華為敏捷園區(qū)網(wǎng)解決方案深入分析

H3C基礎架構解決方案——園區(qū)網(wǎng)解決方案工作組HW敏捷園區(qū)網(wǎng)解決方案分析在園區(qū)網(wǎng)方案競爭中，HW給你帶來哪些困惑？隨板AC隨板Bras敏捷園區(qū)控制器（SDN）質(zhì)量守恒（IPCA）SVF安全協(xié)防產(chǎn)品競爭止痛S77/97/12700X1E(隨板AC)線卡言過其實X1E系列線卡描述線卡帶寬ET1D2G48TX1E48端口十兆/百兆/千兆以太網(wǎng)電接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太網(wǎng)光接口板(X1E,SFP)48GET1D2S04SX1E4端口萬兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口萬兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)88G5、根據(jù)第2條分析，X1E必須與非X1E單板共存，但非X1E單板MAC，ARP，F(xiàn)IB,NetStream，buffer均遠遠低于X1E，交換機整機表項需同步，所以X1E高規(guī)格表項，根本無法發(fā)揮真實作用。1、X1E線卡作為隨板AC，宣稱可以管理4KAP?事實如此嗎？

整機性能：S7703/S9703:512、S7706/S7712:1024、S9706/S9712:2048、S12708/S12712:4096

單塊X1E規(guī)格僅僅為512個AP，遠遠低于業(yè)界規(guī)格.如果考慮AC備份，成本極高。2、X1E線卡最大帶寬是88G，而當前主流的交換機線卡帶寬為480G,所以X1E不適合作為交換單板使用，需要配置非X1E單板與X1E單板共存，滿足正常交換帶寬。3、

X1E線卡作為隨板AC，僅支持無線業(yè)務從X1E單板接入。

組網(wǎng)復雜，無線必須從接入POE交換開始單獨組網(wǎng)，否則無法在X1E接口上區(qū)分無線與有線業(yè)務。4、

X1E線卡作為隨板AC，僅支持通過命令行方式配置業(yè)務，不支持通過WEB網(wǎng)管配置業(yè)務。

AP配置異常復雜，每個AP序列號均需錄入，通過命令行配置極其繁瑣極易出錯。S77/97/12700X1E(隨板Bas)線卡言過其實2、X1E線卡作為隨板Bras,僅支持PPPoE業(yè)務從X1E單板接入？X1E線卡帶寬最大為88G，相當于一個低端盒式交換機的帶寬，一定會成為網(wǎng)絡瓶頸。比如學生內(nèi)部打游戲。X1E系列線卡描述線卡帶寬ET1D2G48TX1E48端口十兆/百兆/千兆以太網(wǎng)電接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太網(wǎng)光接口板(X1E,SFP)48GET1D2S04SX1E4端口萬兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口萬兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)88G4、

X1E線卡作為隨板Bras，PPPoE業(yè)務僅支持單層VLAN接入，不支持QinQ接入。華為在園區(qū)網(wǎng)，特別是校園網(wǎng)，一直以“運營網(wǎng)”方式推行方案.對于教職工區(qū)，就是運營網(wǎng)絡，沒有QinQ,如何區(qū)分業(yè)務，如何定位用戶。3、X1E線卡不支持MPLS園區(qū)網(wǎng)通過MPLS業(yè)務隔離是普遍需求，X1E不支持MPLS如何在園區(qū)網(wǎng)使用？1、X1E線卡作為隨板Bras,宣稱整機支持64K用戶數(shù)量，是否適合所有機型？華為64K用戶，特指PPPOE用戶：具體整機規(guī)格:S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64K。所以X1E每塊單板PPPOE規(guī)格為8K。如果要滿足64K用戶，必須是127，并且需配置8塊X1E單板，同時還需考慮備份，此方案成本極高。S77/97/12700X1E線卡大量功能缺失MPLSGRESFLOW用戶自定義ACL組播VPNVLL華為的license都配置了嗎？基礎特性(需授權)MPLSIPV6NQA流量分析FW板卡（未授權狀態(tài)）虛擬防火墻（10）SSLVPN并發(fā)（100）FW板卡（授權）ET1D2FW00S0/1：max(500)

