内外网改造安全解决方案

内外网隔离各种方案介绍电力信息网改造思路参考案例分享目录内外网隔离各种方案介绍目录物理隔离内外网隔离方案逻辑隔离广域网、局域网均物理隔离局域网物理隔离两套有线网络新建一套无线网络MPLSVPN+EAD隔离VLAN+ACL隔离单机双网卡+硬盘隔离卡双机单网卡单机单网卡+硬盘隔离卡双机单网卡单机双网卡+硬盘隔离卡物理隔离内外网隔离方案逻辑隔离广域网、局域网均物理隔离局域网物理隔离方案介绍

----电力信息网内外网隔离方案物理隔离方案介绍电力二次系统数据网络总体策略4、纵向认证3、横向隔离电力通信/信息网或发电信息网控制区生产区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区电力二次系统数据网络总体策略4、纵向认证3、横向隔离电力通信现有电力数据网络隔离情况本次关注区域现有电力数据网络隔离情况本次关注区域电力信息网络安全隔离现状总结实现了调度与管理网络的横向物理隔离国网\区域电网\省网\地市…纵向贯通初步实现统一Internet出口(以省为单位)管理信息网络与Internet有逻辑连接绝大部分网省没有部署综合接入认证上网行为审计系统缺乏非法外联缺乏有效监控安全事件管理与应急措施不健全存在重要信息泄露的隐患无法满足等级保护的要求电力信息网络安全隔离现状总结实现了调度与管理网络的横向物理隔改造目标电力信息系统是涉及到国计民生的信息系统，一旦受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成（严重）损害。根据国家对信息安全保障工作的要求，国家电网公司（以下简称“国网”）决定在全公司系统实施网络与信息安全隔离方案——通过技术改造将现有网络划分为信息内网和信息外网并实施有效的安全隔离。根据要求，国网下属各网XX电力、地市电业局以及三产公司等国网系统内单位须在2008年4月前完成过渡方案的实施，在一年半内完成整体网络与信息安全隔离工作。根据国网公司下发文件的要求，各个网省、地区、县现有网络都不得与Internet互联网互通，必须建设与内网物理隔离的信息系统，以保障内网网络的信息安全性。新建的外网与内网采用网闸等设备进行物理隔离，与Internet采取逻辑隔离方式，确保外网信息正常发布（营销、信息、招投标等）及信息安全。国网将通过新建信息外网，完善域名解析、防病毒、补丁管理，加强终端管理等一系列措施实现网络与信息系统目标安全架构。改造目标电力信息系统是涉及到国计民生的信息系现有信息网络改造后信息内网信息内网信息外网电力信息网络改造总体策略现有信息网络改造后信息内网信息内网信息外网电力信息网络改造总改造思路

