Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,INTERNAL USE ONLY,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,INTERNAL USE ONLY,Brocade,高校园区网,SDN,应,用场景,总,结,Brocade 高校园区网SDN应用场景总结,2,AGENDA(,议程,),发,现和挖掘高校用户,SDN,应用场景,数,据中心及互联网出口安全服务云,有线无线一体化实现用户统一接入管理,数据中心及园区网可视,化,数据中心及园,区,网大数据分析,2AGENDA(议程)发现和挖掘高校用户SDN应用场景,高,校,园区网的主要服务对象是谁？一个特殊的社会团体,高校园区网的主要服务对象是谁？一个特殊的社会团体,发展,过程,：园,区网,发展多年来我们一直,围,绕,关,注解决哪些方面,?,性,能和容量,架,构复杂性,弹,性扩展,10G,4,0G,100G,横向与纵向虚拟化,2008,年,2014,年,关注点,解,决方案,我们一直在干的和关注点在哪些地方,发展过程：园区网发展多年来我们一直围绕关注解决哪些方面?性能,趋势,与需求：围绕着园区网的发展，,当前,还有哪些地方需要提高和巩固加强,？,数据中心安全云服务,互联网出口安全资源池,有线无线一体化,用户接入管理,大数据分析,用,户,数,据筛选,网,络可视化,用,户行为分析,趋势与需求：围绕着园区网的发展，当前还有哪些地方需要提高和巩,数据中心安全云服务,互联网出口安全资源池,数据中心安全云服务,问题应接不暇！,邮件安全,防,APT,攻击,网络扫描器,Cloud Service,网络防病毒,DDoS Protection,Security Cloud,Internet,数据中心,/,互联网出口,安全服务设备,多台设备串接，可靠性？,故障排查复杂，谁来做？,流量经过多次转发，大延迟？,Vendor 1,Vendor 2,Vendor 3,Vendor 4,Internet Connection,Malware Intelligence,DNS Alert,Endpoint Alert,AV Alert,SMTP Alert,AV Alert,Web Alert,Web Alert,SMTP Alert,DNS Alert,AV Alert,DNS Alert,Web Alert,Endpoint Alert,应急响应变慢,设备故障后，更换困难,新产品、新功能测试困难,有限的可视化程度,多用户、多权限、安全管理,性能叠加困难，往往面临性能瓶颈,内网或,VM,之间交互流量难以处理,当前高校数据中心及园区网安全建设问题应接不暇,问题应接不暇！邮件安全防APT攻击网络扫描器Cloud Se,通过,SDN,网络进行应用流量分流；,特定流量送给特定的服务设备进行处理；,独特效果：,高可靠性,随时切换,高性能,多数流量经过一次处理，低延迟,性能叠加,处理性能无缝扩展,故障排查,准确定位，便利处理,功能验证,随时测试新产品和新功能,设备故障后,在线更换，割接流量,更好的流量可视化功能,基于用户和端口的权限管理,真正实现内网的安全流量处理,e.g.,OpenFlow,API,SDN,控制器,安全服务供应商,ADC,FW,IPS,防火墙,负载均衡,IPS/IDS,流控管理,漏洞扫描,SDN,智能设备,传统模式,葫芦串,安,全服务资,源池,用户发起,/,接受,如何利用,SDN,解决方案构,建安,全资源,池,提,供安全云服务,通过SDN网络进行应用流量分流；e.g.,OpenFlow,SDN,解决方案安全服务链管理,-,如何实现简单、高效、智能的安全资源池，提供便捷的网络安全,SDN-APP(,安全服务链管理系统,),统,一视图监控安全资源池,SDN-APP(,安全服务链管理系统,),创,建和管理安全资源,SDN-APP(,安全服务链管理系统,),建,立安全服务链,SDN-APP(,安全服务链管理系统,),创建,安全服务策略,第一步,第二步,第三步,SDN解决方案安全服务链管理-如何实现简单、高效、智能的安全,有线无线一体化,用户接入管理,有线无线一体化,当,前高校园区网用户管理体系问题总结,传统,用,户接入管理方式需要改进的地方：,1,、,集中,式控制风险高,(,分布式成本较高,),；,2,、,终,端攻击对宽带路由器压力大；,3,、,专,用宽带路由器成本高,(10G40G,端口成本较高,),；,4,、整体解决方案冗余度不够；,5,、,路,径选择与优化实施难度大；,6,、用户新建并发连接性能低下，,CPU,消耗较多；,7,、业务接入层整体状态不可知；,8,、后台认证体系失联带来的风险，用户无法认证登录；,9,、有线和无线用户无法实现无缝整合认证；,10,、无线用户跨网段漫游带来的挑战。,当前高校园区网用户管理体系问题总结传统用户接入管理方式需要改,如何利用,SDN,解决方,案构建安全、可靠、低成本的有线无线一体化用户管理接入体系,基,于,SDN,方式实现用户管理优势：,1,、,消,除集中控制管理的风险采用分布式；,2,、减少购买专用,宽,带路由器的成本；,3,、提高网络架构和线路的冗余性、可靠性及利用率；,4,、消除之前对业务接入层不可知的风险；,5,、获取和收集网络数据对用户行为进行细粒度分析；,6,、简化管理、能更快更有效,BYPASS,后台认证管理体系；,7,、实现无线用户跨网段无缝切换。