虚拟园区网解决方案交流.ppt

1、H3C虚拟园区网解决方案交流,杭州华三通信技术有限公司,提纲,园区虚拟化需求分析 H3C虚拟园区网解决方案 虚拟园区网解决方案总结,网络应用面临的挑战,园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。传统园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式。,传统部署方案,虚拟化简介,虚拟资源2,物理资源,虚拟资源1,虚拟资源3,Virtual Private Networks,设备的虚拟化,服务的虚拟化,通道的虚拟化,园区虚拟化的推动力,法规遵从：部分企业受法律或规定的要求，必须对其内部应用或业务进行分区。例如，在金融公司中，银

2、行业务必须与证券交易业务分开。,企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。,简化网络、提高资源利用率：非常大型的网络，如机场、大学等大型园区，为了保证各群组/部门业务的安全性，若建设和管理多套物理网络，既昂贵又难于管理。,网络整合：在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部的网络和业务迅速接入自己的网络。,典型虚拟化需求举例-政务行政中心,XX厅局,yy厅局,zz厅局,行政中心,行政中心 当前部分大中城市正在或将要建设的城市行政中心，将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公，

3、同时又为公众提供“一站式”业务办理服务。,行政中心,市民(服务)中心,审批大厅,虚拟园区业务隔离逻辑关系,部门 A,部门 A,部门 B,Internet,广域网,园区网络,分支Y,分支X,数据中心,公众用户,为公众用户提供服务的对外业务,内部用户对外部数据区的业务,内部用户访问Internet,部门内部业务,部门间共享业务,广域网接入业务,Campus,内部私有数据,内部共享数据,外部数据,提纲,虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践,H3C虚拟园区网解决方案,H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的

4、虚拟化，提高资源的利用效率、降低管理的复杂度,典型组网拓扑图,楼层接入,核心交换层,网管中心,大楼汇聚,楼层接入,数据中心,WAN,分支机构,外驻机构,公众,Internet,RPR 2.5G,大楼汇聚,无线接入,园区虚拟化技术讨论,二层VLAN：二层隔离技术，在三层终结。不易扩展，STP维护复杂、难以管理和定位，适合小型网络 分布式ACL：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合 VRF/MPLS VPN：三层隔离技术，业务隔离性好，每个VPN独立转发表， 扩展性好。 支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用 推荐组合

5、：VLAN+VRF，VRF+MPLS VPN。二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展,H3C虚拟园区网解决方案整体思路,用户端点准入控制 对用户的安全认证和权限管理，使用H3C EAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证 可以与无线终端与AP联动，对无线接入用户进行认证 根据用户认证的结果动态下发VPN归属，控制访问权限 业务逻辑隔离 共用物理网络，逻辑隔离使用VRF+MPLS VPN技术 用户通过CEMCE设备接入，实现端到端的VPN隔离 核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发

6、通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离 支持端到端的QoS,H3C虚拟园区网解决方案整体思路,集中服务管理 为园区内用户提供统一的InternetWAN出口，进行集中监控、管理 网络管理使用H3C iMC智能管理中心，内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理 各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务 数据中心逻辑上分成三个区域： 内部专有数据区：仅为单部门或业务提供服务 内部共享数据区：为网络内部全部或部分用户提供共享服务 外部服务区：为通过Internet接入的用户提供应用

7、服务，如网上银行、门户网站等,接入控制端点准入和身份识别,EAD：Endpoint Admission Defense，端点准入防御 对不同的接入终端实施不同的安全和访问策略,接入控制访问权限动态下发,PE,vpn1,VPN2,vpn3,VPN4,CAMS：,PE：,vlan11,vlan22,vlan33,vlan44,用户名1：密码 VLAN11,用户名2：密码 VLAN22,用户名3：密码 VLAN33,用户名4：密码 VLAN44,移动用户接入：灵活办公,不改变VPN归属关系的位置灵活迁移,根据认证用户名、密码的不同，策略服务器下发策略调整用户VPN归属关系,AP,无线移动用户灵活接入

8、VPN,园区核心网,通道隔离端到端的业务逻辑隔离,核心交换层,网管中心,汇聚层,接入层,数据中心,MCE/CE,PE,EAD认证,MPLS VPN通道,企业/园区网,PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/静态路由/RIP,MPLS L3 VPN提供端到端的业务隔离能力，并且通过RT属性控制VPN间业务互访,通道隔离部门业务的可控互访,Site-A,Site-B,多角色主机 多用途服务器 Extranet组网,虚拟园区网扩容和升级,核心交换层,网管中心,汇聚层,接入层,数据中心,MCE/CE,MCE/CE,PE,PE,EAD认证,MPLS VPN通道,企业/园

