虚拟园区网解决方案最佳实践

1、虚拟园区网解决方案最佳实践,日期：2007年9月,杭州华三通信技术有限公司,虚拟园区网需求分析 虚拟化技术简介 虚拟园区网典型应用场景 虚拟园区网解决方案典型业务部署,目录,虚拟园区需求分析,随着网络规模的不断增大，其应用和复杂度也在不断增加。对一个大型园区来说，通常包括很多不同的公司/部门/群组在同时使用网络，网络上承载着各种不同的复杂应用。如，一个大型科技园区，集中了几十、上百家公司，他们共用网络、Internet出口和一些资源服务器，但他们各自的办公和生产业务却需要与其他公司业务隔离开来，限制外部人员的访问权限；另如，政府、金融等部门，对日常生产、办公业务与涉密业务进行安全的隔离也有着严

2、格的要求。 对于有业务和应用隔离需求的用户来说，传统的物理网络隔离方案已无法满足需求：网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等，都大大增加了用户在网络投资、建设和运维、管理方面的负担。,虚拟化技术BGP/MPLS VPN,MPLS L3VPN以可实现业务隔离、组网方式灵活、扩展性好、支持Qos等优点，可应用于实现园区虚拟化解决方案。BGP/MPLS VPN的主要原理是：利用BGP在骨干网上传播VPN的私网路由信息，用MPLS来转发VPN业务流。,虚拟园区网需求分析 虚拟化技术简介 虚拟园区网典型应用场景 虚拟园区网解决方案典型业务部署,目录,虚拟园区网简介,实现公司/部

3、门/群组间数据业务的隔离和互访是虚拟园区网解决方案的首要目标，但与此同时客户对下列业务也存在相同的需求： 接入用户的认证和安全控制 数据中心的访问控制，譬如公司级的数据资源可供全公司访问，部门级的数据资源仅供本部门访问。 远程分支/办事处、移动用户接入访问控制，譬如通过Internet接入到园区网内部某VPN中，访问该VPN的所有资源。 MPLS VPN的管理，使用管理软件对园区网中的VPN资源进行统一集中管理。,虚拟园区网简介H3C解决方案,H3C完整的虚拟园区网解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度,虚拟

4、园区网简介H3C解决方案,H3C虚拟园区网最佳实践解决方案通过在园区骨干网部署BGP/MPLS VPN实现园区网的虚拟化，在共用一张物理网络的基础上，园区内不同部门、业务实现隔离；并在此基础上进行各种业务的扩展，形成一整套的解决方案，具体业务部署如下： 在接入层起EAD认证，对接入用户进行认证和安全控制； 在园区出口处启用多实例NAT，为园区网提供统一的Internet出口； 通过BGP/MPLS VPN的RT路由学习特性实现数据中心资源的访问控制，数据中心资源包括资源：所有VPN共享资源，某VPN独享资源，对外数据服务区资源； 使用GREoverIPSec或者L2TPoverIPSec隧道，

5、让远程分支或者移动用户接入到园区内部VPN中； H3C网管软件MVM提供对MPLS VPN网络的业务发现、拓扑显示、状态监控、连通性审计、性能管理和业务部署等管理功能。,虚拟园区网需求分析 虚拟化技术简介 虚拟园区网典型应用场景 虚拟园区网解决方案典型业务部署,目录,虚拟园区网典型应用场景,H3C虚拟园区网最佳实践解决方案针对不同用户群的需求和组网规模，分别提出了不同的典型应用组网模型： 对于园区规模较大、接入点数量多，对终端接入、业务横向隔离要求较高、网络承载业务多且复杂、需要较强管理能力的大型网络，我们推荐使用典型三层结构组网。本组网网络分三层结构，核心设备做标签转发，汇聚层作为PE设备、

6、控制VPN路由发布，接入层提供大容量的接入和方便的扩容能力。接入层设备为CE、MCE或者二层设备，CE双归属或者二层设备的双链路Trunk上行可提高网络的可靠性； 对于中小等规模、对业务有严格横向隔离要求、网络承载业务较少、接入用户信任度较高的应用场景，我们推荐使用二层扁平结构组网 。本组网网络分两层结构，核心设备做标签转发；接入用户不需安全认证，仅根据接入端口划分访问资源的权限，接入设备完成VPN映射和上行标签转发。,大型园区的部署方案,PE,PE,CE,接入层,汇聚层,核心层,MCE,MPLS Core,P,FE,CE,AS200,AS100,二层TRUNK 上行,PE,S3600,S36

