华为敏捷园区网解决方案1.0_技术主打胶片综合版.pptx

敏捷园区网解决方案技术主打胶片;目录;敏捷园区网一期解决方案全景图及适用场景概览;目录;业务随行子目录;业务随行：自由移动下的网络挑战 ;;业务随行核心需求;传统技术能否实现策略随行和体验随身？;技术分析：“动态VLAN+静态ACL”能否实现策略随行？;技术分析： “动态VLAN+静态ACL”能否实现策略随行？;技术分析：“动态VLAN+动态ACL”能否实现策略随行;技术分析：“静态VLAN+动态ACL”能否实现策略随行？;技术分析： “基于IP的重定向/策略路由”能否实现策略随行？;技术分析： “基于IP的QoS”能否实现体验随身？;传统技术的关键问题与局限性总结;业务随行子目录;业务随行的三大技术突破;业务随行系统架构图;;业务随行部署三步曲;;业务随行Step2：在Controller中定义组间策略;业务随行Step2：Controller向执行点推送安全组与组策略;;业务随行实施效果对比;业务随行关键???术汇总;关键技术解析（认证）：用户认证工作流程;关键技术解析（授权）：上线用户身份判断与授权工作流程;关键技术解析——执行：交换机执行策略机制;关键技术解析——执行：防火墙执行策略机制;工作流程：用户访问静态资源控制;工作流程：用户访问用户控制;工作流程：用户流量安全防护;工作流程：多设备协作实现“体验随身”;西安园区;产品支持情况;业务随行子目录;业务随行典型组网;;场景：用户访问数据中心权限控制;场景：跨部门/公司协作办公;场景：流量应用安全防护;平滑演进：业务随行基础阶段?标准阶段;目录;MSV业务链子目录;为什么要用Service-Chaining业务链?;;MSV业务链子目录;MSV业务链方案总体部署;MSV业务链方案总体架构;MSV业务链方案总体流程;Controller配置元素;Controller配置下发流程;Controller适配第三方设备流程;编排设备业务流处理流程;GRE隧道故障联动流程; Controller侧配置;Agile Controller上MSV业务链配置如图所示： 首先增加业务链所需的资源，包括编排设备、业务设备及自动创建隧道口使用的IP地址池： 如左图所示，编排设备列表中显示了注册到Agile Controller的所有编排设备，选择一个编排设备（即交换机）并拖拽到右侧编排设备示意图中； 业务设备列表中显示了注册到Agile Controller的所有业务设备，选择； 点击按钮3时，将会出现右上图所示窗口，列表展示出当前已经注册到Agile Controller的业务设备，用户可以选择其中若干个作为业务设备。;Agile Controller上MSV业务链增加业务流配置如图所示： 如左上图所示，设置业务流名称和描述，点击按钮1来选择业务流的定义方式。 选择ACL方式时。点击按钮2出现左上图所示列表规则，可配置五元组信息（协议、源IP、源端口、目的IP、目的端口）来定义业务流； 选择UCL方式时。出现列表规则，可选择已有安全组。;Agile Controller上MSV业务链增加业务链配置如图所示： 在业务链配置页面中，从区域1中选择编排设备，拖拽到右侧的拖拽区，从区域2中选择业务流，拖拽到右侧的拖拽区，点击按钮3选择GRE隧道故障处理方式； 在右侧的拖拽区中，选择需要使用的业务设备形成业务链，可以拖拽来调整业务设备的顺序； 已创建的业务链在下图中以列表的形式显示出来。;MSV业务链子目录;MSV业务链典型场景一—用户访问数据中心（方式一）;MSV业务链典型场景一（续）—用户访问数据中心（方式二）;MSV业务链典型场景二—用户访问Internet;MSV业务链典型场景三—Internet访问数据中心;MSV业务链典型场景四—用户访问用户;MSV业务链场景限制一—禁止同一流量两次经过同一防火墙;场景限制说明： 典型场景： 防火墙置于内网和Internet之间时，通常会进行NAT地址转换处理。由于NAT会造成流量IP层信息的变化，直接造成了MSV业务链功能中需要按照NAT转换前后的信息定义两条业务流策略来对应一条真实流量，给用户带来配置困难和其他问题。 问题： 对NAT转换前后的信息需要定义两条业务流策略来对应一条真实流量，配置变复杂，从内到外访问时定义的两条业务流匹配规则在经过源NAT地址转换后收敛为一条业务流匹配规则（例如业务流1：IP段1?百度服务器，业务流2：IP段2?百度服务器，通过一个NAT地址池1转换后，变为业务流3：NAT地址池1?百度服务器），后续流量无法精确匹配。 场景限制： 防火墙如果做NAT，必须将其置于核心层交换机靠近Internet侧的最外端，从内到外的流量不需要关注NAT转换，从外到内的流量需要配置NAT转换前的业务流进行首次（到防火墙）引流，由于是N