下一代园区架构与模型——统一架构，全局协同
2013-08-09 14:17:10   评论：0 点击：

　　1、有线无线深度融合的统一接入和统一策略执行。

　　无线AC与交换机物理和逻辑架构实现融合。无线AC的功能统一在支持纵向堆叠的交换机（部署位置可以是接入层、也可以是汇聚层）实现。无论是AP，还是更底层的接入层交换机从组网形态上讲实现了统一， 既可以由有线无线一体化的接入层交换机实现管理，也可以是有线/无线一体化的汇聚层交换机通过纵向堆叠来实现统一的管理。在统一架构的交换机中，实现无线SSID和固网VLAN的管理机制统一。充分利用VLAN成熟的配置和管理等实现机制，满足用户的运维习惯，支持用户灵活切换网络接入行为。

　　安全策略执行不再分别下发到AC、交换机，而是统一到支持纵向堆叠的交换机来实现，从而规避分布的策略控制点导致策略管理和配置复杂性问题。传统有线网络中的接入/汇聚交换机都是潜在的策略控制点，运维人员需要花费大量精力对其进行配置，包括用户组策略建立，认证参数配置等；部署无线后，AC单独作为无线用户策略控制点，又新增了额外配置工作量。华为独特的创新技术，实现有线/无线一体化在汇聚层交换机的融合，同时这一统一架构交换机可以对底层接入交换机（包括AP）实现纵向堆叠集群化的管理，让组网既能灵活满足安全的需要，也可规模降低组网建设成本。 通过这个融
合，将使管理变得更加简便。

　　下一代园区网的架构与模型

　　随着WLAN技术从802.11 a/b发展到802.11n以及802.11AC，无线接入带宽从几十兆提高到1G，流量转发瓶颈问题更加严重，传统的集中转发网络架构，会使AC成为无线网络的关键瓶颈。有线无线深度融合将通过华为的新一代可编程交换机，通过转发面编程，在传统有线转发的基础上融合包括CAPWAP隧道终结在内的无线AC转发功能，使有线和无线业务都能在同一个路径上实现流量转发，消除流量瓶颈。

　　2、全局协同基于统一Campus Controller（one Controller）来实现应用和业务感知，以及策略集中控制、管理和分发。园区网用户接入网络首先要求进行身份的识别和基于身份权限的控制。

　　随着BYOD的发展，对于用户接入需要感知的内容不再局限于身份和接入端口，还包括接入的位置，以及时间、智能终端的类型识别等等。对于用户之间的互访控制、网络资源的访问控制、信息内容的访问管理等安全策略则需要更加精细化、智能化。总之，网络安全策略控制是网络更好地支撑企业信息安全的关键点。策略由单一属性演变为多属性。比如，同一用户使用PC或者PAD时，权限不同； 采用笔记本应用有线或者无线接入时，权限不同；访客在既有身份权限确认的基础上，需要加入时间限制。而下一代智慧园区网通过统一的策略控制器Campus Controller，自动感知用户的多维度属性，在用户接入网络后统一自动下发精细化的安全控制策略，在统一的策略控制点上执行策略 ，实现精细化的管理；也可以与边缘接入交换机进行联动控制；同时还需要依托用户的全维度、全属性感知实现监控负载，优化路径的需求。而统一的策略中心既实现对策略的统一管理、控制和分发，同时还提供开放接口，可以供上层应用获取可编程的资源能力，实现软件定义能力。

　　3、全局协同，实现有效的网络与安全联动的效应基于全局的对用户感知、网络行为的深入感知，可以实现网络与安全的深度联动；实现统一部署、按需监测；实现基于Flow的细粒度检测，确保全网网络及安全的深度联动。