9、区网,PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/静态路由/RIP,容易实现业务和网络的扩容升级,PE,统一应用集中化数据中心,Firewall,IPS,汇聚交换机,IP SAN,负载均衡器,业务服务器,接入交换机,A部门,B部门,C部门,D部门,X部门,Firewall,IPS,汇聚交换机,IP SAN,负载均衡器,业务服务器,接入交换机,A,B,C,D,X,AB,BC,all,核心交换机,核心交换机,独享资源服务器区,互访和共享资源服务器区,独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性 共享资源服务器区部署需要在不同部门间共享的数据资源 外部服

10、务器区提供公众业务、对外网站等服务 共享灾备中心为政务数据资源提供统一的备份容灾设施,Internet,对外网站、对公业务服务区,共享灾备中心,园区数据中心,MPLS VPN,WAN,数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离,统一应用高可用、高安全的出口服务,园区网,管理中心,城域网,远程办公/出差用户,核心交换机,FW,IPS,Router,ISP1,ISP2,Internet,公众用户,分部,分部,终结标签交换,L2TP over IPSec/ GRE over IPSec/ SSL VPN,ISP1供VPN接入使用,ISP2供访问Internet使用,门户网站

11、访问、网上业务办理,FW/NAT/VPN,FW/NAT,option ABC三类MPLS VPN跨域互通,统一应用虚拟防火墙,针对不同业务，独立、灵活的安全策略部署 多个逻辑防火墙，多安全域，独立的管理员，实现分级管理 解决IP地址冲突 SecBlade FW模块能在不改变网络结构的情况下，实现交换机高速转发和安全业务处理的有机融合 保护投资、节约成本、易扩展,SecBlade FW,统一应用 DHCP统一服务,集中DHCP服务器,接入设备,DHCP Relay多实例，不同VPN用户动态获得IP地址,多VPN用户共用同一台DHCP服务器,员工,合作方,访客,统一应用整网安全综合防护,三级安全防

12、护,“整网安全综合防护，安全事件，一网打尽”,EAD,IPS,FW,FW,SecBlade,NAM,ASM,数据中心,EAD,EAD,中心内部用户,远程办公/出差用户,IPS,NSM,router,switch,统一应用 iMC智能管理中枢,端点准入解决方案(EAD) 行为审计解决方案(UBAS) 安全联动解决方案(SCC) 流量清洗解决方案(NTC),流量分析解决方案(NTA) 性能优化解决方案(QoS),安全控制中心,性能优化中心,运营管理中心,ITOIP开放智能管理中枢,基础管理支撑,基础网络管理解决方案(NMS),用户、资源、业务的融合管理,首页,网络、用户、业务信息综合概览,网络,网

13、络资源、故障、性能信息综合管理,用户,用户接入、用户安全统一管理,业务,流程化的业务流管理,MPLS VPN业务专业化管理,基于向导式VPN业务发现、业务部署,基于业务功能、用户身份鉴权,基于策略的VPN部署调整，为VPN业务运营提供闭环保证,方案讨论灵活业务访问模式,园区网络,1.用户A可访问Internet，不能访问办公网络,2.用户A可访问办公网络，不能访问Internet,3.用户B可访问办公网络，A和B访问权限不同,用户A,用户B,用户C,用户D,办公网络,Internet,用户A、B、C、D分属不同的部门，访问权限不同,用户多次获取不同的访问权限，满足Internet、办公上网及隔

14、离的要求,不同访问权限的用户安全隔离，以免资源被非法访问,CAMS,实现方式一：Guest Vlan+EAD,园区网络,1.用户默认属于Guest Vlan，无须认证,2. Internet与Guest Vlan能够互通,办公网络,GVLAN 10,GVLAN 20,GVLAN 30,GVLAN 40,Internet,用户A,用户B,用户C,用户D,实现方式一：Guest Vlan+EAD,园区网络,2.动态VLAN与办公网络互通,办公网络,Internet,1.用户启动EAD认证，动态下发VLAN和ACL,用户A,用户B,用户C,用户D,DVLAN 110,DVLAN 120,DVLAN 130,DVLAN 140,实现方式二：EAD多服务认证,园区网络,1.用户分配多个域后缀Internet，shuiwu等，对应多个服务,办公网络,DVLAN 10,DVLAN 20,DVLAN 30,DVLAN 140,Internet,用户A,用户B,用户C,用户D,2.用户使用Internet认证，下发Interne