會hcie30知識模塊詳解培訓實驗手冊v8sdn場景

CloudVPN方案介紹目錄CloudVPN全景與價值1CloudVPN解決方案2解決方案架構運維管理方案典型組網(wǎng)場景特性及功能簡述CloudVPN引出：VAS功能上移到云端，按需為企業(yè)靈活提供服務CloudCPE通過云化部署，實現(xiàn)性能和功能按需發(fā)放。ThinCPE通過自動化上線實現(xiàn)即插即用和集中管控。傳統(tǒng)CPE采用all-in-one方式，性能受限、功能固化，業(yè)務部署和開通復雜，管理和控制困難。當前企業(yè)管理服務SitetoInternetSitetositeSitetoDCInternet/VPNPEPEThinCPEInternet/VPNIP/MPLSIP/MPLSCloudFWCloudIPSCloudWOCCloudPBXCloudWiFiPoPWOCVPNFWPBXWLANCPE傳統(tǒng)CPE部署模式CloudCPE部署模式CloudCPECloudVPN引出：基于SDN的VPN網(wǎng)絡業(yè)務自動化發(fā)放ThinCPE發(fā)貨到客戶現(xiàn)場企業(yè)訂購業(yè)務ThinCPE發(fā)貨ThinCPE即插即用在租戶頁面管理業(yè)務提供業(yè)務在電商頁面訂購業(yè)務客戶訪問電商頁面注冊并輸入客戶信息選擇業(yè)務與CPE的型號提交訂單運營商管理員登錄電商平臺審批訂單，根據(jù)訂單信息發(fā)貨，并將ThinCPE的物流單號錄入電商平臺，方便客戶跟蹤；物流公司將ThinCPE發(fā)貨到客戶現(xiàn)場ThinCPE上電客戶連接網(wǎng)線及電源ThinCPE通過即插即用上線AgileControllerCloudOperaCSMCloudOperaOrchestratorFusionSphereCloudCPECloudFWThinCPE自動業(yè)務部署方便快速簡單SitetoInternetSitetoSiteSitetoDCVAS…CloudVPN是運營商(包括OTT)給每個企業(yè)租戶提供一個虛擬租戶網(wǎng)絡，包括：企業(yè)分支和企業(yè)分支的互聯(lián)企業(yè)分支的Internet訪問(含安全策略管理)企業(yè)分支和DC互聯(lián)企業(yè)VPC是特殊的企業(yè)分支基于運營商私有云、混合云或者公有云，駐留企業(yè)的IT應用，DC上有VPC的虛擬網(wǎng)絡，是租戶整體虛擬網(wǎng)絡的一部分每個企業(yè)分支出口和DC都有一個Gateway連接CloudVPN主要特點：VPNover在任意接入、IP可達的網(wǎng)絡上快速業(yè)務部署，自服務(ondemand)即插即用CPE，對Underlay和基礎網(wǎng)絡是Zero-touch或One-touchany-to-any的VPN連接，基于云化平臺支撐海量CPE和VPN連接管理，是支持XaaS、一站式服務的基礎CloudVPN的定義和特點CloudVPNSite-1CPEVPCSite-2CPEVASVPCGWEnterpriseCPECPESite1Site2WANCarrierDC/POPVASVASDCVPCGWVPCVPCVASCloudVPN的價值對租戶的價值對運營商的價值快速獲得服務：自助購買，即插即用；靈活選擇服務：隨需購買，即買即用?？焖侔l(fā)放業(yè)務：全流程拉通，自動化業(yè)務部署和配置，服務流程簡化；降低運維成本：即插即用，減少上門服務，節(jié)省人力成本，復雜功能上移到數(shù)據(jù)中心，集中運維，大大減少上門服務；增加運營商收入：提供靈活的增值業(yè)務服務；增強云服務競爭力：通過ICT業(yè)務協(xié)同，提供云、管一體化業(yè)務。ResourceAutoScaleOutNewServiceLaunchIOTTestDryRunHardwareManufactureHardwareClearanceHardwareInstallationHardwareConfigurationFieldSurveyPlatformInstallationIOTTestSmallScaleCommercialBigScaleCommercialHardwareTransportationFriendlyUserTestCommercializationTraditionalSDN/NFVByMonthsByHoursSDN/NFVTraditionSoftwareInstallationOPEXfromTraditionaltoCloudTTMfrombyMonthstoHours50%decline目錄CloudVPN全景與價值1CloudVPN解決方案2解決方案架構典型組網(wǎng)場景運維管理方案特性及功能簡述POPCloudVPN整體場景ThinCPEThickCPECPEVASVASCloudCPECloudFWIWGVPNGWSSLVPNGWInternetorMPLSMPLSVPN云DCVPCGWCloudVPN方案分層架構Portal電商portal，租戶Portal和MobileAPP：提供租戶自服務。租戶自助進行業(yè)務套餐訂購及業(yè)務激活、調(diào)整、監(jiān)控。運營商portal：系統(tǒng)資源、業(yè)務的監(jiān)控和管理。業(yè)務協(xié)同層華為IES提供業(yè)務協(xié)同的能力，包括ICT-O與ICT-A兩部分ICT-O：全局業(yè)務協(xié)同。網(wǎng)絡和IT業(yè)務，物理和虛擬資源的端到端的生命周期管理、自動化部署和監(jiān)控。ICT-A：全局業(yè)務和資源管理運維。