2015年2月9日星期一X7交换机总代胶片(2015Q1)1目录SX7交换机控标点介绍敏捷园区之S12700亮点介绍SX7交换机产品及亮点介绍SX7交换机成功案例1234SX7交换机常见FAQ52SDN华为增强架构让网络更敏捷地为业务服务华为敏捷网络解决方案敏捷园区云数据中心高效广域降低3倍租用成本全网安全协防有线无线深度融合业务随行物理网络虚拟化全可编程质量感知平滑演进集中式控制网络能力开放网络虚拟化云计算大数据物联网移动性社交媒体敏捷网络:SDN思想+3大架构创新3SouthboundAPINorthboundAPIServicelayer园区用户资源管理ServiceAbstractionNetworkAbstractionDeviceAbstraction3rdPartyAPPController3rdPartyControllerManagement&OrchestrationlayerControllayerNetworkdevicelayereSDK物理网络资源虚拟全网安全协防云系统集成自动网络部署质量&问题感知Controller执行代理传统控制面可编程包转发(ENP)质量感知用户管理安全感知拓扑管理RouterFirewallSwitch业务编排路径计算云计算大数据物联网移动性社交媒体POF敏捷网络架构4业务随行方案:以用户为中心的业务体验保障策略随行体验随身BeijingShenzhenSiliconvalleyPolicies,resourcesCampusControllerWAN/InternetUserXXXLocationXXX1.优先级2.带宽1.权限(Permit/Deny)2.业务流3.安全(IPS/AV/应用安全)体验有保障接入无差别5A1A2A3B1B2B3A1B1A2B2A3B3分布式控制器园区1#园区2#分支动态工作组2动态工作组1无论身在何处,本地网络体验动态创建虚拟二层网络CampusController认证即加入工作组,无需等待WAN距离,不再是障碍接入即连通,解放双手动态工作组定义动态工作组:网络资源动态分配,免物理部署6WAN/Internet财务员工访问财务数据数据中心敏捷交换机/随板ACStep1业务流策略策略随行:基于用户组的业务流安全策略安全资源中心Step1业务流策略结合敏捷园区中的安全资源动态分配方案,可以实现在认证点交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于组的编排策略,规定流量需要被哪些安全设备处理,以及处理的先后顺序。例子:财务员工访问财务数据的流量须要引到安全资源中心进行安全控制;其它流量不进行流策略。Step2应用安全策略NGFW根据接收到的业务流进行深度应用识别(6000+应用识别能力),并基于用户组和应用进行安全策略控制,包括:阻断、IPS、防病毒、内容过滤。例子:研发员工BYOD工作时间的流量引到安全资源中心,对其非工作应用(比如社交应用、游戏)进行过滤。Step2应用安全策略业务流路径7交换机/随板ACWANVIP员工远程接入出差用户企业分支企业园区NGFWSVNInternetInternet体验随身:统一的用户体验保障Router分支路由器根据Controller下发的策略,自动将VIP用户流量送入高优先级队列调度。园区出口防火墙根据Controller下发的策略,自动将VIP流量送入高优先级队列调度。SVN根据Controller下发的策略,自动将VIP流量送入高优先级队列调度。认证点在用户认证上线过程中获取到用户身份,根据Controller下发的策略对各个用户进行限速。