ADCampus技术白皮书1.0(无权限)

ADCampus技术白皮书Copyright 2021杭州华三通信技术XX所有，保存一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的局部或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。11 / 13目录1当前园区网的问题12 ADCampus解决方案概述23 ADCampus方案亮点介绍44 ADCampus典型组网与应用155缩略语171 当前园区网的问题通常一个现代IT系统由三局部组成：“云，“管和“端。“云通常指远端的公有云/私有云数据中心，是企业应用的承载中心；“端就是需要接入网络，使用云效劳的各种固定和移动终端；“管就是连接“端和“云的传送通道，主要包括广域网和园区网两局部。这三者之间相互影响，相互适应。对于园区网来说，作为连接“端和“云的中间管道，经常受“端和“云两方面的影响，因为和终端的联系最紧密，因此受“端的影响更大一些。目前包括gartner在内的主流研究机构都发布了对于“端的趋势分析和预测。总结为两点：n 终端的移动化和无线化成为趋势。现在每个人都有不止一个移动终端，移动互联越来越深入到人们的生活中。在企业中，BYOD应用越来越广泛，无线移动办公成为主流。从咨询机构的报告来看，无线产品出货量的增长速度远远高于有线产品的出货量。n IOE万物互联成为趋势。现今世界99%的物体还没有联网，将来物联网会带来百亿级别的智能物体接入，我们的灯泡，汽车，冰箱，微波炉，我们的家具未来都要上网。那么“端的这些变化对园区网会带来哪些影响和冲击呢？1. 移动化的冲击：n 策略如何跟随，体验如何保持不变？除了无线漫游，企业中还存在其他方式的移动，比方员工从办公位跑到会议室里边开会，需要共享胶片和资源，相关的权限需要继续保持；员工从总部出差到分支希望一些重要的业务权限不变；公司搬家后希望即插即用，业务不中断等等。但从目前网络现状看，很难做到或者说IT需要花费很大的代价进行网络配置调整，用户的体验也不够好。比方，某公司一局部员工分流搬家到新的办公大楼之后，预先做了大量的工作进行网段重划和配置调整以保证业务连续性，但不幸的是搬家后IP/打印机等必须的办公设备依旧长达近两周时间不能使用，对正常办公影响较大。n 如何方便的进行用户审计？传统网络状态下，用户移动，IP地址发生变化，当审计的时候，由于用户的IP地址不停变化，需要结合不同时间段内用户的IP地址情况综合去查，查询虽然可以实现，但是比拟麻烦，达不到所见即所得的状态，即见IP地址即见用户，单独审计IP的效果。2. 无线化的冲击：企业中无线技术出现之后，网络中始终存在着有线和无线两张不同的网络，虽然无线接入逐渐占据主流，但是有线无线混跑的局面在未来一段时间还将长期存在，那么客户会面临有线无线两张网络的割裂问题，管理割裂：有线无线两组不同的人来同时管理网络；数据转发割裂：有线走交换机转发，无线走capwap的AC集中式转发；策略执行点割裂：有线的执行点在交换机上，无线的策略执行点在AC上。这样网络的运维往往需要两套人马，带来了本钱的上升和管理复杂问题。虽然业界对于有线无线融合已经有呼声，并且也都提出了一些方案，但总是存在这样那样的问题，不能到达满意的效果。3. IOE的冲击：IOE带来了终端接入数量的爆炸式增长，IOE接入园区网络的方式主要有两种，一种是直接接入园区网，比方监控摄像头，移动POS终端等；另外一种是通过物联网关接入，比方楼宇自动化系统中，使用物联网关路由器，一侧使用ethernet端口接园区网络，网关其他端口接各种现场控制总线。IOE终端接入园区网络之后，往往和园区网现有业务有不同的属性，需要进行平安隔离和QOS保证；同时对于直接接入园区网的大量物联网终端，配置管理工作量较大，如何实现简单运维，快速部署也是园区网需要考虑的课题。