H3C虚拟园区网的解决方案.doc

H3C虚拟园区网的解决方案 H3C虚拟园区网解决方案把整网的物理资源虚拟成多套逻辑资源，各群组用户根据预先的配置，只能使用相应的资源。下文为大家详细介绍H3C虚拟园区网解决方案，欢迎阅读! 1虚拟园区网概述 企业园区网作为企业网络的核心部分，连接了企业总部的办公、生产、研发、财务等多种重要的机构。在网络建设中占有重要的地位。园区网内部终端种类众多，接入用户数量庞大，对网络的性能、可靠性、可管理性都有较高的要求。随着IT业务在企业的生产中的重要性越来越高，建设一张简洁、可靠、高性能的园区网就成为了企业必然的选择。 在终端种类及用户种类越来越多的今天，如何区分这些用户的网络接入权限并且在保证这些用户能够得到可控、可靠的网络服务，成为摆在企业网络管理者面前的难题。H3C的虚拟园区网解决方案集成了H3C的IRF2技术，MPLS/VPN技术，用户终端准入技术，多业务办卡扩展技术，通过各种技术的集成在企业网络的权限划分，用户接入管理，提升网络可靠性几个方面对现有的园区网建设方案进行了提升形成了一套新的虚拟园区网解决方案。 2虚拟园区网架构 H3C虚拟园区网的整体结构，虚拟园区网中整合了横向虚拟化及纵向虚拟化技术，接入层、汇聚层、核心层通过IRF2技术进行横向整合，安全模块通过板卡的形式灵活部署在汇聚层交换机，DC前端交换机及Inter出口前端的交换机上。同时，整网通过MPLS/VPN或MCE多跳技术进行纵向虚拟化，完成对网络资源的隔离。 接入用户通过使用H3C的接入准入方案，能够针对每个用户的身份自动的划分到对应的VLAN中，并在进行三层转发时，对应不同的VPN实例，做到在整个园区网内部的路径划分。同时，结合H3C的EAD认证系统，能够对用户终端的安全状态进行验证，最终使得接入到园区网的用户不仅身份可靠而且其终端的安全状态也是可靠的。 2.1企业网架构的横向虚拟化 企业网架构的横向虚拟化是指：通过使用H3C创新的IRF2技术，是原有的园区网的接入层，汇聚层与核心层设备各自进行横向整合，将多台冗余设备虚拟化为单台逻辑设备，形成一个网络管理与转发节点。其优点主要有： 部署简化：在这样的虚拟化下，网状的企业园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。 路由简化：端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构，极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性，业务流在网络中的走向清晰明确。同时，每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构，也不会影响上下层网络的协议交互。 管理简化：横向整合后，原有的多台设备作为一台设备进行管理，对管理的设备的数量进行大大的简化，提高对设备管理的效率。 2.2企业网架构的纵向虚拟化 企业网的纵向虚拟化是指对企业网络中物理路径的逻辑虚拟化。例如：一个大型政务中心园区可能会入驻政府的多个部门，包括市委、市府、人大、政协等，这些部门的纵向独立性要求其业务数据与其他部门的业务安全隔离，但协同办公又需要各部门业务能进行可控互访;园区内数据中心的部分服务器同时为多个部门提供服务、部分服务器只为某个部门内部提供服务;园区内所有用户通过同一Inter出口访问互联网;内部用户无论从网络的任何位置接入，都能获得与他在办公室一样的资源访问权限等。 通过将现有园区网络进行纵向的路径虚拟化很好地解决了这个问题，纵向虚拟化就是把网络等硬件设备和应用服务等都看成统一的资源，通过技术手段和方案设计，把这套共有的资源虚拟成多套逻辑资源，供不同的群组/业务使用。虽然在物理上这些资源是统一、集中的，但对不同的用户/业务来说，能够使用到的资源、配置的安全/管理策略可能各不相同。 H3C在纵向虚拟化技术中，解决了下面三方面问题： 1.接入控制：用户接入控制的主要目的在于能够保证用户接入的身份可靠，并且将不同的用户进行分类，归入到不同的区域中，保证其安全的接入网络。同时H3C还能够通过EAD解决方案保证接入用户的安全性。 2.业务逻辑隔离：业务逻辑隔离区别不同权限用户业务之间能够相互隔离，在必要的情况下也可以进行互访。 3.资源隔离：做到对不同用户能够访问的资源的安全隔离，完成端到端的用户访问的虚拟化。 通过用户接入控制及业务逻辑隔离技术，接入用户通过网络边缘的CE/MCE设备接入，认证通过后集中策略服务器根据认证用户名下发策略把用户端口加入到相应的VLAN中，并根据预设下发部分访问控制策略;在接入或汇聚设备上，通过配置VLAN接口与VPN的绑定关系，把用户加入到相应的VPN中去;MCE/PE设备会为每个VPN建立独立的路由转发表项，从而保证VPN内用户组的路由信息不会扩散给其它VPN用户，各VPN使用MCE或MPLS/VPN独立进行数据转发，这样就为用户到服务器提供了一种端到端业务传输通道，把不同用户组、不同应用的数据横向隔离开来，完成了园区网的纵向虚拟化。 2.3多业务板卡技术 在虚拟园区网方案中通过矩阵式的安全模块部署，解决了在传统的安全技术部署时的难扩展，单一节点故障等问题。 H3C通过将安全模块结合网络设备的创新，虚拟园区网中的的安全设备部署能够灵活的利用设备背板的交换能力