随着网络应用的高速发展,用户对随时随地无差异接入网络有了更高的诉求:
移动化,办公地点不再仅仅局限于自己的办公桌,而是可能在总部或分支机构等不同地点,甚至在路上也可以办公。
无线化,智能终端的普及使无线化接入逐渐成为主流,同时对园区网络的有线无线一体化管理提出了新的挑战。
IoE(Internet of Everything),IoE带来了终端数量的爆炸式增长且往往和现有业务有不同的属性关系,配置工作量急剧增大,安全策略越发复杂。
原有园区架构在新趋势下显得僵化、繁琐,H3C SeerEngine-Campus园区管控组件(简称:SeerEngine-Campus)应运而生。SeerEngine-Campus是H3C开发的园区网络智能控制系统,基于统一数字底盘进行部署运维,实现网络与业务的完美结合。SeerEngine-Campus支持基于VXLAN和VLAN的不同规模的园区网络,支持Aggregation透传设备、Access环网、BRAS做准出网关等多种灵活组网方式,提供包括园区网络的自动化上线、业务端到端自动化部署、接入用户名址绑定、有线无线一体化管理、光电一体化管理、多园区管理、安全纳管、融合分析组件的智能化管理运维等一系列功能,是园区网络部署、管理和运维的有力助手。
在基础网络层面将交换设备进行分类,VXLAN组网分成Spine、Leaf和Access三种角色;VLAN组网分为Core、Distribution、Access三种角色,按照三种角色进行配置。同一角色设备的配置完全统一,从而将整网设备的配置文件简化。支持通过SeerEngine-Campus界面上的引导式配置,用户无需输入任何命令行即可完成配置文件的自动生成,保存在管控组件上。在管理员完成必须的预部署后,管控组件、DHCP服务器和设备配合,在设备上电后无需人工干预即可自动加载对应角色的配置文件,让自动化部署真正成为最简单的网络部署方式。
自动部署功能还解决了设备物理位置标识的问题。在现在的园区网络中,尤其是中大型网络,设备数量极大,位置分布很广,如果不能标识物理位置,对后期运维的故障定位将会非常困难,SeerEngine-Campus支持站点特性,所有设备都可以配置所处站点信息,站点支持上下层级关系。在自动部署场景中,在设备安装前提前规划,设备自动部署上线之后SeerEngine-Campus自动导入站点标识。
自动化的设备扩容和替换。设备上电后,SeerEngine-Campus能自动识别新增扩容设备(包含替换掉故障设备位置的新设备),下发对应角色的规划配置并自动纳管。同时提供了精确替换流程,可以完全恢复被替换设备上的已有配置。
一体机部署:支持统一数字底盘、管控组件、EIA、vDHCP Server等组件打包成一体机,通过配置向导部署,支持单机和集群,页面配一次配置,后面自动部署安装。
融合网络和安全提供一体化的统一管理界面,拉通业务部署和运维。
支持全网设备合规检查。
支持终端行为管理和终端数据管理。
支持融合MACsec技术构建企业内外网统一的零信任网络。
SeerEngine-Campus实现的是端到端的业务自动化部署,当用户创建私网、安全组、组间策略时,SeerEngine-Campus会自动分析网络路径中各个设备的角色、端口的角色,在设备上、端口上自动下发相应的配置,园区网中设备、接入用户数量大,由于采用端到端的部署大大加快了部署时间和效率。
典型组网环境(10000接入用户规模):2台Spine设备,40台Leaf设备,500台Access设备,用户需要部署的业务为:创建教师组、学生组以及定义老师组与学生组间的访问策略。下表给出了该业务部署的采用传统手工方式和SeerEngine-Campus部署的效率对照。由此可见,使用SeerEngine-Campus大大减少了部署时间,提高了部署效率,尤其当网络规模扩大时SeerEngine-Campus会自动计算网络中的资源,再加上其固有的并发执行方式,相对于传统的手工部署模式,效率提高了成百上千倍。
端到端自动部署的效率对照
部署项 | 配置点 | 传统手工部署串行执行 | SeerEngine-Campus部署并行执行 |
创建私网 | Spine设备组创建VRF | 2 x 10=20分钟 | <1分钟 |
Leaf设备组创建VRF | 40 x 10=400分钟 | <1分钟 | |
