SDN新网络解决方案课件.pptx

SDN新网络解决方案,目录,IT 建设模式进入新阶段,新IT对网络提出了新的要求软件化、可定义、自适应SDN,SDN发展趋势,可编程,可交付,可扩展,Software Defined Network,Service Defined Network,Self Defined Network,新网络技术,Cloud Management System,SDN APP,VCF控制器分布式集群,VNF Manager,WAN,SDN,F,ab,r,ic,Spine,Spine,Fi,r,ewall,Leaf,Leaf,Leaf,Leaf,LB,R,ou,t,er,Leaf,SDN网络,传统物理网络,虚拟网络,NFV支持Run in VM和Run in物理服务器,v,S,wi,t,ch,NFV,NFV,Dist,r,ibu,t,ed Fi,r,ewall,Dist,r,ibu,t,ed L3,Dist,r,ibu,t,ed L2,vFW,vN,A,T,vSR,vLB,vIPS,vIDS,vBRAS,vIMS,v,A,C,vEPC,vCPE,vRAN,Legacy Net,w,ork,计算与存储资源,虚拟化平台,Hype,r,visor,Doc,k,er,华三SDN/NFV新网络架构,H3C VCF 架构的开放性,H3C VCF Controller 全融合控制器,H3C VCF 应用合作联盟,路由,交换,安全,无线,软件设备,H3C Comware V7 网络操作系统,H3C 云平台/资源管理平台 IMC,H3C VCF SDK,开放API,开放API,开放API,目录,SDN Controller产品形态VCFC,纯软件,一体机,x86(64位)服务器，8G以上内存，Linux OS按节点数和功能收License费用,基于UIS R390 G2服务器License配置方式与软件形态完全相同,SDN技术实现,控制平面（CP）,转发平面（DP）,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,CP,DP,传统网络设备的控制平面与转发平面不分离设备之间通过控制协议交互转发信息,SDN 的思路是将网络设备的控制平面集中上收到Controller网络设备上只保留转发平面（转发表项）通过Controller实现网络统一部署和网络自动化,Controller,一个简单的类比,硬件,系统,应用/市场,开放、开源、标准化的南向和北向接口,北向接口：采用标准的REST API接口实现与虚拟化管理平台、云平台、网络管理平台、上级SDN控制器、应用管理平台等第三方系统集成采用Java API支持第三方SDN APP南向接口：NETCONF标准接口：主要用于特性配置和静态表项的下发,实现特性配置自动下发OPENFLOW协议：下发OpenFlow标准流表、标准二三层转发表项等;PacketIn/PacketOut,实现收发包、首包上送建流表等OVSDB：OVSDB数据库表直接转换成设备上的VXLAN配置和流表支持OpenDayLight、IETF等标准化组织的标准协议,Spine,Spine,Service Leaf,Leaf,Leaf,Leaf,vSwitch,OpenFlow/Netconf,Service,Service,OVSDB,ThirdParty,南向,北向,标准的REST API和Java/C API，与任意第三方系统集成,SDN控制器控制云,SDN APP典型场景,虚拟机联动/多租户流量监视/拥塞发现/自动分流可编程/自定义路由自动化管理与运维,数据中心,流量工程(TE)流量识别与差异化调度业务QoS自动部署与保证自动化管理与运维,广域网,业务动态隔离及权限控制统一安全防护BYODWLAN/AC云,园区网,搬家的故事,快速迁移的需求 VS 僵化的网络,一个IT运维人员的烦恼,市场,财务,生产,简单的业务隔离需求 VS 复杂的访问控制,主管,资源,生产,市场,主管,财务,ADCampus应用驱动的园区网,最终目标：对设备无命令行的手工配置，自动化,最终目标：业务部署（应用/终端）与位置无关；开放,位址分离IP地址与位置解耦合,AC,汇聚,接入,核心,传统方式的问题：IP地址规划复杂/接入位置受限,新方案的特色和优势：IP可任意接入，与位置无关,10.10.1.10,10.10.1.20,10.11.1.10,10.11.1.20,10.10.1.10,10.10.1.20,传统网络,10.10.0.0/16网段,10.11.0.0/16网段,名址绑定基于用户名/组的IP分配,园区出口,核心交换机,用户,认证点交换机,园区控制器,DHCP,如上：前期针对用户做好IP策略规划1.