网络元素主要有:
· TM(Topology master,管理设备):管理SmartMC网络中所有设备。在光影系统中,光主机就是TM。
· TC(Topology client,成员设备):SmartMC网络中被管理的设备。在光影系统中,影终端就是TC。
图2 SmartMC网络基本框架示意图
光主机通过二层协议发现影终端后,会通过CoAP(Constrained Application Protocol,受限应用协议)和LwM2M(Lightweight Machine to Machine)协议建立三层控制通道,实现光主机对影终端的管理。
CoAP和LwM2M是物联网(IoT)领域中常用的两种技术,它们的功能和用途有所不同但紧密相关。
· 应用场景:CoAP是一种专门设计用于资源受限设备(如微控制器和传感器)的轻量级应用层协议。它主要用于设备之间的通信,适合物联网环境。
· 协议简介:采用请求-响应模型,基于UDP协议,支持确认消息(CON)、非确认消息(NON)、重传消息(ACK)和重置消息(RST)。可以对资源进行CRUD操作(创建、读取、更新、删除),支持观察机制(Observe)和数据格式CBOR(二进制紧凑对象表示)。结合DTLS可以提供安全性。
· 主要优点
¡ 轻量级:适用于资源受限设备。
¡ 基于UDP:减少了开销,提高了效率。
¡ 易于集成:与HTTP有相似之处,便于理解和实现。
· 应用场景:LwM2M是一个设备管理协议,主要用于远程管理和监控物联网设备。它由OMA(Open Mobile Alliance)开发,用于设备注册、配置、监控和软件更新。
· 协议简介:LwM2M协议栈基于CoAP,并在其之上添加了特定的功能集,包括设备注册、资源发现、数据读取和写入、执行命令、设备和服务的安全管理等。LwM2M定义了一系列对象和资源,便于各种设备的标准化管理。
· 主要优点
¡ 丰富的管理功能:包括设备注册、配置、监控、固件更新等。
¡ 标准化:LwM2M提供了一套统一的对象和资源模型,便于跨设备、跨厂商的互操作。
¡ 基于现有协议:LwM2M使用CoAP作为传输协议,继承了CoAP的优点。
· 层次关系
LwM2M是建立在CoAP之上的一个应用层协议,专门用于设备管理。
· 应用场景
¡ CoAP:适用于任何需要轻量级通信的场景,如传感器数据传输、远程控制、设备间通信。
¡ LwM2M:专注于设备的管理和监控,适用于需要远程大规模管和维护的IoT设备场景。
· 功能集:
¡ CoAP:主要提供基础的通信功能和框架。
¡ LwM2M:提供了一整套设备管理功能,包括注册、配置、监控、命令执行和固件更新。
简而言之,CoAP和LwM2M是物联网协议栈中两个重要的组成部分,前者专注于轻量级通信,后者专注于设备管理。由于LwM2M基于CoAP,二者可以很好地结合使用,为IoT设备提供全面的解决方案。
如图3所示,影终端上线流程分为两个阶段:二层上线和三层上线。二层上线是指通过SmartMC协议自动发现影终端;三层上线是指通过建立CoAP连接来完成三层上线。
影终端的上线流程如下:
(1) 光主机开启SmartMC功能后,每隔15秒广播发送一次SmartMC发现报文(广播报文中携带光主机的类型、序列号SN、管理VLAN、管理IP地址、加密信息等),询问网络中是否存在影终端。
(2) 影终端收到广播报文后,记录光主机的设备信息,并向DHCP服务器申请管理IP地址。如果网络中存在多个光主机,影终端只响应最先收到的光主机的信息。
(3) 影终端向光主机发送SmartMC单播注册报文(注册报文中携带本机的型号、序列号SN等信息)。
(4) 光主机收到影终端的应答报文后,为影终端分配ID(该ID用于在光主机本地唯一标识影终端),并在本地创建影终端节点,以便存储影终端的信息,然后将影终端设置为Registering状态。终端完成二层上线。
(5) 影终端发起CoAP连接。
(6) 光主机收到CoAP连接请求后会直接建立CoAP连接,并基于CoAP连接向影终端下发订阅需求(携带了需要影终端上报的参数)。
(7) 影终端基于CoAP连接,使用LwM2M协议发送本端信息给光主机。
(8) 光主机根据收到的信息对影终端进行版本一致性检查和连接拓扑是否符合要求的检查,并根据检查结果进行相应的处理。
(9) 版本一致性检查结果不影响影终端的上线结果,但连接拓扑检查结果会影响影终端的上线结果:
¡ 如果连接拓扑符合要求,则上线成功,将影终端的状态切换成Online,影终端加入到SmartMC网络。
¡ 如果连接拓扑不符合要求,则上线失败,将影终端的状态切换成Offline,并通知影终端上线失败。
管理VLAN是网络环境中专门用于管理和监控网络设备通信的VLAN。通过创建管理VLAN,可以将管理流量与普通用户流量分离,以提高网络的安全性和管理效率。
二层的SmartMC报文仍在VLAN 1中传输,以便新设备可以即插即用,通过VLAN 1被光主机发现。如果接入网络中部署了多个光影系统,可以在光主机的上行口上配置ACL规则过滤本系统的SmartMC报文,以免多个光影系统的二层发现报文互相影响。
网络中需要部署DHCP服务器为管理VLAN分配IP地址,通常情况下会将这个管理DHCP服务器部署在光主机上。当网络中部署了多个光影系统,不同光影系统管理VLAN的IP地址可以部署在同一网段,从而减少管理IP的消耗,也可以部署在不同网段。
管理VLAN的原理机制如下:
(1) 缺省情况下,所有设备属于VLAN 1。
VLAN 1是网络设备的缺省VLAN,所有管理流量和业务流量都在此VLAN中传递。
(2) 指定一个独立的VLAN用于管理流量,隔离管理与业务流量。
(3) 在光主机上开启SmartMC功能并配置允许下行口转发管理VLAN报文后,光主机发送SmartMC发现报文时,会携带管理VLAN的ID。
(4) 影终端的行为:
¡ 影终端自动允许所有端口转发管理VLAN的报文。
¡ 在管理VLAN内申请管理IP地址,用管理IP地址建立CoAP连接并上线。
(5) 后续光主机和影终端之间的管理报文会携带管理VLAN的Tag(标记),确保这些报文在正确的VLAN中传输。
LwM2M协议的管理报文在管理VLAN中传输,业务报文在业务VLAN中传输,提高了网络的安全性和管理效率。
影终端的自动升级功能通过在影终端上线时自动检查并推送版本信息,确保所有影终端的软件版本与光主机保持一致。光影系统通过LwM2M协议进行消息通知和版本包推送,构建了高效、可靠的自动升级流程。这种自动化版本管理过程不仅提高了系统的协调性和安全性,还极大地减少了人工干预的需求,为大规模影终端设备提供了统一管理的有力保障。
在光影系统中,光主机负责统一管理所有影终端的软件版本信息。所以,要使自动升级功能生效,请将影终端的软件版本存放在光主机的存储介质根目录下。光主机的启动软件包中包含影终端的启动软件。影终端的自动升级处理过程具体如下:
(1) 触发升级
在影终端上线阶段,影终端会自动将本设备的软件版本信息推送给光主机。
光主机会检测影终端的软件版本是否与预期配套版本一致。如果发现版本不一致,会自动升级影终端。
批量升级管理光主机可支持N个影终端同时升级(N的取值与光主机型号有关,请以光主机的实际情况为准)。对于超出数量限制的影终端,将自动加入升级队列,待通道资源空闲后再进行升级。
(2) 推送最新版本包
光主机通过LwM2M协议,将最新的软件版本包推送到指定的影终端。
(3) 影终端反馈下载结果
影终端接收推送的软件包后,会通知光主机软件下载结果。
(4) 根据下载结果进行相应处理
¡ 下载成功:如果软件下载成功,光主机会再次通过LwM2M协议通知影终端执行软件升级,并将影终端的状态设置为Updating。
¡ 下载失败:如果软件下载失败,光主机将记录该影终端的升级状态为失败,并终止后续升级操作。
(5) 更新升级状态
¡ 升级成功:如果影终端成功升级并重新上线,光主机会将影终端的升级状态设置为Finished,上线状态设置为Online,并记录当前使用的版本信息。
¡ 升级失败:如果影终端未能成功升级,光主机会将影终端的升级状态设置为Failed,上线状态设置为Online,并记录升级失败的相关信息。
在光主机上执行display smartmc light-unit upgrade-info命令可以显示影终端升级相关信息。影终端不升级或者升级失败,导致软件版本和光主机的软件版本不匹配,影终端也可以上线并转发报文,但是会影响光主机纳管影终端,建议尽快定位影终端升级失败原因并重新升级。
以太网供电(Power over Ethernet,简称PoE)技术是一种通过以太网数据电缆同时传输数据和电力的技术,广泛应用于需要网络连接的设备,如IP电话、无线接入点和网络摄像头。PoE简化了安装过程,减少了额外电源线路的需求,提高了系统的灵活性和可靠性。