全局管理運維，包括全局故障和性能數(shù)據(jù)收集，自動故障根因分析，自動故障定位以及輔助管理員人工故障排查。管理控制層AgileController：網(wǎng)絡建模與實例化。將業(yè)務模型轉化為網(wǎng)絡模型，物理網(wǎng)元與虛擬網(wǎng)元的配置下發(fā)。CSM:VNF網(wǎng)元控制管理。VNF的資源分配、部署、監(jiān)控、擴縮容、退網(wǎng)管理。FusionSphere/Openstack：實現(xiàn)對虛擬VM資源的管理網(wǎng)絡設備層類型多樣性：包括物理設備CPE與VNF設備CloudCPE、CloudFW；網(wǎng)絡設備與增值業(yè)務設備。多種組網(wǎng)拓撲：L2接入，L3接入，1：N集中式部署MobileApp電商Portal租戶PortalvSwitchvSwitchVAS(CloudFW)CloudCPE業(yè)務協(xié)同層管理控制層Portal網(wǎng)絡設備層vSwitchThinCPECPECloudCPESDNONFVOYANGTOSCACross-domainOrchestratorITOHEATCross-domainAssuranceICT-OICT-ARESTfulNetConf/SNMPRESTful運營商Portal管理節(jié)點CloudVPN邏輯架構TenantPortalOSS/BSSOrchestrator（ICT-O）RestfulAssurance（ICT-A）MobilephoneAdminPortalRestfulCloudOperaIESRestfulE-CommercePortalCloudOperaCSM（VNFM）AgileControllerMobilephoneAPPServerPOP/NFVDCVIMFS(Openstack)ACDCCloudCPECloudFW(VAS)DCNCPEThickCPEVASVAS云DCACDCManageOneOpenstack6.0MPLSNetworkeLogNetConfRestfulVAS業(yè)務配置RestfulNFVO和NFVMRestful網(wǎng)絡業(yè)務配置Restful網(wǎng)絡配置VIMRestful/SNMP/FTPCloudFW(SSLVPN)IMGOpenstackAPIRestful業(yè)務配置IWGCPEVASCloudVPN方案組件及接口AgileController-CampusVNFMCPECPECPERestfulNetConfCarrierPortalVIMUnderlayNetworkSDN-OOrchestratorE-CommercePlatformRestfulDCVMNetworkvRouterVPCRouterNFVOIT-ORestfulRestfulRestfulRestfulMobileAPPVPCZoneVe-VnfmRestfulAssuranceE-commercePortalTenantPortalSwitchNFVZoneVSCloudCPECloudCPEVSVSCloudCPECloudCPECloudFWCloudFWNetConfeLogRestfulDataflowAgileController-DCNeSightNFVIRestful多租戶架構VRF1VRFn…VRF3VRF2CloudCPEVTEPPublicIPvSYS1vSYSm…vSYS3vSYS2CloudFWVTEPVXLANNATPATpublicIPPoolCloudCPE、CloudFW通過VRF實現(xiàn)多租戶的業(yè)務轉發(fā)，邏輯隔離，共享Public地址池接入internet，節(jié)約公網(wǎng)地址。CloudCPE，CLoudFW通過VXLAN實現(xiàn)外部接入，通過VXLAN的VNI來區(qū)分租戶，不同的VNI的流量綁定到不同租戶的VRFCloudCPE作為Internet出口，通過多租戶共享NAT，多個租戶可以共享一個/多個公網(wǎng)IP地址池，實現(xiàn)internet上網(wǎng)。CloudFW充當SSLVPN網(wǎng)關，實現(xiàn)SSLVPN接入到不同的vSYS。IESACEsightCSM(VNFM)資源管理CPEVRF1VRF2VTEPCPEVRF1VTEPCPEVRF1VTEP目錄CloudVPN全景與價值1CloudVPN解決方案2解決方案架構典型組網(wǎng)場景運維管理方案特性及功能簡述模型1：云端接入1(Telefonica)CPE類型：ThinCPE（L2）CPE可以是單鏈路，也可以是雙鏈路接入CloudCPES2S業(yè)務網(wǎng)絡模型：CPE只接入CloudCPE，CPE之間不互聯(lián)業(yè)務模型：full-mesh。業(yè)務類型：只支持L3VPN業(yè)務S2I業(yè)務：只能經(jīng)過CloudCPE接入internet。S2DC業(yè)務經(jīng)過CloudCPE以后，Ipsec接入VPCGWSSLVPN業(yè)務SSLVPN：通過POP點SSLVPNGW接入QOS模型：業(yè)務模型：針對S2S/S2DC統(tǒng)一限速，S2I獨立限速限速位置：上行在CPEWAN口出方向，下行在CloudCPEWAN口出方向CPE、vCPE通過配置VRF+IP/VNI來區(qū)分S2S&S2DC與S2I業(yè)務可靠性：支持CPE雙鏈路接入CloudCPECloudCPE，CloudFW支持雙機溫備CloudCPEPOPCloudFWSSLVPNGWDCL2CPEL2CPEL2CPE備隧道VPCGWIPsec主隧道internetCloudCPEPOPCloudFW模型2：LGI無CloudCPE部署場景CPE類型：CPE（L3）S2S業(yè)務網(wǎng)絡模型：只支持fullmesh或者hub-spoken模型。