焦点自适应的虚拟园区网..doc

焦点：自适应的虚拟园区网 在园区网中，当上面的数据中心变成了云，下面终端变成了BYOD智能终端。连接上下的企业园区网同样在发生深刻的变化。网络作为整个园区的神经，已经跨过了简单的互联和共享的阶段。现在的网络必须要能适应其承载的越来越丰富的应用。尤其是移动应用大量部署的情况下，除了保证应用的连通性，还要能满足不同应用的时延、带宽、通讯质量等要求。此外，应用对网络的要求千差万别，一旦网络现有功能无法满足要求时，就需要通过软件定义，让用户能够自行对网络进行功能扩展。 一、 WLAN网络的革新 现如今很多园区的无线接入用户已经超过有线接入用户量。随着802.11ac的部署，无线接入将成为园区网接入的主要方式。有些移动终端也不再提供有线接入方式。即使是采用有线的接入方式，随着笔记本所占的比重越来越大，对网络接入的移动性要求也会越来越高。 采用802.11ac技术，每个AP的带宽性能将超过1G，而且很快会超过3G。采用传统的AC集中转发的模式，需要不断适应无线高带宽需求，不断提升AC的性能是当前应对挑战的主要方式。而长远来看，未来园区网逐步会向有线无线统一接入组网方向发展，不再区分有线和无线接入方式。这样更加有利于对有线无线进行统一管理、统一认证，简化管理员对网络、用户等的管理。 有线无线统一接入的核心思想就是不再单独强调无线AC的作用，而是把无线AC融入到网络中作为网络的一部分。当前融合的方式是把无线AC做成插卡，插入到网络交换机上，这是一种物理形态的融合。在未来自适应虚拟园区网中，还可以借鉴集中控制的思想，所有网络资源可以由控制器统一控制（本文具体指H3C VCF Controller）。收集全网资源信息，进行实时调度，同时VCF控制器也可以处理所有无线控制信令，业务流不经过VCF控制器转发。控制器替代无线控制器，也更加有力于解决我们在无线网络里遇到的一些问题，以下以 VCF控制器为例进行说明。 当终端跨AP漫游时，VCF 控制器下发指令到漫游后的AP，动态创建和漫游前AP的VXLAN隧道，把用户数据转送到漫游前的AP。漫游前的AP解封装VXLAN隧道后，再进行相应的报文转发。 图1. 交换机间通过VXLAN实现漫游 如图1所示，如果AP上行的交换机支持VXLAN功能，为了提升效率，VCF 控制器也可以控制AP的上行交换机间动态创建VXLAN隧道，实现快速漫游。当网络中的AP和所有中间节点都不支持VXLAN功能时，用户又进行了跨VLAN漫游，VCF控制器还可以下发指令到AP，由AP封装CAPWAP数据隧道到VCF控制器集中转发处理。 当网络中存在AC设备，需要跨AC漫游时，VCF 控制器下发指令到AC或AC上联交换机，通过VXLAN隧道实现漫游流量的集中分发。 VCF控制器可以控制策略下发到转发路径的任意节点。如果接入或汇聚设备支持，则可以直接下发QoS、ACL和安全等动态策略到这些设备，用户漫游后无需再重复下发。如果网络设备不支持策略下发，VCF控制器还可以把相应策略直接下发到AP（如图2所示）。 图2. VCF控制器实现策略下发 l?网络的能力扩充 当所有无线控制的功能统一由VCF 控制器接管，AP的功能就会大大简化。无线网络功能的升级不需要频繁替换AP或边缘交换机。此外，由于用户的流量不再经过Controller转发，通过在分发点增加AP，VCF 控制器可以按照探测出的网络能力，自动优化转发路径和策略控制点，使得网络的能力和规模可以随需增加。下面我们通过一个一个典型的园区组网场景，来比较采用VCF架构与传统网络对满足移动性需求的差别。该园区有线无线用户统一接入，用户的认证网关部署在接入设备上（如图4所示）。 如图3所示，假设用户，通过笔记本无线接入到网络完成日常办公工作。在办公工位通过A点的AP接入到网络。传统园区网，通过VLAN和VPN实现不同部门之间的访问控制。在用户完成接入802.1X认证后，在接入设备下发相应的VLAN，以及用户相关的安全策略。在接入设备上，根据不同的用户VLAN进入到不同VPN。从而保证不同部门之间用户的隔离。这样的组网下，接入设备的VLAN可以给予用户认证信息下发，汇聚设备上需要配置所有部门的VPN。这样做是为了简化配置管理，实现用户可以在任何位置接入网络。这已经比之前特定部门的用户只能通过固定范围的端口接入网络有了很大进步，能够初步满足不同部门混合办公的需求。 如果用户需要紧急从A点AP到B点AP参加会议。由于在AP间漫游，其认证信息、下发VLAN以及安全策略等，无法跟随用户的移动一起漫游到新的接入设备。新的接入设备上不存在这个用户的信息，要求用户重新进行认证。认证通过后，在新的接入设备上下发用户认证信息、VLAN、安全策略等。而在此过程中，如果用户正在进行文件上传、下载，通过网络