SDN：园区网难题的最佳答案

大中型园区的无线部署方案普遍采用瘦AP方案，AP到AC之间的流量采用CAPWAP隧道汇集到AC，集中转发的网络架构，使得AC成为无线网络的关键瓶颈。随着WLAN技术从802.11a/b发展到802.11n以及802.11ac，无线接入带宽也从几十M提高到1G，再加上有线接入也提升到千兆，以及部分的业务识别能力要求，流量转发瓶颈问题更加严重。

华为有线无线融合的SDN方案依赖具有可编程能力的新4代交换机，通过转发面编程，在传统有线转发的基础上融合了包括CAPWAP隧道终结在内的无线AC转发功能，AP成为现有交换机接入端口的延伸，流量瓶颈不复存在。有线和无线业务都在同一个路径上进行策略的统一处理和转发，实现了有线和无线业务真正的深度融合。

基于Campus Controller策略集中控制，自动部署和运维

移动办公大规模部署首要解决的前提是安全问题，包括访客身份识别和权限控制、智能终端的类型识别和权限控制、用户之间的互访控制等，网络之上的安全策略控制是网络更好地支撑企业信息安全的关键点。

首先，多点分布的策略控制点导致策略管理和配置复杂，无线的融入使得该问题更加突出。有线网络中的接入/汇聚交换机都是潜在的策略控制点，运维人员需要花费大量工作对其进行配置，包括用户组策略建立、认证参数配置等。部署无线后，由于AC单独作为无线用户策略控制点，新增加了额外配置工作量。目前很多企业鉴于配置管理方便的需求，会考虑把汇聚或者核心层设备作为统一策略控制点，这导致下层网络对用户完全开放，非法用户也可以与正常用户互访，很容易发生潜在的信息泄露和恶意攻击，员工的移动性及智能终端的网络接入，将使上述安全问题更加突出。移动办公时代，网络的策略控制务必延伸到接入边界，那么数量众多的接入设备将使原本复杂的策略管理和网络配置雪上加霜。

其次，策略由单一属性演变为多属性。目前大多数企业的策略控制都是根据用户身份这一单一属性，如：市场、研发、财务员工等。移动性使得策略属性多样化，如：同一用户，使用PC或者PAD时，权限不同;采用笔记本电脑应用有线或者无线接入时，权限不同;访客在既有身份权限的基础上，需要加入时间限制。安全策略的控制需要考虑用户的多种接入属性。

华为有线无线融合的策略集中控制SDN方案，通过统一的策略控制器Campus Controller，自动感知用户多种维度的属性，在用户接入网络后自动下发精细化控制策略，同时依赖可编程交换机实现有线无线一体化接入方案，原本零散分布在现有交换机和AC上的策略控制点也将实现融合，同时借鉴无线AP/AC的集中管理模式，融合的策略控制点可以与边缘接入交换机进行联动控制，本来需要直接下发到边缘设备上的策略可以统一下发，策略控制点数量大幅缩减，极大简化了运维工作量。

园区SDN愿景

基于第4代可编程交换机的华为园区SDN方案，使网络资源变得空前灵活，从容应对新业务部署带来的诸多问题。随着可编程Hybrid SDN园区方案与企业业务的深入结合，包括企业生产在内的核心业务都将融入到传统园区中统一承载，结束企业网络多网并存的局面，而基于Campus Controller的统一策略控制能力，也将成为网络更好地进行业务精细化控制的核心能力。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!