L3業(yè)務路由發(fā)布：當前LGI只使用靜態(tài)路由。S2I業(yè)務：CPE直接本地接入。SSLVPN業(yè)務ESG來提供。QOS模型：業(yè)務模型：S2S與S2DC/S2I一起限速，若根據(jù)項目需求再實現(xiàn)獨立限速限速位置：CPE的WAN口可靠性：支持CPE雙鏈路接入，備份路徑經(jīng)過VSGVSGESG雙機保護VSGPOPESGDCCPECPECPE備隧道VPCGWIPsec主隧道internetCPEoffnet隧道SSLVPNGWCloudVPN范圍模型3：HKT場景ATMSmartPhoneLaptopvPGWP-GWvPGWP-GWCloudCPECloudFWCPECloudCPECloudFWPOP/U2kDC/POP企業(yè)站點GREtunnelGREtunnelVXLANtunnelVXLANtunnelHKT項目涉及無線PGW接入CloudVPN的CLoudCPE，通過GRE隧道和CloudVPN互通，路由傳統(tǒng)采用OSPFoverGRE方式HKT項目存在兩個DC/POP部署CloudCPE，企業(yè)站點CPE同時接入兩個DC/POP的CloudCPE，各個DC/POP有各自的CloudFW進行VAS處理。不同的PGW接入不同的DC/POP業(yè)務模型是移動終端通過無線接入，然后通過CloudCPE以及CloudFW，然后接入企業(yè)沒有使用多租戶。VXLANCPE的類型ThinCPE包含基礎L2網(wǎng)絡轉發(fā)功能的物理CPE設備，必須依賴vCPE存在，vCPE作為企業(yè)LAN側的GW。CPE傳統(tǒng)CPE，保留傳統(tǒng)CPE功能的CPE，可以支持和CloudVPN對接在LocalBreakout場景下，CPE一般需要支持本地FW等高級網(wǎng)絡的功能。在SD-WAN場景下，CPE一般需要支持本地DPI等高級網(wǎng)絡功能。ComputeCPE設備上可以部署VNF的物理CPE設備1)ThickCPE，即胖CPE，所有網(wǎng)絡功能仍在客戶側CPE，并支持插入X86板卡，設備能力開放，支持第三方應用。2)白盒CPE，完全X86架構的CPE，本身有一定的網(wǎng)絡功能，實現(xiàn)PNP，通過部署虛擬化的VNF來實現(xiàn)CPE的功能。IMG共享性CPE，與傳統(tǒng)CPE類似，但是租戶是基于CPE的LAN側端口區(qū)分租戶CloudCPE部署于云端的虛擬化CPE其中ComputeCPE分為ThickCPE和白盒CPE，CPE分普通CPE和ThinCPE，由運營商預規(guī)劃，客戶不感知。目錄CloudVPN全景與價值1CloudVPN解決方案2解決方案架構典型組網(wǎng)場景運維管理方案特性及功能簡述CloudVPN場景與功能清單功能分類功能清單功能說明電商訂購CloudVPN業(yè)務自助訂購VAS（CloudFW）業(yè)務訂購訂單修改基于站點模式訂購業(yè)務用戶可以按套餐選擇。部署簡化CPE免配置自動上線、替換處理CloudCPE/CloudFW自動按需創(chuàng)建IPoE環(huán)境下CPE自動上線隧道技術純VxLAN，VxLANoverIPSec，IPSEC支持純VxLAN，IPSEC可選，加密功能可選VPN互聯(lián)與Internet接入Sitetosite業(yè)務ThinCPE接入只支持云端L3互訪；CPE接入支持本地or云端L3互訪Sitetointernet業(yè)務ThinCPE接入只支持云端上網(wǎng)；CPE接入支持本地or云端上網(wǎng)SitetoDC業(yè)務支持與使用華為FusionSphere搭建的云平臺對接或通過標準OpenStack接口對接第三方云平臺RemoteAccess企業(yè)雇員通過SSLVPN遠程接入到企業(yè)內(nèi)部，訪問企業(yè)站點和資源多租戶vCPE、vFW支持多租戶CloudCPE、CloudFW通過VRF實現(xiàn)多租戶的業(yè)務轉發(fā)，邏輯隔離，共享Public地址池接入internet，節(jié)約公網(wǎng)地址。ManagedLANManagedLANCPE提供Wi-Fi接入能力，租戶可新增和修改子網(wǎng)，新增SSIDVAS服務安全策略、SA、IPS、URL過濾安全策略與SA為基礎功能，默認提供；IPS與URL過濾按需選擇開啟通過PBR實現(xiàn)流量的導入租戶自運維統(tǒng)計流量應用帶寬租戶業(yè)務、全局拓撲信息查看手機APP查看應用帶寬帶寬限速，基于應用帶寬調(diào)整手機APP操作可靠性雙鏈路（Eth+Eth，Eth+LTE）主備，鏈路狀態(tài)監(jiān)測與主備倒換僅支持主備模式，CloudVPN總體業(yè)務流程CPE即插即用NFV網(wǎng)元拉起路由配置QOS配置電商界面業(yè)務編排器(ICT-O)AC控制器管理員企業(yè)用戶1.2訂購確認1.1.用戶自助訂購2.業(yè)務發(fā)放租戶Portal1.3電商相關業(yè)務數(shù)據(jù)VPN隧道創(chuàng)建業(yè)務鏈配置3.網(wǎng)絡業(yè)務自動化發(fā)放主要功能SitetoInternet三大業(yè)務場景SitetoSiteRemoteAccess運營商Portal租戶業(yè)務配置與運維監(jiān)控與管理網(wǎng)絡基礎設施層租戶自助購買cloudvpn服務1、業(yè)務訂購階段業(yè)務自動發(fā)放轉運維2、業(yè)務自動發(fā)放階段電商訂購流程CPE設備通過物流公司發(fā)貨，租戶可以在電商門戶上訂單信息中查看物流單號，當CPE到貨后，租戶進入電商平臺的訂單管理界面確認收貨，租戶確認收貨的時候可以填寫CPE的ESN。