创建VXLAN | Spine设备组创建VSI, 创建VSI接口 | 2 x 10=20分钟 | <1分钟 |
Leaf设备组创建VSI, 创建VSI接口 | 40x 10=400分钟 | <1分钟 | |
Leaf下行口创建AC, 关联VXLAN | 40 x 10=400分钟 | <2分钟 | |
Access组创建VLAN | 500 x 10=5000分钟 | 500x0.05=25分钟 | |
Leaf组创建VLAN | 40 x 10=400分钟 | <2分钟 | |
Spine组创建VLAN | 2x 10=20分钟 | <1分钟 | |
创建安全组 | DHCP网段创建,Option82设置 | 20分钟 | <1分钟 |
Leaf设备组VSI接口DHCP relay配置 | 40 x 10=400分钟 | <2分钟 | |
Spine配置VRF、VSI绑定 | 2 x 10=20分钟 | <1分钟 | |
Leaf配置VRF、VSI绑定 | 40 x 10=400分钟 | <2分钟 | |
创建组间策略 | Spine设备组源安全组VSI接口ACL配置 | 2 x 10=20分钟 | <1分钟 |
Leaf设备组源安全组VSI接口ACL配置 | 40 x 10=400分钟 | <2分钟 | |
总计 | 7920/60=132小时 | <1小时 |
拓扑管理:SeerEngine-Campus提供了拓扑视图,方便管理员以不同视角查看网络拓扑信息,可以查看管控组件管理的所有Fabric的拓扑,也可以查看指定Fabric中所有设备的拓扑。
DDI管理:SeerEngine-Campus与DHCP Server配合完成系统内自动化上线设备的动态地址分配,和用户上线地址分配。DDI管理可以帮助管理员全局掌控IP地址资源的分配使用情况,包括影院模式展示IP地址池的使用情况,保留IP、禁用IP等详细信息。
Underlay管理:对于物理网络,Underlay管理功能可以帮助管理员方便的对设备配置文件和软件文件进行集中管理;同时提供设备配置的基线化版本管理,可以对配置文件的变化进行比较跟踪;提供设备软件的升级历史记录,可以全面审计设备软件版本的变化,并可快速的恢复历史版本,极大的方便了对设备的管理,提高了网络的可维护性。SeerEngine-Campus还从资源的角度提供配置模板库和软件文件库的管理,实现了这一类资源的重复使用和维护的方便性。
Overlay管理:Overlay是一种将二层网络业务封装在三层/四层报文中进行传递的网络技术。而VXLAN(Virtual eXtensible LAN)技术是当前最为主流的Overlay标准技术,通过VXLAN网络封装技术,将4094个VLAN扩展为16M个虚拟网络,从而支持多个与物理设备和位置无关的用户安全组和IT资源组。SeerEngine-Campus提供了VLAN-VXLAN映射等VXLAN管理功能,便于用户手动进行配置并查询指定信息。
PON光网络管理:园区管控组件提供统一的入口对于PON网络中的OLT设备、OLT单板、OLT接口、分光器、ONU设备、UNI下行口全方位的配置和管理,可以通过SNMP协议查询OLT设备上的OLT、ONU等设备的运维类配置,可以允许用户根据实际网络环境修改PON特性的参数并下发到设备上,以更好的适应不同的场景,支持配置上下级分光器、分光器下接的ONU、上接的OLT接口、分光比、插损值、传输距离和厂商定信息,并可以在拓扑上进行展示,以方便用户对实际组网信息的维护,大大简化了PON网络的部署和运维难度。
关键业务快照回滚:随着网络的复杂化,设备上的业务配置对网络维护人员而言,变得更加复杂,现场经常会遇到由于人工配置错误导致的业务变更故障或者由于软件错误导致的突发故障,而维护人员很难简单的人工判断设备多项配置之间的联系,确认并及时修复故障有时很困难,针对这种特殊场景,方案支持了快照回滚功能,提供全网级别的关键业务数据回滚功能,能够使全网业务恢复到指定时间状态,同时控制器和设备都不需要重启,并且设备和控制器之间的Netconf等南向通道保持稳定,不会有连接重建的过程。
SeerEngine-Campus以用户业务为中心,灵活编排调配网络资源,真正实现网随人动。
对网络进行抽象以屏蔽底层复杂度,为上层提供简单的、高效的配置与管理。定义了主要的网络虚拟对象,用户对虚拟对象以拖拽方式进行编排就可以方便、灵活的构建其业务系统。
