虚拟园区网解决方案.ppt

虚拟园区网解决方案.ppt

《虚拟园区网解决方案.ppt》由会员分享，可在线阅读，更多相关《虚拟园区网解决方案.ppt（34页珍藏版）》请在冰豆网上搜索。

H3C虚拟园区网解决方案交流虚拟园区网解决方案交流杭州华三通信技术有限公司2提纲提纲园区虚拟化需求分析园区虚拟化需求分析H3CH3C虚拟园区网解决方案虚拟园区网解决方案虚拟园区网解决方案总结虚拟园区网解决方案总结3网络应用面临的挑战网络应用面临的挑战园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。

用户组进行逻辑分区。

传统园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭传统园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式。

用户组提供安全独立环境的方式。

传统部署方案传统部署方案4虚拟化简介虚拟化简介虚拟资源虚拟资源22物理资源物理资源虚拟资源虚拟资源11虚拟资源虚拟资源33VirtualPrivateNetworksl设备的虚拟化设备的虚拟化l服务的虚拟化服务的虚拟化l通道的虚拟化通道的虚拟化5园区虚拟化的推动力园区虚拟化的推动力法规遵从：

法规遵从：

部分企业受法律或规定的要求，必须对其内部应用或业务进行分区。

例如，在金融公司中，银行业务必须与证券交易业务分开。

企业中存在不同级别的访问权限：

企业中存在不同级别的访问权限：

几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。

简化网络、提高资源利用率：

简化网络、提高资源利用率：

非常大型的网络，如机场、大学等大型园区，为了保证各群组/部门业务的安全性，若建设和管理多套物理网络，既昂贵又难于管理。

网络整合：

网络整合：

在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部的网络和业务迅速接入自己的网络。

6典型虚拟化需求举例典型虚拟化需求举例-政务行政中心政务行政中心XXXX厅局厅局yyyy厅局厅局zzzz厅局厅局行政中心行政中心行政中心行政中心当前部分大中城市正在或将要建设的城市行政中心，将市内大部分党政相关部门统一迁入行政中心（大楼或园区）集中办公，同时又为公众提供“一站式”业务办理服务。

行政中心行政中心市民市民（服务服务）中心中心审批大厅审批大厅7虚拟园区业务隔离逻辑关系虚拟园区业务隔离逻辑关系部门部门AA部门部门AA部门部门BB广域网广域网园区网络园区网络分支分支YY分支分支XX数据中心数据中心公众用户公众用户为公众用户提供为公众用户提供服务的对外业务服务的对外业务内部用户对外部内部用户对外部数据区的业务数据区的业务内部用户访内部用户访问问InternetInternet部门内部门内部业务部业务部门间共部门间共享业务享业务广域网接广域网接入业务入业务Campus内部私有数据内部共享数据外部数据8提纲提纲虚拟园区网需求分析虚拟园区网需求分析H3CH3C虚拟园区网解决方案虚拟园区网解决方案H3CH3C虚拟园区网最佳实践虚拟园区网最佳实践9H3C虚拟园区网解决方案虚拟园区网解决方案nH3C完整的园区虚拟化解决方案包括接入控制接入控制、通道隔离通道隔离、统统一应用一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度10典型组网拓扑图典型组网拓扑图楼层接入楼层接入核心交换层核心交换层网管中心网管中心大楼汇聚大楼汇聚楼层接入楼层接入数据中心数据中心WAN分支机构分支机构外驻机构外驻机构公众公众InternetRPRRPR2.5G2.5G大楼汇聚大楼汇聚FITAPFITAP无线接入无线接入11园区虚拟化技术讨论园区虚拟化技术讨论n二层二层VLANVLAN：

二层隔离技术，在三层终结。

不易扩展，STP维护复杂、难以管理和定位，适合小型网络n分布式分布式ACLACL：

需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合nVRF/MPLSVPNVRF/MPLSVPN：

三层隔离技术，业务隔离性好，每个VPN独立转发表，扩展性好。

支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用n推荐组合：

推荐组合：

VLAN+VRF，VRF+MPLSVPN。

二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展12H3C虚拟园区网解决方案整体思路虚拟园区网解决方案整体思路n用户端点准入控制用户端点准入控制n对用户的安全认证和权限管理，使用H3CEAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证n可以与无线终端与AP联动，对无线接入用户进行认证n根据用户认证的结果动态下发VPN归属，控制访问权限n业务逻辑隔离业务逻辑隔离n共用物理网络，逻辑隔离使用VRF+MPLSVPN技术n用户通过CEMCE设备接入，实现端到端的VPN隔离n核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离n支持端到端的QoS13H3C虚拟园区网解决方案整体思路虚拟园区网解决方案整体思路n集中服务管理集中服务管理n为园区内用户提供统一的InternetWAN出口，进行集中监控、管理n网络管理使用H3CiMC智能管理中心，内嵌的MPLSVPNManager支持对MPLSVPN的专业管理n各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务n数据中心逻辑上分成三个区域：

n内部专有数据区：

仅为单部门或业务提供服务n内部共享数据区：

为网络内部全部或部分用户提供共享服务n外部服务区：

为通过Internet接入的用户提供应用服务，如网上银行、门户网站等14接入控制接入控制端点准入和身份识别端点准入和身份识别不合格不合格不合格不合格进入隔离区进入隔离区进入隔离区进入隔离区强制加固强制加固强制加固强制加固隔离区隔离区隔离区隔离区安全认证安全认证安全认证安全认证合法用户合法用户合法用户合法用户非法用户非法用户非法用户非法用户拒绝入网拒绝入网拒绝入网拒绝入网身份认证身份认证身份认证身份认证接入请求接入请求接入请求接入请求你是谁？