租戶也可以通過MobileAPP掃碼錄入ESN。租戶提交訂單后，運營商管理員通過電商平臺進行訂單處理，審核完成后進行發(fā)貨處理，電商平臺支持運營管理員維護發(fā)貨的物流公司和發(fā)貨單號。①租戶選擇業(yè)務并購買②運營商審核訂單并發(fā)貨③租戶確認收貨租戶在電商平臺注冊并登陸，選擇業(yè)務包，填寫業(yè)務參數(shù)，選擇CPE款型，填寫CPE的發(fā)貨地址，提交訂單并支付。VNF自動注冊CloudCPE/CloudFW自動注冊設計：角色：運營商管理員在ICT-O完成業(yè)務上線前的規(guī)劃信息設置。角色：租戶管理員通過電商平臺訂購套餐。BES電商平臺將該租戶的站點和設備列表、業(yè)務訂購內(nèi)容（上網(wǎng)業(yè)務，分支互聯(lián)，安全業(yè)務），傳遞給ICT-O。CloudCPE/CloudFW自動注冊流程：【1,2,3,4】ICT-O調(diào)用MANO（包括NFV-O和VNFM）創(chuàng)建CloudCPE/CloudFW，通過VNFD配置文件導入VNF管理IP及AC的IP等初始配置?！?】CloudCPE/CloudFW從VNFM獲取初始配置后，上線注冊到AC，建立管理通道?！?】AC向ICT-O上報CloudCPE/CloudFW的上線信息。CloudCPECloudFWAgileControllerICT-OVNFM6.上報VNF上線信息1.創(chuàng)建CloudCPE/CloudFWFusionSphereE-CommercePlatform5.部署VNF完成后，已有初始配置，向AC注冊2.分配虛機資源用于部署VNF4.在VM上創(chuàng)建CloudCPE/CloudFWRestfulRestfulRestfulVMVMVe-Vnfm-vnf3.創(chuàng)建VMCPE自動上線方式一-URL開局（推薦方式）TenantgetsURLaddressfromEMAIL0&orig_redirect_url=https%3A%2F%2F00%2Flogin%2Fsiteinfo%3Fsiteid%3D123456...WebServerinsideSnooptheURLandgetIPaddressofAC企業(yè)管理員在電商界面完成業(yè)務訂購之后，會收到運營商發(fā)出的郵件，郵件中包含了一條URL信息。企業(yè)管理員將CPE上電并連上網(wǎng)線，所有的CPE都已預置相同的管理IP，例如/24。此時企業(yè)管理員可以使用手機或PC連接CPE的Wi-Fi或者LAN側端口，然后在已連接的終端上點擊郵件中的URL。CPE的webserver會監(jiān)聽HTTP報文，并解析URL中包含的信息，其中就有控制器的IP地址，站點信息以及重定向URL。CPE返回URL即插即用界面，通過URL解析的信息會展示在界面中。企業(yè)管理員在界面上配置WAN口類型及接入方式。WAN口配置生效，CPE可以連接到外部網(wǎng)絡。①②③CPE自動上線方式一-URL開局（推薦方式）續(xù)23456&esn=ar999999&AR161CPE修改重定向URL，插入CPE的款型及ESN信息，重定向到ICT-O的界面；企業(yè)管理員使用已注冊的用戶名和密碼進行登錄；企業(yè)管理員校驗設備信息，點擊激活觸發(fā)業(yè)務；CPE成功注冊納管到控制器。⑤⑥⑦300ICT-O/TenantportalSiteID123456CPE’sESNar999999SitenameMadridSiteCPE’smodelAR161FGW-LlocationRoad1st,Build2nd,Madird,Spain.ActiveCancelCheckBox注：采用URL開局方式可以自動上報設備ESN，無需通過MobileAPP掃碼或手動錄入方式獲取ESN。30④CPE自動上線方式二-DHCPOption開局城域網(wǎng)絡SiteASiteBCPECPEDHCPDHCPRelayDHCPServerBRAS/SRSwitch前提條件：運營商：在DHCPServer設備上配置Option148為ACIP及端口。運營商：確保Underlay路由打通。租戶：已通過手機APP或ICT-O租戶Portal錄入CPE的ESN信息。自動上線流程運營商DHCPServer預配置option148，指定AC地址及端口。CPE連接網(wǎng)線上電，通過運營商線路DHCP動態(tài)分配地址，通過option148獲取AC地址及端口。CPE上線注冊到AC。AC向ICT-O上報CPE的上線信息。CPEAgileController-BranchDHCPserver4.上報CPE上線信息2.CPE上電DHCP獲取地址及option字段，向AC注冊AccessDevice(DHCPRelay)1.預配置運營商的DHCPServer，添加option148指定AC地址及端口3.CPE注冊，管理通道建立OrchestratorCPE自動上線方式三-USB開局前提條件：運營商：CPE初始配置文件已制作好并導入U盤。運營商：確保Underlay路由打通。租戶：已通過手機APP或ICT-O租戶Portal錄入CPE的ESN信息。自動上線流程運營商管理員通過PC端進行CPE配置文件制作，配置文件中主要包括AC的地址或域名和端口、WAN口互聯(lián)配置，然后將CPE配置文件導入U盤，發(fā)給租戶使用租戶/運營商管理員將U盤插入CPE，設備上電開局重啟完畢后，連接網(wǎng)線，通過運營商線路DHCP動態(tài)分配地址，并向AC注冊建立管理通道CPE上線注冊到AC。