虚拟园区解决方案

1、H3C虚拟园区网处理方案交流杭州华三通信技术有限企业C-Marketing 张建伟第1页提要园区虚拟化需求分析H3C虚拟园区网处理方案处理方案推广和引导策略处理方案市场价值第2页网络应用面临挑战伴随对园区网络需求日益复杂，可扩展处理方案也越来越需要将多个网络用户组进行逻辑分区。传统园区网络设计提议一直缺乏一个对网络流量分区，方便为封闭用户组提供安全独立环境方式。传统布署方案第3页网络应用面临挑战分层、模块化布署 虚拟化第4页虚拟化介绍虚拟资源2物理资源虚拟资源1虚拟资源3Virtual Private Networks设备虚拟化服务虚拟化通道虚拟化第5页园区虚拟化推进力法规遵从：部分企业受法律

2、或要求要求，必须对其内部应用或业务进行分区。比如，在金融企业中，银行业务必须与证券交易业务分开。企业中存在不一样级别访问权限：几乎每个企业都需要处理方案来为客户、厂商、合作搭档以及园区局域网上员工授予不一样访问级别。简化网络、提升资源利用率：非常大型网络，如机场、大学等大型园区，为了确保各群组/部门业务安全性，需要建设和管理多套物理网络，既昂贵又难于管理。网络整合：在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部网络和业务快速接入自己网络。第6页行业虚拟化需求行业虚 拟 化 需 求政府政务/行政中心，多个部门在一栋或几栋大楼里、共用一套物理网络，但需要不一样部门业务安全隔离；给有互

3、访需求部门提供通道；提供与同一系统内上下一级办公专网互连制造业一个大企业园区，需要生产平台、管理运行、销售、安保监控业务隔离金融银行办公网、金融服务大厅、自助服务平台、安保监控业务隔离医疗各科室门诊业务、住院管理、药品管理、财务管理、病房上网业务等教育分离学生上网、院系办公、教学管理、外部科研院所业务，但同一部门分布在不一样大楼里办公室要能够资源共享，同时对Internet出口、邮件、公告等共享服务进行集中控制管理大型综合园区内部各企业、机构分布在不一样大楼里，共用相同网络关键设备和Internet出口，内部各企业、机构关系复杂，现有需要共享数据、也有需要隔离开业务第7页经典虚拟化需求举例-政

4、务行政中心XX厅局yy厅局zz厅局行政中心行政中心 当前部分大中城市正在或将要建设城市行政中心，将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公，同时又为公众提供“一站式”业务办理服务。行政中心市民(服务)中心审批大厅第8页行政中心内部业务逻辑关系财政税务市府发改委法院数据中心县政府县财政广域网路由器Internet市府发改委税务财政公共服务Internet出口公众服务行政中心内各部门协同办公，各部门业务系统横向隔离、少许有互访需求，纵向与电子政务网业务互通行政中心政务网省政府省财政第9页提要园区虚拟化需求分析H3C虚拟园区网处理方案处理方案推广和引导策略处理方案市场价值第10页

5、H3C虚拟园区网处理方案逻辑图H3C园区虚拟化处理方案逻辑图第11页H3C虚拟园区网处理方案H3C园区虚拟化整体处理方案逻辑上包含下边三个部分：接入控制：接入控制能够确保网络访问安全和接入用户正确取得访问相关资源权限。园区虚拟化处理方案接入控制采取H3CEAD认证系统，经过认证用户才能取得对相关资源访问和使用；并经过中央服务器和客户端配合，监控接入用户安全状态，如操作系统补丁、防火墙是否开启、补丁状态、是否携带病毒等。通道隔离：经过MPLS VPN技术对不一样应用、业务和群组用户进行安全隔离，提升数据传输保密性和安全性，为用户业务传输提供端到端安全确保。统一应用：应用服务区经过计算虚拟化、存放