8华为优势总结华为思科H3C业务能力接入控制出口控制、关注体验引流和安全能力复用分组和组间隔离控制部署能力部署兼容性初始化部署策略校验业务随行=有线网络准入+BYOD+业务体验保障9全网安全协防:从单点防护步入全网防护年代1、全网安全事件采集网络设备、安全设备、主机设备、终端等事件日志2、大数据关联分析对海量日志信息进行关联分析,呈现全网安全状态,发现安全隐患3、全网安全快速响应实时告警,并给出处理建议灵活下发安全策略,快速进行安全事件响应4、安全资源动态分配全网的安全设备资源池化,可根据区域、用户组、安全事件动态分配安全资源,提升全网安全防护能力安全事件采集安全策略生效CampusController安全资源中心第三方安全设备NGFW②大数据关联分析④安全资源动态分配10安全威胁度TOP高危资产全网安全事件全网攻击拓扑攻击源与路径安全事件概况全面、直观;分区域、不同颜色展示;可钻取分支机构查看详情;受攻击时闪烁警示;显示攻击路径;严重级别告警靠前;点击查看详细信息;直观度量;点击查看评分细节;快速识别全网安全态势瓶颈点;可主动实施有针对性的安全策略;显示总数和未处理事件;点击查看更多详情;病情发作之前:丰富的安全态势呈现,帮助用户快速感知网络现状11病情发作之初:深度关联分析,及时阻断恶意终端违规行为客户问题:随着园区无线网络和BYOD办公普及,园区网络无边界化,各类终端可以随时随地接入园区网络,需要及时发现恶意终端并阻断其恶意行为,防止攻击和泄密事件的发生。解决方案:1、恶意终端攻击行为:恶意终端对每台设备进行密码猜解,每台设备仅登陆一到两次,在单设备看来属于正常的操作。2、日志收集:设备将终端操作日志上报到CampusController,如:登陆日志等。3、大数据关联分析:关联规则制定:同一IP在20分钟内,收集到来自不同设备(包括网络、安全、服务器等)登陆失败信息合计超过20次。关联分析:发现恶意终端,并生成安全事件通知运维人员。4、下发安全策略:运维人员依据分析结果下发安全策略,快速阻断非法用户。客户价值:快速发现终端的攻击行为,在安全事故发生前及时阻断,保护企业业务数据和业务环境的安全。CampusController③大数据关联分析服务器区NGFW12病情发作之初:基于特殊组的安全检查,防止终端仿冒客户问题:园区网的哑终端如打印机等一般采用MAC信息或MAC与IP信息绑定的认证方式。非法终端通仿冒,绕过认证系统接入园区内部网络,而安全设备部署位置过高,又无法及时发现非法接入。解决方案:1、安全资源动态调用:在controller配置打印机组,对打印机组的业务流,都需要经过安全中心检测,查看是否是打印机相关流量;2、非法终端接入:非法终端通过仿冒哑终端,绕过认证系统接入园区内部网络,向网络发起访问。3、阻断异常访问并告警:非法终端流量流经安全中心检查,不属于打印机相应协议和端口,阻断流量并上报告警。客户价值:有效防止黑客或用户仿冒终端非法入侵园区网络。安全资源中心NGFW核心敏捷交换机员工打印机员工打印机CampusController②非法终端接入③阻断异常访问并告警敏捷交换机敏捷交换机隧道安全策略隧道业务流①安全资源动态调用13病情严重之时:全网设备协同,控制区域性安全事件暴发安全事件采集CampusController①大数据关联分析②安全资源动态调用安全资源中心第三方安全设备NGFW客户问题:某区域因为某种原因大量终端感染僵尸木马、蠕虫等,防止进一步扩散对网络和业务产生更大影响。但又不能简单将该区域设备阻断,影响员工正常业务处理。解决方案:1、发现问题:大数据安全关联分析:启用usercase中“区域网络攻击”模板。通过关联分析,发现某区域多台终端异常行为。2、应急处理:安全资源动态调用:运维人员调用安全资源对该区域的流量进行清洗,防止安全事件进一步扩散,又可以保障正常业务流通行。3、最终解决:终端安全加固:分析终端感染原因,运维人员可对终端安装补丁或升级病毒库以从本质上解决问题。客户价值:及时发现区域安全事件,并能快速调用安全资源进行有效防御,防止全网安全事件暴发同时影响整个企业网络和业务。