华为：企业敏捷网络中的“智慧大脑”

  【天极网网络频道】【天极网网络频道12月9日消息】

  一、需求与挑战

  随着网络新技术快速发展，移动终端的普及，移动办公，无线接入的兴起，企业用户对采用任意终端设备，随时随地接入网络，并且满足一致性的高体验有了强烈诉求：

  ● 办公区任意办公点，都可以办公，不再局限某一个固定位置。

  ● 出差到外地，通过分支机构，任意接入点接入，实现和总部办公一样体验。

  ● 通过家里的Internet网络，接入公司，实现办公室一样的办公体验。

  ● 抑或在酒吧，咖啡厅，公共汽车上，都可以高体验的移动办公。

  ● 对业务的体验，不会随着接入点，接入时间的不同，而使得体验大打折扣。

  但是目前某企业园区网络是基于IP为中心的网络，在部署的时候，会静态的划分好IP地址段，以及VLAN规划，并且根据业务情况，提前规划好业务部署方案，包括扩展性考虑，IP、VLAN、策略等的静态配置;但是随着用户需求随时随地的接入网络，会在如下方面遇到挑战：

  用户访问权限难控制

  用户接入点随着移动位置不同，会需要无缝切换，由于传统网络用户和IP地址绑定，不同的地方有不同的IP端地址，用户移动到其他地方，需要使用本地IP地址接入;只能基于IP地址控制，难以根据用户来控制访问权限。

  终端用户体验不一致

  基于传统网络，业界很多友商提供了基于用户的统一控制，解决了移动用户访问权限的问题，即”策略随行”，但是没有任何厂家能解决“策略随行、资源随动、体验随身”的要求;用户任何地方，任何时间接入网络，期望的体验是一致的;目前，同一用户从某个地方接入，本地的QoS，接入策略，带宽，安全等是一套规则;客户发生移动后，接入规则，端到端质量保障规则都会随着接入IP地址变化而变化了，根本上无法做到“体验随身”的要求。

  网络安全不可控

  传统网络以及业界友商提供的方案无法提供统一的安全可控能力，比如某个公司的总部，因为业务不同，会有严格的安全保障;分支机构考虑到IT能力，以及业务重要性问题，安全相对弱;同样的VIP用户到分支机构出差办公，安全性保障就会随着位置不同而有不同;这是因为传统网络无法根据用户，应用来动态的调整安全能力。

  传统人工静态配置的低效

  传统情况下，会针对用户做一些网络层配置，分配IP地址，属于哪一个VLAN组，设定该用户权限等，这些都是IT人员根据要求静态配置的;当发生大量的用户移动时，该方法低效，简直无法实施，更重要的是，会产生相应的错误，比如权限设置错误，访问带宽设置错误等等，给用户体验带来极大伤害，同时耗费了IT维护人员的大量工作量。

  移动化带来的安全问题

  企业园区、数据中心网络中，安全防护的原则是设定边界，并在不同安全等级的边界上部署安全设备，如Firewall、Anti-DDos、AV、IPS、DLP等。传统网络部署在外部边界即可保证内部安全，但企业办公网络随着无线接入的普及， BYOD、移动接入，任何角色、任意设备、任意地点都可以接入。随着灵活便捷的任意接入，病毒传播、黑客入侵的方式也变得多样化，单点防御、边界防护的传统防护思想受到挑战。

  内网不再可信：园区网中，访客、BYOD、伙伴、供应商、员工等多种角色接入，终端安全状态不再可信，内网横向流量不再安全;EDC多个部门、多子公司，IDC多租户，DC网络安全级别各不相同，内部流量需要控制;总之，传统外部边界不能解决所有问题。

  移动性：在移动园区和虚拟DC场景下，终端/VM可以动态移动;外部边界、内网物理边界不再生效。

  碎片化问题：防护点增多，每个部门都要部署硬件防火墙，安全资源利用率低。

  二、产品简介

  Agile Controller是华为最新研制的基于用户和应用的网络资源自动化控制系统。该系统定位是智慧的园区大脑，在SDN集中化控制思想的指导下，动态调配整个园区的网络与安全资源，让网络更敏捷地为业务服务。

  该系统提供统一的策略引擎，在整个组织内实施统一访问策略，实现基于接入用户、接入时间、接入地点、设备类型、设备来源、接入方式(简称5W1H)的认证与授权;提供全生命流程的访客管理，支持个性化定制Portal登录界面，基于终端IP范围、位置等推送个性化页面，提升企业品牌形象，降低IT运维的压力;提供策略矩阵的权限规划方式，在5W1H策略控制的基础上，实现全网策略的自动部署和状态监控，确保全网策略一致，让用户自动移动时享受一致的业务体验;提供基于用户组的QoS策略规划，在网络资源有限的情况下，优先转发VIP用户的数据，确保业务体验良好;提供业务编排能力，将安全设备抽象成安全资源中心，根据需要将用户流量引至安全中心进行处理，提升安全资源利用率，增强全网安全防护能力;采用Big Data大数据分析方式，对全网事件进行全面收集和关联分析，提供全网安全态势呈现和安全联动功能，协助用户快速识别网络风险，实施主动防御方案。

  1、产品特点

  以业务体验为中心重定义网络

  从以前关注技术、设备、连通性，到关注用户、业务、体验。Agile Controller提供基于5W1H情景感知的策略矩阵，实现全网策略一致。同一用户不管在哪里，使用什么终端接入，业务体验都是一样的。

  基于大数据分析的全网安全协防

  从以前更多关注单点，到更多关注全网，从单点防护步入全网防护时代。Agile Controller通过大数据关联分析，从全网的视角发现安全威胁，协助用户快速识别网络风险，实施主动防御方案。

  全网资源集中化控制与灵活调整

  从以前网络手工静态配置，到网络和业务动态自动部署。Agile Controller集中化控制全网资源，可根据业务需要灵活调整，如组建临时团队，VIP客户体验保障，识别高危资产并部署更严格的安全策略等。

  产品开放合作

  从封闭系统，到开发系统。Agile Controller通过Web Service API接口，与客户现有设备和业务系统进行对接，实现系统集成与被集成，提升新业务开通效率和整体运维水平。

  2)组网应用

  Agile Controller无特殊组网要求，只需所在物理服务器网络设备可达，通常部署在数据中心区域。