華為敏捷園區(qū)網(wǎng)解決方案深入分析

H3C基礎(chǔ)架構(gòu)解決方案——園區(qū)網(wǎng)解決方案工作組HW敏捷園區(qū)網(wǎng)解決方案分析在園區(qū)網(wǎng)方案競(jìng)爭(zhēng)中，HW給你帶來哪些困惑？隨板AC隨板Bras敏捷園區(qū)控制器（SDN）質(zhì)量守恒（IPCA）SVF安全協(xié)防產(chǎn)品競(jìng)爭(zhēng)止痛S77/97/12700X1E(隨板AC)線卡言過其實(shí)X1E系列線卡描述線卡帶寬ET1D2G48TX1E48端口十兆/百兆/千兆以太網(wǎng)電接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太網(wǎng)光接口板(X1E,SFP)48GET1D2S04SX1E4端口萬兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口萬兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)88G5、根據(jù)第2條分析，X1E必須與非X1E單板共存，但非X1E單板MAC，ARP，F(xiàn)IB,NetStream，buffer均遠(yuǎn)遠(yuǎn)低于X1E，交換機(jī)整機(jī)表項(xiàng)需同步，所以X1E高規(guī)格表項(xiàng)，根本無法發(fā)揮真實(shí)作用。1、X1E線卡作為隨板AC，宣稱可以管理4KAP?事實(shí)如此嗎？

整機(jī)性能：S7703/S9703:512、S7706/S7712:1024、S9706/S9712:2048、S12708/S12712:4096

單塊X1E規(guī)格僅僅為512個(gè)AP，遠(yuǎn)遠(yuǎn)低于業(yè)界規(guī)格.如果考慮AC備份，成本極高。2、X1E線卡最大帶寬是88G，而當(dāng)前主流的交換機(jī)線卡帶寬為480G,所以X1E不適合作為交換單板使用，需要配置非X1E單板與X1E單板共存，滿足正常交換帶寬。3、

X1E線卡作為隨板AC，僅支持無線業(yè)務(wù)從X1E單板接入。

組網(wǎng)復(fù)雜，無線必須從接入POE交換開始單獨(dú)組網(wǎng)，否則無法在X1E接口上區(qū)分無線與有線業(yè)務(wù)。4、

X1E線卡作為隨板AC，僅支持通過命令行方式配置業(yè)務(wù)，不支持通過WEB網(wǎng)管配置業(yè)務(wù)。

AP配置異常復(fù)雜，每個(gè)AP序列號(hào)均需錄入，通過命令行配置極其繁瑣極易出錯(cuò)。S77/97/12700X1E(隨板Bas)線卡言過其實(shí)2、X1E線卡作為隨板Bras,僅支持PPPoE業(yè)務(wù)從X1E單板接入？X1E線卡帶寬最大為88G，相當(dāng)于一個(gè)低端盒式交換機(jī)的帶寬，一定會(huì)成為網(wǎng)絡(luò)瓶頸。比如學(xué)生內(nèi)部打游戲。X1E系列線卡描述線卡帶寬ET1D2G48TX1E48端口十兆/百兆/千兆以太網(wǎng)電接口板(X1E,RJ45)*48GET1D2G48SX1E48端口百兆/千兆以太網(wǎng)光接口板(X1E,SFP)48GET1D2S04SX1E4端口萬兆光接口和24端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)72GET1D2S08SX1E8端口萬兆光接口和8端口百兆/千兆光接口和8端口十兆/百兆/千兆combo電接口板(X1E,RJ45/SFP/SFP+)88G4、

X1E線卡作為隨板Bras，PPPoE業(yè)務(wù)僅支持單層VLAN接入，不支持QinQ接入。華為在園區(qū)網(wǎng)，特別是校園網(wǎng)，一直以“運(yùn)營(yíng)網(wǎng)”方式推行方案.對(duì)于教職工區(qū)，就是運(yùn)營(yíng)網(wǎng)絡(luò)，沒有QinQ,如何區(qū)分業(yè)務(wù)，如何定位用戶。3、X1E線卡不支持MPLS園區(qū)網(wǎng)通過MPLS業(yè)務(wù)隔離是普遍需求，X1E不支持MPLS如何在園區(qū)網(wǎng)使用？1、X1E線卡作為隨板Bras,宣稱整機(jī)支持64K用戶數(shù)量，是否適合所有機(jī)型？華為64K用戶，特指PPPOE用戶：具體整機(jī)規(guī)格:S7703/S9703:8KS7706/S7712:16KS9706/S9712:32KS12708/S12712:64K。所以X1E每塊單板PPPOE規(guī)格為8K。如果要滿足64K用戶，必須是127，并且需配置8塊X1E單板，同時(shí)還需考慮備份，此方案成本極高。S77/97/12700X1E線卡大量功能缺失MPLSGRESFLOW用戶自定義ACL組播VPNVLL華為的license都配置了嗎？基礎(chǔ)特性(需授權(quán))MPLSIPV6NQA流量分析FW板卡（未授權(quán)狀態(tài)）虛擬防火墻（10）SSLVPN并發(fā)（100）FW板卡（授權(quán)）ET1D2FW00S0/1：max(500)

