方案简介
伴随网络高速发展带来用户对网络需求更多元化,网络设备数量,终端数量的爆炸式增长必然会加大网络维护的难度,增加大量低级的常规维护工作,这一系列的连锁反应终将带来运维费用的不断增加,同时带来的安全问题也不容忽视,无法安全控制接入网络的设备,人员行为控制混乱,由此传统网络越来越不能满足用户需要,在网络新趋势下显得僵化,繁琐,急需寻求一种新型的网络改善这一普遍现象,由此77779193永利BD-LAN园区网解决方案应运而生。
77779193永利BD-LAN(业务驱动园区网)解决方案是77779193永利公司研发的一套基于SDN理念的下一代园区网解决方案,该解决方案面向企业园区,多园区等应用场景,提供优于传统技术的业务体验,在各网络应用场景中实现对各类基础转发组件进行基于应用的网络自动化部署,高效运维和网络可视化,实现网络与业务的完美结合。
77779193永利BD-LAN(业务驱动园区网)解决方案由控制器和网络设备共同组成,采用标准的ODL转控分离架构,统一整合全网资源,提供包括园区网络设备的零配置上线,业务自动部署,一键替换等智能运维功能支撑业务的敏捷部署;还能对拓扑,流量,资源,业务进行可视化管理;在网络安全这块,提供各种接入认证方式,满足各类物联终端快速且安全的接入网络,并通过策略随行功能,一劳永逸的解决传统网络中策略变更困难,繁琐的问题。
方案特色
1、智能运维
1.1 零配置开局
网络设备零IP、零配置的情况下,通过控制器集中收集和处理网络设备角色信息,并根据策略自动的对设备进行注册和初始化,极大的节省部署时间、降低部署难度,做到真正的即插即用。
1.2 一键替换
由控制器对替换设备的身份进行识别,并对设备准入进行判断,在杜绝非法设备接入的安全隐患的情况下,保障替换设备安全、正确、快速的开通,确保业务快速恢复。
1.3 拼图式的业务编排
基于SDN转控分离思想,重新定义业务编排,告别基于设备的ACL、QOS、VLAN等命令行式部署模式,重新整理业务部署逻辑,使业务开通简单化、自动化、智能化。可极大减少业务部署时间、提升业务部署效率,而且网络规模越大,效果越明显,让业务开通变成了一款“拼图游戏”。
2、极简接入
2.1 AnyConect
基于SDN的园区网统一和融合802.1x、WebAuth(与有线无线统一同时支持)、MacAuth多种认证方式,为园区网络中的各类办公、物联、BYOD设备提供更适合和便捷的AnyConnet接入方案。基于地址的跟随、物联设备自动识别、自助式向导服务为用户提供更快捷、无感知的良好体验。
2.2 策略随行
基于策略化的网络资源/权限分配。不论是移动办公、移机、办公地点更换、还是外派,不论是访问控制策略需要随动而同、还是需要随动而异,均可以获取最便捷的统一方案,无论身在何处,保证体验的一致性,权限变化性的有机统一。
3、协同安全
3.1 软件定义访问控制
基于统一身份引擎与统一策略引擎,将访问控制定义为终端认证、设备可信、动态策略三个维度,将用户名、终端、网络设备、业务子网、用户组、位置及时间等作为判定身份和状态的统一标识。不再单一的将用户与权限绑定、打破设备固化网络策略的限制,通过软件定义更高级别的边界安全。
3.2 传统安全融合
通过终端脆弱性扫描,可以仅让符合条件的终端才能接入网终端脆弱性是一种利用网络扫描和嗅探技术实现的对终端运行环境安全检测的技术。络(比如仅让windows终端接入网络)。也可以协助管理员发现终端开发的高危端口,并通过网络方式对端口进行隔离保护,避免终端被攻击,从而通过网络方式对终端情况进行实时扫描和访问权限保护,降低终端安全部署和管理成本。
3.3 传统安全融合
具备2次解封和重封装VXLAN报文、解密和重加密的能力,新网络仍可引入传统安全设施,保护已有资产价值,扩充安全防护能力,新型园区网建设与原有安全设施零冲突。
4、网络透视
4.1 业务可视化
基于业务,应用,等多维度流量分析,让“业务”清晰可见。
4.2 资源可视化
对全网资源进行可视化分析呈现,包括:接入用户可视,设备资源可视,终端资产可视,IP资源可视。
