一、从园区网到智慧园区网
相信大家都感受到在传统的网络架构下,很多用户需求是无法得到满足的,比如:
1.网络虚拟化需求
传统园区网中,随着业务需求多样化,用户被迫建设多张独立的物理网络,网络紧耦合的烟囱式架构具有明显缺点,对网络设备资源造成极大浪费。
2.用户体验升级需求
随着园区规模变大,以及多方会议、移动办公和实时协同等场景需求的出现,需要园区网具备端到端的业务保障能力,谨防上网策略部署复杂、不同位置接入公司网络上网体验不一致、频繁掉线等问题。
3.管控效率升级需求
交换机胖模式部署,分散控制不便捷;网络问题需要逐条处理,缺乏统一的管理、控制和协同能力;网络管理界面采用命令行模式,操作复杂,效率低下,无法支持快速上线和灵活扩展。以上问题都是我们过去碰到的影响管控效率的问题,而随着网络规模的不断扩大,急需对网络的管控效率进行升级。
4.内网安全防护需求
随着自带办公(BYOD)设备的普及,终端设备类型和业务需求不断丰富,企业内部网络安全策略部署变得极其复杂,同时也带来内网安全风险。
二、SDN架构应运而生
以上问题,都能在人们提出了基于SDN的网络架构以后,迎刃而解。
SDN架构包括三个层次:应用层、控制层和基础设施层。
总体框架
应用层:存在于云平台中,在WEB页面中进行编排,将业务部署和网络运维中的不同诉求抽象成网络服务,形成模式化和场景化的应用,并提供服务化接口,南向下发网络基础设施层。
控制层:本地或云端部署控制器平台,实现对网络基础设施的集中管控,并将智能分析器内置其中,北向对接云平台,向应用层提供数据支持,并执行命令下发。
信锐技术控制平台NAC-6300/NAC-6100
信锐安视汇聚交换机系列
信锐安视接入交换机系列
三、SDN架构如何助力智慧园区网升级
针对前面说到的传统园区网面临的四大难题,SDN架构能够助力园区网平滑升级。
1.满足虚拟化需求
虚拟化的目的,是实现物理资源的动态分配、灵活调度、跨域共享,提高资源利用率,如果可在同一张物理网络上虚拟多个相互隔离的虚拟网络,使得不同网络用户组之间使用独立的网络资源切片,这样就能提高网络设备资源利用率,同时实现网络的弹性。传统网络也可以实现网络虚拟化,但逐跳部署导致效率极低,人力成本极高。而SDN转控分离的架构正好可匹配虚拟化的集中控制,避免了逐跳部署的繁琐。
实现网络资源的虚拟化,需要对网络的多个层面进行隔离,分为对控制面隔离、转发面隔离。首先,虚拟化平台自身所处的位置就可以轻易实现不同用户组控制资源的相互独立。其次,转发面资源包括节点的CPU、各种 Tables等资源以及链路的带宽,端口资源等。为保证各个用户的正常使用,需对转发面的资源进行相应的隔离,从而避免用户对转发面资源的竞争。最终实现将多个网络用户组进行逻辑分区的效果。
例如,原本监控网和业务网需要新建两套物理网络,而在网络虚拟化以后,可以将同一张物理网络的多台交换机虚拟成一台,然后对池化的资源进行灵活分配,给需要更多带宽的监控分配更多带宽,给重要的业务开辟专用通道,避免拥塞。
2. 提升用户体验
其实用户满意的上网体验很简单,就是网络不会掉线和卡顿。而我们都有过这样的经历,同一个机构,在某个地方登录顺利上网后,换到另一个地方又要重新登录,反复折腾。有时还会出现Wi-Fi列表里面看到的接入点很多,但实际上没有一个能够顺利上网的情况 。
用户移动化业务的普及,网随人动成为当务之急,这要求网络具备无缝的接入能力。而由于用户接入类型的多样性,接入认证也必须提供多种认证方式。在SDN网络架构下,能够支持Portal认证、RADIUS认证、短信、微信、APP、二维码、移动协同OA等多样化的认证方式,使接入用户的统一认证、授权和管理成为可能。除此之外,SDN架构还能同时感知用户位置、用户业务类型等,实现上网策略的实时调整,即使在不同的地方登录,针对某个用户的策略也不会发生改变,实现业务随行不掉线。
另外,传统网络架构下,IP地址的管理一直是很多网络管理员比较头疼的问题,而IP地址冲突正是导致用户掉线最多的因素,在SDN架构下,对IP地址的管理可以作为一种应用的方式直观地展示在管理员面前,IP使用情况一目了然,再附加一些IP分配原则,使IP冲突导致的掉线情况不再发生。
3.提高园区网管控效率
目前,大多数网络管理人员能看到机柜、端口、线缆等实体的设备,但无法将需求直接传递,对网络的部署需要将业务需求翻译成编程语言配置到具体的机器上,配置一个简单的策略也需要逐条敲命令行,这使得网络的部署周期冗长且业务质量无法保障。同时,网络排障时更需要每个层级、每个协议去检查,浪费时间不说,还不一定能解决问题。
