项目背景

移动化、大数据、人工智能、物联网和云计算等新技术正加速各行业数字化转型与升级。数字化转型也对企业的可持续发展产生了巨大影响。企业园区网络作为企业数字化转型的基石，随着BYOD移动办公、云计算、SDN软件定义网络、物联网、人工智能以及大数据等概念的持续升温，新技术、新应用层出不穷，这些应用和业务进入企业园区，给传统园区网络带来了很多挑战。

接入终端及业务多样化，需要融合承载的园区网络

传统园区网络的有线、Wi-Fi及IoT等业务各自独立规划部署，独立管理，网络总体建设成本高；网络管理、运维工作量也大。

应用和业务激增带来的部署、策略复杂性，网络自动化成为普遍需求

传统模式下，网络部署需要手工通过命令行或Web管理等方式，逐台配置设备，对于规模较大的园区，手工重复工作量大，配置繁琐；新业务上线需要新增专用业务网络，并且逐台设备进行部署，周期长，成本高。面向用户和业务的策略部署，传统的通过VLAN+ACL进行策略管理的方式，需要手工配置策略，维护工作量大，且网络部署效率低下。

无法随时随地感知用户体验，成为网络运维最大挑战

传统运维模式下，网管只能监控网络KPI，无法感知用户体验，IT人员无法第一时间感知业务故障；故障发生后更多是依赖专业人员的运维经验判定业务故障原因，故障无法快速定位；网络指标劣化后，由IT人员借助网管评估网络状况，做出针对性的优化策略并部署，网络无法实现自主优化。

 网络设计

SDN网络解决方案在大中型园区场景的网络架构如图所示，分为网络层、管理层和应用层。

 设计架构

网络层

引入虚拟化技术，把网络层分为物理网络和虚拟网络。

物理网络：又称为Underlay网络，为园区网络提供基础连接服务。为了适应多类型终端的接入需求，物理网络提供统一的三网融合接入能力，可以同时接入有线终端、无线终端和IoT（Internet of Things，物联网）终端。

虚拟化网络：又称为Overlay网络，通过虚拟化技术，在物理网络上构建出一张或者多张虚拟的Overlay网络，业务策略被部署在虚拟化网络上，与物理网络脱离，从而将业务的复杂度和网络的复杂度相互解耦。虚拟网络可以有多张，服务于不同的业务，或者服务于不同的客户群。

管理层

管理层为网络提供配置管理，业务管理，维护和故障检测、安全威胁分析等管理能力。传统园区网络中，使用网管系统进行网络管理，网管系统虽然能够呈现网络状态，但是缺乏灵活性和自动化能力。如果业务需求发生变动，需要管理员对业务进行规划，然后手工重新修改相应网络设备（路由器、交换机、防火墙）上的配置。这种手工调整的方式效率低且容易出错。在快速变化的业务环境下，网络的灵活性非常关键，需要有自动化的工具来协助管理网络和业务。CloudCampus采用iMaster NCE-Campus实现网络和业务的自动发放。

iMaster NCE-Campus实现了对设备、应用的抽象，允许应用通过编排、调用抽象模型，快速实现应用的开发和自动部署。通过iMaster NCE-Campus，网络管理员面对的不再是独立的若干个设备（例如：交换机、路由器、AP等）和设备上的离散的配置（例如访问控制策略、QoS策略、路由策略），而是对外呈现出完整的网络概念。

应用层

智简园区网络解决方案基于iMaster NCE-Campus提供了标准化接口，通过开放API接口将网络识别的用户身份、网络资源、业务质量、网络中的位置信息、网络拓扑等多种信息，对上层业务开放，通过这些标准化的开放接口，第三方可以根据自身业务需求量身定制业务创新应用，满足在教育、商业、企业、政府等多个领域的业务需求。

 解决方案

基于SDN和VXLAN虚拟化技术，能最大化地降低网络部署、网络管理以及网络维护的复杂度。用户可以自定义网络路由和业务策略，无需逐个设备进行配置，由iMaster NCE-Campus自动下发配置到网络设备，实现网络和业务发放自动化。

VXLAN虚拟化网络逻辑架构

各个层次的基本功能如下：

物理网络层（Underlay）是由实体网络设备（如交换机、AP、防火墙、路由器等）建立的物理拓扑组网，为园区所有业务提供互联互通的能力，是园区业务数据转发的基础承载网络。

虚拟网络层（Overlay）是在物理层基础上通过虚拟化技术抽象出来的，将物理层网络资源进行池化处理，是业务层可按需调度网络资源池。虚拟网络层涉及的概念有：

Fabric是通过虚拟化技术（VXLAN）构建在物理Underlay拓扑之上的全互联逻辑拓扑。业务网络在Fabric上创建，从而实现业务网络与物理网络的解耦，当业务网络需要调整变化时，不需要改变物理网络的拓扑结构。

