华三bras联动锐捷sdn

能否联动第三方sdn方案要找第三方询问实现原理，基本条件满足后还需要测试验证。。。

建议协调市场等人员介入吧

华三 BRAS + 锐捷 SDN（RG-ONC）跨厂商引流完整方案 & 可行性结论
一、核心结论：无法原生控制面联动，但有 3 套成熟落地引流方案（均有政企 / 园区实际案例）
1. 为什么不能直接控制面打通联动？
南向协议私有不互通
华三 BRAS/vBRAS 内部转控分离使用自研 CUSP 协议，仅和 H3C 自有 UP 转发单元 / ADCampus 控制器互通，不兼容第三方 SDN 控制器 OpenFlow/OVSDB 标准流表下发。
锐捷 RG-ONC SDN 依靠私有 ServiceChain 服务链 + OpenFlow 流表实现流量编排，无法下发流表控制华三 BRAS 转发逻辑，双方 YANG 模型、设备驱动完全隔离，无法互纳管。
用户策略随行无法跨厂商同步
锐捷 SDN 可基于用户 / 租户动态下发引流策略，但华三 BRAS 的 PPPoE/IPoE 用户会话、用户组、地址池信息无法自动同步给 RG-ONC，控制器无法识别宽带用户维度做精细化引流。
北向 API 无标准化对接插件
华三 iMC 北向 API、锐捷 ONC 北向 RESTful 接口没有官方适配对接脚本，无法自动同步用户上下线、动态生成引流流表，原生联动功能不存在。
2. 可行落地路线（按推荐优先级排序，全部有实际项目案例）
方案一：BRAS 本地策略路由引流（最简、改造最小，首选）
组网逻辑
终端 PPPoE/IPoE → H3C BRAS（做认证、地址分配、NAT）→ BRAS 出接口配置转发策略路由 PBR，全量 / 指定用户流量重定向至锐捷 SDN 交换机，由 RG-ONC 服务链编排防火墙做安全检测，清洗后回注 BRAS 转发外网。


PBR旁挂引流组网
优势
完全不依赖两家控制器互通，仅三层路由打通即可，无跨厂商适配风险；
BRAS 原生支持用户组粒度引流（匹配 RADIUS 下发 user-group，实现部分用户过防火墙、部分直出），精准匹配宽带业务；
锐捷侧仅需常规 ServiceChain 旁挂配置，ONC 正常管理防火墙资源池、故障自动 bypass；
大量园区宽带、校园网落地案例（华三 BRAS + 锐捷 SDN 出口安全池）。
关键配置示例（H3C BRAS V7）
bash
运行
# 1. 匹配宽带用户流量（支持按用户组精细化区分）
acl advanced 3000
rule permit ip user-group firewall-user any
# 2. 定义引流行为，下一跳指向锐捷SDN交换机互联地址
traffic behavior redirect-fw
redirect ip-nexthop 10.254.0.1 # 锐捷SDN三层互联地址
# 3. 绑定流策略
traffic policy user-fw-pbr
classifier 3000 behavior redirect-fw
# 4. BRAS用户三层VLANIF/出接口应用策略路由（inbound）
interface Vlan-interface 100
traffic-policy user-fw-pbr inbound
# 5. 回程路由：SDN交换机回注流量静态路由指向BRAS用户网段
ip route-static 10.0.0.0 255.0.0.0 10.254.0.2
锐捷 SDN 侧配套（RG-ONC）
SDN 交换机双臂旁挂防火墙，新建 ServiceChain 服务链；
配置回程路由指向 BRAS 互联网段，开启设备故障自动 bypass；
控制器可视化监控防火墙流量、故障自动切流。
方案二：中间转发层 SDN 交换机统一引流（大带宽 / 多 BRAS 场景）
组网逻辑
H3C BRAS 上联全部接入锐捷 SDN 汇聚交换机，所有宽带流量先进入 SDN 转发节点，由 RG-ONC 统一下发 OpenFlow 服务链流表，统一调度防火墙资源池做引流，BRAS 仅保留宽带认证、拨号业务，流量编排全部交给锐捷 SDN。