AC向ICT-O上報CPE的上線信息。CPEAgileController-BranchPC4.上報CPE上線信息2.CPE上通過U盤開局，重啟后向AC注冊USBdisk3.CPE注冊，管理通道建立Orchestrator1、運營商管理員通過PC端進行CPE配置文件制作，配置文件中主要包括AC的地址或域名和端口、WAN口互聯(lián)配置，然后將CPE配置文件導入U盤，發(fā)給租戶使用。CPE配置文件CarrieradministratorTenantE-commercePortalICT-OAgileController人工錄入設備ESN（適用于CPE自動上線方式二&三）CPE租戶在BES平臺下訂單，訂單內(nèi)容包括：SiteIDSitename發(fā)貨地址設備類型CPE到達Site站點ICT-O下發(fā)AC如下信息：設備ESN選擇當前站點，手機APP掃碼或租戶Portal手工錄入ESN信息BES將租戶訂單信息傳遞給ICT-O1、輸入租戶賬號登陸2、查看站點列表ESN錄入：CPE到達站點后，租戶管理員登陸手機APP或ICT-O的租戶Portal，查看站點列表，選擇當前站點，人工錄入設備ESN。MobileAPP/ICT-OTenantPortalCPE設備替換AC-CampusICT-O

Tenant租戶站點1設備A故障，申請?zhí)鎿Q為設備N刪除老設備A和離線配置MobileAPP/ICT-OTenantPortal將該站點的SiteID、老設備ESN、新設備ESN信息傳遞給ICT-O，ICT-O獲取新老設備ESN對應關系下發(fā)替換命令到AC，含如下信息：老設備ESN新設備ESN感知新設備N上電，將設備A相關存量配置下發(fā)給新設備NCPE新設備N到達Site站點1、掃碼新設備ESN進行設備替換2、或手工錄入ESN進行設備替換(設備類型判斷，必須同款型)1、輸入租戶賬號登陸2、選擇站點1及故障設備A3、查看當前設備ESN信息運營商售后1、退換貨流程2、發(fā)貨流程設備N上電連線設備N上電注冊到AC設備A故障離線設備N替換上線完成。如果新設備WAN口IP變化，需要觸發(fā)O層業(yè)務刷新流程。注意：不允許替換為不同型號的設備，否則可能存在存量配置丟失的風險。設備替換需求：ICT-O界面上提示設備故障離線時，為保障業(yè)務正常進行，需要進行CPE替換操作。設備替換方案設計：新的CPE設備到達站點后，租戶管理員選擇當前站點及故障設備，掃碼采集新設備ESN進行設備替換。通知AC刪除老設備A和離線配置通知新設備N已上線隧道搭建PublicIPPrivateIPPrivateorPublicIPSite1CPEAccessNetworkorMetroSite1CPEAccessNetworkorMetroPublicIPSNATPrivateIPPublicIPVxLAN/vxlanoverIPSec（IPSecforNATtraversalandencryption）PrivateIPWirelessCoreNetworkGGSNVxLAN/vxlanoverIPSec（IPSecforNATtraversalandencryption）SNATSite1CPEAccessNetworkorMetroPublicIPvSwitchVirtualServicedomainCloudCPECloudCPECloudFWCloudFWVxLAN/vxlanoverIPSec（IPSecforNATtraversalandencryption）PublicIPSite1CPEAccessdevice3rdOperatorNetworkUnknownIPPrivateIPVxLAN/vxlanoverIPSec（IPSecforNATtraversalandencryption）WirelessCoreNetworkGGSNSNATAccessdeviceVxLAN隧道作為Overlay隧道，搭建企業(yè)各個分支之間的虛擬網(wǎng)絡；IPSec隧道提供NAT穿越與加密能力，保證Overlay網(wǎng)絡的環(huán)境適應性和安全性。前置傳統(tǒng)CPECPE直接接入LTEBackupCPE直接接入前置傳統(tǒng)CPELTEBackup隧道設計——純VxLAN隧道搭建VTEPSite4ThinCPEVLANBDVNISite1WAN1LANThinCPEVLANBDVNI使用WAN口IP作為VTEP的IPLoopbackIPSecTunnelVxLANTunnelPublicIPPrivateIPLoopbackinterfacePublic/PrivateIPLANPortPortwithPBRWANvCPEWAN1WAN2Site3ThinCPEVLANBDVNILoopbackWAN1VTEPVTEPPublicIPAnyIPAnyIPLegacyCPE(3rd)PublicIPSNATVTEPPrivateIPPublicIPSite2ThinCPEVLANBDVNILoopbackWAN1VTEPPublicIP使用loopback口作為VTEP，建立內(nèi)層VxLAN隧道LANLANLANScenario1NoExistingCPEScenario2WithencryptionScenario3ExistingCPEScenario4Duallink注：L2場景基于站點選擇加密或不加密（基于項目在SDP安裝時開關定制）使用WAN口IP作為VTEP的IPSitetoInternet—ThinCPE+CloudCPE租戶portal&MobileAPP運營商PortalICT-O租戶運營商運維SDN-OThinCPEAgileController-CampusRESTfulEnterpriseSiteL2VXLANoverIPSecNetConfNFVOCloudCPEvSwitchCloudFWPoP/DCServiceChainInternetL3RESTfulVNFMVIMRESTfulRESTfulIPWAN方案簡介CloudCPE作為Site的三層網(wǎng)關，ThinCPE只實現(xiàn)二層功能。