登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

互联网技术详解-智能园区网络随需而变(一)

【发布时间:2021-01-28】

传统园区网络中,我们一般是基于地理位置做网络划分。在移动性很频繁的场景中,企业如何保证一致性的用户体验是个很大挑战。用户一旦移动后,传统的方案会导致IP地址变化,针对IP地址作安全策略的防火墙等主流安全设备,必须调整相应的安全策略,这给不同品牌的网络产品和安全产品联动提出了前所未有的挑战,如何保证用户在移动后,用户仍然享有同样的安全防护权限?这是传统网络和安全同时需要亟待解决的艰难问题。

在园区网络中除了传统PC、笔记本、PAD和phone这些智能终端,基于以太网的物联网终端(宽带物联终端)也在大规模增长。还有一些哑终端比如办公网中的打印机、IP电话、摄像头、智能插座等等。大量物联终端接入网络时,如何提供批量、快速的部署,和统一简单的管理,也是一大挑战。

传统园区网络运维是一个效率低,高成本的一个状态。相信对于大部分的网络运维工程师来说,面对业务种类越来越多,规模越来越大的园区网络,如何应对各种安全威胁,实现业务快速部署上线,快速处理故障,也是一大挑战。

图1 园区网络运维面临各种各样的问题

以上这些问题就是我们传统园区网络中遇到的挑战,接下来我们看一下新华三全新的智能园区解决方案是如何解决我们遇到的这些挑战。

1. 新华三智能园区网络AD-Capmus

什么是AD-Campus?简单来说是一个SDN架构的解决方案,是一个应用驱动的智能园区网络,目的是弱化底层物理网络,使运维人员更专注于网络应用,自上而下的驱动整个园区网络的运维,它具有对网络进行全局统一管理、控制和智能分析、业务编排的能力。其整体的方案架构如下:

2AD-Campus方案架构

物理层包括交换机、路由器、无线AC和AP,以及服务器等硬件设备;网络层在underlay网络基础上抽象出Overlay网络,实现各个业务的逻辑隔离。再往上是控制器层:包含网络控制平台,网络分析平台和终端接入认证系统,主要实现网络自动部署,策略下发,用户管理和运维等工作。顶端是管理编排层:依赖于我们的平台SNACenter,可以安装多个组件,为管理员提供统一的业务配置与网络状态呈现的入口,为我们网络的设计、策略、部署和保障提供交互和呈现的界面。

2. AD-Campus之网随人动

网随人动1.0

前文我们讨论了传统园区网络中,因人员移动导致的IP变更带来的安全策略和体验上的挑战。AD-Campus方案是构造一个无状态的网络,其核心是位址分离,IP地址与位置解耦,让IP地址可以在任意位置接入,无需改变网络的配置。

3传统园区网与AD-Campus网络的名址绑定

名址绑定实现的原理如下图所示,

图4名址绑定原理

① 终端首次上线,向DHCP服务器申请IP地址

② NAS捕获终端的IP地址并上报EIA(认证系统)

③ 控制器操作DHCP服务器设置静态绑定表

④ 后续再上线,永远申请相同的IP地址,即实现首次随机分配,永久使用。

除了用户和IP绑定,在某些场合可能不需要做非常强的捆绑,AD-Campus可以提供业务和IP网段的绑定,或者用户组和IP网段的绑定,比如:财务的人员可能也分布在网络不同的位置,我们也可以将其分配在同一个网段内;最终实现通过IP段标识用户组或业务组。

网随人动2.0

上文介绍的网随人动1.0,核心是用户强关联IP地址或网段;那针对已建成的园区网络,IP地址已经规划完毕,不想再做重复规划,怎么办?针对于互联网行业紧急项目较多,需要频繁召集临时项目组,相应的权限也需要频繁改动的场景,怎么办?AD-Campus网络网随人动2.0-微分段方案可以完美解决;

微分段定义:MicroSegment园区网里代表用户所属角色或者安全子组SGT(SegmentTag);

5微分段方案

网随人动2.0实现原理如下:

6网随人动2.0工作原理

微分段方案工作流程如下:

n SDN创建安全组时自动生成SGT,维护SGT-VXLAN映射关系表,维护SGT策略。

n SDN向EIA交互SGT。

n SDN向Leaf设备下发SGT-VXLAN的映射关系,下发SGT-SGT的访问策略。

n 用户认证通过,EIA通过Radius报文中的UserGroup向Leaf下发授权SGT。

n 建立VXLAN<->SGT的静态映射关系,将授权SGT写入ARP表,建立动态/静态AC表项。

在微分段方案中,网络中的流量控制在设备的源Leaf上,对于被拒绝的流量,在流量进入设备上联的leaf设备上即被丢弃,相对于在目的设备上做管控的方案相比,可以大大减少网路里的无效流量。

微分段方案能够实现更灵活的分组和更精细的权限控制。一个部门里所有的员工部门的基本权限,领导既有此部门的基本权限,也有领导独有的单独权限,针对此需求,微分段安全子组的能力可以将这部分有特殊权限的成员授权安全子组,安全子组既有继承父组的能力,又可以分配某些特权。

在多园区场景中,微分段也可以支持单角色对应多个Vxlan网关,多园区的Vxlan可以不用保持一致,用户在跨园区移动中能够保持权限一致。

AD-Campus园区网络极简部署、物联网自动上线、AI运维特性见下期分享。

新华三官网
联系我们