虚拟园区解决方案培训

H3C虚拟园区网解决方案交流杭州华三通信技术有限公司C-Marketing张建伟提纲园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值网络应用面临的挑战随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。传统的园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式。传统部署方案网络应用面临的挑战分层、模块化的部署≠

虚拟化虚拟化简介虚拟资源2物理资源虚拟资源1虚拟资源3VirtualPrivateNetworks设备的虚拟化服务的虚拟化通道的虚拟化园区虚拟化的推动力法规遵从：部分企业受法律或规定的要求，必须对其内部应用或业务进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。简化网络、提高资源利用率：非常大型的网络，如机场、大学等大型园区，为了保证各群组/部门业务的安全性，需要建设和管理多套物理网络，既昂贵又难于管理。网络整合：在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部的网络和业务迅速接入自己的网络。行业虚拟化需求行业虚拟化需求政府政务/行政中心，多个部门在一栋或几栋大楼里、共用一套物理网络，但需要不同部门业务安全隔离；给有互访需求的部门提供通道；提供与同一系统内上下一级办公专网的互连制造业一个大企业园区，需要生产平台、管理运营、销售、安保监控业务隔离金融银行的办公网、金融服务大厅、自助服务平台、安保监控业务隔离医疗各科室门诊业务、住院管理、药品管理、财务管理、病房上网业务等教育分离学生上网、院系办公、教学管理、外部科研院所业务，但同一部门分布在不同大楼里的办公室要能够资源共享，同时对Internet出口、邮件、公告等共享服务进行集中控制管理大型综合园区内部各企业、机构分布在不同的大楼里，共用相同的网络核心设备和Internet出口，内部各企业、机构关系复杂，既有需要共享的数据、也有需要隔离开的业务典型虚拟化需求举例--政务行政中心XX厅局yy厅局zz厅局行政中心行政中心