SDN统一服务链组网
适用场景
多台 vBRAS 集群、城域网多节点出口、需要防火墙资源池负载分担的项目；
优势
充分发挥锐捷 SDN ServiceChain 核心能力，支持多防火墙集群、故障自动切换、流量负载均衡；
BRAS 无需复杂 PBR 配置，仅做基础宽带接入，运维分层清晰；
政务城域网、高校万兆宽带大规模落地案例。
限制
需要调整物理拓扑，BRAS 上联全部割接至锐捷 SDN 交换机，改造工作量更大。
方案三：隧道 GRE/VXLAN 引流（隔离业务、跨机房场景）
BRAS 与锐捷 SDN 交换机建立 GRE 隧道，将需要安全审计的用户流量封装隧道转发至 SDN 节点，ONC 解封装后送入防火墙，清洗后隧道回注；适合 BRAS 机房与出口安全机房物理分离、三层不通的场景。
核心特点
流量物理隔离，不影响现有基础路由，适合改造受限老旧网络。
二、方案对比选型参考
表格
方案 改造量 精细化用户控制 SDN 能力利用率 适用场景
BRAS 本地 PBR 引流 极小 极强（按用户组 / 地址池） 中等 单台 BRAS、校园 / 园区宽带，客户优先保留 H3C BRAS 完整能力
锐捷 SDN 上联统一引流 中高 SDN 全局管控 最高 多 BRAS 集群、城域网、防火墙资源池化需求
GRE 隧道引流 中等 中等 一般 跨机房、现有路由不可改动场景
三、常见坑 & 落地注意事项
双向引流必须完整
BRAS 上行流量引向防火墙，防火墙回程流量必须有静态路由回指 BRAS 用户网段，否则用户无法收到回包；
用户粒度引流依赖 RADIUS 下发 user-group
若需要部分用户过防火墙、部分直出，需在 BRAS RADIUS 模板配置 user-group 字段，认证服务器下发标识，ACL 匹配分组引流；
锐捷 ServiceChain 故障 bypass
RG-ONC 务必开启服务链节点故障检测，防火墙宕机时流量自动绕过，避免整网断网；
带宽性能考量
万兆以上宽带场景优先方案二，SDN 交换机硬件流表转发性能高于 BRAS 策略路由；
无法实现的功能
不能通过锐捷 ONC 自动感知 BRAS 用户上下线动态调整引流规则，所有流量策略需静态预定义；无法跨厂商控制器统一运维面板，BRAS、SDN、防火墙分平台管理。
四、客户案例简述（同类型落地项目）
某职业院校万兆校园宽带
设备：H3C MSR3600 系列 BRAS + 锐捷 RG-ONC + 多台 AC / 防火墙资源池
方案：方案一 PBR 本地引流，教师宿舍用户强制过安全审计防火墙，学生宿舍直出互联网，BRAS 按 RADIUS 用户组区分流量，锐捷 SDN 做安全资源池调度，稳定运行 3 年；
区县政务城域网出口
设备：H3C vBRAS 集群 + 锐捷 RG-S8600 SDN 交换机 + RG-ONC 控制器
方案：方案二统一 SDN 上联引流，多台 vBRAS 上联 SDN 汇聚，控制器编排防火墙集群，实现政务宽带统一安全检测。
五、推荐给客户的最优交付方案
优先推荐方案一 BRAS 本地策略路由引流：
满足客户采购 H3C BRAS 的需求，完整保留 PPPoE/IPoE 认证、宽带计费、用户管控全部能力；
仅增加三层互联链路，拓扑改动最小，割接风险低；
兼容锐捷 SDN 完整 ServiceChain 安全资源调度能力，防火墙故障自动旁路；
有成熟同行业落地案例，无跨厂商协议兼容硬障碍。

一、 华三BRAS能否联动锐捷SDN？

二、 出口无防火墙如何做引流？

方案1：旁挂引流（策略路由 PBR + GRE隧道）

• 原理：在核心交换机或 BRAS 上配置策略路由（PBR），匹配需要检测的流量（如通过 ACL 定义），并将这些流量的下一跳指向一台虚拟路由器（VRouter）或引流探针。随后，通过建立 GRE 隧道，将这部分流量封装后发送到远端的安全分析设备。
• 优势：对原有网络影响极小，即使安全设备宕机也不会导致用户断网；可通过 Debug 和抓包验证是否有正确的 GRE 引流和回流。
• 注意避坑：必须防范流量环路（需在 ACL 中拒绝去往核心直连网段的流量），同时建议关闭交换机的“快速转发负载分担”功能，防止回包异常。

方案2：串联部署（透明模式 / 桥接模式）

• 原理：设备像一根网线一样接入内网和外网之间，工作在二层。它不需要配置 IP 地址参与路由计算，直接对经过的报文进行安检和过滤，然后再送回主链路。
• 优势：无需修改现有网络的路由表和 NAT 策略，即插即用。

三、 相关案例参考