智慧園區(qū)網(wǎng)解決方案

1、智慧園區(qū)網(wǎng)解決方案0102傳統(tǒng)園區(qū)面臨的挑戰(zhàn)ADCampus解決方案ADCampus網(wǎng)隨人動03ADCampus小白運維04ADCampus寬帶物聯(lián)05AC匯聚接入核心0000/16網(wǎng)段/16網(wǎng)段傳統(tǒng)園區(qū)如何實現(xiàn)移動安全用戶移動，傳統(tǒng)區(qū)域安全防護(hù)失效用戶移動，IP變更，如何實現(xiàn)審計到人部門搬遷、工位調(diào)整需要不斷的調(diào)整網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)辦公網(wǎng)絡(luò)物理專網(wǎng)虛擬園區(qū)網(wǎng)傳統(tǒng)園區(qū)多業(yè)務(wù)隔離多業(yè)務(wù)隔離左右為難物理專網(wǎng)：重復(fù)建設(shè)，投資浪費VLAN隔離：強(qiáng)度不夠，場景受限MPLS專網(wǎng)：技術(shù)復(fù)雜，運維困難VPNAVPNBVPNC辦公區(qū)研發(fā)區(qū)生產(chǎn)區(qū)MPLS+VLAN數(shù)字化時代，園區(qū)物聯(lián)終端激增智慧樓宇智慧建筑智慧

2、園區(qū)智慧城市物聯(lián)網(wǎng)是構(gòu)建數(shù)字化智慧園區(qū)的基礎(chǔ)越來越多的物聯(lián)終端如何高效、安全的接入園區(qū)網(wǎng)絡(luò)？傳統(tǒng)園區(qū)面臨復(fù)雜運維網(wǎng)絡(luò)規(guī)模越來越大業(yè)務(wù)類型越來越多訪問控制復(fù)雜設(shè)備故障替換、配置還原壓力超大各類病毒威脅0102傳統(tǒng)園區(qū)面臨的挑戰(zhàn)ADCampus解決方案ADCampus網(wǎng)隨人動03ADCampus小白運維04ADCampus寬帶物聯(lián)05資源分配APP網(wǎng)絡(luò)編排APP策略定義APP終端管理APP運維診斷APP用戶管理APP其他APP第三方應(yīng)用、業(yè)務(wù)應(yīng)用系統(tǒng)南向標(biāo)準(zhǔn)協(xié)議（SNMP/MIB, openflow、BGP NETCONF ）基于SDN的網(wǎng)絡(luò)驅(qū)動器AD-Campus DirectorVXLAN網(wǎng)絡(luò)

3、自動部署APPADCampus方案架構(gòu)語音、視頻；端口、IP地址，RESTful接口控制層設(shè)計SDN控制器物理承載網(wǎng)絡(luò)SDN 控制器：南向標(biāo)準(zhǔn)協(xié)議（SNMP、 Netconf 等）Vxlan tunnelVxlan tunnelOverlay網(wǎng)絡(luò)運維診斷APP用戶管理APP資源分配APP自動上線APP網(wǎng)絡(luò)編排APP終端管理APP策略定義APP其他APP校園A校園B校園A校園BSDN 控制器SDN控制器對網(wǎng)絡(luò)進(jìn)行抽象以屏蔽底層復(fù)雜度，為上層提供簡單的、高效的配置與管理SDN控制器對所有網(wǎng)絡(luò)設(shè)備集中編排及控制，構(gòu)建靈活的業(yè)務(wù)系統(tǒng)SDN控制器通過業(yè)務(wù)或控制APP自動將邏輯對象映射到物理網(wǎng)絡(luò)，并調(diào)用A

4、PI下發(fā)到實體設(shè)備，最終完成配置部署網(wǎng)絡(luò)層設(shè)計Overlay物理承載網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)Vxlan tunnelVTEP1VTEP2骨干網(wǎng)絡(luò)數(shù)據(jù)中心客戶端辦公網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)VSI/Vxlan 10VSI/Vxlan 20VSI/Vxlan 10VSI/Vxlan 20辦公網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)POverlay網(wǎng)絡(luò)中不同VTEP之間通過Vxlan tunnel打通大2層直連網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)中通過不同Vxlan進(jìn)行業(yè)務(wù)隔離Overlay網(wǎng)絡(luò)可以實現(xiàn)園區(qū)用戶或業(yè)務(wù)與網(wǎng)絡(luò)位置解耦Overlay網(wǎng)絡(luò)可以跨三層網(wǎng)絡(luò)拉通多個園區(qū)，中間網(wǎng)絡(luò)無關(guān)0102傳統(tǒng)園區(qū)面臨的挑戰(zhàn)ADCampus解決方案ADCampus網(wǎng)隨