PoE供电具有以下优势:
· 简化布线:通过单根网线同时传输数据和电力,减少了对传统电源插座和电源线的需求。
· 安装简便:无需额外的电源适配器和电线,使设备安装更加简便和整洁。
· 集中管理:光主机可集中控制和管理供电,方便维护和管理。
光影系统中的光主机具备PoE供电功能,可以通过光电混合缆为影终端提供电力。如果业务需要,光主机也可以直连AP,为AP供电。
如图4所示,光主机通过光电混合缆传输电力和数据信号,影终端接受并处理这两种信号,确保影终端能够稳定运行。
图4 光主机通过PoE功能给影终端供电
影终端不仅能够接受来自光主机的PoE供电,还可以通过PoE功能为AP和终端设备提供电力。例如,可以通过影终端为IP电话、无线接入点或网络摄像头等终端设备供电。
如图5所示,H3C的影终端有支持或不支持PoE的两种款型,用户可根据组网需求自由选择。对于支持PoE的影终端,影终端通过其内置的PoE供电模块,将接收到的电力分配给连接的AP和终端设备,确保这些设备在正常工作的同时,数据传输稳定可靠。
图5 影终端通过PoE功能给终端供电
网络管理员登录光主机,通过光主机的命令行界面就可以配置影终端,实现对影终端的管理,而无需登录单个影终端逐一进行配置。
在光主机上可以配置的影终端参数包括:影终端的设备名称、描述信息、接口VLAN、端口隔离、PoE供电、关闭和打开影终端上的接口、重启影终端等。
支持使用两种方式配置影终端:
· 通过影终端ID对单个当前在线的影终端进行差异化配置。
图6 单个配置影终端
· 使用配置模板对多个未上线的影终端进行批量配置,当影终端首次上线并匹配到对应的配置模板,则自动给该影终端下发配置模板中的配置,从而提升管理效率。
批量配置影终端时,网络管理员还可以灵活选用以下方式:
¡ 将影终端配置模板和影终端的SN码绑定。该方式下,只有指定SN的影终端上线可以使用该模板下的配置。
¡ 将影终端配置模板和影终端的设备类型绑定。该方式下,只要是该类型的影终端上线都可以使用该模板下的配置。
¡ 将影终端配置模板和光主机上连接影终端的指定接口绑定。该方式下,只要是通过指定接口上线的影终端都可以使用该模板下的配置。
图7 批量配置影终端
对于已上线的影终端,在光主机上可以查询影终端的端口状态、端口统计信息、PoE供电信息、光模块数据等。
AD-Campus(Application-Driven Campus)是以应用驱动、汇智联接、构建智能新联接为宗旨,基于云原生架构,提供极简、智能、融合、可信、超宽的园区网络解决方案。
AD-Campus方案中支持有线网络与光网络融合部署,支持设备自动化、支持网络部署、策略部署自动化。AD-Campus保持上层的网随人动、网络自动化等SDN能力,满足用户业务升级、简化网络、降本增效的需求。
图8 AD-Campus管理光影系统典型组网
当光主机在AD-Campus上线后,即可通过AD-Campus对光主机进行配置。光主机配置完成后,影终端即可实现零配置自动上线。
图9 查看光主机列表
在AD-Campus页面顶部导航栏中单击“管理”,左侧导航栏中单击“全光网络 > 以太光 > 影终端”,进入影终端管理界面,在此界面可以管理和维护影终端信息。
图10 查看影终端列表
SmartMC网络建立成功后,光主机通过与影终端建立的CoAP会话状态感知影终端的存在,影终端通过光主机的SmartMC广播报文感知光主机的存在:
· 当影终端收到光主机发出的SmartMC广播报文,它会检查该报文中的桥MAC地址是否与本地记录一致。如果两者一致,并且影终端处于未上线状态,它会向光主机发送SmartMC应答报文。若在1~2分钟内未收到光主机的广播报文,则影终端认为光主机不存在,并清除关于该光主机的所有信息。
· 影终端三层上线后,会定期通过LwM2M协议向光主机发送连接保活报文。如果超时未收到保活报文,光主机会将影终端设置为离线状态。
缺省情况下,影终端上所有端口都属于同一VLAN(VLAN 1)。这些端口分为上行端口和下行端口。上行端口用于连接光主机,下行端口用于连接终端或AP。下行端口连接的终端二层可以互通(不隔离),其下挂终端发送的未知单播、广播报文会广播到所有其它下行接口和上行接口。