CloudCPE作為Site的DHCPServer分配用戶的IP地址。Controller使用Netconf對ThinCPE和CloudCPE進行配置，在兩者之間建立VxLANoverIPSec隧道實現(xiàn)L2連接。上網(wǎng)流量在Site側的ThinCPE進行隧道封裝，CloudCPE經(jīng)過隧道解封裝發(fā)往Internet，根據(jù)租戶是否購買VAS業(yè)務決定流量是否需要走VAS。CloudCPE上的WAN口作為上網(wǎng)流量的出口，需要實現(xiàn)SNAT和流量限速功能。方案亮點租戶可以按需購買VAS業(yè)務和上網(wǎng)帶寬；上網(wǎng)流量可以被安全加密的隧道引到云端進行VAS處理。方案價值企業(yè)用戶獲得安全的上網(wǎng)服務和多樣的VAS服務，并能按需修改上網(wǎng)帶寬或增加VAS；運營商獲得更多的商業(yè)機會，可以為企業(yè)提供更多增值服務。租戶按需訂購和業(yè)務自動化部署模式大大降低運營商的運維成本。SitetoSite—ThinCPE+CloudCPE運營商PortalICT-O租戶運營商運維SDN-OThinCPEAgileController-CampusRESTfulEnterpriseSite1L2VxLANoverIPSecNetConfNFVOvSwitchCloudFWPoP/DCServiceChainRESTfulVNFMVIMRESTfulRESTfulEnterpriseSite2CloudCPE1vSwitchL3ThinCPEEnterpriseSite3VxLANoverIPSecL2ThinCPEVxLANoverIPSecCloudFW租戶portal&MobileAPP方案簡介ThinCPE只實現(xiàn)隧道接入功能,CloudCPE作為Site的三層網(wǎng)關。Site之間的互訪通過CloudCPE來實現(xiàn)。Controller使用Netconf對ThinCPE和CloudCPE進行配置，各Site的ThinCPE通過與CloudCPE建立隧道實現(xiàn)互訪。互訪流量在Site側的ThinCPE進行隧道封裝發(fā)往CloudCPE，CloudCPE經(jīng)過隧道解封裝，根據(jù)租戶是否購買VAS業(yè)務決定流量是否需要走VAS。CloudCPE上根據(jù)路由轉發(fā)將流量進行隧道封裝發(fā)往其它Site。方案亮點租戶可以按需購買VAS業(yè)務和互訪帶寬；互訪流量可以被安全加密的隧道引到云端進行VAS處理。方案價值企業(yè)用戶獲得安全的互訪服務和多樣的VAS服務，并能按需修改互訪帶寬或增加VAS；運營商獲得更多的商業(yè)機會，可以為企業(yè)提供更多增值服務。租戶按需訂購和業(yè)務自動化部署模式大大降低運營商的運維成本。SitetoDC—ThinCPE+CloudCPEEnterprise1ICT-O租戶運營商運維SDN-OThinCPEAgileController-CampusRESTfulEnterprise1SiteL2VxLANoverIPSecNetConfNFVOvSwitchCloudFW1PoP/DCServiceChainRESTfulVNFMVIMRESTfulRESTfulEnterprise2SiteCloudCPE1vSwitchIPSecThinCPEIT-OAgileController-DCFusionSphere（OpenStack）RestfulVPC1VPC2CloudCPE2CloudFW2云平臺運營商Portal租戶portal&MobileAPP方案簡介CloudCPE與VPC之間搭建IPSec隧道，加上ThinCPE到CloudCPE的隧道，打通Site到VPC的通道。CloudCPE與VPC之間使用普通模式的IPSec隧道，VPC側利用OpenStack的VPNaaS標準接口進行IPSec配置，CloudCPE側利用AC-Campus進行IPSec配置，兩端配置由ICT-O進行拉通?；ピL流量在Site側的ThinCPE進行隧道封裝發(fā)往CloudCPE，CloudCPE經(jīng)過隧道解封裝，根據(jù)租戶訂購的SitetoDC業(yè)務將流量進行隧道封裝發(fā)往企業(yè)VPC。方案亮點可以實現(xiàn)Site與VPC之間的VPN網(wǎng)絡自動搭建；方案價值企業(yè)用戶獲得安全的VPN服務，打通Site到VPC的數(shù)據(jù)通道；運營商獲得更多的商業(yè)機會，可以為企業(yè)提供VPC和VPN業(yè)務。租戶按需訂購和業(yè)務自動化部署模式大大降低運營商的運維成本。業(yè)務鏈—PBR(PolicyBasedRouting)CloudCPEvSwitchCloudFWPoP/DCServiceChain運營商PortalICT-O租戶運營商運維SDN-OCPEAgileController-CampusRESTfulEnterpriseSiteNetConfNFVOInternetRESTfulVNFMVIMRESTfulRESTfulIPWAN租戶portal&MobileAPP方案簡介基于租戶維度提供VAS的購買，VAS的功能包括安全策略，IPS，SA，URL過濾功能，其中安全策略和SA為必選。每個Site可以選擇是否使用VAS，若不需使用則該Site的流量不會被導入CloudFW進行處理。