电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标准外(此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则),应更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金融、能源等已经建设的经验。由于电力系统的行业特殊性及部分业务（如电力交易、营销、三公信息等）频繁网上交互的特点，电力信息网络的安全合规改造会把现有信息网络改造成为电力信息内网，断开与互联网的连接，重新规划一套网络作为信息外网，可能会部署独立的外网终端。内网与外网之间的隔离方式目前存在争议，物理网闸的方式对现有应用会造成较大影响，尤其是影响SG186部分试点业务的推广，因此国家电网认为可采用防火墙+强安全策略的逻辑隔离方式。加强信息内网和外网的安全审计工作，通过终端安全控制，上网行为监控，内部安全事件分析管理等手段加强信息网的可管理和可维护性。改造思路电力信息网络的安全合规改造除了借鉴以前国家电网公司信息网改造目标国家电网公司信息网改造目标H3C电力内外网安全改造方案综述SecBladeFWSSLVPN网关H3CIPSSecPathIPSEAD终端控制软件EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3CFW信息内网信息外网H3CACG外网服务器区部署ACG应用控制产品实现Internter区域的上网行为监控(行为监管解决方案)内外网之间使用FW和SecBlade核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案)采用EAD实现接入综合认证(内网控制解决方案)部署FW/IPS/UTM等安全产品实现信息外网Internet边界防护（边界防护解决方案）部署SSLVPN完成信息外网的移动办公（远程安全接入解决方案）部署ASE/AFC/SecBaldeFW对SG186业务数据中心进行防护（数据中心保护解决方案）部署SecCenter安全管理中心完成整网安全事件的分析和监控（统一安全管理平台）H3C电力内外网安全改造方案综述SecBladeFWSSL改造范围网络系统改造——将重新建设一张与内网隔离的网络（以下称“信息外网”），并部署相应安全防范设备和措施，保障信息、数据的安全发布，避免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、WLAN无线方式或者两者相结合的方式来解决。业务系统改造——对于现有网络的业务系统进行分析、评估，对于确实要对Internet发布信息的业务系统和服务器平台，规划搬迁部署方案，将业务系统转移到外网核心网络，对外网用户提供相应服务，如营销、招投标系统等。接入终端改造——可采用单PC方式或者双PC方式解决。单PC方式下，采用PC机加装硬盘隔离卡的方式解决，终端改造投资低，但考虑到安装、维护复杂，管理不方便，建议采用双PC方式解决。整个系统改造主要是网络系统和业务系统建设部分，尤其是业务系统，必须充分考虑现有部分业务移植到外网上以后，如何继续正常开展业务功能和提供必要的安全保障。改造范围网络系统改造——将重新建设一张与内网隔离的网络（以下案例案例总结：H3C电力内外网安全方案SecBladeFWSSLVPN网关H3CIPSSecPathIPSSecPathASEEAD终端控制软件EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3CFW信息内网信息外网H3CACG外网服务器区边界防护解决方案行为监控解决方案远程安全接入解决方案内网控制解决方案数据中心保护解决方案统一安全管理平台总结：H3C电力内外网安全方案SecBladeFWSSL佳木斯牡丹江大庆绥化哈尔滨鸡西鹤岗齐齐哈尔黑河黑龙江省电力公司信息外网大兴安岭哈二局伊春千兆直连155MATM省局SR8805核心路由器ATM西部环网ATM东部环网155MPOS

黑龙江省电力公司信息外网省局部署H3C万兆核心路由器SR8805，11个地市电业局部署H3C多核高端路由器SR6608；同时，省局局域网核心采用H3CS9512核心交换机，并且采用S5500-EI千兆接入。地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器佳木斯牡丹江大庆绥化哈尔滨鸡西鹤岗齐齐哈尔黑河黑龙江省电力公东电新大楼外网服务器SecCenterS5100-EIIMC、EAD服务器EADEADEADEADS5100-EISecBladeFW×2SecBladeIPS×2SecBladeLBS9500SecBladeFWS9500SecBladeFW中电飞华网通S7506E东电新大楼外网服务器SecCenterS5100-EIIMC湖北电力公司总部信息外网湖北电力公司总部信息外网逻辑隔离方案介绍

