华为Agile Controller方案.docx

华为 Agile Controller 方案概述移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端，物理位置变得不固定，这对传统以手工静态配置为核心的传统网络形成了挑战： 1. 不同的位置、不同的终端，如何保证一致的用户办公体验？让用户感觉不到位置的差异？ 2. 如何动态配置用户的权限、安全、QoS优先级等网络策略？传统的固定网络用户可以跟一个物理端口绑定，策略是管理员手工配置到离用户最近的网络设备上的，当用户位置不固定时，我们不能要求网络管理员通过手工配置去适应每个人位置的变化。这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT攻击)的出现，都让传统的边界防护手段彻底失效。敏捷控制器（Agile Controller）是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件，全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景，实现从接入到数据中心端到端联接的应用策略控制。Agile Controller应用SDN集中化控制原则，以业务体验为中心，基于用户和应用动态调配全网资源，实现网络与安全资源跟随用户自由移动，让网络更敏捷地为业务服务。产品特点 以业务体验为中心重新定义网络从以前关注技术、设备、连通性，到关注用户、业务、体验；从以前手工配置，到用自然语言规划和自动部署。将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。让用户不再需要关注各种设备差异，只需使用自然语言进行规划，一键式完成全网策略统一部署和同步。实现基于最终用户的QoS调度，在网络资源有限的情况下，优先转发VIP用户流量，确保VIP用户业务体验良好。基于全网视角的安全协防从以前更多关注单点，到更多关注全网；从单点防护步入全网防护时代。统一采集网络设备、安全设备、业务系统的日志，应用大数据关联分析，发现单点设备难于发现的攻击和威胁。提供虚拟化的安全资源中心能力，通过智能联动将特性用户的流量进行阻断、引流，主动防御网络攻击行为。提供完善的终端安全、桌面管理功能，预置5000+终端安全策略，确保网络终端接入安全。产品开放合作，易与客户现有系统对接提供丰富的南北向接口，开放API，实现转发面与控制面的可编程，可与客户现有设备与业务系统进行对接，提升端到端运维效率，加快新业务上线速度，营造企业快速创新环境。实现与业界主流云平台华为FusionSphere 、VMware vSphere、Openstack、Microsoft Hyper-v等的无缝对接，致力于打造一个弹性、开放平台，集成各个领域的优秀实践，让用户可根据业务需要灵活定义网络，做到即需即用。基于高可靠保护的弹性架构设计提供集中式、分布式、分级式组网方式，适用于各种网络。提供接入认证备份、数据库备份等高可靠保护，保证服务的连续性。B/S架构，基于华为全新敏捷UI设计，简单易用。产品组成Agile Controller针对不同的应用场景提供多个业务组件，满足不同客户的需求。组件简介接入控制组件提供企业统一的网络接入策略，支持802.1x、Portal认证、MAC认证、SACG等多种认证方式，实现企业网络有线、无线和VPN接入的统一接入管理，基于角色身份、接入时间、接入地点、终端类型、终端归属、接入方式（5W1H）的精细化授权，满足企业多种网络接入、多种终端接入的统一运维管理需求。访客管理组件提供全生命流程的访客管理，实现访客账号申请、审批、分发、认证、审计、注销等统一管理，账号申请支持访客自注册、员工代申请、微信申请、二维码申请等多种方式，访客账号申请与认证页面支持“所见即所得”的自定义功能，可灵活推送广告。业务随行组件配合华为敏捷交换机和NGFW，基于安全组的策略规划，在传统网络接入控制NAC的基础上，实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自动移动时享受一致的业务体验。同时，提供基于用户组的QoS策略部署，在网络资源有限的情况下，优先转发VIP用户的流量，保障用户的业务体验。业务编排组件将原来物理安全设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，形成”安全资源中心”。用户根据具体业务的需要，将流量引至安全资源中心进行处理，提升物理资源利用率，节省用户成本。终端安全管理组件严格控制用户终