7、10,S3600EI,S5510,L2TP over IPSec,防火墙,S7500E,S7500E,MSR50,S9500,S9500,MSR50,SecPath1000,SecPath1000,S7500E,SecPath100,移动用户,PE,用户,用户,用户,PE,数据中心,EAD认证系统 (cams/补丁服务器/病毒服务器),应用服务器,MPLS VPN Manager,ASBR,S7500E,ASBR,GRE over IPSec,用户,MSR50,跨域,远程接入,P,PE,PE,大型园区的部署方案,BGP/MPLS VPN实现了业务的隔离与互访； 通过EAD认证保障终端接入的安全

8、和进行灵活的用户访问权限下发； 集中部署的数据中心通过虚拟化技术为整网的不同用户提供服务，根据应用业务的需要合理分配资源，并可方便地实现资源的独享和共享； 支持三种跨域方式，满足客户的跨域需求； 统一的Internet接口为横向隔离的用户提供上网服务，通过虚拟安全和多实例技术为不同群组用户和业务下发不同的安全策略，并可在出口实现集中的监控、计费； 远程分支、移动用户通过GREoverIPSec、L2TPoverIPSec隧道接入园区网VPN中； 统一的网管中心通过管理VPN和专业的管理软件实现对整网资源简便、专业的管理。,中小型园区的部署方案,PE,PE,接入层,核心层,MPLS Core,P

9、,P,AS100,PE,S7500E,S7500E,S9500,S9500,MSR50,SecPath1000,S7500E,用户,用户,用户,PE,数据中心,EAD认证系统 (cams/补丁服务器/病毒服务器),应用服务器,用户,统一的Internet 出口,中小型园区的部署方案,BGP/MPLS VPN实现了业务的隔离与互访； 接入用户不需安全认证，根据接入端口划分访问资源的权限，接入设备完成VPN映射和上行标签转发； 应用服务器和管理服务器集中部署在服务器区，通过应用虚拟化技术为不同群组用户提供服务，通过管理VPN实现对整网资源的统一配置、管理； 园区提供统一的Internet出口，进行

10、集中的监控、计费管理等功能，通过虚拟安全技术为不同用户配置差异化的安全策略； 统一的网管中心通过管理VPN和专业的管理软件实现对整网资源简便、专业的管理。,虚拟园区网需求分析 虚拟化技术简介 虚拟园区网典型应用场景 虚拟园区网解决方案典型业务部署,目录,虚拟园区网典型业务部署,下边，我们将虚拟园区网解决方案中的各种典型业务分离开来进行描述，客户可以根据实际需求，进行典型业务的部署 园区网核心BGP/MPLS VPN业务部署 园区Internet统一出口业务部署 数据中心服务器区业务部署 端点准入EAD部署 远程分支使用GREoverIPSec隧道接入园区VPN部署 移动用户使用L2TPover

11、IPSec隧道接入园区VPN部署 网管iMC MVM业务部署,虚拟园区网典型业务部署 BGP/MPLS VPN 部署,IP地址的规划问题：MPLS VPN技术可以解决不同VPN间的地址重叠问题，但是在园区实际组网中，出现地址重叠的情况比较少，因此在规划IP地址时，可以不去考虑地址重叠的问题。 IGP协议的选择：在MPLS VPN体系结构中，IGP的主要作用是保证BGP对等体的可达性以及MPLS隧道的建立。一般推荐采用收敛速度快、路由振荡少、基于SPF算法的路由协议，如OSPF、IS-IS等；部分环境下也可以使用静态方式。IGP的另一个功能就是驱动公网标签分配，以建立MPLS隧道。 MPLS部署

12、：在园区骨干网中启用MPLS，建立MPLS隧道。MPLS的配置中有一条命令：lsp trigger-all，这条命令的目的是为所有的IGP路由分配标签。由于MPLS隧道的起点和终点都是LSR的LSRID（一般都是Loopback接口），因此无需为每一条IGP路由都分配标签，默认配置下只为32位主机地址分配标签，这样就可以满足MPLS VPN的部署需要了。所以建议不使用该命令，以免造成对标签空间不必要的浪费。,虚拟园区网典型业务部署 BGP/MPLS VPN 部署,RT的作用：RT在MPLS VPN中用来控制VPN的隔离和部分互通。对不同的VPN，要求定义不同的RT值，如果有互通需求，通过RT的