那么当前园区网存在哪些问题呢？总结为两个词：僵化和复杂。僵化就是不灵活，网络往往与物理位置紧耦合。网管人员往往根据地理位置，楼栋，划分假设干个L3网段，终端根本不能大范围移动；如果要移动，策略不能自动跟随，体验难以保持不变。复杂就是网络运维工作量巨大，网管人员80%-90%的时间都陷在网络运维的泥潭里不能自拔，只有10%-20%的时间才能用于创新。2 ADCampus解决方案概述为了解决园区网存在的上述问题，H3C提出了自己的ADCampus新园区架构。ADCampus架构最大的两个特征是柔性和极简。柔性一方面指网络架构本身非常灵活，业务部署应用/终端可以做到与位置无关；另一方面指网络架构本身开放可编程。柔性具体包括如下4大亮点：1) 位址别离/名址绑定：位指位置，址指IP地址，名指用户本身或者业务。位址别离就是IP地址与位置解耦，名址绑定就是用户/业务和IP地址绑定，IP地址不光从技术层面承载连通性，支撑路由转发，而且还具有了直接标识业务/用户的功能，策略可以直接根据5元组来实施，大大简化了传统网络策略的部署。最终到达所见即所得的效果：IP即用户，网段即业务。同时也大大简化了网络的审计。2) 策略随行：指用户移动到哪里，策略就跟随到哪里，用户的体验不变，比方研发的员工从总部出差到各个办事处，依旧能获得研发的权限，访问研发的相关资源，和在总部一样。3) 业务按需交付：业务指4-7层效劳，如防火墙，IPS，ACG等，这里引入了效劳链概念，把园区传统的通过策略路由方式的复杂引流策略转换为一种简单的按需使用，自由编排的引流方式来快速实现。4) 开放网络：指ADCampus除了根底网络架构之外，还提供controller，提供软件定义能力，通过controller上层接口开放，允许第三方进行增值开发，快速提供新的功能。极简指网络管理大幅简化，真正将网管员从低价值劳动中解放出来。ADCampus的目标是消灭命令行，从controller一点进入管理网络。极简具体包括如下两大亮点：1) 有线无线深度统一：将有线无线两张割裂的网络进行深度融合，一套网管，一种数据平面，一套策略。2) 自动化上线：设备开箱，上电后自动加载版本，加载配置，网管员零干预启动。少量的基于设备角色的配置模板，更简单。ADCampus的网络架构如下所示：会聚接入CampusDirector核心VXLANVLANVLANVLAN 10VXLAN 10VLAN 20VXLAN 20策略执行点网络由接入，会聚，核心三层设备组成，外部搭配重要的园区控制器：Campus director。具体来看，有如下一些特点：n 接入到会聚使用vlan进行联通，在会聚层设备上，不同vlan映射到不同Vxlan进行隔离，同时会聚和核心设备之间运行Vxlan构建overlay网络，构建一个逻辑上的大二层网络，同时采用分布式L3网关并通过可靠的机制有效地抑制播送风暴。n 策略管理上采用了面向业务的分组模式，将属性或者访问权限相近的用户分到一个平安组中，同时也将效劳器侧的资源划分到平安组进行统一管理。策略定义时，基于矩阵表格的方式简单直观。具体策略可简单可复杂，实现各种高级复杂的策略控制功能。n 基于5W1H的灵活的用户认证接入机制，根据who谁，whose谁的设备，what什么设备，when什么时间，where什么地点，how什么方式多个维度覆盖各种接入场景。用户可根据自己的需求，灵活定制场景，满足自己个性化的需求。n 支持用户终端在整个生命周期中mac和IP的强绑定，终端不管移动到哪里，可以做到终端始终绑定唯一固定的IP，满足某些企业强平安需求。n 整网的核心是园区网控制器组件：Campus Director。所有对网络的自动化上线，接入管理，用户组/策略管理，业务配置管理全部在director上通过直观的图形化界面完成。