5、人動03ADCampus小白運維04ADCampus寬帶物聯(lián)05ADCampus應(yīng)用案例06網(wǎng)隨人動的園區(qū)網(wǎng)絡(luò)12 0位置解耦合柔性網(wǎng)絡(luò)+SDN的網(wǎng)絡(luò)驅(qū)動器用戶位置變更、終端任意部署、網(wǎng)絡(luò)管理“零”干預(yù)IP地址安全資源隔離通道網(wǎng)絡(luò)策略安全策略網(wǎng)隨人動資源隨動策略隨動 0IP地址與網(wǎng)絡(luò)位置解耦 0IP位址分離，實現(xiàn)IP可在任意位置接入、包括跨園區(qū)0基于角色的IP地址分配方式14

6、00基于位置的IP分配基于角色的IP分配用戶組IP組IP鎖定到用戶市場部/16是研發(fā)部/24是財務(wù)部/24是監(jiān)控設(shè)備/24否門禁系統(tǒng)/24否基于角色的IP地址分配方式15過去IP用戶網(wǎng)段業(yè)務(wù)現(xiàn)在IP=用戶網(wǎng)段=業(yè)務(wù)真正實現(xiàn)控制到用戶包括精準(zhǔn)溯源、流量限速等最易的業(yè)務(wù)控制針對視頻監(jiān)控、一卡通、研究生等直接通過IP網(wǎng)段識別最簡的業(yè)務(wù)隨行方案IP和用戶跟隨、網(wǎng)段和業(yè)務(wù)跟隨節(jié)約IP地址IP地址潮汐問題解決、終端數(shù)量變動帶來地址池問題用戶組網(wǎng)絡(luò)屬性IP組隔離域部門AVlan10/VXLAN1I網(wǎng)段VRF1部門BVlan20/VXLAN2II網(wǎng)段

7、VRF1部門CVlan30/VXLAN3III網(wǎng)段VRF1監(jiān)控設(shè)備Vlan40/VXLAN4IV網(wǎng)段VRF2部門A部門B部門C訪客組部門AServers部門BServers部門CServersInternet Access部門APERMITPERMITDENYPERMITPERMITPERMITPERMIT部門BPERMITDENYDENYPERMITDENYPERMITDENY部門CPERMITDENYDENYDENYPERMITPERMITPERMIT訪客DENYDENYDENYDENYDENYDENYPERMIT基于角色的IP地址分配方式WAN00園區(qū)一園區(qū)二10.1

8、0.10.1Director00用戶移動，動態(tài)進(jìn)入VPN，策略隨行，體驗不變VxLAN100VxLAN100VxLAN100VxLAN100VxLAN Fabric策略隨行，隔離通道動態(tài)跟隨業(yè)務(wù)隔離：更優(yōu)的虛擬專網(wǎng)18終端終端物理網(wǎng)絡(luò)辦公專網(wǎng)邏輯網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)生產(chǎn)專網(wǎng)智能設(shè)備專網(wǎng)邏輯網(wǎng)絡(luò)物理專網(wǎng)：重復(fù)建設(shè)，投資浪費MPLS專網(wǎng)：技術(shù)復(fù)雜，運維困難過去現(xiàn)在自動構(gòu)建端到端的隔離網(wǎng)絡(luò)交付快安全強(qiáng)運維簡基于業(yè)務(wù)的網(wǎng)絡(luò)切片：實現(xiàn)每專用業(yè)務(wù)一個邏輯連接終端/用戶與位置解耦A(yù)BAB園區(qū)ABAB過去現(xiàn)在手動配置隔離端口自動識別，自動劃分隔離端口網(wǎng)隨人動的通道隔離方案iBG