ET1D2FW00S02：max(1000)SSLVPNmax(5000個)

IPS（未授權狀態(tài)）文件類型過濾內(nèi)容過濾應用行為控制郵件內(nèi)容過濾審計功能國密算法（SM2/SM3/SM4）IPS（授權）入侵防御反病毒URL遠程查詢XIE單板（未授權）IPV4FIB256KIPV6FIB128KPPPOE用戶256個WLANAP16個XIE單板（授權）IPV4FIB(max)：

S7703/S9703:256KS7706/S7712:512KS9706/S9712:1MS12708/S12712:3MIPV6FIB(max):S7703/S9703:128KS7706/S7712:256KS9706/S9712:464KS12708/S12712:464KPPPOE(max):S7703/S9703:8KS7706/S7712:16K

S9706/S9712:32KS12708/S12712:64KAP(max):S7703/S9703:512

S7706/S7712:1024S9706/S9712:2048S12708/S12712:4096機框出現(xiàn)故障，F(xiàn)W,IPSlicense必須重新申請，無法滿足緊急故障處理要求!敏捷園區(qū)網(wǎng)方案解密本篇你能了解到的………1、何為華為敏捷園區(qū)網(wǎng)方案？到底是質(zhì)的飛躍還是又一次概念的包裝？2、華為宣稱敏捷園區(qū)網(wǎng)的5大亮點解析？何為安全協(xié)防方案？何為有線無線深度融合方案？IRF3VSSVF？

質(zhì)量守恒(IPCA)是否無所不能？CampusAgileController到底為何物？

華為敏捷園區(qū)網(wǎng)解決方案華為認為敏捷園區(qū)網(wǎng)與傳統(tǒng)園區(qū)網(wǎng)的三大改變：1、SDN引入園區(qū)網(wǎng)2、敏捷交換機替代傳統(tǒng)交換機3、安全能力池化華為敏捷園區(qū)網(wǎng)的亮點和價值業(yè)務隨行，自由移動新體驗：集中控制用戶策略，用戶權限，優(yōu)先級，帶寬，包括園區(qū)，分支接入，移動接入；全網(wǎng)安全協(xié)防，從單點防護進入全網(wǎng)防護年代：可以發(fā)現(xiàn)任意位置的安全侵入事件，徹底解決了移動環(huán)境下存在大量安全威脅點，單點安全無法防護的問題。有線無線深度融合，讓運維管理不再繁瑣：通過融合AC，有線無線流量可以統(tǒng)一轉發(fā)；通過超級虛擬交換網(wǎng)技術SVF，創(chuàng)新性地將盒式接入交換機和AP分別虛擬為核心/匯聚框式交換機的板卡和端口，管理一個網(wǎng)絡就像管理一臺交換機一樣簡單；通過融合用戶認證和管理功能，為有線無線用戶提供統(tǒng)一認證和接入策略控制，管理員可以獲得一致的用戶管理體驗。質(zhì)量感知，第一次讓IP感知質(zhì)量：包守恒算法iPCA全可編程&一機雙平面，第一次實現(xiàn)SDN在園區(qū)網(wǎng)絡直接部署：基于華為自研的具備全可編程的ENP芯片，使設備的轉發(fā)功能具備向未來標準演進的能力，可以直接通過Controller來自定義設備的轉發(fā)行為，大大縮減了新功能和新業(yè)務的上線時間，從根本上具備了讓網(wǎng)絡實現(xiàn)軟件定義的能力業(yè)務隨行，第一次把網(wǎng)絡資源跟人關聯(lián)起來，讓網(wǎng)絡資源自動跟隨人移動，第一次讓網(wǎng)絡變得人性化，讓上班族獲得自由。華為敏捷園區(qū)網(wǎng)解決方案亮點1——業(yè)務隨行，移動接入業(yè)務隨行，移動接入Agilecontroller可以操作用戶，位置信息，這個太神奇了！我們看看Openflow1.3十元組：好像沒有USERXXX信息好像也沒有LocationXXX信息Esight？Esight？策略隨行：集中式策略，組間精細控制對應我司EIA業(yè)務隨行，自由移動新體驗小結：類似HW