当前部分大中城市正在或将要建设的城市行政中心，将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公，同时又为公众提供“一站式”业务办理服务。行政中心市民(服务)中心审批大厅行政中心内部业务逻辑关系财政税务市府发改委法院数据中心县政府县财政广域网路由器Internet市府发改委税务财政公共服务Internet出口公众服务行政中心内各部门协同办公，各部门业务系统横向隔离、少量有互访需求，纵向与电子政务网业务互通行政中心政务网省政府省财政提纲园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值H3C虚拟园区网解决方案逻辑图H3C园区虚拟化解决方案逻辑图H3C虚拟园区网解决方案H3C园区虚拟化整体解决方案逻辑上包括下边三个部分：接入控制：接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限。园区虚拟化解决方案接入控制采用H3C的EAD认证系统，通过认证的用户才能获得对相关资源的访问和使用；并通过中央服务器和客户端的配合，监控接入用户的安全状态，如操作系统补丁、防火墙是否启动、补丁状态、是否携带病毒等。通道隔离：通过MPLSVPN技术对不同的应用、业务和群组用户进行安全隔离，提高数据传输保密性和安全性，为用户业务传输提供端到端的安全保证。统一应用：应用服务区通过计算虚拟化、存储虚拟化、虚拟安全等技术，为整网的隔离用户提供统一的安全策略部署、数据中心服务、流量监控、Internet/WAN访问服务等。典型组网拓扑图楼层接入核心交换层网管中心大楼汇聚楼层接入数据中心WAN分支机构外驻机构公众InternetRPR2.5G大楼汇聚FITAPFITAP无线接入接入控制--安全防护MPLS/VPN核心网数据中心认证隔离区Cams安全策略服务器:用户认证、安全策略管理中心,策略下发安全状态评估、安全事件处理、用户隔离控制xLog管理服务器:用户行为审计、用户上网日志联动跟踪Cams安全策略代理:分布式安全策略控制代理，确保安全策略服务器安全第三方防病毒服务器、补丁升级服务器:提供病毒库升级和系统补丁修复服务安全联动设备:动态ACL隔离、服务策略控制iNode客户端:1x认证、Portal认证、VPN认证、病毒库版本检测、补丁检测、协同与联动、安全策略实施、安全事件上报接入交换机(二层、三层)汇聚交换机PEPEPVPN安全网关:远程用户VPN认证EAD认证接入控制--权限下发MPLSVPN核心网用户名：密码下发VLAN用户名1：密码VLAN11用户名2：密码VLAN22用户名3：密码VLAN33用户名4：密码VLAN44集中控制服务器接入设备根据集中控制策略服务器下发策略，调整端口所属VLAN，从而控制用户加入的VPNVPNVLAN根据认证的用户名/密码，下发策略，分配用户相应的访问权限虚拟服务的集中策略控制员工合作方访客……EAD+MPLSVPN灵活的权限控制接入方式：二层接入、三层接入VPN接入：单个接入设备下包含一组Site用户(CE)、单个接入设备下包含多组Site用户(MCE)不改变VPN归属关系的位置灵活迁移根据认证用户名、密码的不同，策略服务器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN核心网通道隔离--设备虚拟化IPSwitchingMPLSSwitchingVLANInterface/PhysicalportMPLSVPNPE逻辑上把设备的路由表/转发表划分成几个不同的路由/转发表，分别与VPN映射起来，执行不同的路由/转发规则，如配置不同的默认路由、策略路由等通道隔离技术比较--VLAN适合小型网络用户逻辑隔离广播域占用带宽资源，链路利用率低二层网络不适合大规模应用，网络收敛速度慢需要配置较多的二层特性，配置管理相对复杂通道隔离技术比较--分布式ACL适合一些规模不大、特性的组网使用需要严密的策略控制，配置管理复杂无法提供端到端的隔离业务/网络调整时需要更改大量配置严格限制可移动性支持园区内用户群组any-to-any的应用能够提供安全的端到端业务隔离，接入方式灵活适合大规模网络应用，可扩展性好良好的可移动性要求设备支持VRF/MPLSVPN通道隔离技术比较--VRF+MPLSVPN√端到端业务的逻辑隔离核心交换层网管中心汇聚层接入层数据中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLSL3VPN提供端到端的业务隔离能力，并且通过RT属性控制VPN间业务互访VPN互访和资源共享VPN/VRF间路由引入，实现跨VRF路由查找匹配路由跨VRF转发，实现VPN互访和共享共享VPN多角色主机虚拟园区网扩容和升级核心交换层网管中心汇聚层接入层数据中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEMCE/CEPEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIP容易实现业务和网络的扩容升级PE网络的快速整合12广域可扩充性园区网园区网MplscoreVMWarePEPEppPEPEA部门的资源B部门的资源C部门的资源AB共享的资源BC共享的资源ABC共享的资源A部门B部门C部门A部门B部门vlan虚拟FWM_VRF独享资源服务器区共享资源服务器区数据中心核心IV5000逻辑隔离延伸至数据中心统一服务--共享数据中心FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机A部门B部门C部门D部门X部门FirewallIPS汇聚交换机IPSAN负载均衡器业务服务器接入交换机ABCDXABBCall核心交换机核心交换机独享资源服务器区互访和共享资源服务器区独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性。共享资源服务器区部署需要在不同部门间共享的数据资源。外部服务器区提供公众业务、对外网站等服务共享灾备中心为政务数据资源提供统一的备份容灾设施。Internet对外网站、对公业务服务区共享灾备中心数据中心MPLSVPNWAN数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离统一的园区出口服务campus管理中心行业城域网……远程办公/出差用户核心交换机FWIPSRouterISP1ISP2Internet公众用户分支机构外驻机构外部办公室终结标签交换L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供访问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAT为访问Internet的用户提供统一/基于VPN的安全策略控制广域网出口服务行业城域网……PEPEASBRASBRAS100AS200支持optionA\B\C三类跨域MPLSVPN互通方式，实现园区内VPN业务与广域行业纵向VPN业务的互通远程分支、办公室通过Internet接入PEMPLSCoreVPN2（30：30）PECEGREoverIPSec隧道隧道绑定到VPN中GREoverIPSec在远程分支的安全网关与园区网的安全网关之间配置GREoverIPSec隧道：远程分支接入到园区网内部VPN是通过将园区网网关GRE隧道的Tunnel口绑定到目标VPN来实现的；IPSec隧道用户对私网报文加密，确保私网通信的保密性PEMPLSCoreVPN2（30：30）PECEL2TPoverIPSec隧道隧道绑定到VPN中L2TPoverIPSec移动用户使用L2TPoverIPSec方式接入到园区网安全网关上，通过将园区网网关L2TP隧道的VT口绑定到目标VPN来实现接入用户接入园区VPN；IPSec隧道用户对私网报文加密，确保私网通信的保密性外部用户接入内部VPN，并获得正确的访问权限虚拟安全技术细化安全控制粒度部门1部门2部门3部门4PESecPath/SecBlade虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四针对不同业务，独立、灵活的安全策略部署多安全域、独立的管理员，实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络结构的情况下，实现交换机高速转发和安全业务处理的有机融合保护投资、节约成本、易扩展SecBladeFW统一DHCP服务MPLSVPN核心网集中DHCP服务器接入设备DHCPRelay多实例，不同VPN用户动态获得IP地址多VPN用户共用同一台DHCP服务器员工合作方访客……多业务端到端的Qos支持能力corePEaccessPPE接入业务识别，修改IP报文DSCP/COSMPLS封装，DSCP/COS到Exp字段映射，或优先级管制根据Exp决定转发优先级MPLS去封装，信任IP报文转发优先级或Exp->DSCP映射信任IP报文转发优先级整体Qos策略提供对关键业务平时和峰值时的服务质量保证整网设备/业务的统一配置管理iMCMVM简化VPN业务管理提纲园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值典型组网及设备核心交换层网管中心汇聚层接入层数据中心广域网分支机构FITAPFITAPInternetRPR2.5GH3CS9500/S75EH3CS7500E/S9500H3CS3610/3600/5500EI/5510MCE/CEMCE/CEPEPEEAD认证分支机构L2TPoverIPSec/GREoverIPSec出差用户公众用户MPLSVPN通道企业/园区网N*E1PEPEPEPEMCE/CEPPPPSecPath1000FSR8800/6600H3CS7500E/S9500H3CS36