VN（Virtual Network，虚拟网络）是在Fabric上基于业务需求创建多个虚拟网络，实现业务隔离。传统园区网络为了实现业务隔离，办公网和安防网是独立的两套物理网络，在虚拟化网络中，通过虚拟网络层实现物理网络的共享，通过创建两个VN（如图3-1中的VN1和VN2）即可实现在一套物理网上创建业务隔离的办公网和安防网。

业务层由iMaster NCE-Campus实现基于全网的业务策略编排和控制。

方案优势

超宽

有线、无线与物联网融合，满足接入终端及业务多样化

华为园区交换机通过融合无线接入控制器WAC（WLAN Access Controller），实现有线无线深度融合，为用户提供有线和无线一致化的管理和体验。华为AP支持IoT模块，AP与IoT基站合一，实现Wi-Fi&IoT网络融合极简管理。通过融合用户认证和管理功能及策略联动功能，为有线无线用户提供统一认证和接入策略控制，管理员可以获得一致的用户管理体验，简化有线无线网络的运维管理。

全场景WLAN，满足客户差异化的接入需求

针对普通室内、高密场馆、室外场景以及密集房间等多种场景，华为提供最新Wi-Fi 6 AP、高密AP和分布式Wi-Fi 方案，实现高密度无死角的WLAN覆盖以及接入体验保障，部署便捷，节约投资成本。

Wi-Fi 6是第6代Wi-Fi，标准吸纳了大量5G关键技术，如OFDMA、MU-MIMO、1024 QAM等。Wi-Fi 6相比Wi-Fi 5实现网络带宽提升4倍，并发用户数提升4倍，网络时延从平均30ms降低至20ms，可以轻松应对有超大带宽、超高密接入、超低时延要求的应用场景，如4K超高清视频会议（超大带宽）、高密场馆（超高并发）、VR（超低时延）等应用场景。华为依托于对5G技术的深厚理解和掌握，也成为了Wi-Fi 6标准的主要贡献者，公司专家担任了5个Wi-Fi国际标准工作组主席职位。

多速率以太（Multi-GE）接入，更高带宽，更灵活的网络部署

随着802.11ac 标准及产品的问世，无线终端接入速率已超过1Gbps，千兆端口接入已无法满足。华为提供业界款型丰富的多速率以太交换机，为AP提供300米远距PoE++（60W）供电传输，实现网络扁平化部署，降低投资成本。

极简

物理网络自动化：设备预配置，即插即用

通过iMaster NCE-Campus控制器图形化界面，完成设备即插即用自动化开局和Underlay网络路由编排、互通性配置，实现自动化部署。

虚拟网络自动化：自动化构建虚拟网络，实现一网多用

通过iMaster NCE-Campus统一部署Fabric，基于BGP-EVPN 的控制面，自动建立VXLAN 隧道，实现全自动化的虚拟化网络建设，并进行业务集中式配置，实现业务自动发放。

用户策略自动化：以用户、业务、体验为中心，用户策略随行，业务体验随身

业务随行方案通过iMaster NCE-Campus规划用户组及组间策略，自动下发策略至网络设备。用户认证通过之后，当用户在不同地点，使用不同终端接入时，控制器会自动识别用户身份，并向网络中相应执行设备下发策略，从而达到接入无差别和体验有保障的效果。不论用户在什么位置接入，都将获取统一的策略和一致的业务体验。

智能

智简园区网络解决方案引入iMaster NCE-CampusInsight 园区网络分析器，颠覆传统聚焦资源状态的监控方式，基于Telemetry 技术实现按照用户、应用、时间维度的数据可视，基于机器学习算法进行特征分析和基线运算，实现潜在故障识别和根因定位，提升用户体验。

每时刻、每用户全旅程体验可见

iMaster NCE-CampusInsight采用业界标准的Telemetry技术，动态秒级抓取网络KPI数据，故障可回溯；通过多维度采集数据，实时呈现每个用户的网络画像，全旅程网络体验（谁、何时、连接至哪个AP、体验、问题）可视。

网络问题自动识别

通过大数据和人工智能技术，自动识别连接类、空口性能类、漫游类和设备类问题，提升潜在问题识别率到85%；利用机器学习历史数据动态生成基线，通过和实时数据对比分析，从而预测可能发生的故障。

网络问题智能定界，分析根因

基于网络运维专家系统和多种智能算法，智能识别故障模式以及影响范围，协助管理员定界问题；基于大数据平台，分析问题可能发生的原因并给出修复建议。

安全

华为HiSec Insight平台基于大数据关联分析和智能自学习技术采集分析网络设备的日志、NetStream流、ECA加密流量数据等进行未知威胁识别和可视化展现，同时通过Restful接口向iMaster NCE-Campus下发安全策略，实现威胁自动阻断。

开放

智简园区网络架构全层次开放，支持150+服务类API，与30+行业生态合作伙伴共建生态圈，加速行业数字化转型。此外，华为设备的开发流程完全遵从国际通用标准和行业标准，支持完美对接第三方厂商的设备，实现互联互通。