使用PBR方式的業(yè)務鏈，當租戶購買VAS業(yè)務之后，ICT-O在CloudCPE和CloudFW上配置PBR，將流量引到CloudFW進行處理，然后再回注到CloudCPE進行轉發(fā)處理。租戶可以通過電商Portal上的URL跳轉到租戶Portal進行具體VAS業(yè)務配置。方案亮點可以提供多種VAS業(yè)務，由CloudFW統(tǒng)一提供；可以提供VAS業(yè)務配置界面，租戶可以自助配置。方案價值企業(yè)用戶獲得多種VAS服務；運營商獲得更多的商業(yè)機會，可以為企業(yè)提供VAS業(yè)務。租戶按需訂購和業(yè)務自動化部署模式大大降低運營商的運維成本。業(yè)務鏈—VAS功能介紹功能描述基本安全策略安全策略是控制設備對流量轉發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。設備能夠識別出流量的屬性，并將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配，則此流量成功匹配安全策略。流量匹配安全策略后，設備將會執(zhí)行安全策略的動作。如果動作為“允許”，則對流量進行內(nèi)容安全檢測。如果內(nèi)容安全檢測也通過，則允許流量通過；如果內(nèi)容安全檢測沒有通過，則禁止流量通過。如果動作為“禁止”，則禁止流量通過。SA（應用識別）CloudFW通過利用應用程序的特征，能夠精確地識別各種常見的應用程序。CloudFW支持預定義應用和自定義應用：預定義應用：通過應用識別特征庫獲取。通過分析各種常見應用形成了應用識別特征庫，應用識別特征庫對各種常見的應用特征進行了定義，系統(tǒng)可以根據(jù)應用的特征識別出各種應用。FW加載應用識別特征庫后能夠識別特征庫里已經(jīng)定義過的應用，這些應用在FW上以預定義應用的形式呈現(xiàn)。自定義應用對于預定義中不存在的應用，用戶可以根據(jù)該應用的特征自定義一個新的應用，系統(tǒng)根據(jù)用戶配置的應用規(guī)則識別應用。URL過濾URL過濾可以對用戶訪問的URL進行控制，允許或禁止用戶訪問某些網(wǎng)頁資源，達到規(guī)范上網(wǎng)行為的目的。IPS入侵防御IPS是一種安全機制，通過分析網(wǎng)絡流量，檢測入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應方式，實時地中止入侵行為，保護企業(yè)信息系統(tǒng)和網(wǎng)絡架構免受侵害。說明：CloudFW的VAS功能默認對引流到CloudFW上的流量不生效，需要租戶在租戶portal上配置安全策略，指定VAS功能對哪些流量生效后VAS功能才可用。RemoteAccess—(Thin)CPE+CloudCPEDCTenant1CPERemoteUserSiteCloudCPESSLVPNGW(vFW)VxLAN(overIPSec)VxLANRouterCloudFW(VAS)方案說明：當前方案中，vFW作為SSLVPNGW在DC內(nèi)部署，SSLVPNGW與CloudCPE之間建立VxLAN隧道互連；由于租戶申請SSLVPN業(yè)務的時候，還不知道使用呢個vFW，所以SSLVPN的接入網(wǎng)關信息在租戶維護界面可以看到。租戶提交訂單以后，IES要反饋給SDP成功信息，里面包含給租戶分配的網(wǎng)關信息。SSLVPNGW上區(qū)分多租戶，每個租戶一個vSYS；多租戶共用同一個地址，通過IP+端口號區(qū)分（端口由租戶申請業(yè)務的時候IES向AC自動分配，然后配置下發(fā)）：VRF1SSLGateway::1024VRF2SSLGateway::3008網(wǎng)關的地址對所有用戶適用，只有運營商可以調(diào)整。Tenant2CPESitevSYS2vSYS1:1024:3008SSLVPN的配置與單租戶類似，但是SSLVPN網(wǎng)關的地址是公網(wǎng)的地址。多租戶的部署場景CloudCPEVRF1VRF2VRF3VRF4CloudFW(IGW)vSYS1vSYS2vSYS3vSYS4SSLVPNGWvSYS1vSYS2SSLVPNGW)vSYS3vSYS4VTEPVTEPVTEPVTEPNAT一般情況下，一個企業(yè)的業(yè)務通過一個VRF承載，一個CloudCPE/FW上創(chuàng)建多個VRF，為多個企業(yè)同時提供服務。一個企業(yè)也可以創(chuàng)建多個VRF實現(xiàn)多VPN隔離。一個VRF可以實現(xiàn)多個企業(yè)分支的接入，流量可以在VRF內(nèi)部實現(xiàn)本地交換。按當前架構，在非業(yè)務的場景下，一個租戶可能會申請兩個vSYS，部署在不同的vFW上，分別是SSLVPNGW或者internet出口，其中interent出口也可作為S2S的防護。每個vSYS都有接入internet。CPE1CPE2VNI1VNI2VNI12VNI13VNI24VNI25InternetManageLAN方案概述ICT-oARICT-A運維設備管理設備配置管理描述ICT-0出設備管理界面ICT-A/控制器出運維界面控制器提供設備管理API控制器提供終端用戶管理、Portal頁面定制頁面認證描述AC集成portalserver/radiusserverportalserver/radiusserver提供認證授權功能PortalServerARRadiusServerPortal認證用戶密碼認證AC控制器頁面定制SSID射頻用戶管理支持批量配置；wifi和SSLVPN賬號統(tǒng)一；支持新增SSID，支持增加子網(wǎng)網(wǎng)段；vlan配置視圖下可添加LAN側端口；支持頁面定制；PSK認證Portal認證ManageLAN功能范圍認證賬號統(tǒng)一方案需求：ManageWIFI終端用戶進行portal認證時，需要進行終端用戶數(shù)據(jù)的管理，SSLVPN中防火墻也存在用戶，兩處用戶數(shù)據(jù)需要同源?？