逻辑隔离方案介绍园区网虚拟化关键技术二层VLAN：二层隔离技术，在三层终结。不易扩展，STP维护复杂、难以管理和定位，适合小型网络分布式ACL：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合VRF/MPLSVPN：三层隔离技术，业务隔离性好，每个VPN独立转发表，扩展性好。支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用推荐组合：VRF+MPLSVPN。二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展园区网虚拟化关键技术二层VLAN：二层隔离技术，在三层终结。架构分解用户端点准入控制对用户的安全认证和权限管理，使用H3CEAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证可以与无线终端与AP联动，对无线接入用户进行认证根据用户认证的结果动态下发VPN归属，控制访问权限业务逻辑隔离共用物理网络，逻辑隔离使用VRF+MPLSVPN技术用户通过CE\MCE设备接入，实现端到端的VPN隔离核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoS架构分解用户端点准入控制架构分解（续）集中服务管理为园区内用户提供统一的Internet\WAN出口，进行集中监控、管理网络管理使用H3CiMC智能管理中心，内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域：内部专有数据区：仅为单部门或业务提供服务内部共享数据区：为网络内部全部或部分用户提供共享服务外部服务区：为通过Internet接入的用户提供应用服务，如网上银行、门户网站等架构分解（续）集中服务管理接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN4用户名：密码下发VLANCAMS：VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用户名1：密码VLAN11用户名2：密码VLAN22用户名3：密码VLAN33用户名4：密码VLAN44接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN通道隔离—端到端的业务逻辑隔离核心交换层网管中心汇聚层接入层数据中心FITAPFITAPMCE/CEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLSL3VPN提供端到端的业务隔离能力，并且通过RT属性控制VPN间业务互访通道隔离—端到端的业务逻辑隔离核心交换层网管中心汇聚层接入层方案讨论—灵活业务访问模式园区网络1.用户A可访问Internet，不能访问办公网络2.用户A可访问办公网络，不能访问Internet3.用户B可访问办公网络，A和B访问权限不同用户A用户B用户C用户D办公网络Internet用户A、B、C、D分属不同的部门，访问权限不同用户多次获取不同的访问权限，满足Internet、办公上网及隔离的要求不同访问权限的用户安全隔离，以免资源被非法访问CAMS方案讨论—灵活业务访问模式园区网络1.用户A可访问Inter实现方式一：GuestVlan+EAD园区网络1.用户默认属于GuestVlan，无须认证2.Internet与GuestVlan能够互通办公网络GVLAN10GVLAN20GVLAN30GVLAN40Internet用户A用户B用户C用户D实现方式一：GuestVlan+EAD园区网络1.用户默认实现方式一：GuestVlan+EAD园区网络2.动态VLAN与办公网络互通办公网络Internet1.用户启动EAD认证，动态下发VLAN和ACL用户A用户B用户C用户DDVLAN110DVLAN120DVLAN130DVLAN140实现方式一：GuestVlan+EAD园区网络2.动态VL实现方式二：EAD多服务认证园区网络1.用户分配多个域后缀@Internet，@shuiwu等，对应多个服务办公网络DVLAN10DVLAN20DVLAN30DVLAN140Internet用户A用户B用户C用户D2.用户使用@Internet认证，下发Internet访问权限3.用户D使用@caizheng认证，下发财政访问权限实现方式二：EAD多服务认证园区网络1.用户分配多个域后缀@案例案例省网管电子政务中心SR8812SR8812SR8812内网汇聚1内网汇聚2内网汇聚3内网汇聚4内网汇聚5内网汇聚12内网汇聚11内网汇聚10内网汇聚9内网汇聚8内网汇聚6内网汇聚7行政中心原区外市级远程接入单位网管中心市属远程拨号接入单位行政中心原区外县区远程接入单位MPLS-VPNP/PE区域核心设备汇聚设备汇聚设备S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E昆明市行政中心网络省网管电子政务中心SR8812SR8812SR8812内网汇海南电子政务网WX5002政务网核心AP服务器区EADiMC病毒库补丁海南行政大楼政务中心接入交换机S3600/PWR外联单位接入汇聚交换机S5626FS9512互联网核心S7506E省数据中心服务器接入交换机S5500EI海南省电子政务网络海南电子政务网WX5002政务网核心AP服务器区EADiMC29淄博电子政务外网淄博电子政务外网30服务器群广州市电子MPLSVPN防火墙千兆光纤千兆电S5500EI-PWRS9508（内置防火墙）S3600S9508（内置防火墙）S3600S3600广州市政务中心网络项目，整网采用H3C公司产品，涵盖交换、无线、安全、端点准入、网管等。核心为2台S9508高端路由交换机，且内置8G吞吐量防火墙插卡，启用MPLS功能；汇聚采用支撑远程供电的S5500EI，可对接入AP进行供电，且具备MCE功能，为MPLS提供良好扩展能力；接入采用EAD端点准入，提供良好的安全接入功能，配备无线AP提供FITAP方案，为政务大厅提供灵活安全的无线接入；整网配置一套IMC智能管理中心，对所有设备、用户、业务进行统一管理。S5500EI-PWRS5500EI-PWREAD客户端

