强大的园区自动部署功能 #
在基础网络层面将交换设备进行分类,VXLAN组网分成Spine、Leaf和Access三种角色;VLAN组网分为Core、Distribution、Access三种角色,按照三种角色进行配置。同一角色设备的配置完全统一,从而将整网设备的配置文件简化。支持通过SeerEngine-Campus界面上的引导式配置,用户无需输入任何命令行即可完成配置文件的自动生成,保存在管控组件上。在管理员完成必须的预部署后,管控组件、DHCP服务器和设备配合,在设备上电后无需人工干预即可自动加载对应角色的配置文件,让自动化部署真正成为最简单的网络部署方式。
自动部署功能还解决了设备物理位置标识的问题。在现在的园区网络中,尤其是中大型网络,设备数量极大,位置分布很广,如果不能标识物理位置,对后期运维的故障定位将会非常困难,SeerEngine-Campus支持站点特性,所有设备都可以配置所处站点信息,站点支持上下层级关系。在自动部署场景中,在设备安装前提前规划,设备自动部署上线之后SeerEngine-Campus自动导入站点标识。
自动化的设备扩容和替换。设备上电后,SeerEngine-Campus能自动识别新增扩容设备(包含替换掉故障设备位置的新设备),下发对应角色的规划配置并自动纳管。同时提供了精确替换流程,可以完全恢复被替换设备上的已有配置。
一体机部署:支持统一数字底盘、管控组件、EIA、vDHCP Server等组件打包成一体机,通过配置向导部署,支持单机和集群,页面配一次配置,后面自动部署安装。
网络安全一体化构建统一的可信网络 #
融合网络和安全提供一体化的统一管理界面,拉通业务部署和运维。
支持全网设备合规检查。
支持终端行为管理和终端数据管理。
支持融合MACsec技术构建企业内外网统一的零信任网络。
端到端的自动化业务部署 #
SeerEngine-Campus实现的是端到端的业务自动化部署,当用户创建私网、安全组、组间策略时,SeerEngine-Campus会自动分析网络路径中各个设备的角色、端口的角色,在设备上、端口上自动下发相应的配置,园区网中设备、接入用户数量大,由于采用端到端的部署大大加快了部署时间和效率。
典型组网环境(10000接入用户规模):2台Spine设备,40台Leaf设备,500台Access设备,用户需要部署的业务为:创建教师组、学生组以及定义老师组与学生组间的访问策略。下表给出了该业务部署的采用传统手工方式和SeerEngine-Campus部署的效率对照。由此可见,使用SeerEngine-Campus大大减少了部署时间,提高了部署效率,尤其当网络规模扩大时SeerEngine-Campus会自动计算网络中的资源,再加上其固有的并发执行方式,相对于传统的手工部署模式,效率提高了成百上千倍。
端到端自动部署的效率对照
| 部署项 | 配置点 | 传统手工部署串行执行 | SeerEngine-Campus部署并行执行 |
| 创建私网 | Spine设备组创建VRF | 2 x 10=20分钟 | <1分钟 |
| Leaf设备组创建VRF | 40 x 10=400分钟 | <1分钟 | |
| 创建VXLAN | Spine设备组创建VSI, 创建VSI接口 | 2 x 10=20分钟 | <1分钟 |
| Leaf设备组创建VSI, 创建VSI接口 | 40x 10=400分钟 | <1分钟 | |
| Leaf下行口创建AC, 关联VXLAN | 40 x 10=400分钟 | <2分钟 | |
| Access组创建VLAN | 500 x 10=5000分钟 | 500×0.05=25分钟 | |
| Leaf组创建VLAN | 40 x 10=400分钟 | <2分钟 | |
| Spine组创建VLAN | 2x 10=20分钟 | <1分钟 | |
| 创建安全组 | DHCP网段创建,Option82设置 | 20分钟 | <1分钟 |
| Leaf设备组VSI接口DHCP relay配置 | 40 x 10=400分钟 | <2分钟 | |
| Spine配置VRF、VSI绑定 | 2 x 10=20分钟 | <1分钟 | |
| Leaf配置VRF、VSI绑定 | 40 x 10=400分钟 | <2分钟 | |
| 创建组间策略 | Spine设备组源安全组VSI接口ACL配置 | 2 x 10=20分钟 | <1分钟 |
| Leaf设备组源安全组VSI接口ACL配置 | 40 x 10=400分钟 | <2分钟 | |
| 总计 | 7920/60=132小时 | <1小时 |
全面的资源管理功能 #
拓扑管理:SeerEngine-Campus提供了拓扑视图,方便管理员以不同视角查看网络拓扑信息,可以查看管控组件管理的所有Fabric的拓扑,也可以查看指定Fabric中所有设备的拓扑。
DDI管理:SeerEngine-Campus与DHCP Server配合完成系统内自动化上线设备的动态地址分配,和用户上线地址分配。DDI管理可以帮助管理员全局掌控IP地址资源的分配使用情况,包括影院模式展示IP地址池的使用情况,保留IP、禁用IP等详细信息。
Underlay管理:对于物理网络,Underlay管理功能可以帮助管理员方便的对设备配置文件和软件文件进行集中管理;同时提供设备配置的基线化版本管理,可以对配置文件的变化进行比较跟踪;提供设备软件的升级历史记录,可以全面审计设备软件版本的变化,并可快速的恢复历史版本,极大的方便了对设备的管理,提高了网络的可维护性。SeerEngine-Campus还从资源的角度提供配置模板库和软件文件库的管理,实现了这一类资源的重复使用和维护的方便性。