用户首次认证成功上线分配VLAN2.根据VLAN绑定地址池DHCP获取IP3.控制器通知DHCP 服务器完成用户名与已分配IP的绑定4.用户后续第二次上线，也是先认证，下发业务vlan。5.终端通过dhcp 申请地址，由于之前地址已经设置过绑定，只能申请到固定的地址，形成绑定,可实现用户与IP绑定，也可实现用户组与IP组绑定针对视频终端等设备，可采用MAC认证的方式，实现基于业务的IP分配,LAN,WAN,统一网络多业务统一接入,iBGP,主RR,备RR,主园区,分支1,分支N,业务隔离点ACL/VRF,二层VLAN隔离，三层链路VxLAN隔离无需关注整个广域网链路，轻松实现全网隔离隔离点少，相比MPLS对网络要求和运维更简单,统一网络-有线无线统一,无线本地转发：降低AC性能要求，满足11ac时代无线高带宽接入，流量不迂回统一用户管理：有线用户与无线用户统一使用5W1H来统一划分用户组统一数据转发：AP流量本地转发和有线统一，统一流量监控统一策略执行：有线无线终端用户/IP统一分配，策略执行点统一（完全匹配前面的位址分离/名址绑定）,AP本地转发，AC只负责控制报文通过无线承载网络位址分离，保障无线终端的跨三层漫游,spine,leaf,Access,Access,无线AC,开放网络-基于SDN,封闭、僵化：应用对网络需求开发验证部署部署 单台配置，复杂，周期长,核心,汇聚,接入,接入,3rd APP,3rd APP,核心,汇聚,接入,接入,开放，可编程、灵活/简单：3rd APP或自有APP直接网络验证部署整网配置，简单，周期短,封闭的传统网络,开放的ADCampus网络,ADCampus Fabric自动化上线,核心,汇聚,接入,接入,汇聚层标准化配置：指定所有网关IP，用于应答主机请求汇聚层标准化配置：下行端口Trunk，ARP代答隔离广播域接入层设备标准化配置：动态VLAN下发、所有Trunk配置,方案在汇聚层启用VXLAN，简化Underlay配置，同时将汇聚和接入设备VLAN配置统一并标准化。另外通过MP-BGP实现表项同步，同时启用指定网关ARP代答，控制广播域，保障大网可靠运行,核心汇聚层简化：启用VETP，配置一个三层接口标准化配置：内部启用IGP协议，保证VETP之间互通标准化配置：启用MP-BGP，完成Overlay表项同步,策略随行,服务器区,资源组1,资源组2,策略一键下发，实时生效,H3C VCF生态圈开放创新，合作共赢,H3C VCF App Store应用商店,H3CVCF SDK,集成App向企业销售,从H3C App Store获取App,为集成商开发App,H3CVCF SDK,从H3C App Store获取App,向H3C App Store提交App,为企业,开发App,为H3C App Store开发App,为H3C App Store开发App,目录,Server,Hypervisor,VSR,vSwitch,vBRAS,vFW,vAC,vLB,H3C NFV基于Comware V7平台，可以运行在服务器或虚机上，提供更胜于物理设备的功能和体验,H3C NFV源自于Comware，不同于Comware,NFV并非万能,擅长解决：需要结合业务，需要精细部署，需要内容可见业务分布式部署、高弹性控制平面内容大于转发平面冗余节点、高容错能力不宜解决：大流量高速转发、低延迟、高缓存高端口密度、大带宽拼单点性能,Hardware,一个简单的类比,1.初始投入很大：店面，设备，人力,2. 为应对客流高峰，大量资源闲置,3. 营业面积固定很难扩大营业规模,1.初始投入小,2. 不受店面大小限制，规模扩展方便,3. 不受店面位置限制，覆盖范围更大,H3C新网络产品家族NFV产品系列,基础单元,二-三层网络,四-七层网络,控制层,NFV Manager灵活功能控制器,支持CAS/KVM/VMware等多Hypervisor,虚拟路由、安全、无线控制器、BRAS等多种网络业务单元全系列裸金属形态独立部署/集群部署/融合部署,融合VCFC虚拟资源及网络业务单元控制器集群,vIPS*,vFW,vSR,vAC,vLB,vBRAS,H3C VSR产品介绍,VSR,专业路由器软件提供业界领先的多业务路由器功能路由协议(IPv4/IPv6)、组播、MPLS、VPN、NAT、QoS、防火墙、负载均衡、WAN优化、LISP、EVI、VXLAN、Openflow、VRRP、IRF ,Enterprise MPLS,CPE,OLT,Modem,CPE,HD,Internet,DSLAM,ONU,CPE,Switch,Branch,Branch,Home,SMB,SMB,Private Cloud,vCPE,vBRAS,VM,VM,VM,VM,vCGNAT,VM,VM,VM,VM,vFW,vLB,Public Cloud,vPOP,混合云互联,Tenant,Tenant,NFV Pool,VNF,VNF,VNF,NFV Pool,VNF,VNF,VNF,vRR,vRR,vCPE,vCPE,H3C vFW产品介绍,vFW,专业防火墙软件提供灵活全面的L4-L7安全防护能力包过滤、状态防火墙 、丰富的攻击防范技术、安全域、VPN、NAT、 ALG、IPS、AV、安全日志 ,H3C vLB产品介绍,vLB,专业负载均衡软件提供丰富完善的负载均衡算法和服务丰富的调度算法、高效的健康检测算法、 4层服务器负载均衡、 7层服务器负载均衡、TCP的连接复用功能、应用优化 ,H3C vBRAS产品介绍,vBRAS,专业BRAS软件提供多种方式的宽带接入认证服务PPPoE、IPoE、Portal、AAA(和主流AAA系统对接)、QoS、NAT444、IPv4/IPv6双栈、MPLS L2VPN、L2TP VPDN、专线接入、组播 ,vBRAS解决方案三阶段演进,Phase1 已经完成,Phase2正在进行,H3C vAC产品介绍,vAC,专业无线控制器软件提供高容量AP的接入服务802.11协议族、分层AC组网、集中认证+本地转发、VLAN组、AP组、 AC内漫游、AC间漫游、 AP功率自动调整、信道智能切换、智能AP负载分担、安全与接入控制、QoS、无线频谱管理、 WIPS、CAPWAP标准管理协议 ,Internet,AP,AP,AP,AP,Master AC层,Local AC层,H3C 万象盒 All in one,CentOS,KVM,VNF一体机,CPU：1颗 E5-2620V3内存：1根 16G DDR4硬盘：1块 500G SATA盘虚拟化：CentOS+KVMvLB、vFW、vAC、VSR、vBRAS五种模式,开箱即用,多功能模式按需自由切换,专业服务：传统非虚拟化服务器业务P2V迁移到VNF一体机,定位于中小企业行业市场,网络性能不可扩容,第三方应用扩展能力,VM,VM,VM,H3C NFV Manager产品介绍,NFV Orchestrator & OSS/BSS,VCFC NFV Manager,VIM,Southbound REST APIs,SNMP/NETCONF/CLI/TCL/Python ,HP NFV Director,H3C IMC,Northbound REST APIs,VNF,vFW,vAC,VSR,vBRAS,vLB,OSS/BSS,H3C新网络产品家族vSwitch,可编程、敏捷的虚拟交换机运行在服务器主机Hypervisor内高性能转发能力OpenFlow流表转发VLAN/VXLANL2 ForwardingDVR*状态防火墙功能*流量可视化端口镜像sFlowNetFlow*,*,*Hyper-V规划中,vSwitch友商对比,目录,Overlay边缘设备Overlay数据报文的封装/解封装节点，决定了Overlay网络的规模,Overlay数据平面提供基于VXLAN提供数据封装，基于承载网络传输,Overlay控制平面提供 服务发现（Service Discovery）Overlay边缘设备发现彼此，并建立Overlay隧道关系地址通告和映射（Address Advertising and Mapping）Overlay边缘设备交换其学习到的主机可达性信息 隧道管理（Tunnel Management）管理Overlay边缘设备之间的虚拟连接关系,Overlay网络是一个建立在已有网络上的虚拟网络，逻辑节点和逻辑链路构成了Overlay网络目前基于SDN架构来实现Overlay网络是业界最流行最合理的方案,网络虚拟化：是用来创建虚拟网络的容器，这些容器之间在逻辑上彼此隔离，但共享相同的底层承载网络。物理网络向云和虚拟化的深度延伸，使网络资源池化能力可以摆脱物理网络的限制,网络虚拟化,了解Overlay工作原理,姓名：张三,姓名：李四,张三-李四：信封1:李四收秘书A-秘书B：信封2：上海B地秘书B-李四：信封1：李四收,张三-王五：信封:王五收,北京A地,上海B地,广州C地,姓名：王五,张三-王五：信封1:王五收秘书A-秘书C：信封2：广州C地秘书C-王五：信封1：王五收,H3C Overlay为什么选择VXLAN,VXLAN技术可与传统网络设备完美兼容，并得到了主流商用芯片的支持。