9、P主RR備RRWAN園區(qū)控制器主園區(qū)分支1分支NABAB業(yè)務(wù)隔離點ACL/VRFIP地址、隔離通道、訪問策略隨動用戶與位置無關(guān)，與終端無關(guān)、與接入方式無關(guān)、與中間網(wǎng)絡(luò)無關(guān)無差別多園區(qū)接入VTEP節(jié)點iBGP主RR備RR主RR備RRWAN園區(qū)控制器園區(qū)一園區(qū)二多園區(qū)統(tǒng)一組網(wǎng)，統(tǒng)一用戶、統(tǒng)一IP分配、統(tǒng)一網(wǎng)絡(luò)策略分支網(wǎng)絡(luò)無差別接入，無需專門VPN技術(shù)，可跨越任意IP網(wǎng)絡(luò)4-7層服務(wù)節(jié)點可以和總部共享，減少分支部署成本和管理難度。可統(tǒng)籌全網(wǎng)IP分配，業(yè)務(wù)隔離策略、保證網(wǎng)絡(luò)規(guī)劃的一致性用戶及綁定IP可實現(xiàn)總部、分支之間漫游VTEP節(jié)點主RR備RRWAN園區(qū)控制器主園區(qū)分支1分支N無差別分支接入無差別V

10、PN接入Internet點對點接入遠(yuǎn)程接入VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)遠(yuǎn)程主機(jī)局域網(wǎng)局域網(wǎng)點對點接入(Site-to-Site)：性能高、運行簡單可靠、適于大型局域網(wǎng)的遠(yuǎn)程互聯(lián)遠(yuǎn)程接入(Remote-Access)：接入靈活，使用方便，成本低，適于遠(yuǎn)程主機(jī)直接接入系統(tǒng)網(wǎng)絡(luò)支持VPN網(wǎng)關(guān)Director集中配置權(quán)限控制簡單控制點統(tǒng)一終端支持：云桌面（瘦客戶端）園區(qū)核心出口安全資源池FW防毒IPSLB流控SSL電信聯(lián)通國際鏈路生產(chǎn)工控研發(fā) 辦公物聯(lián)打印機(jī)ATM門禁一卡通轉(zhuǎn)架事業(yè)部儀表樓機(jī)車事業(yè)部技術(shù)中心區(qū)電氣分公司轉(zhuǎn)架事業(yè)部儀表樓機(jī)車事業(yè)部技術(shù)中心區(qū)電氣分公司轉(zhuǎn)架事業(yè)部儀表樓機(jī)車事業(yè)部技術(shù)中心區(qū)服務(wù)資源池

11、區(qū)研發(fā)生產(chǎn)辦公工控網(wǎng)絡(luò)管理物聯(lián)網(wǎng)內(nèi)網(wǎng)云桌面外網(wǎng)云桌面電氣分公司DC核心防火墻網(wǎng)閘數(shù)據(jù)中心公共公共瘦客戶端桌面分發(fā)控制服務(wù)器部署在數(shù)據(jù)中心公共區(qū)瘦客戶端部署在園區(qū)公共區(qū)；該區(qū)與園區(qū)其它區(qū)通過VRF進(jìn)行隔離；瘦客戶端進(jìn)行MAC認(rèn)證，下發(fā)園區(qū)訪問規(guī)則僅能訪問桌面分發(fā)控制服務(wù)器安全設(shè)備控制瘦客戶端網(wǎng)段僅能訪問公共區(qū)的桌面分發(fā)控制服務(wù)器主要是解決瘦客戶端認(rèn)證接入網(wǎng)絡(luò)問題終端支持：單帳號多終端所有帳號，默認(rèn)最大綁定一個IP。綁定多終端，其實是指最大允許多個綁定的IP同時在線如果帳號最大在線IP未達(dá)到綁定上限個數(shù)，允許新終端接入和綁定，并擠占非在線用戶的綁定IP如果帳號對應(yīng)的在線用戶數(shù)已經(jīng)達(dá)到上限，使用該帳

