高校SDN应用场景总结课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,INTERNAL USE ONLY,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,INTERNAL USE ONLY,Brocade,高校园区网,SDN,应,用场景,总,结,2,AGENDA(,议程,),发,现和挖掘高校用户,SDN,应用场景,数,据中心及互联网出口安全服务云,有线无线一体化实现用户统一接入管理,数据中心及园区网可视,化,数据中心及园,区,网大数据分析,高,校,园区网的主要服务对象是谁？一个特殊的社会团体,发展,过程,：园,区网,发展多年来我们一直,围,绕,关,注解决哪些方面,?,性,能和容量,架,构复杂性,弹,性扩展,10G,4,0G,100G,横向与纵向虚拟化,2008,年,2014,年,关注点,解,决方案,我们一直在干的和关注点在哪些地方,趋势,与需求：围绕着园区网的发展，,当前,还有哪些地方需要提高和巩固加强,？,数据中心安全云服务,互联网出口安全资源池,有线无线一体化,用户接入管理,大数据分析,用,户,数,据筛选,网,络可视化,用,户行为分析,数据中心安全云服务,互联网出口安全资源池,问题应接不暇！,邮件安全,防,APT,攻击,网络扫描器,Cloud Service,网络防病毒,DDoS Protection,Security Cloud,Internet,数据中心,/,互联网出口,安全服务设备,多台设备串接，可靠性？,故障排查复杂，谁来做？,流量经过多次转发，大延迟？,Vendor 1,Vendor 2,Vendor 3,Vendor 4,Internet Connection,Malware Intelligence,DNS Alert,Endpoint Alert,AV Alert,SMTP Alert,AV Alert,Web Alert,Web Alert,SMTP Alert,DNS Alert,AV Alert,DNS Alert,Web Alert,Endpoint Alert,应急响应变慢,设备故障后，更换困难,新产品、新功能测试困难,有限的可视化程度,多用户、多权限、安全管理,性能叠加困难，往往面临性能瓶颈,内网或,VM,之间交互流量难以处理,当前高校数据中心及园区网安全建设问题应接不暇,通过,SDN,网络进行应用流量分流；,特定流量送给特定的服务设备进行处理；,独特效果：,高可靠性,随时切换,高性能,多数流量经过一次处理，低延迟,性能叠加,处理性能无缝扩展,故障排查,准确定位，便利处理,功能验证,随时测试新产品和新功能,设备故障后,在线更换，割接流量,更好的流量可视化功能,基于用户和端口的权限管理,真正实现内网的安全流量处理,e.g., OpenFlow,API,SDN,控制器,安全服务供应商,ADC,FW,IPS,防火墙,负载均衡,IPS/IDS,流控管理,漏洞扫描,SDN,智能设备,传统模式,葫芦串,安,全服务资,源池,用户发起,/,接受,如何利用,SDN,解决方案构,建安,全资源,池,提,供安全云服务,SDN,解决方案安全服务链管理,-,如何实现简单、高效、智能的安全资源池，提供便捷的网络安全,SDN-APP(,安全服务链管理系统,),统,一视图监控安全资源池,SDN-APP(,安全服务链管理系统,),创,建和管理安全资源,SDN-APP(,安全服务链管理系统,),建,立安全服务链,SDN-APP(,安全服务链管理系统,),创建,安全服务策略,第一步,第二步,第三步,有线无线一体化,用户接入管理,当,前高校园区网用户管理体系问题总结,传统,用,户接入管理方式需要改进的地方：,1,、,集中,式控制风险高,(,分布式成本较高,),；,2,、,终,端攻击对宽带路由器压力大；,3,、,专,用宽带路由器成本高,(10G40G,端口成本较高,),；,4,、整体解决方案冗余度不够；,5,、,路,径选择与优化实施难度大；,6,、用户新建并发连接性能低下，,CPU,消耗较多；,7,、业务接入层整体状态不可知；,8,、后台认证体系失联带来的风险，用户无法认证登录；,9,、有线和无线用户无法实现无缝整合认证；,10,、无线用户跨网段漫游带来的挑战。