开启影终端的端口隔离功能,可以将影终端上的所有下行端口二层互相隔离。
· 其下挂终端的未知单播和广播流量仅会被转发到上行接口,而不会再广播到所有下行接口。这大大减少了不必要的广播流量,提高了网络效率和安全。
· 同一个影终端下的终端设备如需互相通信,其数据包会通过光主机进行三层转发。这一设计使光主机能够对影终端的流量进行集中管理和控制。
图11 光影系统端口隔离效果图
对影终端上的业务VLAN划分,支持两种VLAN模式:
· 透传模式
透传模式下,影终端不关注业务报文是否携带VLAN tag,以及携带的VLAN ID是多少。影终端只是根据目的MAC地址进行转发。透传模式下,不可以修改影终端上端口的VLAN配置。如果要对业务报文基于MAC地址或者基于子网划分VLAN,需要在光主机的下行端口(即光主机上连接影终端的接口)上进行配置。
· 手工模式
手工模式下,影终端上端口的PVID为VLAN1,VLAN 1以Untagged方式加入端口允许通过的VLAN列表。网络管理员可以通过命令行修改影终端上端口的PVID,并通过命令行允许指定的VLAN通过。
如图12所示,有如下四种方式规划影终端的业务VLAN:
· 光主机下挂的影终端不区分VLAN。
例如影终端1:
¡ 影终端的VLAN工作在透传模式。
¡ 开启影终端1的端口隔离功能,使得业务报文仅支持上下行透传。
¡ 在光主机的下行聚合口上基于端口划分VLAN,这样通过影终端1接入的所有业务报文均属于同一VLAN。
· 光主机下挂的影终端基于MAC地址划分VLAN。
例如影终端2:
¡ 影终端的VLAN工作在透传模式。
¡ 开启影终端2的端口隔离功能,使得业务报文仅支持上下行透传。
¡ 在光主机的下行端口3上基于MAC地址划分VLAN,这样通过影终端2接入的所有业务报文可根据其源MAC地址划分到不同VLAN。
· 光主机下挂的影终端基于IP子网划分VLAN
例如影终端3:
¡ 影终端的VLAN工作在透传模式。
¡ 开启影终端3的端口隔离功能,使得业务报文仅支持上下行透传。
¡ 在光主机的下行端口4上基于IP子网划分VLAN,这样通过影终端3接入的所有业务报文可根据其源IP地址所属子网网段划分到不同VLAN。
· 在影终端上基于端口划分VLAN
例如影终端4:
¡ 影终端的VLAN工作在手工模式。
¡ 开启影终端4的端口隔离功能,使得业务报文仅支持上下行透传。
¡ 配置影终端4上的接入接口允许VLAN报文带标签(tag)或者不带标签(untagged)通过,这样就可以在影终端上将业务报文划分到指定VLAN。
¡ 在光主机的下行聚合口上配置允许业务VLAN通过。
光影系统作为全光解决方案(H3C公司推出的新一代园区网络架构)的接入网络部分,主要实现“光纤入室”的链路部署。
如图13所示为光影系统在教育行业教学楼场景中的应用。在现代教育环境中,教室内的终端类型越来越多样化和智能化,包括摄像头、AP、多媒体计算机等设备。通过部署光影系统的极简架构,教育环境内的网络可以实现灵活高效的部署和运营。楼栋机房的光主机、教室内的影终端及其PoE供电功能、核心交换机和AC,共同为教室内多类型智能化终端提供了坚实的网络基础设施。这样不仅提升了网络的管理效率和安全性,还大大简化了安装和维护工作,为学校提供了高效稳定的智能化教学环境。
通过在办公场景中部署光影系统的极简架构,大型企业园区的网络建设可以实现灵活高效的部署和运营。如图14所示,光影系统在大型企业园区办公楼的应用如下:
· 在办公室部署影终端:
在每一个办公室部署影终端,可选择非PoE款型影终端为办公电脑提供有线接入,可选择PoE款型影终端为无线AP和安防摄像头提供有线接入。此部署方式确保办公区内的设备能够稳定连接,且PoE供电简化了布线工作。
· 办公楼光主机部署:
每栋办公楼内部署至少一台光主机,或者部署多台光主机来提供设备级可靠性,这些光主机可以组建IRF,并通过光纤双下行连接到每个办公室的影终端。这种光纤直达的连接方式确保了高速、稳定的数据传输,以及稳定可靠的PoE供电。
· 核心交换机接入:
光主机采用光纤双归接入到企业中心机房的核心交换机,提供冗余与高可用性,避免单点故障,确保网络的高可靠性。
· 统一网络管理平台:
通过部署AD-Campus智能运维平台统一纳管光主机和影终端。通过AD-Campus平台可以实现集中配置、监控和维护,进一步提高网络的管理效率和智能化水平。
支持