是当前市场认可度最高的Overlay技术,H3C Overlay模型,SDN Controller Cluster,SDN Controller Cluster,SDN Controller Cluster,网络Overlay：物理设备为Overlay设备服务器无需支持Overlay支持虚拟化服务器和物理服务器接入,主机Overlay：虚拟设备为Overlay设备适用服务器全虚拟化的场景物理网络无需改动,混合Overlay：物理设备和虚拟设备都可以作为Overlay设备，灵活组网可接入各种形态服务器可以充分发挥硬件网关的高性能和虚拟网关的业务灵活性,Network Overlay,Host Overlay,Hybrid Overlay,H3C支持三种Overlay模型，用户可以根据需要选择合适的Overlay模型,H3C新网络的应用场景VPC,VCF Controller集群必选，VCF Controller 实现对于VPC网络的总体控制，以及对VNF的生命周期管理 VXLAN GW必选， VXLAN GW包括vSwitch,S68,VSR等，实现虚拟机，服务器等各种终端接入到VXLAN网络中VXLAN IP GW必选，VXLAN IP GW包括S125-X, S98, VSR等，实现VXLAN网络和传统网络之间的互通云管理系统可选，负责计算，存储管理的云平台系统，目前主要包括OpenStack，VMware vCenter和H3C CSM虚拟化平台可选，vSwitch和VM运行的Hypervisor平台，目前主要包括CAS, VMware，KVM和XENService安全设备可选，包括VSR,vFW,vLB和M9000，安全插卡等设备，实现东西向和南北向服务链服务节点的功能多场景支持同时支持单数据中心与多数据中心场景,S12500-X,S12500-X,Agg,Agg,Server,Access,S6800,Access,Hypervisor,Hypervisor,M9000,M9000,VXLAN Fabric,VXLAN GW,VXLAN IP GW,IMC,云平台,第三方云平台,VCFC集群,vSwitch,vSwitch,vFw/vLB,vSwitch,vFw/vLB,vSwitch,KVM,vFw/vLB,SR-IOV Adpt,vSwitch,KVM,vSwitch,VSRvFW/vLB,WAN,Access,H3C VPC纯软件部署,Spine,H3C VPC纯硬件部署,S12500-X,S12500-X,VXLAN Fabric,S6800,S6800,S6800,S12500-X,S12500-X,S12500-X,S12500-X,业务独立网关组1,业务独立网关组2,业务独立网关组n,S6800,OpenFlow + NETCONF,不同业务采用独立的物理网关与安全隔离,vFW/vLB,vFW/vLB,DMZ,H3C VPC混合组网部署,VSR,vFW,Leaf,VCF Controller Cluster,Router,客户云管理系统,第三方计算、存储控制系统,NFV资源池,vLB,S6800,服务器,R&D,MKT,S6800,S6800,VXLAN Fabric,S12500-X,S12500-X,客户通过自己的云管理系统进行统一的IT管理每一个部门相当于一个内部租户，各部门网络通过VXLAN实现相互隔离，自定义构建自己的虚拟私有网络，简化整体网络的管理通过软硬件网关设备，支持各部门的PC主机接入到虚拟网络通过NFV实现安全业务的资源池化所有软硬件设备都受到VCF控制器的统一控制支持灵活自定义的服务链，实现对服务器、外网访问策略，易于对各部门网络的统一策略管理,S12500-XVXLAN三层网关,构建SDN的关键产品,VCF控制器,vSwitch,虚拟交换机（VMware/KVM/CAS）,管控平台,S9800VXLAN三层网关,S6800VXLAN二层网关,VCF控制器,高端安全旗舰,服务器1,服务器2,服务器3,服务器1000,服务器1001,服务器1002,VCFController,VCF controller,Region 10,VCF controller,VCF controller,VCF controller,VCF