,如何利用,SDN,解决方,案构建安全、可靠、低成本的有线无线一体化用户管理接入体系,基,于,SDN,方式实现用户管理优势：,1,、,消,除集中控制管理的风险采用分布式；,2,、减少购买专用,宽,带路由器的成本；,3,、提高网络架构和线路的冗余性、可靠性及利用率；,4,、消除之前对业务接入层不可知的风险；,5,、获取和收集网络数据对用户行为进行细粒度分析；,6,、简化管理、能更快更有效,BYPASS,后台认证管理体系；,7,、实现无线用户跨网段无缝切换。,SDN,解决方,案,有,线无线一体化管理接入体系,-,如何实,现,XXXX,补,充文字说明和截图,INTERNAL USE ONLY,MLXe,普通的,L3SW,L3/L2 Link,PC,MPLS/MPLS L3VPN/L2VPN,UserPortal,AdminPortal/Controller,AAA,Redirector Server,MPLS L3VPN,接入,VPLS,接入,OpenFlow Hybird mode,1.,上下行接口采用,OpenFlow Hybird mode,（在,Hybird mode,的接口下，当,openflow,没有匹配的情况下，会自动采用本地路由表）,2.,下行接口中的,MPLS L3VPN/VPLS,接入的,VLAN,使用,protect VLAN,。使其不接受,openflow,的控制。,3. Redirector Server,需要,L2,可达。,4. L3,的接入设备可以有,DHCP,也可以没有,DHCP,的功能。这是比,BRAS,功能更强的。,5. L3,的网关也是可以在,openflow device,上的。,INTERNAL USE ONLY,MLXe,普通的,L3SW,L3/L2 Link,PC,MPLS/MPLS L3VPN/L2VPN,UserPortal,AdminPortal/Controller,AAA,Redirector Server,MPLS L3VPN,接入,VPLS,接入,OpenFlow Hybird mode,1,2,3,4,5,6,7,1.,用户第一次发送数据到,OF,设备,2.,由于默认没有这个用户的流标，,OF,设备发送报文到,Redirector Server,3.Redirector Server,返回,302,给,PC,4.,用户访问到登陆页面。,5.,用户登陆认证信息发送给,AAA,服务器,6.,认证通过后，告诉控制器,7.,控制器给,OF,设备发送,OF,流标，打通,PC,的访问通道，并且可以下发限速的策略,INTERNAL USE ONLY,OpenFlow SW,配置,Radius Server,配置,INTERNAL USE ONLY,认证相关配置,INTERNAL USE ONLY,认证界面,认证后界面,网络可视化,用户行为分析,当,前园区网用户行为不可控带来的挑战和表现,总结,功能过于集中,BASE,设备减负,用,户,行为,不可控,用户恶意攻击行为,痛,点表现,解,决方案,痛点主要表现：,1,、,BASE,设备,CPU,高,2,、用户,DHCP,获,取失败,3,、用户,Radius,认证失败,4,、带宽管理问题,5,、流量可视化分析问题,6,、,BASE,冗余问题,7,、,BASE,设备端口成本昂贵,8,、配置管理复杂性,痛点主要表现,：,1,、,用,户行为不可控,2,、用户流量分析不完善,3,、设备功能未发挥,(,汇聚,),4,、上行链路冗余问题,5,、网络故障定位时间过长,痛点主要表现：,1,、,用,户恶意网络,攻,击；,2,、用户行为分析与控制,；,博科提供智能可视化园区网有线无线统一解决方案,-,网络流,量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,博科提供智能可视化园区网有线无线统一解决方案,-,网络流,量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,用,户终结,一卡,通,用,户终结,一卡通,汇聚交换机,汇聚交换机,汇聚交换机,汇聚交换机,内层防火墙,内层防火墙,外,层防火墙,外,层防火墙,DMZ,交换机,DMZ,交换机,接入交换机,接入交换机,接入交换机,接,入交换机,SDN,应用,流控分析管理平台,流量清洗平台,SDN,控制器,流表与拓扑管理,北向,API,接口,OPENFLOW,业务流量镜像,南向接口,Brocade SDN,控制器,南向接口,OPENFLOW,方式流表下发,ICX