ET1D2FW00S02：max(1000)SSLVPNmax(5000個(gè))

IPS（未授權(quán)狀態(tài)）文件類型過濾內(nèi)容過濾應(yīng)用行為控制郵件內(nèi)容過濾審計(jì)功能國(guó)密算法（SM2/SM3/SM4）IPS（授權(quán)）入侵防御反病毒URL遠(yuǎn)程查詢XIE單板（未授權(quán)）IPV4FIB256KIPV6FIB128KPPPOE用戶256個(gè)WLANAP16個(gè)XIE單板（授權(quán)）IPV4FIB(max)：

S7703/S9703:256KS7706/S7712:512KS9706/S9712:1MS12708/S12712:3MIPV6FIB(max):S7703/S9703:128KS7706/S7712:256KS9706/S9712:464KS12708/S12712:464KPPPOE(max):S7703/S9703:8KS7706/S7712:16K

S9706/S9712:32KS12708/S12712:64KAP(max):S7703/S9703:512

S7706/S7712:1024S9706/S9712:2048S12708/S12712:4096機(jī)框出現(xiàn)故障，F(xiàn)W,IPSlicense必須重新申請(qǐng)，無法滿足緊急故障處理要求!敏捷園區(qū)網(wǎng)方案解密本篇你能了解到的………1、何為華為敏捷園區(qū)網(wǎng)方案？到底是質(zhì)的飛躍還是又一次概念的包裝？2、華為宣稱敏捷園區(qū)網(wǎng)的5大亮點(diǎn)解析？何為安全協(xié)防方案？何為有線無線深度融合方案？IRF3VSSVF？

質(zhì)量守恒(IPCA)是否無所不能？CampusAgileController到底為何物？

華為敏捷園區(qū)網(wǎng)解決方案華為認(rèn)為敏捷園區(qū)網(wǎng)與傳統(tǒng)園區(qū)網(wǎng)的三大改變：1、SDN引入園區(qū)網(wǎng)2、敏捷交換機(jī)替代傳統(tǒng)交換機(jī)3、安全能力池化華為敏捷園區(qū)網(wǎng)的亮點(diǎn)和價(jià)值業(yè)務(wù)隨行，自由移動(dòng)新體驗(yàn)：集中控制用戶策略，用戶權(quán)限，優(yōu)先級(jí)，帶寬，包括園區(qū)，分支接入，移動(dòng)接入；全網(wǎng)安全協(xié)防，從單點(diǎn)防護(hù)進(jìn)入全網(wǎng)防護(hù)年代：可以發(fā)現(xiàn)任意位置的安全侵入事件，徹底解決了移動(dòng)環(huán)境下存在大量安全威脅點(diǎn)，單點(diǎn)安全無法防護(hù)的問題。有線無線深度融合，讓運(yùn)維管理不再繁瑣：通過融合AC，有線無線流量可以統(tǒng)一轉(zhuǎn)發(fā)；通過超級(jí)虛擬交換網(wǎng)技術(shù)SVF，創(chuàng)新性地將盒式接入交換機(jī)和AP分別虛擬為核心/匯聚框式交換機(jī)的板卡和端口，管理一個(gè)網(wǎng)絡(luò)就像管理一臺(tái)交換機(jī)一樣簡(jiǎn)單；通過融合用戶認(rèn)證和管理功能，為有線無線用戶提供統(tǒng)一認(rèn)證和接入策略控制，管理員可以獲得一致的用戶管理體驗(yàn)。質(zhì)量感知，第一次讓IP感知質(zhì)量：包守恒算法iPCA全可編程&一機(jī)雙平面，第一次實(shí)現(xiàn)SDN在園區(qū)網(wǎng)絡(luò)直接部署：基于華為自研的具備全可編程的ENP芯片，使設(shè)備的轉(zhuǎn)發(fā)功能具備向未來標(biāo)準(zhǔn)演進(jìn)的能力，可以直接通過Controller來自定義設(shè)備的轉(zhuǎn)發(fā)行為，大大縮減了新功能和新業(yè)務(wù)的上線時(shí)間，從根本上具備了讓網(wǎng)絡(luò)實(shí)現(xiàn)軟件定義的能力業(yè)務(wù)隨行，第一次把網(wǎng)絡(luò)資源跟人關(guān)聯(lián)起來，讓網(wǎng)絡(luò)資源自動(dòng)跟隨人移動(dòng)，第一次讓網(wǎng)絡(luò)變得人性化，讓上班族獲得自由。華為敏捷園區(qū)網(wǎng)解決方案亮點(diǎn)1——業(yè)務(wù)隨行，移動(dòng)接入業(yè)務(wù)隨行，移動(dòng)接入Agilecontroller可以操作用戶，位置信息，這個(gè)太神奇了！我們看看Openflow1.3十元組：好像沒有USERXXX信息好像也沒有LocationXXX信息Esight？Esight？策略隨行：集中式策略，組間精細(xì)控制對(duì)應(yīng)我司EIA業(yè)務(wù)隨行，自由移動(dòng)新體驗(yàn)小結(jié)：類似HW