Director将管理员的操作在后台转化为网络设备的具体命令进行下发给设备执行。3 ADCampus方案亮点介绍1. 位址别离/名址绑定传统网络存在的问题：传统网络划分L3网段时往往与位置紧密关联。一个企业要根据不同的办公室，不同的楼层/楼栋划分不同L3网段，这种模式下要想实现用户移动比方员工出差非常困难。因为用户移动往往要跨越不同L3网段，IP地址必须进行更换，往往会丧失原先的权限，给工作带来麻烦。比方研发的员工到市场部出差，往往只能获取市场人员的权限，丧失研发人员的权限，不能查看研发的资料，如果要查看，只能通过其他的途径来进行，降低工作效率。再比方研发部有两栋大楼，由于工作关系，员工在这两栋大楼同时有2个办公位，由于L3网段的划分，导致员工在这两个办公位办公时获得的IP地址不一样，那么网管就需要针对这个员工的策略控制也得做两套，增加了网管的负担，也浪费了交换机的acl资源。还有同一个部门/工作组分散在不同的大楼里，使用不同的IP地址，虽然他们的权限完全一样，但是还需要网管人员针对单个IP地址设置相同的控制策略，也明显增加了网管人员的负担。归根结底，是因为传统网络的设计，其设计理念就是和位置紧耦合，也不愿也不能方便地实现员工的移动办公，IP地址只提供技术上的路由连通性功能，没有身份或者业务标识的功能，导致审计也变得复杂。ADCampus网络采用创新的网络架构，可以做到网络无状态，接入无差异，IP地址与位置解耦，不管用户移动到哪里，IP地址都能随身携带。IP地址不光能承当路由连通性的技术功能，还具有身份和业务的标识功能。上例中员工出差，在ADCampus网络中，研发员工可以继续享受总部研发的权限，方便地查看研发的相关资料，就像自己还身处于总部一样。即使该研发人员和某个市场人员的终端连接到同一个交换机的相邻两个端口，依旧要受研发/市场两个部门之间的策略控制；同时该研发人员不管在哪里，可以做到始终使用固定的IP地址，这样见IP地址就见该员工，审计只追踪该IP地址的行为即可，审计大大简化；上例中员工在多个办公楼有多个工位/终端的情况，在新的架构下，用户不需要分派两个地址，只需要一个固定的IP地址即可，不管在哪个工位办公都可以使用，网管做策略时只要对一个IP地址做策略即可，网管的工作量降低；对于分散在不同大楼的同部门员工，完全可以分派同一个网段的地址，前缀一样，这样做策略时，可以针对IP前缀做一条策略即可，防止逐个IP地址做策略，网管大大简化；再比方，企业的监控摄像头一般上都分散在各处，在部署时需要根据具体位置分派各不相同的IP地址，导致对摄像头的业务识别需要深入到报文内部的4层端口号甚至应用层信息，对交换机的要求较高；假设采用ADCampus架构，由于地址的分派和位置无关，这些摄像头可以完全编入一个特定的网段，以后对摄像头业务的识别不需要识别端口号或者应用层，只需要识别IP网段即可，这样对交换机的要求大大降低。总之，在ADCampus架构下，IP地址完全可以做到与位置解耦，真正实现IP即用户，网段即业务，审计更简单。2. 策略随行在用户移动的过程中，如何保证策略随行，体验不变是用户最希望追求的效果。一般上要实现策略随行，都需要对用户进行分组，传统的分组方式与地理位置紧耦合，同一个用户组位于一个办公区，一个楼层后者一个大楼之内，很难跨越地理的局限。这样用户一旦移动起来，策略实施就非常复杂，想到达策略跟随或者体验一致也非常困难。以前文某公司搬家为例，分出的一局部人员在新的办公区长达一周多时间，打印机/IP 等业务迟迟不能就绪就是一个明显的例子。在我们的ADCampus架构下，用户分组完全打破地理的壁垒，可以跨越整个企业网络。除了用户分组之外，策略的定义，动态跟踪也是策略随行的重要内容。