虚拟园区网解决方案.ppt

H3C虚拟园区网解决方案交流 提纲 园区虚拟化需求分析H3C虚拟园区网解决方案虚拟园区网解决方案总结 网络应用面临的挑战 园区网络的需求日益复杂 可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区 传统园区网络的设计建议一直缺乏一种对网络流量分区 以便为封闭用户组提供安全独立环境的方式 传统部署方案 虚拟化简介 虚拟资源2 物理资源 虚拟资源1 虚拟资源3 VirtualPrivateNetworks 设备的虚拟化 服务的虚拟化 通道的虚拟化 园区虚拟化的推动力 法规遵从 部分企业受法律或规定的要求 必须对其内部应用或业务进行分区 例如 在金融公司中 银行业务必须与证券交易业务分开 企业中存在不同级别的访问权限 几乎每个企业都需要解决方案来为客户 厂商 合作伙伴以及园区局域网上的员工授予不同的访问级别 简化网络 提高资源利用率 非常大型的网络 如机场 大学等大型园区 为了保证各群组 部门业务的安全性 若建设和管理多套物理网络 既昂贵又难于管理 网络整合 在进行企业收购或合并时 需要能够快速进行网络整合 把原来外部的网络和业务迅速接入自己的网络 典型虚拟化需求举例 政务行政中心 XX厅局 yy厅局 zz厅局 行政中心 行政中心当前部分大中城市正在或将要建设的城市行政中心 将市内大部分党政相关部门统一迁入行政中心 大楼或园区 集中办公 同时又为公众提供 一站式 业务办理服务 行政中心 市民 服务 中心 审批大厅 虚拟园区业务隔离逻辑关系 部门A 部门A 部门B Internet 广域网 园区网络 分支Y 分支X 数据中心 公众用户 为公众用户提供服务的对外业务 内部用户对外部数据区的业务 内部用户访问Internet 部门内部业务 部门间共享业务 广域网接入业务 Campus 内部私有数据 内部共享数据 外部数据 提纲 虚拟园区网需求分析H3C虚拟园区网解决方案H3C虚拟园区网最佳实践 H3C虚拟园区网解决方案 H3C完整的园区虚拟化解决方案包括接入控制 通道隔离 统一应用三个部分 实现对整个园区网络 应用资源的虚拟化 提高资源的利用效率 降低管理的复杂度 典型组网拓扑图 楼层接入 核心交换层 网管中心 大楼汇聚 楼层接入 数据中心 WAN 分支机构 外驻机构 公众 Internet RPR2 5G 大楼汇聚 无线接入 园区虚拟化技术讨论 二层VLAN 二层隔离技术 在三层终结 不易扩展 STP维护复杂 难以管理和定位 适合小型网络分布式ACL 需要严格的策略控制 灵活性差 可能配置错误 扩展性 管理性差 适合某些特定场合VRF MPLSVPN 三层隔离技术 业务隔离性好 每个VPN独立转发表 扩展性好 支持多种灵活的接入方式 配置管理简单 支持QoS 能够满足大型复杂园区的应用推荐组合 VLAN VRF VRF MPLSVPN 二三层隔离的融合 安全性高 避免大量的ACL配置问题 直观 易维护 易扩展 H3C虚拟园区网解决方案整体思路 用户端点准入控制对用户的安全认证和权限管理 使用H3CEAD解决方案 支持portal 802 1X VPN等认证方式 在接入边缘设备作认证可以与无线终端与AP联动 对无线接入用户进行认证根据用户认证的结果动态下发VPN归属 控制访问权限业务逻辑隔离共用物理网络 逻辑隔离使用VRF MPLSVPN技术用户通过CE MCE设备接入 实现端到端的VPN隔离核心用MPLS标签转发 控制PE设备VPN路由引入 建立专用的VPN转发通道 为数据中心提供PE或MCE接口 兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoS H3C虚拟园区网解决方案整体思路 集中服务管理为园区内用户提供统一的Internet WAN出口 进行集中监控 管理网络管理使用H3CiMC智能管理中心 内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理 策略服务器 应用服务器 存储设备等统一部署在数据中心 为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域 内部专有数据区 仅为单部门或业务提供服务内部共享数据区 为网络内部全部或部分用户提供共享服务外部服务区 为通过Internet接入的用户提供应用服务 如网上银行 门户网站等 接入控制 端点准入和身份识别 EAD EndpointAdmissionDefense 端点准入防御对不同的接入终端实施不同的安全和访问策略 接入控制 访问权限动态下发 PE vpn1 VPN2 vpn3 VPN4 CAMS PE vlan11 vlan22 vlan33 vlan44 用户名1 密码VLAN11 用户名2 密码VLAN22 用户名3 密码VLAN33 用户名4 密码VLAN44 移动用户接入 灵活办公 不改变VPN归属关系的位置灵活迁移 根据认证用户名 密码的不同 策略服务器下发策略调整用户VPN归属关系 AP 无线移动用户灵活接入VPN 园区核心网 通道隔离 端到端的业务逻辑隔离 核心交换层 网管中心 汇聚层 接入层 数据中心 MCE