SDN控制与转发的分离,使网络设备的集中管控成为可能。转控分离以后,控制平台提取网络中的关键信息,将网络现状直观地展示出来,对于策略的控制和命令的下发更是实现了批量化操作,省去了业务需求到编程语言的翻译过程,极大地提升管控效率。同时,对网络质量进行的实时分析结果,可提前预知网络风险,避免网络重大故障。
4、保障内网安全
传统网络架构下,内网设备之间缺乏威胁隔离机制,网络威胁一旦进入网络内部,就可以肆意蔓延。例如,某内网设备由于弱口令之类的漏洞被远程控制,然后黑客/病毒以此为跳板,再对其它内网设备进行漏洞扫描和入侵,攻击其他终端,继而攻击服务器等,蠕虫和勒索病毒的传播都是基于此机制。而杀毒软件对这些病毒的特征识别、行为判断等为避免误判都有一定的延后性,无法及时处理风险;另外,大部分内网感知平台识别攻击后也没有有效的封堵方式。
而在SDN架构下,随着接入层交换机把各种关键信息上传到本地的控制平台,即可对内网安全进行画像分析,只需设备上架时在端口配置一定的策略,即能在封堵病毒传播的同时,满足大部分的业务需求,病毒无法在内网设备间传播,配合出口防火墙对内网形成全面安全防护。保存详细的访问日志90天,管理员可以结合设备的连接情况、端口使用情况的报表分析结果,识别出疑似被病毒感染的设备。
通过不同层面(从网络整体、交换机、到特定终端)、不同状态(正常的网络、出现异常的网络)横向访问报表的展示,网络管理人员能够以纯网络服务的形式,提供自动的DoS以及DDoS检测和防护。
四、SDN新架构给园区带来更多的价值
前面我们说了SDN架构帮助园区网用户解决了过去传统园区网中的难题,除此之外SDN架构还能给智慧园区网络的部署带来哪些价值呢?
1.部署更敏捷、更灵活
借助SDN架构,提升网络对虚拟化等技术的适应能力和支持程度,最终形成网络对业务的服务和支撑能力。SDN架构避免了传统网络下应用与网络紧耦合的烟囱式架构,将网络资源池化,降低TCO(总拥有成本)。简化网络部署结构的同时,减少网络投入和网络运维成本。自动化部署的实现,支持业务快速上线和灵活扩容,节省成本,缩短工期。
2.不再是人适应网,而是网适应人
传统网络认证方式单一,需要增加认证方式或扩容其他品牌设备时无法实现认证方式的统一,而统一认证是网随人动的基础。现在,即使部署了其他品牌的AC、AP设备,也可以通过控制平台实现统一认证,并且仍然支持多种认证方式。
3.无线、有线、物联网三网合一,统一管控助力效率提升
基于SDN架构,能实现由控制平台统一管理上千、上万台安视交换机,进而增加了网络的集中控制能力,同时对无线、物联网设备进行统一管控。全网统一可视运维,具有瘦模式零配置上线、图形化集中配置所有交换机、一键替换老旧设备、可视化设备状态展示等优势,三种网络集中管控,提高效率。
4.更可视的应用层界面
基于SDN应用层的业务排编,能够提供包括网络安全画像、终端安全画像、账号安全画像等在内的可视化分析,时刻感知内网安全状态,提前预知网络风险,确保网络安全。
区别于云化部署的网管架构,基于SDN架构的控制平台可实体方式部署在本地,利旧传统无线控制器NAC,并可根据网络规模灵活选择不同处理能力的控制平台,节省投资。另外,方案中提供的广告推送、策略随行、报表分析、资产管理、热点地图等增值应用,都可作为企业营销推广的基础。
五、代表厂商
目前,很多厂商都借用SDN的组网架构实现智慧园区网的建设,信锐技术就是其中的代表之一,据考察,自信锐技术推出全新安视系列交换机以来,已经在各行各业得到广泛认可和应用,其中不乏大型园区、商超连锁、政府医疗、高教职教,如上海欢乐谷、南宁万象城、一汽轿车、郑州市综合行政执法局、甘肃省环境监测中心站、南昌广播电视台、贵州建工集团、中国电建地产集团、通辽市第二人民医院、广东财经大学、上海交通职业技术学院、河北农业大学生命科学学院、南昌大学抚州医学院、海南省文化艺术学校等。在园区网向智慧园区网跨越的这一阶段,信锐安视交换机凭借安全与可视的两大核心特性与SDN架构的运用,收获了诸多市场用户的认可。
创新无止境,传统的网络架构只需要在本地部署控制平台也同样能实现架构的向SDN的转变,这让传统的网络架构有了新的玩法,给园区网带来更多的可能性。
关注信锐技术官方微信
回复“交换机”获取更多资讯
