項目背景

移動化、大數據、人工智能、物聯網和云計算等新技術正加速各行業數字化轉型與升級。數字化轉型也對企業的可持續發展產生了巨大影響。企業園區網絡作為企業數字化轉型的基石，隨著BYOD移動辦公、云計算、SDN軟件定義網絡、物聯網、人工智能以及大數據等概念的持續升溫，新技術、新應用層出不窮，這些應用和業務進入企業園區，給傳統園區網絡帶來了很多挑戰。

接入終端及業務多樣化，需要融合承載的園區網絡

傳統園區網絡的有線、Wi-Fi及IoT等業務各自獨立規劃部署，獨立管理，網絡總體建設成本高；網絡管理、運維工作量也大。

應用和業務激增帶來的部署、策略復雜性，網絡自動化成為普遍需求

傳統模式下，網絡部署需要手工通過命令行或Web管理等方式，逐臺配置設備，對于規模較大的園區，手工重復工作量大，配置繁瑣；新業務上線需要新增專用業務網絡，并且逐臺設備進行部署，周期長，成本高。面向用戶和業務的策略部署，傳統的通過VLAN+ACL進行策略管理的方式，需要手工配置策略，維護工作量大，且網絡部署效率低下。

無法隨時隨地感知用戶體驗，成為網絡運維最大挑戰

傳統運維模式下，網管只能監控網絡KPI，無法感知用戶體驗，IT人員無法第一時間感知業務故障；故障發生后更多是依賴專業人員的運維經驗判定業務故障原因，故障無法快速定位；網絡指標劣化后，由IT人員借助網管評估網絡狀況，做出針對性的優化策略并部署，網絡無法實現自主優化。

 網絡設計

SDN網絡解決方案在大中型園區場景的網絡架構如圖所示，分為網絡層、管理層和應用層。

 設計架構

網絡層

引入虛擬化技術，把網絡層分為物理網絡和虛擬網絡。

物理網絡：又稱為Underlay網絡，為園區網絡提供基礎連接服務。為了適應多類型終端的接入需求，物理網絡提供統一的三網融合接入能力，可以同時接入有線終端、無線終端和IoT（Internet of Things，物聯網）終端。

虛擬化網絡：又稱為Overlay網絡，通過虛擬化技術，在物理網絡上構建出一張或者多張虛擬的Overlay網絡，業務策略被部署在虛擬化網絡上，與物理網絡脫離，從而將業務的復雜度和網絡的復雜度相互解耦。虛擬網絡可以有多張，服務于不同的業務，或者服務于不同的客戶群。

管理層

管理層為網絡提供配置管理，業務管理，維護和故障檢測、安全威脅分析等管理能力。傳統園區網絡中，使用網管系統進行網絡管理，網管系統雖然能夠呈現網絡狀態，但是缺乏靈活性和自動化能力。如果業務需求發生變動，需要管理員對業務進行規劃，然后手工重新修改相應網絡設備（路由器、交換機、防火墻）上的配置。這種手工調整的方式效率低且容易出錯。在快速變化的業務環境下，網絡的靈活性非常關鍵，需要有自動化的工具來協助管理網絡和業務。CloudCampus采用iMaster NCE-Campus實現網絡和業務的自動發放。

iMaster NCE-Campus實現了對設備、應用的抽象，允許應用通過編排、調用抽象模型，快速實現應用的開發和自動部署。通過iMaster NCE-Campus，網絡管理員面對的不再是獨立的若干個設備（例如：交換機、路由器、AP等）和設備上的離散的配置（例如訪問控制策略、QoS策略、路由策略），而是對外呈現出完整的網絡概念。

應用層

智簡園區網絡解決方案基于iMaster NCE-Campus提供了標準化接口，通過開放API接口將網絡識別的用戶身份、網絡資源、業務質量、網絡中的位置信息、網絡拓撲等多種信息，對上層業務開放，通過這些標準化的開放接口，第三方可以根據自身業務需求量身定制業務創新應用，滿足在教育、商業、企業、政府等多個領域的業務需求。

 解決方案

基于SDN和VXLAN虛擬化技術，能最大化地降低網絡部署、網絡管理以及網絡維護的復雜度。用戶可以自定義網絡路由和業務策略，無需逐個設備進行配置，由iMaster NCE-Campus自動下發配置到網絡設備，實現網絡和業務發放自動化。

VXLAN虛擬化網絡邏輯架構

各個層次的基本功能如下：

物理網絡層（Underlay）是由實體網絡設備（如交換機、AP、防火墻、路由器等）建立的物理拓撲組網，為園區所有業務提供互聯互通的能力，是園區業務數據轉發的基礎承載網絡。

虛擬網絡層（Overlay）是在物理層基礎上通過虛擬化技術抽象出來的，將物理層網絡資源進行池化處理，是業務層可按需調度網絡資源池。虛擬網絡層涉及的概念有：

Fabric是通過虛擬化技術（VXLAN）構建在物理Underlay拓撲之上的全互聯邏輯拓撲。業務網絡在Fabric上創建，從而實現業務網絡與物理網絡的解耦，當業務網絡需要調整變化時，不需要改變物理網絡的拓撲結構。