业务流安全策略隧道14传统无线园区网络面临的问题传统无线园区独立AC•无线策略控制点认证网关•有线策略控制点•有线策略控制点AAA服务器网管系统有线、无线流量分离转发,AC成为瓶颈无线流量需绕行AC,主流产品性能为管理AP1K、无线转发能力20Gb/s,随着未来11ac千兆时代到来渐成瓶颈有线、无线网络管理各成体系,维护排障难度大海量接入交换机安装、管理、维护繁琐,堆叠等方式不能简化无线网络有线、无线用户分散认证和策略控制,难于管控有线用户认证和策略控制点或分散在接入交换机或单独部署认证网关,无线则在AC设备深度融合的有线无线网络将改变现状,让园区网络更加敏捷15独立AC有线策略控制点认证网关有线无线分离插卡式AC有线策略控制点认证网关有线无线一体化传统园区敏捷园区1、将AP虚拟成交换机一个端口无线网络有线化有线网络无线化=有线网络+无线网络一台交换机1、用管理无线AP的同样机制管理接入交换机2、接入交换机免配置开局2、统一网管平台、设备发现、配置下发=AP接入交换机AC汇聚交换机=融合AC融合认证网关有线无线策略控制点敏捷交换机有线无线深度融合CAPWAP隧道有线无线深度融合:一张网络,一台设备,一种管理16有线无线深度融合的园区网络全新接入体验,流量集中易于管控,管理极致简化,易于部署BYOD,提高生产力融合转发有线无线流量统一转发策略集中在敏捷交换机融合策略有线无线设备统一管理融合管理怎样才能深度融合?•有线借鉴无线管理模式,即插即用•无线借鉴有线虚拟化方式,简化管理有线无线深度融合敏捷交换机controller17融合转发:随板AC深度融合网元,性能卓越敏捷交换机•融合AC敏捷交换机通过编程实现AC功能,有线无线流量统一转发,性能无瓶颈无需额外购买AC设备,节省槽位,节省投资敏捷交换机传统独立AC整机无线转发能力1Tb/s50倍20G整机管理AP数量4K8倍512整机无线用户数量64K6倍10K融合转发有线业务无线业务客户价值敏捷园区:融合转发敏捷交换机随板TbitAC18融合管理:SVF超级虚拟交换网,一台设备管理一个园区核心/汇聚交换机接入交换机虚拟主控虚拟端口虚拟板卡123…n12…n12…nAPSVF,一台“设备”管理一个园区•64台接入交换机虚拟化,业界同类产品3倍•独家支持2KAP虚拟化,简化全网运维管理•业界首创支持两层client管理节点,组网方式更灵活•支持华为全系列框式交换机、WLAN产品和主流接入交换机,在网设备只需升级软件即可畅享全新体验专业能力•简化设备管理:数百台有线无线设备虚拟为一台,只需一个管理网元•简化业务配置:业务配置模板化,有线无线统一的业务配置模板•面向业务的网络:所有业务均在核心设备上配置,自动下发到接入设备集中管控,灵活调整eSight•云状架构,按需扩展•园区虚拟台设备•接入交换机和无线AP只是虚拟交换机的扩展端口1敏捷园区敏捷园区:融合管理19敏捷交换机•融合认证网关•有线无线策略控制点controller计费服务器融合策略:UUM统一用户管理,一致体验敏捷园区:融合策略敏捷交换机传统交换机用户数64K8倍8K带宽粒度1Kb/s8倍8Kb/s流队列数64K174倍374H-Qos5级2级敏捷交换机统一用户管理有线无线用户统一认证PPPoEMAC802.1XPortal用户、业务精准管理@H-QosACL安全端优口先调级度调度用户用户组业务端口类5级H-Qos20网络质量检测技术分类及传统技术存在的问题间接测量技术直接测量技术原理:通过插入检测报文,计算检测报文丢包率来间接模拟业务的丢包率。也称为带外检测技术。现有技术:PING、NQA、BFD等存在的问题:点到点检测模拟报文,不能真实反映业务的性能状况原理:将业务流划分为一系列测量区间,在入口和出口分别统计对应区间的发包数和收包数,同一个区间的丢包数=发包数-收包数。也称为带内检测技术。现有技术:Y.1731等现有技术存在的问题:点到点检测,需要插入协议报文做测量区间标识,报文乱序影响准确性,不同层网络无法端到端检测。如:Y.1731只能覆盖L2网络。单入单