接入用户可视:感知用户接入,展示用户在线数,位置信息,接入历史情况,并可对接入用户进行隔离,强制下线等操作。
设备资源可视:呈现网络设备运行情况,在线设备数,类型,名称,并显示网络设备的CPU趋势,内存趋势,温度趋势,流量趋势。
终端资产可视:扫描全网终端资产,智能识别终端资产厂商,类型,接入位置,IP,MAC,在线时间等信息,并形成资产基线,当异常资产,或终端位置变化后会发错告警通知,有防私接的能力。
IP资源可视: 感知IP接入情况,统计IP接入信息,清晰呈现IP资源使用情况,并可对特殊IP进行禁用,收回等操作,方便IP管理。
4.3 网络风险预警
对设备各种性能负载情况、容量指标情况、网络带宽情况进行综合检测分析,形成网络健康分析报表,对潜在风险进行提前预警,对性能容量瓶颈,进行扩容建议。
4.4 大屏
大屏展示为用户提供60+网络关键状态信息组件,带给客户更加直观和形象的体验,充分体现IT运维价值。
软件特性
项目 | 产品规格 |
可视化运维 | 支持大屏展示,展示设备地理位置、网络TOPO、OVERLAY topo,设备状态、流量等系统监控组件 |
支持网络拓扑展示,展示网络中设备/链路连接关系、链路拥塞状况 | |
支持端口流量统计,展示端口实时流量 | |
支持应用流量统计,展示应用实时流量 | |
支持设备接口流量统计,展示设备接口流量 | |
支持IP资源管理,可回收IP | |
支持终端资源管理,管理终端IP,MAC,厂商 | |
支持设备实时配置查看,可从控制器实时读取设备配置 | |
支持链路带宽实时测量,展示链路真实带宽 | |
支持链路带宽、延时、抖动、丢包率实时监测,展示链路实时质量 | |
支持网络拓扑自动发现,自动在网络拓扑中绘制设备链接关系 | |
支持故障设备一键替换 | |
支持拼图式的业务编排,基于用户,资源,策略维度对网络进行业务编排,控制器自动识别编排语言,翻译为设备语言,自动下发到对应设备,快速开通业务 | |
极简接入 | 支持零配置开局,设备即插即用 |
支持 802.1x、mac认证、portal 等多种认证方式,实现更安全更细致的登录控制 | |
支持策略随行,用户不论办公地点如何更换,访问控制策略均相同 | |
支持策略随动,用户不论办公地点如何更换,访问控制策略均可灵活变化 | |
协同安全 | 支持软件定义访问控制,有基于统一身份引擎与统一策略引擎,从多维度确定一个用户的策略 |
支持数据安全防护,实现园区局域网内的数据安全加密 | |
支持终端脆弱性扫描,一键扫描出终端高危端口,自动隔离阻断 | |
支持终端脆弱性检查,辅助管控终端安全 | |
支持传统安全融合,全面兼容传统安全网络 | |
高可靠性 | 支持双网承载,overlay网络与underlay网络逻辑隔离,可根据需求指定业务承载网络 |
支持网络逃生,控制器异常后可根据网络实时情况动态调整转发路径,保障业务流量有序转发 | |
支持underlay链路故障侦测,通过发送检测报文来探测链路的连通性,当链路出现故障时及时通知网络管理员 | |
支持overlay链路故障侦测,供overlay网络排错工具,可准确的定位节点故障和链路故障,保证了网络故障的准确恢复 | |
自主可控 | 支持全网服务器、设备自主可控 |
典型组网
1、典型组网的特征
典型的大楼三层或扁平化二层园区场景。
主园区和分园区需统一管理。
主园区和分园区需三层互通。
2、典型组网的需求
适应移动化办公环境,简化运维管理,提高工作效率。
自动化维护网络,终端资源,资源管理紧紧有条。
网络可视化,降低运维难度。
3、解决方案效果
用户策略不受用户位置限制,可根据用户自动匹配用户策略,无需人工干预。
自动收集终端IP信息,类型,形成终端管理表,IP管理表,网络资源情况一目了然。
接入方式随终端类型自动匹配,用最合适并安全的方式保障终端的安全接入。
通过深度透视,实现业务状态实时监控可视,并可提供相关报表对整网状态进行呈现。