,如何利用SDN解决方案构建安全、可靠、低成本的有线无线一体化,SDN,解决方,案,有,线无线一体化管理接入体系,-,如何实,现,XXXX,补,充文字说明和截图,SDN解决方案有线无线一体化管理接入体系-如何实现XXXX补,INTERNAL USE ONLY,MLXe,普通的,L3SW,L3/L2 Link,PC,MPLS/MPLS L3VPN/L2VPN,UserPortal,AdminPortal/Controller,AAA,Redirector Server,MPLS L3VPN,接入,VPLS,接入,OpenFlow Hybird mode,1.,上下行接口采用,OpenFlow Hybird mode,（在,Hybird mode,的接口下，当,openflow,没有匹配的情况下，会自动采用本地路由表）,2.,下行接口中的,MPLS L3VPN/VPLS,接入的,VLAN,使用,protect VLAN,。使其不接受,openflow,的控制。,3.Redirector Server,需要,L2,可达。,4.L3,的接入设备可以有,DHCP,也可以没有,DHCP,的功能。这是比,BRAS,功能更强的。,5.L3,的网关也是可以在,openflow device,上的。,INTERNAL USE ONLYMLXe普通的L3SWL,INTERNAL USE ONLY,MLXe,普通的,L3SW,L3/L2 Link,PC,MPLS/MPLS L3VPN/L2VPN,UserPortal,AdminPortal/Controller,AAA,Redirector Server,MPLS L3VPN,接入,VPLS,接入,OpenFlow Hybird mode,1,2,3,4,5,6,7,1.,用户第一次发送数据到,OF,设备,2.,由于默认没有这个用户的流标，,OF,设备发送报文到,Redirector Server,3.Redirector Server,返回,302,给,PC,4.,用户访问到登陆页面。,5.,用户登陆认证信息发送给,AAA,服务器,6.,认证通过后，告诉控制器,7.,控制器给,OF,设备发送,OF,流标，打通,PC,的访问通道，并且可以下发限速的策略,INTERNAL USE ONLYMLXe普通的L3SWL,INTERNAL USE ONLY,OpenFlow SW,配置,Radius Server,配置,INTERNAL USE ONLYOpenFlow SW配,INTERNAL USE ONLY,认证相关配置,INTERNAL USE ONLY认证相关配置,INTERNAL USE ONLY,认证界面,认证后界面,INTERNAL USE ONLY认证界面认证后界面,网络可视化,用户行为分析,网络可视化,当,前园区网用户行为不可控带来的挑战和表现,总结,功能过于集中,BASE,设备减负,用,户,行为,不可控,用户恶意攻击行为,痛,点表现,解,决方案,痛点主要表现：,1,、,BASE,设备,CPU,高,2,、用户,DHCP,获,取失败,3,、用户,Radius,认证失败,4,、带宽管理问题,5,、流量可视化分析问题,6,、,BASE,冗余问题,7,、,BASE,设备端口成本昂贵,8,、配置管理复杂性,痛点主要表现,：,1,、,用,户行为不可控,2,、用户流量分析不完善,3,、设备功能未发挥,(,汇聚,),4,、上行链路冗余问题,5,、网络故障定位时间过长,痛点主要表现：,1,、,用,户恶意网络,攻,击；,2,、用户行为分析与控制,；,当前园区网用户行为不可控带来的挑战和表现总结功能过于集中用户,博科提供智能可视化园区网有线无线统一解决方案,-,网络流,量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,博科提供智能可视化园区网有线无线统一解决方案-网络流量可视化,博科提供智能可视化园区网有线无线统一解决方案,-,网络流,量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,用,户终结,一卡,通,用,户终结,一卡通,汇聚交换机,汇聚交换机,汇聚交换机,汇聚交换机,内层防火墙,内层防火墙,外,层防火墙,外,层防火墙,DMZ,交换机,DMZ,交换机,接入交换机,接入交换机,接入交换机,接,入交换机,SDN,应用,流控分析管理平台,流量清洗平台,SDN,控制器,流表与拓扑管理,北向,API,接口,OPENFLOW,业务流量镜像,南向接口,博科提供智能可视化园区网有线无线统一解决方案-网络流量可视化,Brocade SDN,控制器,南向接口,OPENFLOW,方式流表下发,ICX SDN,智能交,换机,MGT-IP,：,218.197.116.99/25,telnet:admin/password,MGT-IP,：,218.197.116.96/25,http:/MGT-IP:9001,admim/admin,Brocade,流量分析平台,MGT-IP,：,218.197.116.97/25,https:/MGT-IP:8089,A,dministrator/password,第三方流量可视化平台,MGT-IP,：,218.197.116.98/25,https:/MGT-IP:8089,Administrator/password,北向接口,REST API-,流表下发申请,北向接口,REST API-,流表下发申请,通过,SFLOW,采集数据,发送到博科流量分析平台,通过流量镜像采集数据,发送到流量可视化平台,园区网络,互联网,/,园区网,控制器北向接口,REST API,访问路径,http:/218.197.116.96:8181/restconf/modules,防火墙,A,防火墙,B,前端探针,博科提供智能可视化园区网有线无线统一解决方案,-,流量可视,化,网络流量可视化,-,基于,SDN-Brocade Visibility,Manager,解决方案,Brocade SDN控制器南向