一些友商虽然支持跨地域的分组，支持策略动态跟随，但是由于根底网络是传统架构，没有方法实现IP地址与位置解耦，IP地址移动过程中不停变化，导致其不停地维护刷新IP地址到用户组的映射关系，并且在本地没有映射关系时需要向控制器进行查询，而且要引入防火墙来辅助实现东西向隔离策略的实施，并且要引入NP线卡才能支持，实现流程复杂，组网本钱高昂，网管人员理解复杂。在我们的ADCampus架构中，用户分组和IP网段严格对应。用户未入网，整个网络的策略控制内容已经完整清晰地确定下来，无论东西向策略还是南北向策略。与其叫做策略“随行，不如叫做策略“先行！不需要使用NP，因为我们网段即用户组，组间策略就是网段到网段的acl，现有的任何ASIC芯片都支持此功能！不需要维护IP到组的对应关系，组间策略只需要一条acl即搞定！极大降低了对设备的acl需求！不需要防火墙来辅助，不需要查询机制，一切从简！组网本钱下降。那么ADCampus的策略随行是怎么工作的呢？Step1：管理员定义平安组：包括用户平安组和资源平安组；以与组间策略；集中式策略管理，矩阵式表格，一目了然，清晰直观。策略可以是简单的permit/deny，也可以是复杂的针对应用层端口号的策略，还可以是高级的防火墙策略。比传统方式简化的就是全部都转换为简单的网段到网段的acl。Step2：使用ADCampus的SDN控制器Director将矩阵表格显示的组间策略转化为acl下发到指定的策略执行点所有的会聚层交换机；一键下发，实时生效。Step3：用户上线时根据5W1H进入相应的用户平安组，分配IP并绑定，用户的业务流将匹配矩阵表格定义的策略，获得相应的访问权限。用户移动后，5W1H条件假设没有发生变化，用户仍然会进入相同的平安组并获取绑定的固定IP，访问权限不变，真正实现体验跟随。如上例中，小绿人在移动前和移动后对资源组1不可访问，对资源组2可以访问，和小蓝人之间不能互访，在小绿人移动后，其依旧保持这样的权限，体验不变。3. 业务按需交付这里的“业务指网络提供的4-7层效劳，这里的“按需表达了一种灵活性，指4-7层效劳组件可以自由扩展，部署位置不受限，用户的业务流可以灵活地自定义穿越4-7层效劳的路径，即效劳链。传统网络中部署4-7层效劳存在哪些问题呢？用一句话总结，就是4-7层效劳节点不能和位置解耦，这些节点成为网络拓扑的一个网元，和根本网络局部紧耦合，效劳节点的增删改都会导致网络拓扑发生较大的变化，需要不停地调整网络的配置以适应，导致维护非常困难。比方下列图中传统的两种效劳节点部署方式，一种是in line方式，一种是旁挂方式。In line方式的问题在于串接在整个转发路径上，容易成为性能瓶颈，而且对于不想过效劳节点的流量无法绕开，造成带宽的浪费，让本就捉襟见肘的性能更雪上加霜；旁挂方式的问题在于要逐跳配置复杂的策略路由，一旦网络节点增删改，就需要调整很多策略路由的配置；而且理解困难，又复杂又容易出错。在ADCampus网络中，可以做到效劳节点的部署和底层网络位置无关，可以任意位置部署，可以形成资源池，可以方便地增删改。在园区控制器Campus Director上直观的图形化拖拽编排方式。定义一条流的起点和终点，中间直观地拖拽插入需要经过的4-7层组件，然后一键下发，director将把这个图形化界面翻译成网络语言配置到网络设备上，真正实现随心所欲地部署。比方下例，用户组A和用户组B访问数据中心经过的4-7层组件不同，可以在director上图形化方式编排两条效劳链，然后一键下发，实现图中红绿两条效劳链，A仅经过防火墙到数据中心；B经过防火墙和ACG上网管理组件再到数据中心。4. 开放网络传统的园区网根本是封闭和僵化的系统，如果用户想做定制化开发，需要提需求给网络厂家，网络厂家进行需求分析，设计，开发，交付，然后用户再上线验证，加上中间沟通的时间，周期非常长，对于某些市场竞争来说，这样长的周期等应用开发出来，市场时机也根本丧失。