12、號的新用戶不允許接入在綁定過程中，EIA和dhcp server agent交互，實時刷新DHCP server上的綁定關(guān)系，確保正確綁定終端支持：單終端多帳號(公共機(jī)場景)用戶即使在公共機(jī)上，也能獲得自己所屬角色的綁定IP，和在專屬機(jī)器上的體驗一致對于公共機(jī)來說，不同用戶切換，公共機(jī)的所屬安全組不停切換，綁定IP不停切換通過EIA和后臺dhcp server的交互，完成對綁定表項的刷新IP地址容量管理終端業(yè)務(wù)IP地址段使用情況監(jiān)控終端/24一卡通終端/24打印機(jī)/16MAC：0135-AD45-378FIP： 9接入位置：LSW-S5130接入端口：Interface 1-0-12接入時間：

13、2017-11-15 16:32:05開戶類型：自動 接入明細(xì)終端IP地址使用情況清晰可視終端接入情況IP地址使用情況地址沖突位置可視有線無線統(tǒng)一部署、網(wǎng)隨人動POEPOEPOEPOECAPWAP封裝CAPWAP解封用戶接入網(wǎng)絡(luò)不再區(qū)分接入方式是有線網(wǎng)還是無線網(wǎng)，基于用戶角色統(tǒng)一策略統(tǒng)一用戶管理高性能無線接入降低AC的表項與性能要求，滿足802.11ac wave 2時代無線高帶寬接入，流量不迂回AP流量本地轉(zhuǎn)發(fā)和有線統(tǒng)一，迎合園區(qū)流量從有線為主到無線趨勢的過渡統(tǒng)一數(shù)據(jù)轉(zhuǎn)發(fā)統(tǒng)一策略執(zhí)行有線無線終端用戶/IP統(tǒng)一分配，策略執(zhí)行點統(tǒng)一AC控制流量數(shù)據(jù)流量AP集中/本地轉(zhuǎn)發(fā)，AC只負(fù)責(zé)針對AP的控制

14、報文通過無線承載網(wǎng)絡(luò)位址分離，保障無線終端的跨三層漫游0102傳統(tǒng)園區(qū)面臨的挑戰(zhàn)ADCampus解決方案ADCampus網(wǎng)隨人動03ADCampus小白運維04ADCampus寬帶物聯(lián)05小白運維設(shè)備上線業(yè)務(wù)部署故障排除安全審計設(shè)備上線軟件安裝自動化上線一鍵靜默安裝一勞永逸一鍵下發(fā)一鍵部署任意位置部署地址規(guī)劃策略部署業(yè)務(wù)部署終端部署即插即用可視化免現(xiàn)場運維故障替換故障定位偏遠(yuǎn)園區(qū)行為審計病毒隔離所見即所得一鍵隔離全程自動化、免干預(yù)集中部署、一鍵下發(fā)定位快、恢復(fù)快、省人力回溯簡單、病毒快速隔離接入設(shè)備標(biāo)準(zhǔn)化分布式網(wǎng)關(guān)：每個均是其下掛主機(jī)的網(wǎng)關(guān)，所有VTEP對網(wǎng)絡(luò)中的一個VNI具有相同的虛擬網(wǎng)關(guān)I

15、P地址和虛擬MAC地址三份配置打天下：整個網(wǎng)絡(luò)分為3個層級（Spine層、Leaf層、Access層），每層設(shè)備 只維護(hù)1套配置，維護(hù)“三臺”設(shè)備即維護(hù)了全網(wǎng)設(shè)備Access1VTEP AVTEP BVTEP COverlay NetworkSpineLeaf（分布式網(wǎng)關(guān)）AccessSPINELEAFACCESSAccess2Access3RRRR設(shè)備自動化三份配置打天下序列號位置角色210235A1HPX15C000001 1-1(一號樓一層)Access210231A4F9B1640000051-2(一號樓二層)Leaf210231A4NNB1640002-1(二號樓一層)Spine D

16、irector Spine Leaf AccessDHCP TFTP AP AC設(shè)備自動化上線流程掃描APP高效錄入設(shè)備信息Spine/Leaf/Access三號樓1樓通過手機(jī)掃描APP，可以直接錄入設(shè)備編碼、角色、標(biāo)簽及狀態(tài)，方便快捷掃描APP序列號角色標(biāo)簽狀態(tài)核心2臺匯聚30臺接入600臺1套中等規(guī)模網(wǎng)絡(luò)向?qū)脚渲靡绘I啟動可視運維AD-Campus Director配置文件數(shù)降低99%現(xiàn)場配置點降低99%節(jié)省時間80%以上632份配置文件600個現(xiàn)場配置點上線周期預(yù)計3-4周3份配置文件1個現(xiàn)場配置點上線周期預(yù)計2-3天自動上線傳統(tǒng)配置設(shè)備自動上線的價值現(xiàn)場配置點降低99%節(jié)省時間80%以