6、虚拟化、虚拟安全等技术，为整网隔离用户提供统一安全策略布署、数据中心服务、流量监控、Internet/WAN访问服务等。第12页经典组网拓扑图楼层接入关键交换层网管中心大楼汇聚楼层接入数据中心WAN分支机构外驻机构公众InternetRPR2.5G大楼汇聚FIT APFIT AP无线接入第13页接入控制-安全防护MPLS/VPN关键网数据中心认证隔离区Cams安全策略服务器:用户认证、安全策略管理中心,策略下发安全状态评定、安全事件处理、用户隔离控制xLog管理服务器:用户行为审计、用户上网日志联动跟踪Cams安全策略代理:分布式安全策略控制代理，确保安全策略服务器安全第三方防病毒服务器、补丁

7、升级服务器:提供病毒库升级和系统补丁修复服务安全联动设备:动态ACL隔离、服务策略控制iNode客户端:1x认证、Portal认证、VPN认证、病毒库版本检测、补丁检测、协同与联动、安全策略实施、安全事件上报接入交换机(二层、三层)汇聚交换机PEPEPVPN安全网关:远程用户VPN认证EAD认证第14页接入控制-权限下发MPLS VPN关键网用户名：密码下发VLAN用户名1：密码 VLAN11用户名2：密码 VLAN22用户名3：密码 VLAN33用户名4：密码 VLAN44集中控制服务器接入设备依据集中控制策略服务器下发策略，调整端口所属VLAN，从而控制用户加入VPNVPNVLAN依据认证

8、用户名/密码，下发策略，分配用户对应访问权限虚拟服务集中策略控制员工合作方访客第15页EAD+MPLS VPN灵活权限控制接入方式：二层接入、三层接入VPN接入：单个接入设备下包含一组Site用户(CE)、单个接入设备下包含多组Site用户(MCE)不改变VPN归属关系位置灵活迁移依据认证用户名、密码不一样，策略服务器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN关键网第16页通道隔离-设备虚拟化IP SwitchingMPLS SwitchingVLAN Interface/Physical portMPLS VPNPE逻辑上把设备路由表/转发表划分成几个不一样路由/转发表，分

9、别与VPN映射起来，执行不一样路由/转发规则，如配置不一样默认路由、策略路由等第17页通道隔离技术比较-VLAN适合小型网络用户逻辑隔离广播域占用带宽资源，链路利用率低二层网络不适合大规模应用，网络收敛速度慢需要配置较多二层特征，配置管理相对复杂第18页通道隔离技术比较-分布式ACL适合一些规模不大、特征组网使用需要严密策略控制，配置管理复杂无法提供端到端隔离业务/网络调整时需要更改大量配置严格限制可移动性第19页支持园区内用户群组any-to-any应用能够提供安全端到端业务隔离，接入方式灵活适合大规模网络应用，可扩展性好良好可移动性要求设备支持VRF/MPLS VPN通道隔离技术比较-VR

10、F+MPLS VPN第20页端到端业务逻辑隔离关键交换层网管中心汇聚层接入层数据中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEPEEAD认证MPLS VPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLS L3 VPN提供端到端业务隔离能力，而且经过RT属性控制VPN间业务互访第21页VPN互访和资源共享VPN/VRF间路由引入，实现跨VRF路由查找匹配路由跨VRF转发，实现VPN互访和共享共享VPN多角色主机第22页虚拟园区网扩容和升级关键交换层网管中心汇聚层

11、接入层数据中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEMCE/CEPEPEEAD认证MPLS VPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIP轻易实现业务和网络扩容升级PE第23页网络快速整合12广域可扩充性第24页园区网园区网Mpls coreVMWarePEPEppPEPEA部门资源B部门资源C部门资源AB共享资源BC共享资源ABC共享资源A部门B部门C部门A部门B部门vlan虚拟FWM_VRF独享资源服务器区共享资源服务器区数据中心关键IV5000逻辑隔离

12、延伸至数据中心第25页统一服务-共享数据中心FirewallIPS汇聚交换机IP SAN负载均衡器 业务服务器接入交换机A部门B部门C部门D部门X部门FirewallIPS汇聚交换机IP SAN负载均衡器 业务服务器接入交换机ABCDXABBCall关键交换机关键交换机独享资源服务器区互访和共享资源服务器区独享资源服务器区经过逻辑隔离伎俩确保各部门对本身数据独享性。共享资源服务器区布署需要在不一样部门间共享数据资源。外部服务器区提供公众业务、对外网站等服务共享灾备中心为政务数据资源提供统一备份容灾设施。Internet对外网站、对公业务服务区共享 灾备中心数据中心MPLS VPNWAN数据中心