举一个例子，国外的高校曾经出现过希望选课系统和网络进行对接的需求，原因就是某些课程访问特定效劳器上的课件消耗的带宽较大，为保证学生的体验，当上这门课的时候需要调整网络的QOS设置到满意值，当上完这门课的时候再恢复网络到原先的状态。这样希望选课系统能自动和网络对接实现按时自动调整，按时自动撤销，并且能满足老师调课的需求。如果采用现有的流程：业务人员提需求反应IT管理人员，IT管理人员再去分析需求，调整网络配置很多情况下来不与，而且工作量很大。于是业界在近今年提出了SDN的概念，软件定义网络，这个定义不同的人有不同的理解，不同的角度有不同的理解，但有一点是大家的共识，就是网络要开放可编程，要方便地被第三方应用来调用和改变其行为。SDN的理念最先从数据中心网络实施，现在SDN对园区网一样有用。H3C的ADCampus实质上也是一种SDN网络。ADCampus配套的Director是实施这一理念的利器，我们在director上将开放标准化的rest接口，和第三方应用进行对接，方便客户进行增值开发，快速交付。5. 自动化自动化是所有网管追求的终极目标，就是不用网管人员任何操作，网络自己就把自己配置好，把自己管理好。现实的情况是只能尽量增加网络自我配置的局部，减少网管人员参与配置的局部。我们这里的自动化主要指设备自动化开局上线的功能。传统的网络开局一般都是手工的，需要网络维护人员一台一台地上电，更新版本，写配置，组网，调试，运行，工作辛苦冗长而且容易出错，网络开局上线的时间较长。仅以一个典型的VPN+路由的典型配置来看，传统方式要逐台在核心/会聚/接入上配置很多东西。在新的ADCampus网络中，自动化上线由于采用了新的网络架构得到了极大的简化。首先由于是一个无差异的网络，同样角色的设备配置根本是一样的，这样可以根据设备角色设定少量的模板，一种角色的设备尽管数量很多，但由于共享同一个角色，因此共享一个配置模板，整网模板数量只有少量几种。其次采用精心设计的自动化流程，确保设备开箱上电，即插即用，无人工干预即可自己完成上电，加载版本，下载配置，根底共性的业务跑通。之后是少量的基于图形化界面的批量配置/个性化配置的工作，完成特定业务的部署。比方下面的Easy QOS的配置，就是图形化界面配置QOS调度策略的例子整个业务配置过程会感觉耳目一新，轻松自如。6. 有线无线深度统一传统有线/无线网络存在的问题：n 管理不统一。有线无线网络各自建设，各自网管，管理人员分开。n 转发不统一。无线的主流转发是采用AC集中式转发的方式，流量绕行不是最正确路径，而且AC集中式转发，AC压力大，容易成为瓶颈，尤其现在以802.11AC为代表的新一代高速率无线技术开展的趋势下，无线带宽的需求越来越高；而且AP到AC要打capwap封装，AC要先拆解capwap封装再根据内层数据进行转发，进一步消耗了AC的转发性能。而有线采用的是交换机转发，有线无线流量路径不统一。n 策略控制不统一。无线的策略控制点在AC上，有线的策略控制点在交换机上，两者策略不能统一，造成管理复杂。有线无线融合这块很多厂商都在提，由于采用了传统的网络架构，都存在这样那样的问题，比方跨L3网段漫游要不支持不了，要不需要在AC之间打隧道进行迂回；主要采用集中式的AC转发，依旧存在流量绕行，AC性能瓶颈等问题。ADCampus的有线无线深度融合网络采用如下方式极大解放了AC和AP，面向未来的高速无线时代。n 统一管理：通过统一的campus director实现有线无线统一管理。一套管理系统，统一的有线无线拓扑展示，有线无线用户统一认证，统一的基于5W1H划分平安组。n 统一转发：AC仅负责控制和管理下辖的大量AP，AP的数据转发不再上AC，而是本地转发。