17、上網(wǎng)絡(luò)彈性擴(kuò)展：設(shè)備自動上線、業(yè)務(wù)策略配置自動擴(kuò)散核心匯聚接入接入?yún)R聚接入園區(qū)控制器設(shè)備自動化網(wǎng)絡(luò)彈性擴(kuò)展控制器軟件一鍵靜默安裝控制器控制器采用最簡形態(tài)，Director+WSM+EIA+License一個軟件包一鍵靜默安裝一鍵安裝所有組件及DHCP在一臺Server或一臺PC上應(yīng)用價值安裝時間由原先的1天縮短到30分鐘左右，整個安裝過程不需要人工干預(yù)，讓交付更簡單Director+DHCP+WSM+EIA+License一鍵靜默安裝接入設(shè)備標(biāo)準(zhǔn)化核心匯聚接入接入園區(qū)控制器隨著特性需求不斷增加，接入設(shè)備需要不斷進(jìn)行版本管理與升級過去現(xiàn)在接入設(shè)備僅需納管，配置端口VLAN，沒有其他配置，極大降低

18、了設(shè)備的版本管理與升級問題應(yīng)用場景：高校校園網(wǎng)、教育城域網(wǎng)、大型企業(yè)等小白運維設(shè)備上線業(yè)務(wù)部署故障排除安全審計一勞永逸一鍵下發(fā)一鍵部署任意位置部署地址規(guī)劃策略部署業(yè)務(wù)部署終端部署即插即用可視化免現(xiàn)場運維故障替換故障定位偏遠(yuǎn)園區(qū)行為審計病毒隔離所見即所得一鍵隔離全程自動化、免干預(yù)集中部署、一鍵下發(fā)定位快、恢復(fù)快、省人力回溯簡單、病毒快速隔離設(shè)備上線軟件安裝自動化上線一鍵靜默安裝接入設(shè)備標(biāo)準(zhǔn)化一勞永逸的IP地址規(guī)劃過去現(xiàn)在角色網(wǎng)絡(luò)屬性IP地址部門AVlan10/VXLAN1I網(wǎng)段部門BVlan20/VXLAN2II網(wǎng)段部門CVlan30/VXLAN3III網(wǎng)段監(jiān)控設(shè)備Vlan40/VXLAN4IV

19、網(wǎng)段位置網(wǎng)絡(luò)屬性IP地址一號樓1樓Vlan10I網(wǎng)段一號樓2樓Vlan20II網(wǎng)段二號樓1樓Vlan30III網(wǎng)段二號樓2樓Vlan40IV網(wǎng)段基于位置進(jìn)行網(wǎng)絡(luò)規(guī)劃和IP地址分配傳統(tǒng)園區(qū)網(wǎng)絡(luò)考慮到廣播風(fēng)暴，通常一個VLAN劃1個C（256個）或更少的地址位置緊耦合，無法跨三層劃分網(wǎng)段基于角色進(jìn)行網(wǎng)絡(luò)規(guī)劃和地址分配ADCampus具備多重廣播抑制：Access層每端口每VLAN，隔離廣播Leaf層每個VLAN對應(yīng)一個AC口，AC口默認(rèn)隔離Leaf層采用分布式網(wǎng)關(guān)，具備廣播抑制、ARP代答功能因此在進(jìn)行IP地址規(guī)劃時，每個網(wǎng)段IP地址數(shù)量可以是傳統(tǒng)網(wǎng)絡(luò)的數(shù)十倍和網(wǎng)絡(luò)位置無關(guān)鼠標(biāo)拖拽業(yè)務(wù)一鍵部署，消