WA2110-AGWA2110-AGWA2110-AGEAD客户端

EAD客户端

IMC智能管理中心H3CWX5002无线控制器广州市政务服务中心服务器群广州市电子防火墙千兆光纤千兆电S5500EI-PWR核心层中心机房大孤山矿机房东矿机房绿化街机房眼矿机房齐大山机房iMCS9508S9508S7506ESDHS7506ES7506E弓长岭S9508S9508S9508S9508S7506ES7506E鞍钢ERP主交换机S3126SDHSDH大连矿SDH大连新矿S3126S3126复洲弯矿瓦房子锰矿S3126瓦房子协力S3126灯塔矿选厂S7506ESDH楼屋30台S3126SDH接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层接各厂矿等接入层鞍钢矿山网络核心层中心机房大孤山矿机房东矿机房绿化街机房眼矿机房齐大山机32内外网改造安全解决方案内外网隔离各种方案介绍电力信息网改造思路参考案例分享目录内外网隔离各种方案介绍目录物理隔离内外网隔离方案逻辑隔离广域网、局域网均物理隔离局域网物理隔离两套有线网络新建一套无线网络MPLSVPN+EAD隔离VLAN+ACL隔离单机双网卡+硬盘隔离卡双机单网卡单机单网卡+硬盘隔离卡双机单网卡单机双网卡+硬盘隔离卡物理隔离内外网隔离方案逻辑隔离广域网、局域网均物理隔离局域网物理隔离方案介绍

----电力信息网内外网隔离方案物理隔离方案介绍电力二次系统数据网络总体策略4、纵向认证3、横向隔离电力通信/信息网或发电信息网控制区生产区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区电力二次系统数据网络总体策略4、纵向认证3、横向隔离电力通信现有电力数据网络隔离情况本次关注区域现有电力数据网络隔离情况本次关注区域电力信息网络安全隔离现状总结实现了调度与管理网络的横向物理隔离国网\区域电网\省网\地市…纵向贯通初步实现统一Internet出口(以省为单位)管理信息网络与Internet有逻辑连接绝大部分网省没有部署综合接入认证上网行为审计系统缺乏非法外联缺乏有效监控安全事件管理与应急措施不健全存在重要信息泄露的隐患无法满足等级保护的要求电力信息网络安全隔离现状总结实现了调度与管理网络的横向物理隔改造目标电力信息系统是涉及到国计民生的信息系统，一旦受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成（严重）损害。根据国家对信息安全保障工作的要求，国家电网公司（以下简称“国网”）决定在全公司系统实施网络与信息安全隔离方案——通过技术改造将现有网络划分为信息内网和信息外网并实施有效的安全隔离。根据要求，国网下属各网XX电力、地市电业局以及三产公司等国网系统内单位须在2008年4月前完成过渡方案的实施，在一年半内完成整体网络与信息安全隔离工作。根据国网公司下发文件的要求，各个网省、地区、县现有网络都不得与Internet互联网互通，必须建设与内网物理隔离的信息系统，以保障内网网络的信息安全性。新建的外网与内网采用网闸等设备进行物理隔离，与Internet采取逻辑隔离方式，确保外网信息正常发布（营销、信息、招投标等）及信息安全。国网将通过新建信息外网，完善域名解析、防病毒、补丁管理，加强终端管理等一系列措施实现网络与信息系统目标安全架构。改造目标电力信息系统是涉及到国计民生的信息系现有信息网络改造后信息内网信息内网信息外网电力信息网络改造总体策略现有信息网络改造后信息内网信息内网信息外网电力信息网络改造总改造思路

