【Agile Controller技术连载7】最强大脑,Agile Controller-Campus应用场景之业务随行

[复制链接]
发表于 : 2014-10-15 14:25:09 最新回复:2015-12-07 09:16:33
6612 9
最强大脑
最强大脑 官方号

 

随着移动终端的普及,移动办公的兴起,用户从任意终端设备,随时随地接入网络,并且体验流畅的诉求越来越觉强烈:

?  移动终端办公越来越多,不再局限于固定终端

?  出差到异地,通过分支机构任意接入点接入网络,权限、带宽与总部的权限、带宽保持一致

?  通过家里、酒店、酒吧或者咖啡厅等Internet网络接入公司,权限、带宽与公司的权限、带宽保持一致

目前园区网是基于IP为中心的网络,在部署的时候会规划好IP地址段和VLAN,并且根据业务情况提前规划好业务部署方案,由于策略配置分布于不同的设备上,因地域的不同,设备配置也不一样,如需满足用户随时随地接入网络体验一致的需求,需要调整各地设备的配置,费时费力。

为了解决上述问题,华为Agile Controller-Campus应运而生,“业务随行”完美地解决了为适应出差、移动办公而导致频繁手工调整各地设备配置的问题

什么是业务随行?

简单来说,业务随行就是指不管你园区网的哪个角落,只要接入网络,你的享受的带宽、网络权限是一致的。Agile Controller-Campus的业务随行主要包含访问控制权限随行和Qos策略随行。

业务随行主要有哪些应用场景呢?

VIP用户远程接入体验保证

VIP用户通过SSL VPN远程接入园区网络目前在网络体验上存在的两大问题:

?  离自己最近的SSL VPN网关上用户已经接满,导致必须通过其他城市的网关接入,增加了业务在Internet上的时延,导致网络体验不佳。

?  通过VPN网关接入内网后,由于在WANInternet边界等位置带宽有限,经常发生丢包,导致用户网络体验不佳。

业务随行解决方案通过以下措施解决VIP远程接入用户的端到端体验:

?  SSL VPN网关自动优选

终端上的SSL VPN客户端自动探测选择时延最短的VPN网关(SVN_nj)接入。

?  VIP优先接入

如果最优网关上用户数已满,该网关自动强制部分普通用户下线,为VIP用户释放资源,保证其正常接入。

?  VIP流量优先转发

                        u  有线接入用户:汇聚或核心交换机作为认证点进行控制。

u  无线接入用户:无线流量集中转发,核心交换机随板AC作为认证点进行控制。

u  L2TP VPN接入用户:互联网边界防火墙作为VPN网关和认证点进行控制。

u  SSL VPN接入用户:SVN作为VPN网关和认证点进行控制。

u  服务器主动发起访问:DC边界防火墙进行控制。

用户访问数据中心权限控制

企业控制用户访问数据中心的权限,主要存在两大需求:

?  用户可以在任意位置(分支、园区、出差)接入,可以使用多种接入方式(有线、无线、远程),可以使用多种接入认证技术(802.1/Portal/L2TP VPN/SSL VPN)。

?  根据企业管理的需要,同一用户在不同接入场景下的网络访问权限可以得到精细控制,既可以保持一致,也可以有所区分。

     业务随行解决方案通过以下措施解决用户访问数据中心权限控制的问题:

?  5W1H综合授权

用户接入认证时,认证中心根据该用户当前接入的5W1H条件,将其分配至某一安全组中。

?  策略自动部署

权限策略由Controller统一管理。管理员只需关注组间互访关系设计,并选取园区中关键位置设备作为策略执行点(通常为认证点交换机、边界防火墙/SVN),进行策略自动部署。