VN（Virtual Network，虛擬網絡）是在Fabric上基于業務需求創建多個虛擬網絡，實現業務隔離。傳統園區網絡為了實現業務隔離，辦公網和安防網是獨立的兩套物理網絡，在虛擬化網絡中，通過虛擬網絡層實現物理網絡的共享，通過創建兩個VN（如圖3-1中的VN1和VN2）即可實現在一套物理網上創建業務隔離的辦公網和安防網。

業務層由iMaster NCE-Campus實現基于全網的業務策略編排和控制。

方案優勢

超寬

有線、無線與物聯網融合，滿足接入終端及業務多樣化

華為園區交換機通過融合無線接入控制器WAC（WLAN Access Controller），實現有線無線深度融合，為用戶提供有線和無線一致化的管理和體驗。華為AP支持IoT模塊，AP與IoT基站合一，實現Wi-Fi&IoT網絡融合極簡管理。通過融合用戶認證和管理功能及策略聯動功能，為有線無線用戶提供統一認證和接入策略控制，管理員可以獲得一致的用戶管理體驗，簡化有線無線網絡的運維管理。

全場景WLAN，滿足客戶差異化的接入需求

針對普通室內、高密場館、室外場景以及密集房間等多種場景，華為提供最新Wi-Fi 6 AP、高密AP和分布式Wi-Fi 方案，實現高密度無死角的WLAN覆蓋以及接入體驗保障，部署便捷，節約投資成本。

Wi-Fi 6是第6代Wi-Fi，標準吸納了大量5G關鍵技術，如OFDMA、MU-MIMO、1024 QAM等。Wi-Fi 6相比Wi-Fi 5實現網絡帶寬提升4倍，并發用戶數提升4倍，網絡時延從平均30ms降低至20ms，可以輕松應對有超大帶寬、超高密接入、超低時延要求的應用場景，如4K超高清視頻會議（超大帶寬）、高密場館（超高并發）、VR（超低時延）等應用場景。華為依托于對5G技術的深厚理解和掌握，也成為了Wi-Fi 6標準的主要貢獻者，公司專家擔任了5個Wi-Fi國際標準工作組主席職位。

多速率以太（Multi-GE）接入，更高帶寬，更靈活的網絡部署

隨著802.11ac 標準及產品的問世，無線終端接入速率已超過1Gbps，千兆端口接入已無法滿足。華為提供業界款型豐富的多速率以太交換機，為AP提供300米遠距PoE++（60W）供電傳輸，實現網絡扁平化部署，降低投資成本。

極簡

物理網絡自動化：設備預配置，即插即用

通過iMaster NCE-Campus控制器圖形化界面，完成設備即插即用自動化開局和Underlay網絡路由編排、互通性配置，實現自動化部署。

虛擬網絡自動化：自動化構建虛擬網絡，實現一網多用

通過iMaster NCE-Campus統一部署Fabric，基于BGP-EVPN 的控制面，自動建立VXLAN 隧道，實現全自動化的虛擬化網絡建設，并進行業務集中式配置，實現業務自動發放。

用戶策略自動化：以用戶、業務、體驗為中心，用戶策略隨行，業務體驗隨身

業務隨行方案通過iMaster NCE-Campus規劃用戶組及組間策略，自動下發策略至網絡設備。用戶認證通過之后，當用戶在不同地點，使用不同終端接入時，控制器會自動識別用戶身份，并向網絡中相應執行設備下發策略，從而達到接入無差別和體驗有保障的效果。不論用戶在什么位置接入，都將獲取統一的策略和一致的業務體驗。

智能

智簡園區網絡解決方案引入iMaster NCE-CampusInsight 園區網絡分析器，顛覆傳統聚焦資源狀態的監控方式，基于Telemetry 技術實現按照用戶、應用、時間維度的數據可視，基于機器學習算法進行特征分析和基線運算，實現潛在故障識別和根因定位，提升用戶體驗。

每時刻、每用戶全旅程體驗可見

iMaster NCE-CampusInsight采用業界標準的Telemetry技術，動態秒級抓取網絡KPI數據，故障可回溯；通過多維度采集數據，實時呈現每個用戶的網絡畫像，全旅程網絡體驗（誰、何時、連接至哪個AP、體驗、問題）可視。

網絡問題自動識別

通過大數據和人工智能技術，自動識別連接類、空口性能類、漫游類和設備類問題，提升潛在問題識別率到85%；利用機器學習歷史數據動態生成基線，通過和實時數據對比分析，從而預測可能發生的故障。

網絡問題智能定界，分析根因

基于網絡運維專家系統和多種智能算法，智能識別故障模式以及影響范圍，協助管理員定界問題；基于大數據平臺，分析問題可能發生的原因并給出修復建議。

安全

華為HiSec Insight平臺基于大數據關聯分析和智能自學習技術采集分析網絡設備的日志、NetStream流、ECA加密流量數據等進行未知威脅識別和可視化展現，同時通過Restful接口向iMaster NCE-Campus下發安全策略，實現威脅自動阻斷。

開放

智簡園區網絡架構全層次開放，支持150+服務類API，與30+行業生態合作伙伴共建生態圈，加速行業數字化轉型。此外，華為設備的開發流程完全遵從國際通用標準和行業標準，支持完美對接第三方廠商的設備，實現互聯互通。