傮w方案控制器集成portalserver和認證服務器控制器提供wifi終端賬號管理界面，租戶錄入wifi賬號信息IES提供SSLVPN配置界面ICT-O向AC查詢并獲取終端wifi接入賬號，在IES界面通過勾選方式為該賬號增加SSLVPN接入能力，并通告控制器。SSLVPN認證方式：SSLVPN采用vFW本地認證；控制器下發(fā)賬號、密碼到對應的vSys，在FW本地認證。約束：現(xiàn)在的方案，錄入的賬號默認都開通wifi上網(wǎng)權限，即不能實現(xiàn)賬號只用于遠程接入。控制器支持用戶批量導入wifi接入賬號和單個賬號；ManagedLAN—ThinCPE+CloudCPE方案簡介：方案中由ICT-O提供WIFI配置界面控制器提供設備管理API控制器提供終端用戶管理、Portal定制頁面（SSO）控制器集成portalserver/認證服務器AR作為接入點設備，內(nèi)置供FATAP提供Wi-Fi功能。方案流程：租戶登錄租戶portal；填寫、修改模板中SSID參數(shù)，填寫PSK認證密碼，跳轉到控制器界面填寫portal認證用戶名和密碼；設備上線后，自動加入到默認模板中，控制器下發(fā)模板中的配置；提供SSID類型EmployeeSSID：雇員專用，可以上網(wǎng)和訪問企業(yè)內(nèi)部資源及站點GuestSSID：訪客使用，只能上網(wǎng)，不能訪問企業(yè)內(nèi)部資源或站點自定義SSID：可以上網(wǎng)和訪問企業(yè)內(nèi)部資源及站點支持認證方式PSK認證Portal認證（用戶名和密碼，支持mac優(yōu)先的portal認證）SiteWANL2CPELoopbackSSIDEmployeeSSIDGuestVLAN1000VLAN1001BD10BD11VirtualServicedomain(servicechain)CloudCPECloudFWVXLANoverIPSecvBDIF10InternetvBDIF11AgileController-CampusPortalserver/認證服務器DualLinkRedundancy方案簡介電商Portal中可以基于Site維度選購雙鏈路可靠性。LTE+Eth或者Eth+Eth上行接入,兩條鏈路實現(xiàn)主備模式。CPE與CloudCPE之間使用Loopback地址建立內(nèi)層VxLAN隧道，再利用CPE上兩個端口和CloudCPE之間建立兩條外層IPSec隧道。配置NQA檢測主用隧道狀態(tài)，即檢測主用WAN口到對端WAN的可達性。主備默認路由優(yōu)先級不同，下一跳指向主備WAN口，并與NQA聯(lián)動實現(xiàn)主備切換；IPSec隧道在IKE中配置與NQA聯(lián)動，實現(xiàn)快速主備切換。方案亮點支持雙鏈路上行形成主備，提高方案可靠性。方案價值企業(yè)用戶獲得雙鏈路可靠性，業(yè)務可靠性大大提高；運營商獲得更多的商業(yè)機會，可以為企業(yè)提供可靠性業(yè)務。租戶按需訂購和業(yè)務自動化部署模式大大降低運營商的運維成本。CPE1CPE1CloudCPEPOP1/DC1InternetCloudFWEth1Eth2WANVxLAN/vxlanoverIPSecCloudCPECloudFWEthLTEWANActivePortStandbyPortLoopbackInterface租戶A站點1租戶B站點1VxLAN/vxlanoverIPSec主備vCPE可靠性一般情況下，租戶是不感知CLoudCPE/FW的主備的，IES靜態(tài)指定是否需要主備部署。IES需要拉起主備CloudCPE，并指定親和屬性異機部署。IES告知AC主備CloudCPE，AC按組管理，同時告知AC主備CloudCPE的互聯(lián)口以及IP地址主備CloudCPE向AC注冊AC自動下發(fā)鏡像相關的配置主備CloudCPE根據(jù)VRRP/HRP決策主備，備份CloudCPE的業(yè)務接口自動置downIES通過AC下發(fā)基礎配置，譬如接口IP等，AC自動復制配置到備份CloudCPE。IES給AC下發(fā)業(yè)務配置，譬如VXLAN隧道，AC給主CloudCPE分解配置的時候，自動給備份CloudCPE下發(fā)一份。由于只有主CloudCPE的端口UP，外部設備，CPE或者CloudFW只會看到主CloudCPE，建立通道。若主CloudCPE故障，備份CloudCPE通過VRRP/HRP感知到故障，將自身接口設置為UP，刷新ARP，CPE的隧道報文轉發(fā)到POP的GW，GW自動將報文轉發(fā)到備份CloudCPE主備狀態(tài)異常時（單主，備托管或者雙主，主備雙托管），此時IES下發(fā)的配置，AC給IES返回錯誤碼。主CloudCPE備CloudCPESW/GWCPE備份通道VRRPinternetIESACVNFMVIM①②③④⑤⑥⑦⑥⑧目錄CloudVPN全景與價值1CloudVPN解決方案2解決方案架構運維管理方案典型組網(wǎng)場景特性及功能簡述IESAgileControllerCEEMSeSightDriverAlarm&PerformanceTraffic(netstream)DCCECEInternetLGIMPLSCEvSGeSGPEPECE12800RRSecurityboarderQuality(T