BYOD方案，不同用戶，不同地點(diǎn)，不同訪問權(quán)限！AglieController:好像是Esight全網(wǎng)安全協(xié)防，從單點(diǎn)防護(hù)進(jìn)入全網(wǎng)防護(hù)年代華為敏捷園區(qū)網(wǎng)解決方案亮點(diǎn)2——全網(wǎng)安全協(xié)防全網(wǎng)安全協(xié)防實(shí)現(xiàn)安全協(xié)防的Controller設(shè)備ManagerController實(shí)際就是SOC看看我司安全聯(lián)動(dòng)方案安全管理中心AAA/EAD1.黑客攻擊事件3.單事件響應(yīng)，下發(fā)策略(自動(dòng)或手動(dòng))：防火墻限連接；限應(yīng)用；IPS限流4.下線或隔離用戶限連接限流限應(yīng)用隔離或下線、黑名單ServersIPSACGFW接入1.黑客攻擊事件2.

事件升告警，并基于告警下發(fā)聯(lián)動(dòng)動(dòng)作策小結(jié)：AglieController:好像是soc全網(wǎng)安全協(xié)防，從單點(diǎn)防護(hù)進(jìn)入全網(wǎng)防護(hù)年代：抄襲我司方案有線無線深度融合，融合了轉(zhuǎn)發(fā)，融合了管理，融合了策略控制，讓企業(yè)無線網(wǎng)絡(luò)的部署變得前所未有的簡(jiǎn)潔，極致簡(jiǎn)化園區(qū)有線無線網(wǎng)絡(luò)的運(yùn)維管理工作。華為敏捷園區(qū)網(wǎng)解決方案亮點(diǎn)3——有線無線深度融合有線無線深度融合，讓運(yùn)維管理不再繁瑣華為認(rèn)為，11AC時(shí)代AC的轉(zhuǎn)發(fā)能力不足，AC與交換機(jī)融合，利用交換機(jī)Tbit轉(zhuǎn)發(fā)性能彌補(bǔ)AC性能，可以嗎?前面在進(jìn)行產(chǎn)品分析時(shí)，隨板AC已經(jīng)分析，基本不可用!SVF架構(gòu)(SuperVirtualFabric)Capwap隧道Capwap隧道Capwap隧道屬性\技術(shù)SVFIRF3協(xié)議CapwapIRF3技術(shù)屬性類集群技術(shù)網(wǎng)絡(luò)虛擬化技術(shù)功能配置統(tǒng)一管理簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)小結(jié)：SVFVSIRF3SVF實(shí)際上通過Capwap協(xié)議對(duì)有線接入交換機(jī)與無線AP實(shí)現(xiàn)統(tǒng)一管理，在配置上形成集中，有線無線在一個(gè)巨大Campus網(wǎng)絡(luò)下僅僅需要維護(hù)一份配置。這種方式存在以下幾個(gè)問題。1、Capwap管理配置不適合有線。原因如下，capwap的模式分為三級(jí)：全局配置、分組配置、組員配置這種配置管理方式是典型的無線AP管理方式，因?yàn)锳P的配置按照分組來配置，配置基本相同。如果接入有線交換機(jī)也如此配置，配置量是非常大的，維護(hù)起來極為不方便。2、Capwap隧道必須依靠芯片轉(zhuǎn)發(fā)，對(duì)芯片要求高。目前X1E的性能最高為88G，有線無線同時(shí)轉(zhuǎn)發(fā)，存在嚴(yán)重性能瓶頸，而采用本地轉(zhuǎn)發(fā)又會(huì)丟失很多無線特性。3、SVF無法解決傳統(tǒng)網(wǎng)絡(luò)問題：二層環(huán)路，三層設(shè)備無法工作AA模式質(zhì)量感知，第一次讓IP感知質(zhì)量華為敏捷園區(qū)網(wǎng)解決方案亮點(diǎn)4——質(zhì)量感知質(zhì)量感知IPCAIPCA：進(jìn)入系統(tǒng)的包+內(nèi)部產(chǎn)生的包=離開系統(tǒng)的包+內(nèi)部吸收的包IPCA的工作場(chǎng)景——設(shè)備級(jí)監(jiān)控1、利用IPCA監(jiān)控ENP單板故障2、利用ENP包圍方式監(jiān)控交換網(wǎng)故障3、非ENP單板無法監(jiān)控故障1、整網(wǎng)均為華為敏捷系列，使能IPCA即可監(jiān)控2、目前華為敏捷系列交換機(jī)為S127，S97，S93，S77，57,USG6000，并非全系列款型。IPCA的工作場(chǎng)景——網(wǎng)絡(luò)級(jí)監(jiān)控敏捷系列敏捷系列敏捷系列非敏捷/非華為設(shè)備1、通過包圍方式監(jiān)控非華為/非敏捷設(shè)備2、組網(wǎng)局限性，非華為設(shè)備必須只能與敏捷系列連接敏捷系列敏捷系列敏捷系列敏捷系列利用敏捷系列監(jiān)控廣域網(wǎng)鏈路監(jiān)控似乎是不錯(cuò)的方案，前提是所有廣域網(wǎng)設(shè)備都是ENP小結(jié)：從算法上來了解IPCA的局限性華為IPCA網(wǎng)絡(luò)級(jí)丟包統(tǒng)計(jì)基于IPFPM（靈活包匹配）實(shí)現(xiàn)，IPFPM是一種可以實(shí)現(xiàn)對(duì)點(diǎn)到點(diǎn)網(wǎng)絡(luò)或者多點(diǎn)到多點(diǎn)網(wǎng)絡(luò)中業(yè)務(wù)流進(jìn)行直接測(cè)量，得到丟包率、丟包數(shù)量等性能指標(biāo)的統(tǒng)計(jì)方法。1、FPM不支持組播數(shù)據(jù)包的檢測(cè)。2、FPM不支持隧道接口和MPLS接口。3、FPM不能執(zhí)行IP包的分片或者TCP流的重組。4、FPM不能使用IP選項(xiàng)來對(duì)數(shù)據(jù)包進(jìn)行分類。5、FPM是一種無狀態(tài)不能緩解網(wǎng)絡(luò)攻擊，因?yàn)榫徑夤羰切枰袪顟B(tài)的數(shù)據(jù)包分類。因?yàn)镕PM是無狀態(tài)的，所以它不能跟蹤由協(xié)議控制的自協(xié)商的端口號(hào)，換句話說，如果需要使用FPM技術(shù)，那么必須手工的定義端口號(hào)。6、FPM檢測(cè)只對(duì)IPv4的單播數(shù)據(jù)包有效。IPCA技術(shù)雖好，但使用局限性太多！CampusAgileControle到底為何物？