20、滅命令行鼠標(biāo)拖拽策略模板組間策略自動下發(fā)用戶策略配置，界面更友好一個頁面完成接入組、安全組、二層網(wǎng)絡(luò)域、VPN及組間策略配置，不需要在多個頁面查找配置位址分離，終端任意部署1號樓2號樓3號樓1號樓2號樓3號樓 Overlay安防人員確定安裝位置安防人員與IT管理人員溝通，獲取攝像頭IP地址設(shè)置此IP到攝像頭，形成IP與位置的對應(yīng)關(guān)系搜集攝像頭MAC地址，控制器納管IT管理人員為每個攝像頭創(chuàng)建MAC賬號攝像頭可以在任意位置部署，與位置無關(guān)過去現(xiàn)在小白運維設(shè)備上線業(yè)務(wù)部署故障排除安全審計一勞永逸一鍵下發(fā)一鍵部署任意位置部署地址規(guī)劃策略部署業(yè)務(wù)部署終端部署即插即用可視化免現(xiàn)場運維故障替換故障定位偏遠(yuǎn)

21、園區(qū)行為審計病毒隔離所見即所得一鍵隔離全程自動化、免干預(yù)集中部署、一鍵下發(fā)定位快、恢復(fù)快、省人力回溯簡單、病毒快速隔離設(shè)備上線軟件安裝自動化上線一鍵靜默安裝接入設(shè)備標(biāo)準(zhǔn)化故障替換自動化-即插即用異型設(shè)備替換即插即用異型設(shè)備替換即插即用設(shè)備故障替換即插即用：設(shè)備自動上線、策略自動復(fù)制核心匯聚接入接入園區(qū)控制器免現(xiàn)場運維偏遠(yuǎn)分支園區(qū)網(wǎng)絡(luò)運維力量薄弱，無需因一個小問題而派遣專業(yè)人員出差，降低工作難度5-10分鐘完成自動化部署，無需專業(yè)人員操作，普通員工即可快速、準(zhǔn)確定位 故障原因還原出廠設(shè)置 or 更換設(shè)備自動化部署與上線完成自我修復(fù)， 恢復(fù)網(wǎng)絡(luò)SDN控制器通過南向標(biāo)準(zhǔn)協(xié)議如：SNMP、 NETCO

22、NF等構(gòu)建全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，分析設(shè)備狀態(tài)與業(yè)務(wù)流量，可快速定位故障原因和故障設(shè)備。1.如果定位設(shè)備邏輯錯誤（死機(jī)、誤操作、端口掛死等），還原設(shè)備到出廠狀態(tài)；2.如定位設(shè)備物理故障，更換新設(shè)備。1.設(shè)備加電后通過DHCP獲取自身IP地址，同時獲取SDN控制器地址；2.設(shè)備從SDN控制下載“角色配置文件”并加載配置，完成網(wǎng)絡(luò)初始配置；3.SDN控制器納管此設(shè)備，自動進(jìn)行業(yè)務(wù)配置。設(shè)備加載業(yè)務(wù)配置即可自動恢復(fù)網(wǎng)絡(luò)。適用場景：如教育城域網(wǎng)、電網(wǎng)變電站、油田油井、醫(yī)院社區(qū)醫(yī)療等存在大量分支園區(qū)但運維力量薄弱的場景故障排除可視化雷達(dá)探測控制區(qū)Director給每個網(wǎng)絡(luò)節(jié)點發(fā)送探測報文，若沒有收到反饋報文則告

23、警雷達(dá)探測實時告警小白運維設(shè)備上線業(yè)務(wù)部署故障排除安全審計一勞永逸一鍵下發(fā)一鍵部署任意位置部署地址規(guī)劃策略部署業(yè)務(wù)部署終端部署即插即用可視化免現(xiàn)場運維故障替換故障定位偏遠(yuǎn)園區(qū)行為審計病毒隔離所見即所得一鍵隔離全程自動化、免干預(yù)集中部署、一鍵下發(fā)定位快、恢復(fù)快、省人力回溯簡單、病毒快速隔離設(shè)備上線軟件安裝自動化上線一鍵靜默安裝接入設(shè)備標(biāo)準(zhǔn)化基于角色的用戶行為審計EIAACG控制區(qū)SDN+Overlay財務(wù)市場部研發(fā)部過去：行為審計設(shè)備基于IP地址進(jìn)行審計，然后再根據(jù)IP地址反查用戶現(xiàn)在：認(rèn)證系統(tǒng)（EIA）和行為審計設(shè)備（ACG）聯(lián)動，直接可以審計到用戶所見即所得，回溯簡單過去傳統(tǒng)園區(qū)需要在交換機(jī)

