虚拟园区网解决方案交流

H3C虚拟园区网解决方案交流杭州华三通信技术有限公司提纲园区虚拟化需求分析H3C虚拟园区网解决方案虚拟园区网解决方案总结网络应用面临的挑战园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。

传统园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式。传统部署方案虚拟化简介虚拟资源2物理资源虚拟资源1虚拟资源3VirtualPrivateNetworks设备的虚拟化服务的虚拟化通道的虚拟化园区虚拟化的推动力法规遵从：部分企业受法律或规定的要求，必须对其内部应用或业务进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。简化网络、提高资源利用率：非常大型的网络，如机场、大学等大型园区，为了保证各群组/部门业务的安全性，若建设和管理多套物理网络，既昂贵又难于管理。网络整合：在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部的网络和业务迅速接入自己的网络。典型虚拟化需求举例--政务行政中心XX厅局yy厅局zz厅局行政中心行政中心

当前部分大中城市正在或将要建设的城市行政中心，将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公，同时又为公众提供“一站式”业务办理服务。行政中心市民(服务)中心审批大厅虚拟园区业务隔离逻辑关系部门A部门A部门BInternet广域网园区网络分支Y分支X数据中心公众用户为公众用户提供服务的对外业务内部用户对外部数据区的业务内部用户访问Internet部门内部业务部门间共享业务广域网接入业务Campus内部私有数据内部共享数据外部数据提纲虚拟园区网需求分析H3C虚拟园区网解决方案H3C虚拟园区网最佳实践H3C虚拟园区网解决方案H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度典型组网拓扑图楼层接入核心交换层网管中心大楼汇聚楼层接入数据中心WAN分支机构外驻机构公众InternetRPR2.5G大楼汇聚FITAPFITAP无线接入园区虚拟化技术讨论二层VLAN：二层隔离技术，在三层终结。不易扩展，STP维护复杂、难以管理和定位，适合小型网络分布式ACL：需要严格的策略控制，灵活性差，可能配置错误，扩展性、管理性差，适合某些特定场合VRF/MPLSVPN：三层隔离技术，业务隔离性好，每个VPN独立转发表，扩展性好。支持多种灵活的接入方式，配置管理简单、支持QoS，能够满足大型复杂园区的应用推荐组合：VLAN+VRF，VRF+MPLSVPN。二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展H3C虚拟园区网解决方案整体思路用户端点准入控制对用户的安全认证和权限管理，使用H3CEAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证可以与无线终端与AP联动，对无线接入用户进行认证根据用户认证的结果动态下发VPN归属，控制访问权限业务逻辑隔离共用物理网络，逻辑隔离使用VRF+MPLSVPN技术用户通过CE\MCE设备接入，实现端到端的VPN隔离核心用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoSH3C虚拟园区网解决方案整体思路集中服务管理为园区内用户提供统一的Internet\WAN出口，进行集中监控、管理网络管理使用H3CiMC智能管理中心，内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域：内部专有数据区：仅为单部门或业务提供服务内部共享数据区：为网络内部全部或部分用户提供共享服务外部服务区：为通过Internet接入的用户提供应用服务，如网上银行、门户网站等接入控制—端点准入和身份识别不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁？园区网络动态授权合格用户不同用户享受不同的网络使用权限你安全吗？你可以做什么？你在做什么？行为审计认证通过的用户能够正常访问相应的网络资源EAD：EndpointAdmissionDefense，端点准入防御对不同的接入终端实施不同的安全和访问策略接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN4用户名：密码下发VLANCAMS：VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用户名1：密码VLAN11用户名2：密码VLAN22用户名3：密码VLAN33用户名4：密码VLAN44移动用户接入：灵活办公不改变VPN归属关系的位置灵活迁移根据认证用户名、密码的不同，策略服务器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN园区核心网通道隔离—端到端的业务逻辑隔离核心交换层网管中心汇聚层接入层数据中心FITAPFITAPMCE/CEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLSL3VPN提供端到端的业务隔离能力，并且通过RT属性控制VPN间业务互访通道隔离—部门业务的可控互访Site-ASite-B多角色主机多用途服务器Extranet组网虚拟园区网扩容和升级核心交换层网管中心汇聚层接入层数据中心FITAPFITAPMCE/CEMCE/CEPEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIP容易实现业务和网络的扩容升级PE统一应用—集中化数据中心FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机A部门B部门C部门D部门X部门FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机ABCDXABBCall核心交换机核心交换机独享资源服务器区互访和共享资源服务器区独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性共享资源服务器区部署需要在不同部门间共享的数据资源外部服务器区提供公众业务、对外网站等服务共享灾备中心为政务数据资源提供统一的备份容灾设施Internet对外网站、对公业务服务区共享灾备中心园区数据中心MPLSVPNWAN数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离统一应用—高可用、高安全的出口服务园区网管理中心城域网远程办公/出差用户核心交换机FWIPSRouterISP1ISP2Internet公众用户分部分部终结标签交换L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供访问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAToptionA\B\C三类MPLSVPN跨域互通统一应用—虚拟防火墙部门1部门2部门3部门4PESecPath/SecBlade园区网虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四针对不同业务，独立、灵活的安全策略部署多个逻辑防火墙，多安全域，独立的管理员，实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络结构的情况下，实现交换机高速转发和安全业务处理的有机融合保护投资、节约成本、易扩展SecBladeFW统一应用—DHCP统一服务MPLSVPN核心网集中DHCP服务器接入设备DHCPRelay多实例，不同VPN用户动态获得IP地址多VPN用户共用同一台DHCP服务器员工合作方访客……统一应用—整网安全综合防护三级安全防护“整网安全综合防护，安全事件，一网打尽”EADIPSFWFWSecBladeNAMASM数据中心EADEAD中心内部用户远程办公/出差用户IPSNSMrouterswitch统一应用—iMC智能管理中枢端点准入解决方案(EAD)行为审计解决方案(UBAS)安全联动解决方案(SCC)流量清洗解决方案(NTC)流量分析解决方案(NTA)性能优化解决方案(QoS)安全控制中心性能优化中心运营管理中心ITOIP开放智能管理中枢基础管理支撑基础网络管理解决方案(NMS)用户、资源、业务的融合管理资源人S业务首页网络、用户、业务信息综合概览网络网络资源、故障、性能信息综合管理用户用户接入、用户安全统一管理业务流程化的业务流管理MPLSVPN业务专业化管理部署监视调度审计鉴权iMCVPNManager基于向导式VPN业务发现、业务部署基于业务功能、用户身份鉴权VPN中CE是通过哪些PE连起来的？VPN中CE的连接关系是什么？丰富直观的VPN拓扑功能VPN物理拓扑VPN业务拓扑直观的VPN告警与性能监控功能PEPEPEPEPEPEPPCECE立即、定期配置审计、连通性审计为VPN网络提供可靠性保证基于策略的VPN部署调整，为VPN业务运营提供闭环保证方案讨论—灵活业务访问模式园区网络1.用户A可访问Internet，不能访问办公网络2.用户A可访问办公网络，不能访问Internet3.用户B可访问办公网络，A和B访问权限不同用户A用户B用户C用户D办公网络Internet用户A、B、C、D分属不同的部门，访问权限不同用户多次获取不同的访问权限，满足Internet、办公上网及隔离的要求不同访问权限的用户安全隔离，以免资源被非法访问CAMS实现方式一：GuestVlan+EAD园区网络1.用户默认属于GuestVlan，无须认证2.Internet与GuestVlan能够互通办公网络GVLAN10GVLAN20GVLAN30GVLAN40Internet用户A用户B用户C用户D实现方式一：GuestVlan+EAD园区网络2.动态VLAN与办公网络互通办公网络Internet1.用户启动EAD认证，动态下发VLAN和ACL用户A用户B用户C用户DDVLAN110DVLAN120DVLAN130DVLAN140实现方式二：EAD多服务认证园区网络1.用户分配多个域后缀@Internet，@shuiwu等，对应多个服务办公网络DVLAN10DVLAN20DVLAN30DVLAN140Internet用户A用户B用户C