13、属性来控制，分为export和import属性。Export属性代表发送VPN路由时附带的属性，当另一PE设备收到此路由时，通过import属性来决定学习与否；如果两台PE的VPN互相学习对方的路由，彼此间就可以达到互通，如果不学习就可以达到隔离的效果。 PECE间路由的规则：PE与CE间的路由协议是用来传递VPN路由的，并且PE会将这些VPN路由通过BGP发送给其他PE。在实际需要中，可以使用直连，静态，OSPF，RIP，IS-IS或是EBGP。这里要求PE设备对路由协议的支持要丰富，多实例是最基本的要求；如果接入是MCE，有着同样的要求。在推荐组网中的双归属特性来看，采用OSPP或是EBG

14、P比较合适。从减轻网络复杂程度来看，使用OSPF比较通用。,虚拟园区网典型业务部署 园区Internet统一出口,在MPLS VPN园区组网中，Internet出口部署有多种方法，其中比较常用的 是PE分布式上Internet和PE集中式上Internet，两种方法有着不同的特点和适 用范围。园区网中多使用PE集中式上Internet，本组网中连接Internet出口的 MCE设备支持多实例NAT，使用PE集中式更加方便： PE分布式上Internet： 每个VRF中选择一台PE连接Internet，连接该PE的CE上做NAT转换； 由该CE发布一条缺省路由给本VRF内的所有CE； 本方式是运

15、营商常用的，因为运营商的每台PE都直接与Internet直连，企业网不会使用；,虚拟园区网典型业务部署 园区Internet统一出口,PE集中式上Internet： 园区网统一Internet出口； 选择一台健壮的MCE连接Internet，并在该MCE上做多实例地址转换； MCE及连接该MCE的PE上建立多个VRF，与园区内部需要上Internet的VRF一一对应，并相互引入路由； 在该MCE的每个VRF中发布一条默认路由给本VRF内的所有CE； 该方式节省资源，支持VPN地址重叠；,PE,多实例NAT,MPLS Core,MCE,PE,CE,用户,CE,用户,虚拟园区网典型业务部署 中心服

16、务器区部署,集中的数据中心访问方式已经成为一种趋势，如何实现数据中心的虚拟化是 园区虚拟化解决方案重点关注业务。在实际运用中，数据中心一般会有三种服 务器，一种是共用服务器，本园区网中的用户都可以进行访问；一种是独享服 务器，仅某一个VPN的用户可以进行访问；还有一种是对外服务器，即为 Internet用户提供服务。下面分别讲述三种服务器的访问控制。,共享服务器： 在连接该服务器的PE上建立共享服务器区的专署VPN； 该VPN与园区网内部所有业务VPN交互私网路由，园区网内所有用户都存在到达公共服务器的路由，可以访问该服务器； 由于所有的私网路由都要汇聚到公共服务器区所连的PE上，因此不能存在

17、VPN的地址重叠；,PE,MPLS Core,CE,VPN10 （10：11）,VPN2 （11：10）,CE,VPN1 （11：10）,PE,PE,公共服务器,虚拟园区网典型业务部署 中心服务器区部署,独享服务器： 独享服务器归属与独享用户的纵向VPN中； 用户纵向VPN不向其它用户VPN发布路由，无法实现互访。 对外服务器： 在连接该服务器的PE上建立对外服务器区的专署VPN； 该VPN与园区出口负责对外服务的VPN交互路由； 在Internet出口设备的公网接口上启用多实例nat server。,PE,MPLS Core,VPN20 （20：1）,CE,VPN1 （1：20）,PE,独享

18、服务器,PE,MPLS Core,VPN30 （30：30）,VPN2 （30：30）,PE,对外服务器,NAT server,虚拟园区网典型业务部署 端点准入EAD部署,在CE上配置radius认证对接入用户进行身份认证，EAD服务器可放置在管理VPN中，或者公共服务器区，具体Radius认证配置请参考H3C EAD解决方案相关文档，这里仅对同一个二层接入端口、客户端使用不同用户名分别接入到不同VPN的方法进行配置举例说明。对于大型的会议室接入接口或者共用的接入接口，不同的用户使用该接口登录到园区网时，希望能绑定到不同的VPN中，譬如园区网中的A公司使用该会议室时，希望会议使用PC能访问到自

19、己公司的VPN中；而园区网中的B公司使用该会议室时，希望能够访问B公司的VPN中去。 现有的技术是在接入设备连接用户的以太网接口上手动配置VLAN号，然后将该VLAN三层接口绑定到VPN中，从而将该端口接入的用户绑定到该VPN中，这样的结果是一个固定的以太网端口上只能接入到一个固定的VPN中。要想使不同的用户接入到不同的VPN中，需要在设备上修改该接口VLAN号，使用不便。,虚拟园区网典型业务部署 端点准入EAD部署,H3C解决方案：采用认证服务器向接入设备下发策略的方式，将请求接入的客户端归属到不同的VPN中。对于从同一个交换机的接口接入的用户，认证服务器可以根据客户端上传的信息的不同，譬如