BYOD方案，不同用戶，不同地點，不同訪問權限！AglieController:好像是Esight全網(wǎng)安全協(xié)防，從單點防護進入全網(wǎng)防護年代華為敏捷園區(qū)網(wǎng)解決方案亮點2——全網(wǎng)安全協(xié)防全網(wǎng)安全協(xié)防實現(xiàn)安全協(xié)防的Controller設備ManagerController實際就是SOC看看我司安全聯(lián)動方案安全管理中心AAA/EAD1.黑客攻擊事件3.單事件響應，下發(fā)策略(自動或手動)：防火墻限連接；限應用；IPS限流4.下線或隔離用戶限連接限流限應用隔離或下線、黑名單ServersIPSACGFW接入1.黑客攻擊事件2.

事件升告警，并基于告警下發(fā)聯(lián)動動作策小結：AglieController:好像是soc全網(wǎng)安全協(xié)防，從單點防護進入全網(wǎng)防護年代：抄襲我司方案有線無線深度融合，融合了轉發(fā)，融合了管理，融合了策略控制，讓企業(yè)無線網(wǎng)絡的部署變得前所未有的簡潔，極致簡化園區(qū)有線無線網(wǎng)絡的運維管理工作。華為敏捷園區(qū)網(wǎng)解決方案亮點3——有線無線深度融合有線無線深度融合，讓運維管理不再繁瑣華為認為，11AC時代AC的轉發(fā)能力不足，AC與交換機融合，利用交換機Tbit轉發(fā)性能彌補AC性能，可以嗎?前面在進行產(chǎn)品分析時，隨板AC已經(jīng)分析，基本不可用!SVF架構(SuperVirtualFabric)Capwap隧道Capwap隧道Capwap隧道屬性\技術SVFIRF3協(xié)議CapwapIRF3技術屬性類集群技術網(wǎng)絡虛擬化技術功能配置統(tǒng)一管理簡化網(wǎng)絡結構小結：SVFVSIRF3SVF實際上通過Capwap協(xié)議對有線接入交換機與無線AP實現(xiàn)統(tǒng)一管理，在配置上形成集中，有線無線在一個巨大Campus網(wǎng)絡下僅僅需要維護一份配置。這種方式存在以下幾個問題。1、Capwap管理配置不適合有線。原因如下，capwap的模式分為三級：全局配置、分組配置、組員配置這種配置管理方式是典型的無線AP管理方式，因為AP的配置按照分組來配置，配置基本相同。如果接入有線交換機也如此配置，配置量是非常大的，維護起來極為不方便。2、Capwap隧道必須依靠芯片轉發(fā)，對芯片要求高。目前X1E的性能最高為88G，有線無線同時轉發(fā)，存在嚴重性能瓶頸，而采用本地轉發(fā)又會丟失很多無線特性。3、SVF無法解決傳統(tǒng)網(wǎng)絡問題：二層環(huán)路，三層設備無法工作AA模式質(zhì)量感知，第一次讓IP感知質(zhì)量華為敏捷園區(qū)網(wǎng)解決方案亮點4——質(zhì)量感知質(zhì)量感知IPCAIPCA：進入系統(tǒng)的包+內(nèi)部產(chǎn)生的包=離開系統(tǒng)的包+內(nèi)部吸收的包IPCA的工作場景——設備級監(jiān)控1、利用IPCA監(jiān)控ENP單板故障2、利用ENP包圍方式監(jiān)控交換網(wǎng)故障3、非ENP單板無法監(jiān)控故障1、整網(wǎng)均為華為敏捷系列，使能IPCA即可監(jiān)控2、目前華為敏捷系列交換機為S127，S97，S93，S77，57,USG6000，并非全系列款型。IPCA的工作場景——網(wǎng)絡級監(jiān)控敏捷系列敏捷系列敏捷系列非敏捷/非華為設備1、通過包圍方式監(jiān)控非華為/非敏捷設備2、組網(wǎng)局限性，非華為設備必須只能與敏捷系列連接敏捷系列敏捷系列敏捷系列敏捷系列利用敏捷系列監(jiān)控廣域網(wǎng)鏈路監(jiān)控似乎是不錯的方案，前提是所有廣域網(wǎng)設備都是ENP小結：從算法上來了解IPCA的局限性華為IPCA網(wǎng)絡級丟包統(tǒng)計基于IPFPM（靈活包匹配）實現(xiàn)，IPFPM是一種可以實現(xiàn)對點到點網(wǎng)絡或者多點到多點網(wǎng)絡中業(yè)務流進行直接測量，得到丟包率、丟包數(shù)量等性能指標的統(tǒng)計方法。1、FPM不支持組播數(shù)據(jù)包的檢測。2、FPM不支持隧道接口和MPLS接口。3、FPM不能執(zhí)行IP包的分片或者TCP流的重組。4、FPM不能使用IP選項來對數(shù)據(jù)包進行分類。5、FPM是一種無狀態(tài)不能緩解網(wǎng)絡攻擊，因為緩解攻擊是需要有狀態(tài)的數(shù)據(jù)包分類。因為FPM是無狀態(tài)的，所以它不能跟蹤由協(xié)議控制的自協(xié)商的端口號，換句話說，如果需要使用FPM技術，那么必須手工的定義端口號。6、FPM檢測只對IPv4的單播數(shù)據(jù)包有效。IPCA技術雖好，但使用局限性太多！CampusAgileControle到底為何物？

