▲图:华为敏捷校园安全校园展区
在这种体系架构下,安全功能不再由出口防火墙一个点来执行,而是由敏捷控制器进行全网的安全事件收集,进行大数据关联分析并全网自动下发安全策略。 敏捷网络让网络中的所有设备,都变成安全事件的监听敏捷控制器发现某个可疑点或者不可信区域的流量时,会把这些流量动态引入到共享的安全中心进行深度检测和清洗,当确认某个流量缺失为攻击流量后,它还会指挥边缘网络节点直接隔离或降级此流量,以免对网络形成威胁。
▲图为华为根据东南大学校区模拟的全网安全协防系统,全网安全协防系统是敏捷控制器的一个部分,负责网络、安全设备日志,终端用户行为及iPCA流量异常数据的采集,对数据进行分析,发现安全漏洞和隐患,并依据安全策略对安全事件进行告警、阻断和引流;并下发调整后的安全策略到安全设备。对威胁流量进行引流和清洗时,敏捷控制器将全网的物理安全设备虚拟为资源池,并根据区域、用户和安全事件动态分配安全资源防御安全威胁。
精简管理 校园网络极简运维
传统校园网络采用三层架构,每台接入交换机都需要配置,网络扩容或软件升级需要一一操作,工作量可想而知;而且随着无线在校园网的广泛应用,需要对无线和有线独立配置,因为有线无线两张网络自成系统独立管理,无形中增加了IT管理人员的维护工作量,还有,网络故障发生后,定位故障时间长,难度大。所以校园网急需改变,以满足业务数据量增长和网络管理的需要,降低运维管理成本。
华为提出了有线无线深度融合的理念,有线无线深度融合,融合了转发,融合了管理,融合了策略控制,让校园网部署变得简洁,极致简化校园有线无线网络的运维管理工作。
在有线无线的统一转发方面,利用敏捷交换机提供的全可编程能力,无线功能已经作为一个特性内置到有线板卡中,有线和无线网络转发、控制、管理层面都融为一体。这种网元层面的融合有效的解决了有线和无线网络独立控制和转发的现状。学校不需要单独购买AC控制器或者插卡,从而节省了投资。
融合管理方面,华为敏捷网络强调在校园网中将有线网络和无线网络虚拟化一台交换机进行管理,SVF超级虚拟化技术可以将盒式交换机虚拟为框式交换机的一个槽位,整网虚拟为一个超级交换节点。对于有线网络的配置和维护升级,华为成功借鉴了无线网络的免维护特性,就是说IT管理员只需在敏捷交换机上做一次配置,其他接入交换机就可实现向AP一样的即插即用,交换机的第一次部署、软件升级和更换都是“零”人工参与。同理,有线网络的虚拟化能力,也被应用在了无线网络上,将无线AP虚拟成了核心/汇聚框式交换机的端口。
融合策略方面,为让敏捷交换机在业务层面融合了用户认证和管理功能,首先可以支持多种认证协议,为有线和无线接入的用户提供统一认证。另外,对于接入用户的控制策略,可以实现统一配置,按需联动,所有的策略只需要配置在敏捷交换机,所有的控制过程都是由敏捷交换机完成策略的推送和实施,不需要管理员做额外的工作,最大程度简化校园网的用户管理。
结语:
经过敏捷网络的打造,相信会有越来越多的院校步入智慧校园的行列。以上的应用热点分析,还不是敏捷网络特性的全部,用户可根据自身校园网建设的情况和需求,来对敏捷网络整体架构和优势进行考量,以西南民族大学为例,华为敏捷交换机的随板AC、统一用户管理等功能匹配了他们学校信息化发展的需求,尤其是SVF特性极大简化了他们对整体网络的管理。目前华为在教育行业的客户已经遍布100多个国家,2000多所高校,而敏捷网络也逐步在更多校园开花结果。