20、登录用户名，将其划入到不同的VLAN中，从而归属到不同的VPN中。具体实现步骤如下：,在接入设备上配置VLAN，与PE设备上的VLAN及归属VPN的对应关系相对应； 在认证服务器上配置用户名与下发接口VLAN的对应关系； 认证服务器接收到客户端的接入请求时，根据预先配置的对应关系下发VLAN号； 接入设备根据认证服务器下发的消息，配置该客户端接入接口所属VLAN，从而使用户归属到相应VPN中。,接入层,汇聚层,S3600,S75E,用户,客户端,VLAN 1010,VLAN 1011,CAMS,下发 VLAN,VPN 1010,VPN 1011,虚拟园区网典型业务部署 远程分支接入园区VPN,

21、在远程分支的安全网关与园区网的安全网关之间配置GREoverIPSec隧道： 远程分支接入到园区网内部VPN是通过将园区网网关GRE隧道的Tunnel口绑定 到目标VPN来实现的；IPSec隧道用户对私网报文加密，确保私网通信的保密 性。具体部署如下： 企业分支配置 在远程分支安全网关上建立Loopback口； 远程分支的GRE隧道的源/目的IP分别为分支/总部网关的Loopback口地址； 在远程分支GRE tunnel口上启用OSPF，与园区交互私网路由； 分支IPSEC的感兴趣流源/目的IP分别为分支/总部网关的Loopback口地址； 分支启用DPD功能，便于隧道的快速切换； 在网关公

22、网接口上启用IPSec策略；,虚拟园区网典型业务部署 远程分支接入园区VPN,园区网网关配置： 园区网安全网关上建立Loopback口 总部的GRE隧道的源/目的IP分别为总部/分支的Loopback口地址； 将GRE Tunnel隧道绑定到该分支需要接入的VPN中； 在Tunnel口上启用多实例OSPF，与远程分支交互私网路由； 由于远程移动接入用户公网IP的不确定性，IPSec 使用动态模板方式：先建立IPSec动态模板，然后用动态模板建立IPSec 策略；在公网接口上启用IPSec策略；,PE,MPLS Core,VPN2 （30：30）,PE,CE,GREoverIPSec隧道,隧道绑

23、定到VPN中,虚拟园区网典型业务部署 移动用户接入园区VPN,移动用户使用L2TPoverIPSec方式接入到园 区网安全网关上， 通过将园区网网关L2TP隧道 的VT口绑定到目标VPN来实现接入用户接入园 区VPN；PSec隧道用户对私网报文加密，确保 私网通信的保密性。具体部署如下： 移动用户配置 移动用户使用H3C的iNode VPN客户端建立连接，启用IPSec安全协议； L2TP LNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址； 启用DPD功能，便于隧道的快速切换；,PE,MPLS Core,VPN2 （30：30）,PE,CE,L2TPoverIPSec

24、隧道,隧道绑定到VPN中,虚拟园区网典型业务部署 移动用户接入园区VPN,园区网网关配置： 园区出口网关作为L2TP LNS端的基本配置，包括用户名、地址池、虚接口、L2TP相关配置； 将L2TP的VT口绑定到不同的VPN中，不同的用户登录时，会由于使用不同的VT口而接入到不同的VPN中； 由于远程移动接入用户公网IP的不确定性，园区网关IPSec 使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec 策略； 在VPN网关公网接口上启用IPSec策略；,虚拟园区网典型业务部署 网管iMC MVM部署,MVM是H3C公司推出的MPLS VPN网络管理系统软件，定位于为各种规模的企业MPLS VPN网络提供管理方案，可以配合的设备包括Cisco、H3C和华为的VPN网络设备。MVM在iMC基础网络管理的基础上，提供对MPLS VPN网络的业务发现、拓扑显示、状态监控、连通性审计、性能管理和业务部署等管理功能。 iMC MVM管理MPLS VPN有3种方式，第一种是将MVM服务器放在公网里面，可以管理P、PE设备；第二种是将MVM服务器放在管理VPN中，可以管理PE、CE设备；第三种是MVM服务器使用多网卡接入，即接入到公网中，也接入到管理VPN中，这样可以管理P、PE、CE。 iMC MVM首先要将需要管理的设备引