通用组:支持管理员将设备和设备接口划分到不同的设备组或接口组内,方便管理员对设备和设备接口进行整组的管理,包括各种策略的执行与修改等。系统已经基于Spine-Leaf-Access设备角色和互连关系自动建立相应的设备组和接口组,管理员也可以按需求自定义。
安全组:传统的接入控制、访问权限控制采用ACL和VLAN相结合的方式,而这种方式一般需要大量的预配置工作且不够灵活,已不适应现在园区网的需求。SeerEngine-Campus采用的基于安全组的策略控制方案替代了传统的VLAN+ACL控制方案。管理员通过定义用户安全组、资源组以及组间策略可以实现用户的自由灵活接入并保证用户在任何位置接入时都可以得到一致的访问权限。当管理员设置好相应的安全组、资源组以及策略模板时,就可以通过策略矩阵以二维表格的形式编排各个安全组的访问权限。
基于IP SGT技术,实现安全组与VLAN解耦,认证点和策略执行点可分离,通过EIA订阅用户IP的角色(SGT),支持IP解耦、用户迁移的策略随行,VXLAN组网和VLAN组网都可以支持策略随行,并可支持4K安全组规格,可实现大规模组网下的精细化策略控制需求。
园区内网络策略编排:通过组间策略的编排,实现园区内部用户和用户之间、用户和服务器资源之间访问策略的定义,精确把控园区内东西向流量。
园区出口网络策略编排:通过园区出口策略的编排,实现园区出口策略的定义,控制园区内网用户对外部网&Internet南北向访问流量的精细化权限控制和安全防护。
位址分离,名址绑定:随着移动互联网的飞速发展,在园区中用户使用不同终端,在不同位置以不同的方式接入网络的需求大量爆发,在SeerEngine-Campus上通过给接入用户设置多个接入场景,使得用户在不同物理场所接入网络时使用相同的IP,用户访问网络的权限完全一致。与所在的物理位置、接入设备类型无关。
策略随行:当用户办公位置发生变化时,只需在SeerEngine-Campus上修改用户的接入场景即可,网络业务快速重新开通。
配置审计:管控组件通过Netconf协议向设备下发配置并可以获取到设备上对应配置,按照设备保存下发的配置,并基于此实现了针对设备的配置审计功能,从设备获取对应配置,与管控组件保存的配置进行比较,按照管控组件比设备多的、管控组件比设备少的和不一致的三种类型以Netconf协议的xml格式进行展示,方便用户监控设备上配置下发情况。
精细化平滑:管控组件可以针对上面三类差异配置数据,由用户按需自行选择其中的全部或部分配置进行平滑,管控组件会按照用户选择将管控组件保存的配置重新下发到设备上,可以做到基于不同模块的xml表的不同行数据的力度进行选择。
审计白名单:在精细化平滑审计功能基础上,允许用户将其中的管控组件比设备少的配置按需选择加入白名单中,加入白名单中的配置会被忽略掉,不再展示在审计结果中,也不再影响后续该设备的审计状态。从而避免用户因大量审计差异疏忽了真正需要关注的内容,在没有其它审计差异情况下可以正常亮绿灯。
概览页面:支持在概览页面中展示在线用户数量,同时支持展示告警统计、有线无线资源统计、终端设备使用情况和用户接入方式统计数量等。
容量管理:呈现网络设备各类资源状态,让用户全面地掌控在线设备运行情况;同时支持对资源设置多级告警阈值,以及自动回退超规格配置,提示用户实时调整网络资源配置。
资源统计:展示整个网络中设备级事件、接口事件统计信息,并可以按需监控接口收发包及丢包统计信息。
日志管理:SeerEngine-Campus可以支持操作日志、系统日志和运行日志的查询、过滤、导出和删除操作,帮助用户快速地发现、定位和排除故障。
一级规格 | 二级规格 | 功能描述 |
首页 | 首页 | 显示园区网络整体资源、状态、告警等数据。 |
组网模型 | 组网模型 | 支持VLAN和VXLAN组网 |
Fabric | Fabric管理 | 提供多Fabric管理功能 支持路由服务器 |
隔离域 | 隔离域管理 | 提供多园区管理功能 |
设备自动化上线 | 设备自动化上线 | 提供新自动化和原自动化上线功能 |
站点 | 站点 | 支持站点管理 |
园区拓扑 | 园区拓扑 | 展示基于Fabric的物理拓扑信息 |
IPv6 | 管理网络IPv6 | 支持IPv6网络 |
用户网络IPv6 | 支持IPv6网络 | |
网络设备 | 有线设备 | 管理有线设备 |
无线设备 | 基于WSM管理无线设备 | |