controller,Region 2,Region 1,Team,主Leader,网关,网关,北向统一IP地址,备Leader,OpenStack,IMC,Third-party cloud,H3C新网络控制器的高可靠性,VCF控制器集群支持控制器数量的弹性扩展，可以根据网络规模动态伸缩集群由主Leader控制器在北向提供统一的IP地址与所有上层软件进行交互，所有控制器位于同一二层网络，每个控制器拥有唯一的南向IP集群南向通过划分Region管理网络设备，Region内部的控制器互为备份或负载分担VCF控制器最大支持32台集群规模，每个控制器集群支持30K个服务器以及200K个虚拟机,丰富的运维特性,通过VCFC和IMC VFM组件实现Overlay与Underlay网络统一监控：整网物理拓扑图中可高亮显示租户、VXLAN内的所有设备可支持Overlay路径分析，并且选定某设备后可展示使用该设备的所有租户、展示使用该设备的所有VXLAN。业务拓扑可展示某个租户或VXLAN的信息，隧道信息检测VTEP节点之间的连通性支持GW及Port的流量监控,Overlay与Underlay网络统一管理,基于SDN的服务链技术,数据报文在网络中传递时，需要经过各种安全服务节点，提供给用户安全、自定义的网络服务常见的服务节点（Service Node）：防火墙（FW）、负载均衡(LB)、入侵检测（IPS）、VPN等服务链定义：SDN控制器对网络进行逻辑抽象，并实现对业务的灵活自定义编排；业务流量按照控制器的编排顺序经过一组抽象业务功能节点，完成对应业务功能的处理,什么是服务链,NFV,实现网络服务与网络拓扑解藕、与物理设备解藕、与转发流程解藕,什么是服务链？,服务链实现路径规划,Overlay 逻辑网络2（For 租户Y）,“安全服务链”实现流量路径规划网络资源化与拓扑无关可实现构建统一的安全池,Underlay物理网络Fabric,源,目的,FW池,IPS池,源,目的,Overlay 逻辑网络1（For 租户X）,源,目的,Controller,Controll Program (Routing、ACL ),服务链安全与灵活兼得,传统安全部署,服务节点,源,目的,安全服务链部署,源,目的,网关,数据流,FW,IPS,LB,引流回注,引流回注,数据流,通过引流/回注来定义路径网关设备策略路由部署复杂，变更困难，难以维护虚拟机迁移受限，安全策略无法跟随,通过报文封装来选择路径服务链定义、变更容易，无需部署策略路由虚拟机迁移灵活，安全策略不受位置、IP、VLAN限制,服务节点,服务节点,VCFC,零配置，自动化上线设备初次部署时无需预先加载配置文件，上电后自动到中心服务器获取配置文件,。,规则管理模块,配置文件管理,A000.0000.0000.0000,B000.0000.0000.0000,Z000.0000.0000.0000,A.cfgB.cfg。Z.cfg,DHCP Discover & Request,DHCP offer IP + 配置文件URL地址,A A0:00:00:00:00:00;192.168.0.180;“A.cfg; ,配置下载与加载,生成和上传配置文件,配置设备标识与配置文件对应关系,大型园区，接入设备位置分散、数量庞大，难于管理和维护通过零配置：所有配置工作在后端操作，不需专业技术人员到现场接入设备即坏即换，不需重新配置,SDN APP,西班牙电信,1. 将分布于千家万户的物理设备变为软件，在局端机房集中部署,2. 在局端按需生成虚拟媒体空间，家庭DLNA TV可直接点播私人媒体中心资源,3. 智能手机可控制家庭各类智能设备,4. 朋友/访客可以方便的通过手机随时随地分享资源,H3C DC-Galaxy演进路标,DC-3,DC-1,DC-2,WAN Area,region,集群,业务,运维,QoS,每个数据中心一个控制器region,多个数据中心组成集群，全局信息统一,统一网络资源池，跨数据中心迁移,统一界面，实现集中管理分散控制,从IDC到广域网，实现端到端QoS保障,H3C DC-Galaxy部署,全系列可商用SDN解决方案,目录,H3C新网络的最佳实践江西移动SDN VPC,H3C SDN VPC方案与中国移动SDN APP对接江西移动公司通信录、E文库、后勤综合平台、计划公文系统、BOSS需求审批、集客商机系统等业务系统上线运行，是国内运营商第一个上线正式业务的SDN