你是谁？

园区网络园区网络园区网络园区网络动态授权动态授权动态授权动态授权合格用户合格用户合格用户合格用户不同用户不同用户不同用户不同用户享受不同享受不同享受不同享受不同的网络使的网络使的网络使的网络使用权限用权限用权限用权限你安全吗？

你安全吗？

你可以做你可以做什么？

什么？

你在做你在做什么？

什么？

行为审计行为审计行为审计行为审计认证通过认证通过的用户能的用户能够正常访够正常访问相应的问相应的网络资源网络资源EAD：

EndpointAdmissionDefense，端点准入防御，端点准入防御对不同的接入终端实施不同的安全和访问策略对不同的接入终端实施不同的安全和访问策略15接入控制接入控制访问权限动态下发访问权限动态下发PEPEvpn1VPN2vpn3VPN4用户名：

密码下发VLANCAMS：

VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：

vlan11vlan22vlan33vlan44用户名1：

密码VLAN11用户名2：

密码VLAN22用户名3：

密码VLAN33用户名4：

密码VLAN16移动用户接入：

灵活办公移动用户接入：

灵活办公不改变VPN归属关系的位置灵活迁移根据认证用户名、密码的不同，策略服务器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN园区核心网园区核心网17通道隔离通道隔离端到端的业务逻辑隔离端到端的业务逻辑隔离核心交换层网管中心网管中心汇聚层接入层数据中心数据中心FITAPFITAPMCE/CEMCE/CEPEPEEADEAD认证认证MPLSVPNMPLSVPN通道通道企业企业/园区网园区网PEPEPEPEPEPEMCE/CEMCE/CEPPPPPPPPPEPEOSPFospf/静态路由/RIPMPLSMPLSL3L3VPNVPN提提供供端端到到端端的的业业务务隔隔离离能能力力，并并且且通通过过RTRT属属性性控控制制VPNVPN间业务互访间业务互访18通道隔离通道隔离部门业务的可控互访部门业务的可控互访Site-ASite-ASite-BSite-Bn多角色主机多角色主机n多用途服务器多用途服务器nExtranetExtranet组网组网19虚拟园区网扩容和升级虚拟园区网扩容和升级核心交换层网管中心网管中心汇聚层接入层数据中心数据中心FITAPFITAPMCE/CEMCE/CEMCE/CEMCE/CEPEPEPEPEEADEAD认证认证MPLSVPNMPLSVPN通道通道企业企业/园区网园区网PEPEPEPEPEPEMCE/CEMCE/CEPPPPPPPPPEPEOSPFospf/静态路由/RIP容容易易实实现现业业务务和和网网络络的扩容升级的扩容升级PEPE20统一应用统一应用集中化集中化数据中心数据中心FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机AA部门部门BB部门部门CC部门部门DD部门部门XX部门部门FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机ABCDXABBCall核心交换机核心交换机独享资源服务器区互访和共享资源服务器区n独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性n共享资源服务器区部署需要在不同部门间共享的数据资源n外部服务器区提供公众业务、对外网站等服务n共享灾备中心为政务数据资源提供统一的备份容灾设施InternetInternet对外网站、对公业务服务区共享灾备共享灾备中心中心园区数据中心园区数据中心MPLSVPNMPLSVPNWAN数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离21统一应用统一应用高可用、高安全的出口服务高可用、高安全的出口服务园区网园区网管理中心管理中心城域网城域网远远程程办办公公/出差用户出差用户核心交换机核心交换机FWFWIPSIPSRouterRouterISP1ISP1ISP2ISP2公众用户公众用户分部分部分部分部终结标签交换L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供访问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAToptionABC三类MPLSVPN跨域互通22统一应用统一应用虚拟防火墙虚拟防火墙部部门门11部部门门22部部门门33部部门门44PEPESecPathSecPath/SecBladeSecBlade园区网虚拟防火墙技术虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四n针对不同业务，独立、灵活的安全策略部署n多个逻辑防火墙，多安全域，独立的管理员，实现分级管理n解决IP地址冲突nSecBladeFW模块能在不改变网络结构的情况下，实现交换机高速转发和安全业务处理的有机融合n保护投资、节约成本、易扩展SecBladeSecBladeFWFW23统一应用统一应用DHCP统一服务统一服务MPLSVPNMPLSVPN核心网核心网集中集中DHCP服务器服务器接入设备接入设备DHCPRelay多实例，不同VPN用户动态获得IP地址多多多多VPNVPN用户共用同一台用户共用同一台用户共用同一台用户共用同一台DHCPDHCP服务器服务器服务器服务器员工员工合作方合作方访客访客24统一应用统一应用整网安全综合防护整网安全综合防护三级安全防护三级安全防护三级安全防护三级安全防护“整网安全综合防护，整网安全综合防护，整网安全综合防护，整网安全综合防护，安全事件，一网打尽安全事件，一网打尽安全事件，一网打尽安全事件，一网打尽”EADEADIPSIPSFWFWFWFWSecBlaSecBladedeNAMASMASM数据中心EADEADEADEAD