EsightSOC………SDNControllerCampusAgileController詳解1、華為敏捷控制器AgileController是什么？2、華為敏捷控制器剖析？以業(yè)務體驗為中心重新定義網(wǎng)絡？基于全網(wǎng)視角的安全協(xié)防？產(chǎn)品開放合作能力？華為敏捷控制器是什么？華為敏捷控制器是什么–是eSight的包裝嗎？1、AgileController與eSight完全不同界面風格。2、AgileController與eSight的授權模式完全不同。3、AgileController與eSight的功能有所不同。AgileController不是eSight的包裝，是PolicyCenter（來自于華賽）

華為敏捷控制器是什么–有哪些功能？相當于我司EIA+EIP華為敏捷控制器是什么–有哪些功能？后文深度剖析華為敏捷控制器是什么–有哪些功能？EAD+行為審計+SSM功能類似華為敏捷控制器是什么–“業(yè)務編排”重點功能剖析（一）華為敏捷控制器是什么–“業(yè)務編排”重點功能剖析（二）GRE隧道？核心交換(編排設備)與業(yè)務設備建立GRE隧道在交換與安全設備之間建立GRE隧道，實現(xiàn)是業(yè)務分流，是很高明的做法嗎？交換機GRE隧道規(guī)格？多路徑？等問題如何處理？華為敏捷控制器是什么–“業(yè)務隨行”重點功能剖析？業(yè)務隨行解決的問題： 1、在園區(qū)網(wǎng)不同位置接入網(wǎng)絡訪問權限無法保持一致 2、VIP用戶的網(wǎng)絡帶寬無法得到保證的問題業(yè)務隨行兩個關鍵對象–安全組：

安全組，區(qū)分不同的安全組的目的在于方便管理員控制不同的安全組之間的訪問權限。

安全組列表最多支持512個安全組。每個安全組最多支持綁定64