这样带来两个好处：1由于AC不再负责数据转发，性能瓶颈完全消除，完全顺应将来高速无线的趋势，而且AC本钱可以大幅降低。甚至将来AC完全可以做成软件集成到director中作为一个功能管控模块。2从AP转发出来的报文不再封转capwap，而是802.3格式的ethernet报文，L3网关也都设置在交换机上。这样消除了capwap的加减封装的处理消耗，效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样，有线/无线流量完全混跑在一起，其他设备无法区分也不需要区分。n 统一策略：由于无线的数据转发完全从AC卸载到交换机上，之前我们策略随行矩阵定义的业务策略完全适用于有线和无线流量，也不需要单独给无线再定义组间访问策略。此外，在AP本地转发模式下，AP依旧可以跨整个园区大范围漫游，而且不需要在AC侧做复杂的处理。这是传统组网方式所不具备的。4 ADCampus典型组网与应用ADcampus目前典型的组网模型如下：n 分布式Vxlan网关组网： 适用于大规模的单园区组网 核心、会聚、接入三层架构 会聚层为VTEP和用户网关 适用于大型企业的总部+多分支接入场景，或者多个主园区接入场景 Director、DHCP 效劳器集中部署在一个主园区 AC可集中部署在一个主园区，所有的AP都注册到该AC；也可在每个园区/分支分布式部署，每个园区/分支的AP注册到各自的AC。n 集中式Vxlan网关两层结构组网 适用于中型园区或者中大型分支 核心IRF2或者单台+接入两层架构 核心层为VTEP和用户网关 支持多园区+多分支场景n Vlan方案 适用于中小型网络，只支持单园区场景 核心IRF2+接入两层架构 核心层为用户网关，无VXLAN，核心往下使用vlan构建二层网络ADCampus应用情况总结：目前ADCampus方案还在推广的早期，我们已经和教育，政府，金融，企业等很多客户进行了交流和沟通，客户对方案展示出的柔性和极简两大特征印象深刻，尤其是对位址别离/名址绑定，策略跟随，自动化部署印象深刻。应用的案例后续逐渐补充。5 缩略语 IOE：internet of everything，万物互联，即通常所指的物联网 BYOD：Bring Your Own Device，带着你自己的设备，使用自己的移动终端到公司办公的一种无线办公方式 IPS：Intrusion Prevention Syste，入侵防御系统，是一种处理能力深达7层的平安设备。 ACG：Application control gateway，应用控制网关，一种平安设备，可实现精细化的应用识别，统计和过滤等策略。 Capwap，AP，AC：是无线局域网里边紧密相关的几个概念，capwap为一种无线报文封装方式，AP和AC是无线局域网里边两种最主要的设备角色，AP叫接入点，AC叫接入控制器，AP受AC管控。 Vxlan：Virtual Extensible Lan,是RFC定义的一种标准协议，数据平面采用mac over UDP的封装格式，是现在主流使用的一种网络overlay虚拟化技术。 VTEP：virtual tunnel endpoint，虚拟隧道端点，是Vxlan里边的角色，该角色主要完成Vxlan报文的加减封装 Rest接口： REST即表述性状态传递英文：Representational State Transfer，简称REST是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。它是一种针对网络应用的设计和开发方式，可以降低开发的复杂性，提高系统的可伸缩性。它是设计风格而不是标准，只是提供了一组设计原那么和约束条件。它主要用于客户端和效劳器交互类的软件。基于这个风格设计的软件可以更简洁，更有层次，更易于实现缓存等机制。遵循这一设计风格的接口叫rest接口。