13、虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离第26页统一园区出口服务campus管理中心行业城域网远程办公/出差用户关键交换机FWIPSRouterISP1ISP2Internet公众用户分支机构外驻机构外部办公室终止标签交换L2TP over IPSec/ GRE over IPSec/ SSL VPNISP1供VPN接入使用ISP2供访问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAT为访问Internet用户提供统一/基于VPN安全策略控制第27页广域网出口服务行业城域网PEPEASBRASBRAS 100AS 200支持option ABC

14、三类跨域MPLS VPN互通方式，实现园区内VPN业务与广域行业纵向VPN业务互通第28页远程分支、办公室经过Internet接入PEMPLS Core VPN2（30：30）PECEGREoverIPSec隧道隧道绑定到VPN中GRE over IPSec在远程分支安全网关与园区网安全网关之间配置GREoverIPSec隧道： 远程分支接入到园区网内部VPN是经过将园区网网关GRE隧道Tunnel口绑定到目标VPN来实现；IPSec隧道用户对私网报文加密，确保私网通信保密性PEMPLS Core VPN2（30：30）PECEL2TPoverIPSec隧道隧道绑定到VPN中L2TP over

15、 IPSec移动用户使用L2TP over IPSec方式接入到园区网安全网关上， 经过将园区网网关L2TP隧道VT口绑定到目标VPN来实现接入用户接入园区VPN；IPSec隧道用户对私网报文加密，确保私网通信保密性外部用户接入内部VPN，并取得正确访问权限第29页虚拟安全技术细化安全控制粒度部门1部门2部门3部门4PESecPath/ SecBlade虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四针对不一样业务，独立、灵活安全策略布署多安全域、独立管理员，实现分级管理处理IP地址冲突SecBlade FW模块能在不改变网络结构情况下，实现交换机高速转发和安全业务处理有机融合保护投资、

16、节约成本、易扩展SecBlade FW第30页统一DHCP服务MPLS VPN关键网集中DHCP服务器接入设备DHCP Relay多实例，不一样VPN用户动态取得IP地址多VPN用户共用同一台DHCP服务器员工合作方访客第31页多业务端到端Qos支持能力corePEaccessPPE接入业务识别，修改IP报文DSCP/COSMPLS封装，DSCP/COS到Exp字段映射，或优先级管制依据Exp决定转发优先级MPLS去封装，信任IP报文转发优先级或Exp-DSCP映射信任IP报文转发优先级整体Qos策略提供对关键业务平时和峰值时服务质量确保第32页整网设备/业务统一配置管理iMC MVM简化VP

17、N业务管理第33页提要园区虚拟化需求分析H3C虚拟园区网处理方案处理方案推广和引导策略处理方案市场价值第34页经典组网及设备关键交换层网管中心汇聚层接入层数据中心广域网分支机构FIT APFIT APInternetRPR2.5GH3C S9500/ S75EH3C S7500E/S9500H3C S3610/3600/5500EI /5510MCE/CEMCE/CEPEPEEAD认证分支机构L2TP over IPSec /GRE over IPSec出差用户公众用户MPLS VPN通道企业/园区网N*E1PEPEPEPEMCE/CEPPPPSecPath 1000FSR8800/6600H

18、3C S7500E/S9500H3C S3610/55EI第35页方案推广及引导策略有明确业务隔离需求、少许业务互访项目，要明确用户业务模型和流量走向在大中型园区网项目中引导本公司虚拟化方案，小型网络或设备层次较低情况引导传统VLAN/ACL方案本公司方案可屏蔽除Cisco外其它厂商，引导时突出方案整体性，端到端业务隔离、访问权限集中控制、共享数据中心和统一服务应用以及网络、安全、存放等产品对虚拟化应用支持第36页提要园区虚拟化需求分析H3C虚拟园区网处理方案处理方案推广和引导策略处理方案市场价值第37页虚拟园区网处理方案市场价值节约网络投资、降低重复建设：经过资源虚拟化业务逻辑隔离，防止了业务、数据物理隔离需要网络重复建设、应用服务器、安全设备重复采购缺点，提升了整体资源利用