电力信息网络的安全合规改造除了借鉴以前的电力二次安全防护标准外(此规范重点在电力生产业务领域,对管理信息侧没有提出实施细则),应更多地被动采纳国家计算机安全防护等级标准,其他重要行业如政府、金融、能源等已经建设的经验。由于电力系统的行业特殊性及部分业务（如电力交易、营销、三公信息等）频繁网上交互的特点，电力信息网络的安全合规改造会把现有信息网络改造成为电力信息内网，断开与互联网的连接，重新规划一套网络作为信息外网，可能会部署独立的外网终端。内网与外网之间的隔离方式目前存在争议，物理网闸的方式对现有应用会造成较大影响，尤其是影响SG186部分试点业务的推广，因此国家电网认为可采用防火墙+强安全策略的逻辑隔离方式。加强信息内网和外网的安全审计工作，通过终端安全控制，上网行为监控，内部安全事件分析管理等手段加强信息网的可管理和可维护性。改造思路电力信息网络的安全合规改造除了借鉴以前国家电网公司信息网改造目标国家电网公司信息网改造目标H3C电力内外网安全改造方案综述SecBladeFWSSLVPN网关H3CIPSSecPathIPSEAD终端控制软件EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3CFW信息内网信息外网H3CACG外网服务器区部署ACG应用控制产品实现Internter区域的上网行为监控(行为监管解决方案)内外网之间使用FW和SecBlade核心交换机插卡产品完成内外网之间强策略控制(内网控制解决方案)采用EAD实现接入综合认证(内网控制解决方案)部署FW/IPS/UTM等安全产品实现信息外网Internet边界防护（边界防护解决方案）部署SSLVPN完成信息外网的移动办公（远程安全接入解决方案）部署ASE/AFC/SecBaldeFW对SG186业务数据中心进行防护（数据中心保护解决方案）部署SecCenter安全管理中心完成整网安全事件的分析和监控（统一安全管理平台）H3C电力内外网安全改造方案综述SecBladeFWSSL改造范围网络系统改造——将重新建设一张与内网隔离的网络（以下称“信息外网”），并部署相应安全防范设备和措施，保障信息、数据的安全发布，避免可能的信息泄密、黑客、病毒等安全威胁。网络主体可考虑用有线方式、WLAN无线方式或者两者相结合的方式来解决。业务系统改造——对于现有网络的业务系统进行分析、评估，对于确实要对Internet发布信息的业务系统和服务器平台，规划搬迁部署方案，将业务系统转移到外网核心网络，对外网用户提供相应服务，如营销、招投标系统等。接入终端改造——可采用单PC方式或者双PC方式解决。单PC方式下，采用PC机加装硬盘隔离卡的方式解决，终端改造投资低，但考虑到安装、维护复杂，管理不方便，建议采用双PC方式解决。整个系统改造主要是网络系统和业务系统建设部分，尤其是业务系统，必须充分考虑现有部分业务移植到外网上以后，如何继续正常开展业务功能和提供必要的安全保障。改造范围网络系统改造——将重新建设一张与内网隔离的网络（以下案例案例总结：H3C电力内外网安全方案SecBladeFWSSLVPN网关H3CIPSSecPathIPSSecPathASEEAD终端控制软件EAD安全策略管理中心SecCenter安全管理中心IMC网络管理中心网管中心内网服务器区网通电信EAD终端控制软件H3CFW信息内网信息外网H3CACG外网服务器区边界防护解决方案行为监控解决方案远程安全接入解决方案内网控制解决方案数据中心保护解决方案统一安全管理平台总结：H3C电力内外网安全方案SecBladeFWSSL佳木斯牡丹江大庆绥化哈尔滨鸡西鹤岗齐齐哈尔黑河黑龙江省电力公司信息外网大兴安岭哈二局伊春千兆直连155MATM省局SR8805核心路由器ATM西部环网ATM东部环网155MPOS