24、上配置ACL，在防火墻上封端口，逐臺進(jìn)行手工配置，工作量大、效率低現(xiàn)在快速隔離病毒（如勒索病毒）在控制器DR2000中通過圖形化界面拖拽方式，一鍵部署全網(wǎng)端口隔離策略0102傳統(tǒng)園區(qū)面臨的挑戰(zhàn)ADCampus解決方案ADCampus網(wǎng)隨人動03ADCampus小白運維04ADCampus寬帶物聯(lián)05傳統(tǒng)園區(qū)物聯(lián)終端準(zhǔn)入模型和痛點動態(tài)準(zhǔn)入認(rèn)證局限性打印機(jī)、一卡通、視頻攝像頭等啞終端無法通過1x或者彈出Portal進(jìn)行動態(tài)認(rèn)證醫(yī)療叫號機(jī)、自助終端等雖有智能系統(tǒng)，也無法動態(tài)認(rèn)證MAC認(rèn)證+端口綁定復(fù)雜性MAC地址收集困難基于端口和MAC的綁定操作復(fù)雜免認(rèn)證終端的安全性私接入網(wǎng)、終端不可見性系統(tǒng)被攻擊

25、、數(shù)據(jù)被篡改的風(fēng)險物聯(lián)終端準(zhǔn)入安全需求智能識別網(wǎng)絡(luò)能夠自動感知終端上線；控制器自動識別終端類型，并根據(jù)業(yè)務(wù)類型自動分類。安全隔離終端根據(jù)業(yè)務(wù)類型自動進(jìn)入隔離通道，不同業(yè)務(wù)類型的物聯(lián)終端能夠安全隔離。精細(xì)監(jiān)控終端在線過程中能夠進(jìn)行精細(xì)化監(jiān)控，防止異常仿冒、從而保護(hù)業(yè)務(wù)和數(shù)據(jù)安全性。物聯(lián)終端智能識別終端廠商和型號終端操作系統(tǒng)類型和版本終端使用的瀏覽器等應(yīng)用MAC OUI ：2616條DHCP指紋：373條Http User-Agent：1249條MAC OUI字段DHCP報文中的Option55字段http報文中的User-Agent字段識別內(nèi)容識別方法識別能力物聯(lián)終端自動分類基于MAC OUIM

26、AC OUI終端分類+ 00:01:E6:00:00:0000:01:E6:FF:FF:FF打印機(jī)+ 00:02:20:00:00:0000:02:20:FF:FF:FF攝像頭基于業(yè)務(wù)IP網(wǎng)段（靜態(tài)IP）業(yè)務(wù)IP網(wǎng)段終端分類+ 1考場IP監(jiān)控+ 54校園IP監(jiān)控操作系統(tǒng)終端類型廠商終端分類+ PrinterHP打印機(jī)+ iOSPADAppleiPAD基于終端智能識別（DHCP）適用于同種類型，同廠家（MAC連續(xù)）的啞終端批量自動上線適用于啞終和智能終端配置靜態(tài)IP地址的場景，不同終端類型屬于相同業(yè)務(wù)分組的情況適用于采用DHCP的啞終端或者智能終端，對安全要求較低，不愿意采用認(rèn)證的場景，如企業(yè)VIP用戶，云桌面的瘦終端等免認(rèn)證接口組相應(yīng)的access端口加入到該組配置組策略，加入二層網(wǎng)絡(luò)域VIP用戶無認(rèn)證習(xí)慣的用戶不愿統(tǒng)計MAC免認(rèn)證方案上線快終端上線自動安全隔離物聯(lián)終端準(zhǔn)入位置無關(guān)IP+MAC自動收集綁定基于業(yè)務(wù)的邏輯隔離上線即隔離，簡單安全SDN 網(wǎng)絡(luò)視頻監(jiān)控網(wǎng)絡(luò)辦公網(wǎng)絡(luò)智能設(shè)備網(wǎng)絡(luò)物聯(lián)終端自動化特點：隔離強(qiáng)運維簡VxLAN100VxLAN200VxLAN300VxLAN200VxLAN300VxLAN10