EsightSOC………SDNControllerCampusAgileController詳解1、華為敏捷控制器AgileController是什么？2、華為敏捷控制器剖析？以業(yè)務(wù)體驗(yàn)為中心重新定義網(wǎng)絡(luò)？基于全網(wǎng)視角的安全協(xié)防？產(chǎn)品開放合作能力？華為敏捷控制器是什么？華為敏捷控制器是什么–是eSight的包裝嗎？1、AgileController與eSight完全不同界面風(fēng)格。2、AgileController與eSight的授權(quán)模式完全不同。3、AgileController與eSight的功能有所不同。AgileController不是eSight的包裝，是PolicyCenter（來自于華賽）

華為敏捷控制器是什么–有哪些功能？相當(dāng)于我司EIA+EIP華為敏捷控制器是什么–有哪些功能？后文深度剖析華為敏捷控制器是什么–有哪些功能？EAD+行為審計(jì)+SSM功能類似華為敏捷控制器是什么–“業(yè)務(wù)編排”重點(diǎn)功能剖析（一）華為敏捷控制器是什么–“業(yè)務(wù)編排”重點(diǎn)功能剖析（二）GRE隧道？核心交換(編排設(shè)備)與業(yè)務(wù)設(shè)備建立GRE隧道在交換與安全設(shè)備之間建立GRE隧道，實(shí)現(xiàn)是業(yè)務(wù)分流，是很高明的做法嗎？交換機(jī)GRE隧道規(guī)格？多路徑？等問題如何處理？華為敏捷控制器是什么–“業(yè)務(wù)隨行”重點(diǎn)功能剖析？業(yè)務(wù)隨行解決的問題： 1、在園區(qū)網(wǎng)不同位置接入網(wǎng)絡(luò)訪問權(quán)限無法保持一致 2、VIP用戶的網(wǎng)絡(luò)帶寬無法得到保證的問題業(yè)務(wù)隨行兩個(gè)關(guān)鍵對(duì)象–安全組：

安全組，區(qū)分不同的安全組的目的在于方便管理員控制不同的安全組之間的訪問權(quán)限。

安全組列表最多支持512個(gè)安全組。每個(gè)安全組最多支持綁定64