SDN,智能交,换机,MGT-IP,：,218.197.116.99/25,telnet:admin/password,MGT-IP,：,218.197.116.96/25,http:/MGT-IP:9001,admim/admin,Brocade,流量分析平台,MGT-IP,：,218.197.116.97/25,https:/MGT-IP:8089,A,dministrator/password,第三方流量可视化平台,MGT-IP,：,218.197.116.98/25,https:/MGT-IP:8089,Administrator/password,北向接口,REST API-,流表下发申请,北向接口,REST API-,流表下发申请,通过,SFLOW,采集数据,发送到博科流量分析平台,通过流量镜像采集数据,发送到流量可视化平台,园区网络,互联网,/,园区网,控制器北向接口,REST API,访问路径,http:/218.197.116.96:8181/restconf/modules,防火墙,A,防火墙,B,前端探针,博科提供智能可视化园区网有线无线统一解决方案,-,流量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,大数据分析,用户数据筛,选与清洗,核,心交换机,核,心交换机,TOR-RACK,交换机,TOR-RACK,交换机,TOR-RACK,交换机,TOR-RACK,交换机,内层防火墙,内层防火墙,外,层防火墙,外,层防火墙,DMZ,交换机,DMZ,交换机,VM_1,VM_2,VM_3,VM_4,VM_5,VM_6,VM_7,VM_8,VM_9,Tool 1,Tool 2,Tool 3,Tool 4,用,户访问层,交换机端口镜像,交换机端口镜像,传统流量镜像采集方式缺点：,1,、不管你要不要我都给你；,2,、无法灵活的实现一对多；,3,、性能瓶颈；,4,、各平台支持的镜像会话数限制；,5,、,CPU,资源消耗较大；,6,、时效性不够。,当,前传统方式用户对于大数据分析的数据来源与筛选带来的困扰和缺点,Tool,3,(IDS),Tool,4,(CEM),Tool,5,(,CEM,),Tool,7,(Recorder),Tool 1 (VOIP),入站端口,出站端口,仅仅特定流量被送往各个工具，这大幅降低了出站流量，显著提高工具利用率,SDN,设备是入站,/,出站流量中转分配站,流表操作允许随时增加和删除，对实际操作十分有方便。,结合出站流表过滤规则，能更进一步定位流量。,VOIP,IDS,CEM,WEB,匹配流表,匹配流表,匹配流表,匹配流表,可配置的硬件过滤,可自定义规则,4-7,层流量过滤,Tool,2,(VOIP),负载均衡,过滤,+,复制,SDN,智能设备,后端,系统,前端,网络,应用性能分析,大数,据分析平台,信息安全监测,博科提供智能可视化园区网有线无线统一解决方案,-,网络智能分,流,精,细,化管理流量,-,基于,SDN-Packet broker Flow Mapping,ICX and MLX,Aggregation,Enables pervasive visibility,Collect,network traffic from all relevant network,interfaces,Replication,Deploy multiple visibility applications,Copy network traffic to each analytics,solution,Filtering (L2-4),Deliver only relevant traffic to each analytics solution,Select which packets to deliver to which tools,Load balancing,Enables network to tool interface speed matching,Share,aggregated traffic load among analytics,probes,Orchestration and SDN control is key differentiator,博科提供智能可视化园区网有线无线统一解决方案,-,网络智能分,流,精,细,化管理流量,-,基于,SDN-Packet broker Flow Mapping,我,们认为下一代智能,SDN,园区网解决方案方向和原则？,混,合模式,传,统,模,式到,SDN,方式过渡,智能,人,工化到自动化过渡,开放,封,闭模式向开放式转换,数据,如,何充分利用用户数据,寻找问题和痛点,现有的传统方式,SDN,新思路新方式,选择适合自己的解决方案及场景,解,决办法,