CE PE EAD认证 MPLSVPN通道 企业 园区网 PE PE PE MCE CE P P P P PE OSPF ospf 静态路由 RIP MPLSL3VPN提供端到端的业务隔离能力 并且通过RT属性控制VPN间业务互访 通道隔离 部门业务的可控互访 Site A Site B 多角色主机多用途服务器Extranet组网 虚拟园区网扩容和升级 核心交换层 网管中心 汇聚层 接入层 数据中心 MCE CE MCE CE PE PE EAD认证 MPLSVPN通道 企业 园区网 PE PE PE MCE CE P P P P PE OSPF ospf 静态路由 RIP 容易实现业务和网络的扩容升级 PE 统一应用 集中化数据中心 Firewall IPS 汇聚交换机 IPSAN 负载均衡器 业务服务器 接入交换机 A部门 B部门 C部门 D部门 X部门 Firewall IPS 汇聚交换机 IPSAN 负载均衡器 业务服务器 接入交换机 A B C D X AB BC all 核心交换机 核心交换机 独享资源服务器区 互访和共享资源服务器区 独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性共享资源服务器区部署需要在不同部门间共享的数据资源外部服务器区提供公众业务 对外网站等服务共享灾备中心为政务数据资源提供统一的备份容灾设施 Internet 对外网站 对公业务服务区 共享灾备中心 园区数据中心 MPLSVPN WAN 数据中心虚拟化为全网用户提供服务 数据中心内部可物理隔离也可逻辑隔离 统一应用 高可用 高安全的出口服务 园区网 管理中心 城域网 远程办公 出差用户 核心交换机 FW IPS Router ISP1 ISP2 Internet 公众用户 分部 分部 终结标签交换 L2TPoverIPSec GREoverIPSec SSLVPN ISP1供VPN接入使用 ISP2供访问Internet使用 门户网站访问 网上业务办理 FW NAT VPN FW NAT optionA B C三类MPLSVPN跨域互通 统一应用 虚拟防火墙 针对不同业务 独立 灵活的安全策略部署多个逻辑防火墙 多安全域 独立的管理员 实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络结构的情况下 实现交换机高速转发和安全业务处理的有机融合保护投资 节约成本 易扩展 SecBladeFW 统一应用 DHCP统一服务 集中DHCP服务器 接入设备 DHCPRelay多实例 不同VPN用户动态获得IP地址 多VPN用户共用同一台DHCP服务器 员工 合作方 访客 统一应用 整网安全综合防护 三级安全防护 整网安全综合防护 安全事件 一网打尽 EAD IPS FW FW SecBlade NAM ASM 数据中心 EAD EAD 中心内部用户 远程办公 出差用户 IPS NSM router switch 统一应用 iMC智能管理中枢 端点准入解决方案 EAD 行为审计解决方案 UBAS 安全联动解决方案 SCC 流量清洗解决方案 NTC 流量分析解决方案 NTA 性能优化解决方案 QoS 安全控制中心 性能优化中心 运营管理中心 ITOIP开放智能管理中枢 基础管理支撑 基础网络管理解决方案 NMS 用户 资源 业务的融合管理 首页 网络 用户 业务信息综合概览 网络 网络资源 故障 性能信息综合管理 用户 用户接入 用户安全统一管理 业务 流程化的业务流管理 MPLSVPN业务专业化管理 基于向导式VPN业务发现 业务部署 基于业务功能 用户身份鉴权 基于策略的VPN部署调整 为VPN业务运营提供闭环保证 方案讨论 灵活业务访问模式 园区网络 1 用户A可访问Internet 不能访问办公网络 2 用户A可访问办公网络 不能访问Internet 3 用户B可访问办公网络 A和B访问权限不同 用户A 用户B 用户C 用户D 办公网络 Internet 用户A B C D分属不同的部门 访问权限不同 用户多次获取不同的访问权限 满足Internet 办公上网及隔离的要求 不同访问权限的用户安全隔离 以免资源被非法访问 CAMS 实现方式一 GuestVlan EAD 园区网络 1 用户默认属于GuestVlan 无须认证 2 Internet与GuestVlan能够互通 办公网络 GVLAN10 GVLAN20 GVLAN30 GVLAN40 Internet 用户A 用户B 用户C 用户D 实现方式一 GuestVlan EAD 园区网络 2 动态VLAN与办公网络互通 办公网络 Internet 1 用户启动EAD认证 动态下发VLAN和ACL 用户A 用户B 用户C 用户D DVLAN110 DVLAN120 DVLAN130 DVLAN140 实现方式二 EAD多服务认证 园区网络 1 用户分配多个域后缀 Internet shuiwu等 对应多个服务 办公网络 DVLAN10 DVLAN20 DVLAN30 DVLAN140 Internet 用户A 用户B 用户C 用户D 2 用户使用 Internet认证 下发Inte