?  认证点和边界设备进行网络访问控制:

u  有线接入用户:汇聚或核心交换机作为认证点进行控制。

u  无线接入用户:无线流量集中转发,核心交换机随板AC作为认证点进行控制。

u  L2TP VPN接入用户:互联网边界防火墙作为VPN网关和认证点进行控制。

u  SSL VPN接入用户:SVN作为VPN网关和认证点进行控制。

u  服务器主动发起访问:DC边界防火墙进行控制。

跨部门/公司协作办公

企业实现跨部门/公司协作办公,主要有如下两大需求:

?  不同部门甚至不同公司的员工组建成一个团队协作开发同一个项目。他们需要在一起办公,但是不允许直接进行数据传输。必要的数据共享需要经过数据中心中转,以方便进行审批与监管。

?  同一项目团队的成员可能分散各地办公。项目周期短,项目团队快速组建和拆除,成员构成频繁变更。

     业务随行解决方案通过以下措施解决跨部门/公司协作办公的问题:

?  业务策略与IP地址解耦

团队成员变更时,只需在Controller上修改安全组和授权规则配置,无需修改网络设备上的业务策略。

?  策略自动部署

权限策略由Controller统一管理。管理员只需关注组间互访关系设计,并选取园区中关键位置设备作为策略执行点(通常为认证点交换机、核心防火墙、边界防火墙/SVN),进行策略自动部署。

?  认证点/边界设备进行网络访问控制:

u  同一认证点下用户互访:认证点(汇聚或核心交换机)进行控制。

u  同一园区跨认证点用户互访:引流至核心防火墙进行控制。

u  跨园区用户互访:流量经过园区边界时由边界防火墙进行控制。

u  VPN用户访问园区用户: VPN网关(SVN/边界防火墙)进行控制。

  

 往期内容回顾:【Controller技术连载贴汇总】

下期内容预告最强大脑,Agile Controller-Campus应用场景之业务链编排

  • x
  • 常规:

点评 回复

跳转到指定楼层
张志忠
张志忠  精英 发表于 2014-11-18 15:44:27 已赞(0) 赞(0)

如果能贴一些配置,就更好了!
  • x
  • 常规:

点评 回复

w00224205
w00224205   发表于 2014-11-14 10:44:04 已赞(0) 赞(0)

几个场景篇幅上跨度比较大,标出场景一、场景二。。。,会比较连贯

  • x
  • 常规:

点评 回复

w00224205
w00224205   发表于 2014-11-14 10:54:11 已赞(0) 赞(0)

业务随行主要有哪些应用场景呢?”,以为后面都是讲场景,忽略了方案,如果扩充一下标题,或者把方案独立出来,结构可能好些

 

另外,如果描述一下Controller如何控制执行点、用户属性的数据结构(身份、终端类型等),会更清晰连贯

  • x
  • 常规:

点评 回复

说啥呢
说啥呢   发表于 2015-12-6 17:39:15 已赞(0) 赞(0)

如果一栋大楼里面有个集团,集团下面有很多子公司,子公司之间不能互访,但是集团的总裁部接入无线要求能访问所有网络,这个业务随行可以做吗?还是通过网络让他互访的方式实现?

  • x
  • 常规:

点评 回复

最强大脑
最强大脑 官方号 发表于 2015-12-7 09:16:33 已赞(0) 赞(0)

回复 9 楼

您好,这个需求业务随行无法实现。建议咨询下设备专家。

  • x
  • 常规:

点评 回复

fcm
fcm  精英 发表于 2014-10-15 14:40:23 已赞(0) 赞(0)

学习一下,新概念的产品!
  • x
  • 常规:

点评 回复

ghsto
ghsto   发表于 2014-10-15 15:00:47 已赞(0) 赞(0)

概念确实不少
  • x
  • 常规:

点评 回复

千山鸟飞绝
千山鸟飞绝  导师 发表于 2014-10-15 15:03:44 已赞(0) 赞(0)

不错的基础知识普及资料。挺好挺好。期待下一期^_^
  • x
  • 常规:

点评 回复

z00225960
z00225960   发表于 2014-10-15 16:12:13 已赞(0) 赞(0)

内容很丰富详细,学到不少东西

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录