黑龙江省电力公司信息外网省局部署H3C万兆核心路由器SR8805，11个地市电业局部署H3C多核高端路由器SR6608；同时，省局局域网核心采用H3CS9512核心交换机，并且采用S5500-EI千兆接入。地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器佳木斯牡丹江大庆绥化哈尔滨鸡西鹤岗齐齐哈尔黑河黑龙江省电力公东电新大楼外网服务器SecCenterS5100-EIIMC、EAD服务器EADEADEADEADS5100-EISecBladeFW×2SecBladeIPS×2SecBladeLBS9500SecBladeFWS9500SecBladeFW中电飞华网通S7506E东电新大楼外网服务器SecCenterS5100-EIIMC湖北电力公司总部信息外网湖北电力公司总部信息外网逻辑隔离方案介绍

逻辑隔离方案介绍园区网虚拟化关键技术二层VLAN：二层隔离技术，在三层终结。不易扩展，STP维护复杂、难以管理和定位，适合小型网络分布式ACL：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合VRF/MPLSVPN：三层隔离技术，业务隔离性好，每个VPN独立转发表，扩展性好。支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用推荐组合：VRF+MPLSVPN。二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展园区网虚拟化关键技术二层VLAN：二层隔离技术，在三层终结。架构分解用户端点准入控制对用户的安全认证和权限管理，使用H3CEAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证可以与无线终端与AP联动，对无线接入用户进行认证根据用户认证的结果动态下发VPN归属，控制访问权限业务逻辑隔离共用物理网络，逻辑隔离使用VRF+MPLSVPN技术用户通过CE\MCE设备接入，实现端到端的VPN隔离核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoS架构分解用户端点准入控制架构分解（续）集中服务管理为园区内用户提供统一的Internet\WAN出口，进行集中监控、管理网络管理使用H3CiMC智能管理中心，内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域：内部专有数据区：仅为单部门或业务提供服务内部共享数据区：为网络内部全部或部分用户提供共享服务外部服务区：为通过Internet接入的用户提供应用服务，如网上银行、门户网站等架构分解（续）集中服务管理接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN4用户名：密码下发VLANCAMS：VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用户名1：密码VLAN11用户名2：密码VLAN22用户名3：密码VLAN33用户名4：密码VLAN44接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN通道隔离—端到端的业务逻辑隔离核心交换层网管中心汇聚层接入层数据中心FITAPFITAPMCE/CEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLSL3VPN提供端到端的业务隔离能力，并且通过RT属性控制VPN间业务互访通道隔离—端到端的业务逻辑隔离核心交换层网管中心汇聚层接入层方案讨论—灵活业务访问模式园区网络1.用户A可访问Internet，不能访问办公网络2.用户A可访问办公网络，不能访问Internet3.用户B可访问办公网络，A和B访问权限不同用户A用户B用户C用户D办公网络Internet用户A、B、C、D分属不同的部门，访问权限不同用户多次获取不同的访问权限，满足Internet、办公上网及隔离的要求不同访问权限的用户安全隔离，以免资源被非法访问CAMS方案讨论—灵活业务访问模式园区网络1.用户A可访问Inter实现方式一：GuestVlan+EAD园区网络1.用户默认属于GuestVlan，无须认证2.Internet与GuestVlan能够互通办公网络GVLAN10GVLAN20GVLAN30GVLAN40Internet用户A用户B用户C用户D实现方式一：GuestVlan+EAD园区网络1.用户默认实现方式一：GuestVlan+EAD园区网络2.动态VLAN与办公网络互通办公网络Internet1.用户启动EAD认证，动态下发VLAN和ACL用户A用户B用户C用户DDVLAN110DVLAN120DVLAN130DVLAN140实现方式一：GuestVlan+EAD园区网络2.动态VL实现方式二：EAD多服务认证园区网络1.用户分配多个域后缀@Internet，@shuiwu等，对应多个服务办公网络DVLAN10DVLAN20DVLAN30DVLAN140Internet用户A用户B用户C用户D2.用户使用