PON | OLT/ONU设备管理(GPON/EPON) | |
安全设备 | 基于SMP组件配置安全业务 | |
BRAS | 支持BRAS组网 | |
网络业务 | 通用设备组 | 接口组、设备组管理 |
MACsec | 支持MACsec | |
M-LAG | 支持M-LAG组网 | |
端口镜像 | 支持端口镜像 | |
容量管理 | 支持设备资源利用率显示、告警及超规格自动回退 | |
审计平滑 | 支持网络设备和EIA、DHCP服务器间的审计平滑 | |
网络固化 | 支持VXLAN交换设备的网络固化 | |
VLAN业务配置 | 支持认证、STP、端口隔离等配置 | |
AAA | 支持联动EIA服务器 | |
DHCP | 支持DHCP服务器配置管理及展示 | |
策略 | 虚拟网络 | 隔离域 私网(VXLAN独有) 二层网络域(ARP SCAN) VXLAN支持路由策略 |
策略随行 | 安全组、资源组、组间策略、支持VLAN场景的BRAS策略随行 VXLAN支持IP和组策略两种场景,VLAN仅支持组策略 | |
IP-SGT | 支持IP安全组信息订阅及4K安全组 | |
出口网关 | 支持出口网关(VLAN仅支持单Fabric) VXLAN场景的出口网关支持联动NQA进行链路探测 | |
QoS | 提供对特征流量的质量保证服务 | |
组播 | 支持VXLAN二三层组播,仅支持IPv4组播 | |
运维监控 | 告警 | 展示系统告警信息 |
日志 | 提供系统日志、操作日志、诊断日志 | |
管控组件信息 | 支持一键巡检 | |
系统管理 | 系统用户 | 提供系统用户的增加、删除、密码修改、分权分域等功能 |
集群管理 | 提供管控组件集群管理功能 | |
备份恢复 | 提供管控组件配置的备份和恢复功能 | |
系统参数 | 设置管控组件的系统参数 | |
License管理 | 支持License Server 支持正式License和临时License
| |
园数融合 | 园数融合 | 支持园区、数据中心统一管理与控制,实现园区和数据中心软件统一安装部署,统一界面展示,统一门户登陆,以及跨域自动化上线等能力。 |
自动堆叠和自动聚合 | 自动堆叠和自动聚合 | 支持自动化上线过程,支持Access设备的堆叠,要求最大支持9台设备的堆叠。 |
智能化开局 | 智能化开局 | 支持通过拓扑图形化界面,支持可视化开局。 |
容量管理配置回滚 | 容量管理配置回滚 | 支持超出设备容量的PBR资源,以及AC资源(静态Vxlan表项),实现配置回退。 |
硬件扩容 | 部署硬件扩容 | 支持SDN软件部署从单台服务器平滑扩容到三机集群 |
SeerEngine-Campus要求的服务器端运行配置(以管控组件独立集群部署为例,含统一数字底盘+vDHCP+SE+EIA+WSM,不含无线智能分析功能),
硬件节点配置 | 可支持最大管理规模 | ||
节点名称 | 节点配置数量 | 单节点详细配置 | |
控制节点 | 3 | · CPU:22核,2.0GHz主频及以上 · 内存:128GB及以上 · 系统盘:2.4TB(RAID后容量)及以上 · ETCD盘:50GB(RAID后容量)及以上 | · 在线用户:2000 · Switch + AC + AP:400 |
标准组网主要有三层架构和二层架构两种模型,其中三层架构主要用户大型园区,二层架构模型主要适用于中小园区,具体组网模型参见如下组网图。
三层架构模型
二层架构模型
在标准组网模型上支持BRAS设备作为园区网的出口网关,实现准出认证和计费或作为准入准出一体化的方案。
融合BRAS组网模型
在标准组网的基础上支持PON能力,支持光电混合和纯光网络。
PON融合网络
在单个园区的基础上增加园区互联场景。
项目 | 描述 |
AD-Campus-SE-SWP | H3C AD-Campus 管理控制组件授权函 |
AD-Campus-SE-S12500-1 | H3C AD-Campus 管理控制授权函-S12500系列-每设备 |
AD-Campus-SE-S10500-1 | H3C AD-Campus 管理控制授权函-S10500系列-每设备 |
AD-Campus-SE-S9800-1 | H3C AD-Campus 管理控制授权函-S9800系列-每设备 |