Overlay管理:Overlay是一种将二层网络业务封装在三层/四层报文中进行传递的网络技术。而VXLAN(Virtual eXtensible LAN)技术是当前最为主流的Overlay标准技术,通过VXLAN网络封装技术,将4094个VLAN扩展为16M个虚拟网络,从而支持多个与物理设备和位置无关的用户安全组和IT资源组。SeerEngine-Campus提供了VLAN-VXLAN映射等VXLAN管理功能,便于用户手动进行配置并查询指定信息。
PON光网络管理:园区管控组件提供统一的入口对于PON网络中的OLT设备、OLT单板、OLT接口、分光器、ONU设备、UNI下行口全方位的配置和管理,可以通过SNMP协议查询OLT设备上的OLT、ONU等设备的运维类配置,可以允许用户根据实际网络环境修改PON特性的参数并下发到设备上,以更好的适应不同的场景,支持配置上下级分光器、分光器下接的ONU、上接的OLT接口、分光比、插损值、传输距离和厂商定信息,并可以在拓扑上进行展示,以方便用户对实际组网信息的维护,大大简化了PON网络的部署和运维难度。
关键业务快照回滚:随着网络的复杂化,设备上的业务配置对网络维护人员而言,变得更加复杂,现场经常会遇到由于人工配置错误导致的业务变更故障或者由于软件错误导致的突发故障,而维护人员很难简单的人工判断设备多项配置之间的联系,确认并及时修复故障有时很困难,针对这种特殊场景,方案支持了快照回滚功能,提供全网级别的关键业务数据回滚功能,能够使全网业务恢复到指定时间状态,同时控制器和设备都不需要重启,并且设备和控制器之间的Netconf等南向通道保持稳定,不会有连接重建的过程。
业务编排,应用驱动网络 #
SeerEngine-Campus以用户业务为中心,灵活编排调配网络资源,真正实现网随人动。
对网络进行抽象以屏蔽底层复杂度,为上层提供简单的、高效的配置与管理。定义了主要的网络虚拟对象,用户对虚拟对象以拖拽方式进行编排就可以方便、灵活的构建其业务系统。
通用组:支持管理员将设备和设备接口划分到不同的设备组或接口组内,方便管理员对设备和设备接口进行整组的管理,包括各种策略的执行与修改等。系统已经基于Spine-Leaf-Access设备角色和互连关系自动建立相应的设备组和接口组,管理员也可以按需求自定义。
安全组:传统的接入控制、访问权限控制采用ACL和VLAN相结合的方式,而这种方式一般需要大量的预配置工作且不够灵活,已不适应现在园区网的需求。SeerEngine-Campus采用的基于安全组的策略控制方案替代了传统的VLAN+ACL控制方案。管理员通过定义用户安全组、资源组以及组间策略可以实现用户的自由灵活接入并保证用户在任何位置接入时都可以得到一致的访问权限。当管理员设置好相应的安全组、资源组以及策略模板时,就可以通过策略矩阵以二维表格的形式编排各个安全组的访问权限。
基于IP SGT技术,实现安全组与VLAN解耦,认证点和策略执行点可分离,通过EIA订阅用户IP的角色(SGT),支持IP解耦、用户迁移的策略随行,VXLAN组网和VLAN组网都可以支持策略随行,并可支持4K安全组规格,可实现大规模组网下的精细化策略控制需求。
园区内网络策略编排:通过组间策略的编排,实现园区内部用户和用户之间、用户和服务器资源之间访问策略的定义,精确把控园区内东西向流量。
园区出口网络策略编排:通过园区出口策略的编排,实现园区出口策略的定义,控制园区内网用户对外部网&Internet南北向访问流量的精细化权限控制和安全防护。
位址分离,名址绑定:随着移动互联网的飞速发展,在园区中用户使用不同终端,在不同位置以不同的方式接入网络的需求大量爆发,在SeerEngine-Campus上通过给接入用户设置多个接入场景,使得用户在不同物理场所接入网络时使用相同的IP,用户访问网络的权限完全一致。与所在的物理位置、接入设备类型无关。
策略随行:当用户办公位置发生变化时,只需在SeerEngine-Campus上修改用户的接入场景即可,网络业务快速重新开通。
完善的设备配置审计平滑功能 #
配置审计:管控组件通过Netconf协议向设备下发配置并可以获取到设备上对应配置,按照设备保存下发的配置,并基于此实现了针对设备的配置审计功能,从设备获取对应配置,与管控组件保存的配置进行比较,按照管控组件比设备多的、管控组件比设备少的和不一致的三种类型以Netconf协议的xml格式进行展示,方便用户监控设备上配置下发情况。
精细化平滑:管控组件可以针对上面三类差异配置数据,由用户按需自行选择其中的全部或部分配置进行平滑,管控组件会按照用户选择将管控组件保存的配置重新下发到设备上,可以做到基于不同模块的xml表的不同行数据的力度进行选择。
审计白名单:在精细化平滑审计功能基础上,允许用户将其中的管控组件比设备少的配置按需选择加入白名单中,加入白名单中的配置会被忽略掉,不再展示在审计结果中,也不再影响后续该设备的审计状态。从而避免用户因大量审计差异疏忽了真正需要关注的内容,在没有其它审计差异情况下可以正常亮绿灯。
专业的运维监控功能 #
概览页面:支持在概览页面中展示在线用户数量,同时支持展示告警统计、有线无线资源统计、终端设备使用情况和用户接入方式统计数量等。
容量管理:呈现网络设备各类资源状态,让用户全面地掌控在线设备运行情况;同时支持对资源设置多级告警阈值,以及自动回退超规格配置,提示用户实时调整网络资源配置。
资源统计:展示整个网络中设备级事件、接口事件统计信息,并可以按需监控接口收发包及丢包统计信息。
日志管理:SeerEngine-Campus可以支持操作日志、系统日志和运行日志的查询、过滤、导出和删除操作,帮助用户快速地发现、定位和排除故障。
联系我们
