虚拟园区网解决方案交流胶片

1、H3C虚拟园区网解决方案交流,杭州华三通信技术有限公司,提纲,虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践 典型应用案例,业务隔离需求,随着网络规模和复杂度的不断增加，特别是对于集中服务和集中办公网络，其上承载着大量的各种应用数据，出于安全的考虑，很多用户希望希望把各种业务隔离开、控制互访,传统的做法,财务 networks,物理隔离,OA networks,campus,园区虚拟化介绍,虚拟网络2,在一张物理网络上，虚拟出多套私有网络资源，业务逻辑隔离,物理网络,虚拟网络1,虚拟网络3,Virtual Private Networks,虚拟园区网业务隔离逻辑关系,V

2、PN A,VPN A,VPN B,Internet,广域网,园区网络,分支A,分支B,数据中心,公众用户,为公众用户提供服务的对外业务,内部用户对外部数据区的业务,内部用户访问Internet,部门内部业务,部门间共享业务,广域网接入业务,Campus,内部私有数据,内部共享数据,外部数据,物理隔离与逻辑隔离对比,相对于物理隔离，逻辑隔离（网络虚拟化）优势 能够提高资源利用率 无需重复投资、重复建设 降低管理复杂度 能提供统一的安全、管理、HA策略 并且能够更好地提供面向应用的服务,虚拟园区网需求分析,业务隔离 灵活办公 共享办公 数据中心融合,如何在一套物理网络中区分不同的接入终端，赋予不同

3、的访问权限？ 同一类用户，能否在任何地方都能接入网络，获得相同的访问权限？,虚拟园区网需求点,横向业务隔离和互访控制，访问权限控制 提供统一的Internet出口，提供广域网接口 数据中心访问控制：内部资源、共享资源、外部资源 灵活办公，端到端的Qos保证 资源统一管理,提纲,虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践 典型应用案例,园区虚拟化技术对比,二层VLAN：难扩展，STP维护复杂、难以管理和定位，适合小型网络 分布式ACL：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合 VRF+MPLS VPN：业务隔离性好，每个VPN独立

4、转发表， 扩展性好， 支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用,虚拟园区网技术背景MPLS VPN技术,MPLS L3VPN以可实现业务隔离、组网方式灵活、扩展性好、支持Qos等优点，可应用于实现园区虚拟化解决方案。,虚拟园区网技术背景终端认证,EAD：Endpoint Admission Defense，端点准入防御 对不同的接入终端实施不同的安全和访问策略,H3C虚拟园区网解决方案,H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度,H3C虚拟园区网解决方案拓

5、扑,接入方式：二层透传，EAD认证，杜绝非法访问 VPN接入：端口无关，动态VPN下发，VPN内部IP地址动态获取,EAD认证与MPLS VPN环境关联,业务隔离和网络访问控制,出口统一管理,EAD控制用户接入权限,PE,vpn1,VPN2,vpn3,VPN4,接入端口,CAMS：,PE：,vlan11,vlan22,vlan33,vlan44,用户名1：密码 VLAN11,用户名2：密码 VLAN22,用户名3：密码 VLAN33,用户名4：密码 VLAN44,二层或MCE设备,EAD+MPLS VPN灵活用户接入,不改变VPN归属关系的位置灵活迁移,根据认证用户名、密码的不同，策略服务器下

6、发策略调整用户VPN归属关系,AP,无线移动用户灵活接入VPN,园区核心网,H3C虚拟园区网解决方案整体思路,用户端点准入控制 对用户的安全认证和权限管理，使用H3C EAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证 可以与无线终端与AP联动，对无线接入用户进行认证 根据用户认证的结果动态下发VPN归属，控制访问权限 业务逻辑隔离 共用物理网络，逻辑隔离使用VRF+MPLS VPN技术 用户通过CEMCE设备接入，实现端到端的VPN隔离 核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据

7、中心内部业务逻辑隔离和物理隔离 支持端到端的QoS,H3C虚拟园区网解决方案整体思路,集中服务管理 为园区内用户提供统一的InternetWAN出口，进行集中监控、管理 网络管理使用H3C iMC智能管理中心，内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理 各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务 数据中心逻辑上分成三个区域： 内部专有数据区：仅为单部门或业务提供服务 内部共享数据区：为网络内部全部或部分用户提供共享服务 外部服务区：为通过Internet接入的用户提供应用服务，如网上银行、门户网站等,南部副中心网络虚

8、拟化优势,灵活 终端接入灵活 安全 终端接入安全 网络整体安全 共享 物理网络共享 办公环境共享 统一 统一出口，集中管理 与数据中心端到端的融合,提纲,虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践 典型应用案例,虚拟园区的部署方案,H3C 3610/5510/3600EI,H3C 75E,H3C 9500/75E,H3C 9500,EAD用户认证,大型园区的部署方案,BGP/MPLS VPN实现了业务的隔离与互访 通过EAD认证保障终端接入的安全和进行灵活的用户访问权限下发，支持对有线和无线用户进行认证 集中部署的数据中心通过虚拟化技术为整网的不同用户提供服务，根据应用业务的需要合理分配资源，并可方便地实现资源的独享和共享 支持三种跨域方式，满足客户的跨域需求 统一的Internet接口为横向隔离的用户提供上网服务，通过虚拟安全和多实例技术为不同群组用户和业务下发不同的安全策略，并可在出口实现集中的监控、计费 远