VPC试点中国移动巴塞罗那2015MVC展会,需求场景,2、实现私有云多业务系统的虚拟化网络创建及接入、实现网络运维自动化试点目标多个业务系统对应多个虚拟网络，各个业务系统可以配置虚拟网络策略，监控流量针对上层云计算管理系统定制SDN APP对接，获取云业务系统所做的变更，根据通过SDN控制器自动下发相应的网络策略到SDN网络设备，完成网络配合迁移,1、实现业支系统网络的智能流量调度试点目标验证SDN WAN重叠网方案的智能流量调度能力，通过集中的SDN APP和控制器对全网的链路质量进行监控，从全局的角度进行路由与流量调度的计算，然后将转发策略下发给各个设备，保证关键、非关键业务的端到端服务质量,效果1：用户利用SDN APP快速创建虚拟网络，系统稳定运行,自研SDN APP、OpenStack、华三控制器、vCenter四大平台完整解决方案稳定运行,整合四大平台,效果2：虚拟网络的隔离性与性能完全可控,不匹配安全组规则的VM无法通信,匹配安全组规则的VM正常通信,效果3：SDN解决方案支持服务链功能,效果4：WAN链路利用率到达阈值时，系统自动切换流量,两个FTP客户端初始化会在1-2的链路上SDN1到SDN2之间为GE链路，两条25MB的流使其带宽利用率超过阀值35%，会切走其中一条流切走一条流以后，SDN1到SDN2链路达不到35%的利用率不会继续切换SDN1到SDN3之间的链路为20G，25MB的流量切到上面以后达不到切换阀值35%，切过去的流继续保留在这条链路上。切换前后无丢包,流量调度前,流量调度后,总结：传统网络与SDN对比,WEB/APP,VXLAN Fabric,传统网络,SDN网络,L3,VXLAN L3网关,VXLAN L2网关,VETP,WEB/APP,DB/物理服务器,DB/物理服务器,H3C新网络的最佳实践联通智慧城市云平台,公有云无法满足租户精细化网络需求H3C新网络VSR作为云平台的VPC网关，为租户在公有云中构建私有云VSR实现了和中国电信云公司CloudStack平台的对接，实现租户定制化网络需求,H3C新网络的最佳实践中国电信云公司,资源统一管理,SDN控制器,物理设备,虚拟设备,云网融合方案交付的关键特性,H3C新网络的最佳实践某互联网企业,125X,Open vSwitch,OpenFlow + Netconf,OpenFlow + OVS-DB,VCFC,OpenStack对接接口,VXLAN VTEP、GW统一管理,业务系统北向接口管理,REST私有接口,H3C主要交付,支持2.5万台服务器（8个VM）控制器支持集群，控制器集群北向单一IP地址控制器集群支持手动平滑缩减容（不影响业务）,支持VXLAN VTEP，vSwitch vNIC支持VLAN或VXLAN支持OpenFlow集中控制及去组播依赖，支持二层交换，支持数据中心内东西向流量的三层卸载,网络状态监控，物理设备配置网络拓扑展示开放云控制系统REST接口,IMC VFMVXLAN Manager,支持VXLAN IP GW，支持VLAN、VXLAN的3层接口，无状态网关支持VXLAN与VRF关联，支持VXLAN与VXLAN（不同VNI）间、VXLAN与VLAN的三层路由功能支持单VXLAN ID内多子网,H3C新网络的最佳实践广东省中行数据中心,H3C新网络架构完美的结合了Overlay技术与SDN技术的优势通过构建基于VXLAN技术的Overlay层，解决了虚机环境急需解决的大二层问题和网络主机管理的界面问题SDN技术实现将网络控制层面与转发层面的解耦合，将网络系统实现了真正的“资源池化“通过整合NFV技术，通过SDN的服务链方式进而实现自动化的目标为中行数据中心从传统架构向未来IaaS架构发展打下了良好的物质基础,H3C新网络的最佳实践中国石油大学,国内高校领域首个SDN 40G校园网络实现接入交换机自动配置功能，极大简化接入交换机部署与更换工作实现校园专网管理功能，学校一卡通、视频监视等专网业务可以通过SDN控制器集中开通与变更成立SDN联合实验室，引领高校SDN创新,H3C新网络的最佳实践中南财经政法大学,H3C新网络的最佳实践湖北地税私有业务云,网络发票,发票查询,电子办税,移动终端接入,税务登记,湖北地税业务云系统,vFW以二层方式部署在服务器,实现南北/东西向流量防护,同云计算平台统一管理,安全策略随虚机迁移联动,安全资源池化实现横向扩展,VDC2,VDC1,Hypervisor,vSwitch,vFW,Tenant B,vFW,vApp,vApp,对VDC进行边界保护,对VDC进行边界保护,vFW,vFW,vFW,对内部VM和vApp间安全进行防护,谢谢！,