AD-Campus-SE-S7500-1 | H3C AD-Campus 管理控制授权函-S7500系列-每设备 |
AD-Campus-SE-S7600-1 | H3C AD-Campus 管理控制授权函-S7600系列-每设备 |
AD-Campus-SE-S6800-1 | H3C AD-Campus 管理控制授权函-S6800系列-每设备 |
AD-Campus-SE-S6500-1 | H3C AD-Campus 管理控制授权函-S6500系列-每设备 |
AD-Campus-SE-S5100-1 | H3C AD-Campus 管理控制授权函-S5100系列-每设备 |
AD-Campus-SE-S5500-1 | H3C AD-Campus 管理控制授权函-S5500系列-每设备 |
AD-Campus-SE-S3100-1 | H3C AD-Campus 管理控制授权函-S3100系列-每设备 |
AD-Campus-SE-IE4300-1 | H3C AD-Campus 管理控制授权函-IE4300系列-每设备 |
AD-Campus-SE-E100-1 | H3C AD-Campus 管理控制授权函-E100系列-每设备 |
AD-Campus-SE-E500-1 | H3C AD-Campus 管理控制授权函-E500系列-每设备 |
AD-Campus-SE-ES4100-1 | H3C AD-Campus 管理控制授权函-ES4100系列-每设备 |
AD-Campus-SE-ES5500-1 | H3C AD-Campus 管理控制授权函-ES5500系列-每设备 |
AD-Campus-SE-DEV-3RD-1 | H3C AD-Campus 管理控制授权函-第三方交换机-每设备 |
AD-Campus-SE-ONU-1 | H3C AD-Campus 管理控制授权函-PON-每设备 |
AD-Campus-SE-SC-1 | H3C AD-Campus 虚拟服务授权函-每节点 |
AD-Campus-SE-S12600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S12600系列-每设备 |
AD-Campus-SE-S10600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S10600系列-每设备 |
AD-Campus-SE-S9600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S9600系列-每设备 |
AD-Campus-SE-S8600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S8600系列-每设备 |
AD-Campus-SE-S7800-U-1 | H3C AD-Campus 管理控制授权函-UNIS S7800系列-每设备 |
AD-Campus-SE-S6600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S6600系列-每设备 |
AD-Campus-SE-S5800-U-1 | H3C AD-Campus 管理控制授权函-UNIS S5800系列-每设备 |
AD-Campus-SE-S5600-U-1 | H3C AD-Campus 管理控制授权函-UNIS S5600系列-每设备 |
AD-Campus-SE-S5200-U-1 | H3C AD-Campus 管理控制授权函-UNIS S5200系列-每设备 |
AD-Campus-SE-VNA-1 | H3C AD-Campus 业务自动化授权函-每设备 |
AD-Campus-SE-USR-STG-1 | H3C AD-Campus 业务随行授权函-每设备 |
AD-Campus-SE-U-1 | H3C AD-Campus 升级服务授权函 |
AD-Campus-SE-SR-1 | H3C AD-Campus 管理控制授权函-SR路由器系列-每设备 |
AD-Campus-SE-CR-1 | H3C AD-Campus 管理控制授权函-CR路由器系列-每设备 |
AD-Campus-SE-MSR-1 | H3C AD-Campus 管理控制授权函-MSR系列-每设备 |