▲圖:華為敏捷校園安全校園展區(qū)
在這種體系架構下,安全功能不再由出口防火墻一個點來執(zhí)行,而是由敏捷控制器進行全網(wǎng)的安全事件收集,進行大數(shù)據(jù)關聯(lián)分析并全網(wǎng)自動下發(fā)安全策略。 敏捷網(wǎng)絡讓網(wǎng)絡中的所有設備,都變成安全事件的監(jiān)聽敏捷控制器發(fā)現(xiàn)某個可疑點或者不可信區(qū)域的流量時,會把這些流量動態(tài)引入到共享的安全中心進行深度檢測和清洗,當確認某個流量缺失為攻擊流量后,它還會指揮邊緣網(wǎng)絡節(jié)點直接隔離或降級此流量,以免對網(wǎng)絡形成威脅。
▲圖為華為根據(jù)東南大學校區(qū)模擬的全網(wǎng)安全協(xié)防系統(tǒng),全網(wǎng)安全協(xié)防系統(tǒng)是敏捷控制器的一個部分,負責網(wǎng)絡、安全設備日志,終端用戶行為及iPCA流量異常數(shù)據(jù)的采集,對數(shù)據(jù)進行分析,發(fā)現(xiàn)安全漏洞和隱患,并依據(jù)安全策略對安全事件進行告警、阻斷和引流;并下發(fā)調(diào)整后的安全策略到安全設備。對威脅流量進行引流和清洗時,敏捷控制器將全網(wǎng)的物理安全設備虛擬為資源池,并根據(jù)區(qū)域、用戶和安全事件動態(tài)分配安全資源防御安全威脅。
精簡管理 校園網(wǎng)絡極簡運維
傳統(tǒng)校園網(wǎng)絡采用三層架構,每臺接入交換機都需要配置,網(wǎng)絡擴容或軟件升級需要一一操作,工作量可想而知;而且隨著無線在校園網(wǎng)的廣泛應用,需要對無線和有線獨立配置,因為有線無線兩張網(wǎng)絡自成系統(tǒng)獨立管理,無形中增加了IT管理人員的維護工作量,還有,網(wǎng)絡故障發(fā)生后,定位故障時間長,難度大。所以校園網(wǎng)急需改變,以滿足業(yè)務數(shù)據(jù)量增長和網(wǎng)絡管理的需要,降低運維管理成本。
華為提出了有線無線深度融合的理念,有線無線深度融合,融合了轉發(fā),融合了管理,融合了策略控制,讓校園網(wǎng)部署變得簡潔,極致簡化校園有線無線網(wǎng)絡的運維管理工作。
在有線無線的統(tǒng)一轉發(fā)方面,利用敏捷交換機提供的全可編程能力,無線功能已經(jīng)作為一個特性內(nèi)置到有線板卡中,有線和無線網(wǎng)絡轉發(fā)、控制、管理層面都融為一體。這種網(wǎng)元層面的融合有效的解決了有線和無線網(wǎng)絡獨立控制和轉發(fā)的現(xiàn)狀。學校不需要單獨購買AC控制器或者插卡,從而節(jié)省了投資。
融合管理方面,華為敏捷網(wǎng)絡強調(diào)在校園網(wǎng)中將有線網(wǎng)絡和無線網(wǎng)絡虛擬化一臺交換機進行管理,SVF超級虛擬化技術可以將盒式交換機虛擬為框式交換機的一個槽位,整網(wǎng)虛擬為一個超級交換節(jié)點。對于有線網(wǎng)絡的配置和維護升級,華為成功借鑒了無線網(wǎng)絡的免維護特性,就是說IT管理員只需在敏捷交換機上做一次配置,其他接入交換機就可實現(xiàn)向AP一樣的即插即用,交換機的第一次部署、軟件升級和更換都是“零”人工參與。同理,有線網(wǎng)絡的虛擬化能力,也被應用在了無線網(wǎng)絡上,將無線AP虛擬成了核心/匯聚框式交換機的端口。
融合策略方面,為讓敏捷交換機在業(yè)務層面融合了用戶認證和管理功能,首先可以支持多種認證協(xié)議,為有線和無線接入的用戶提供統(tǒng)一認證。另外,對于接入用戶的控制策略,可以實現(xiàn)統(tǒng)一配置,按需聯(lián)動,所有的策略只需要配置在敏捷交換機,所有的控制過程都是由敏捷交換機完成策略的推送和實施,不需要管理員做額外的工作,最大程度簡化校園網(wǎng)的用戶管理。
結語:
經(jīng)過敏捷網(wǎng)絡的打造,相信會有越來越多的院校步入智慧校園的行列。以上的應用熱點分析,還不是敏捷網(wǎng)絡特性的全部,用戶可根據(jù)自身校園網(wǎng)建設的情況和需求,來對敏捷網(wǎng)絡整體架構和優(yōu)勢進行考量,以西南民族大學為例,華為敏捷交換機的隨板AC、統(tǒng)一用戶管理等功能匹配了他們學校信息化發(fā)展的需求,尤其是SVF特性極大簡化了他們對整體網(wǎng)絡的管理。目前華為在教育行業(yè)的客戶已經(jīng)遍布100多個國家,2000多所高校,而敏捷網(wǎng)絡也逐步在更多校園開花結果。