H3C虚拟园区网解决方案_第1页
H3C虚拟园区网解决方案_第2页
H3C虚拟园区网解决方案_第3页
H3C虚拟园区网解决方案_第4页
H3C虚拟园区网解决方案_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

H3C虚拟园区网解决方案交流杭州华三通信技术提纲园区虚拟化需求分析H3C虚拟园区网解决方案虚拟园区网解决方案总结网络应用面临的挑战园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。

传统园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭用户组提供平安独立环境的方式。传统部署方案虚拟化简介虚拟资源2物理资源虚拟资源1虚拟资源3VirtualPrivateNetworks设备的虚拟化效劳的虚拟化通道的虚拟化园区虚拟化的推动力法规遵从:局部企业受法律或规定的要求,必须对其内部应用或业务进行分区。例如,在金融公司中,银行业务必须与证券交易业务分开。企业中存在不同级别的访问权限:几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。简化网络、提高资源利用率:非常大型的网络,如机场、大学等大型园区,为了保证各群组/部门业务的平安性,假设建设和管理多套物理网络,既昂贵又难于管理。网络整合:在进行企业收购或合并时,需要能够快速进行网络整合,把原来外部的网络和业务迅速接入自己的网络。典型虚拟化需求举例--政务行政中心XX厅局yy厅局zz厅局行政中心行政中心当前局部大中城市正在或将要建设的城市行政中心,将市内大局部党政相关部门统一迁入行政中心(大楼或园区)集中办公,同时又为公众提供“一站式”业务办理效劳。行政中心市民(效劳)中心审批大厅虚拟园区业务隔离逻辑关系部门A部门A部门BInternet广域网园区网络分支Y分支X数据中心公众用户为公众用户提供效劳的对外业务内部用户对外部数据区的业务内部用户访问Internet部门内部业务部门间共享业务广域网接入业务Campus内部私有数据内部共享数据外部数据提纲虚拟园区网需求分析H3C虚拟园区网解决方案H3C虚拟园区网最正确实践H3C虚拟园区网解决方案H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个局部,实现对整个园区网络、应用资源的虚拟化,提高资源的利用效率、降低管理的复杂度典型组网拓扑图楼层接入核心交换层网管中心大楼会聚楼层接入数据中心WAN分支机构外驻机构公众InternetRPR2.5G大楼会聚FITAPFITAP无线接入园区虚拟化技术讨论二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、难以管理和定位,适合小型网络分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展性、管理性差,适合某些特定场合VRF/MPLSVPN:三层隔离技术,业务隔离性好,每个VPN独立转发表,扩展性好。支持多种灵活的接入方式,配置管理简单、支持QoS,能够满足大型复杂园区的应用推荐组合:VLAN+VRF,VRF+MPLSVPN。二三层隔离的融合,平安性高,防止大量的ACL配置问题,直观、易维护、易扩展H3C虚拟园区网解决方案整体思路用户端点准入控制对用户的平安认证和权限管理,使用H3CEAD解决方案〔支持portal、802.1X、VPN等认证方式〕,在接入边缘设备作认证可以与无线终端与AP联动,对无线接入用户进行认证根据用户认证的结果动态下发VPN归属,控制访问权限业务逻辑隔离共用物理网络,逻辑隔离使用VRF+MPLSVPN技术用户通过CE\MCE设备接入,实现端到端的VPN隔离核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoSH3C虚拟园区网解决方案整体思路集中效劳管理为园区内用户提供统一的Internet\WAN出口,进行集中监控、管理网络管理使用H3CiMC智能管理中心,内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理\策略效劳器、应用效劳器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略效劳数据中心逻辑上分成三个区域:内部专有数据区:仅为单部门或业务提供效劳内部共享数据区:为网络内部全部或局部用户提供共享效劳外部效劳区:为通过Internet接入的用户提供给用效劳,如网上银行、门户网站等接入控制—端点准入和身份识别不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁?园区网络动态授权合格用户不同用户享受不同的网络使用权限你安全吗?你可以做什么?你在做什么?行为审计认证通过的用户能够正常访问相应的网络资源EAD:EndpointAdmissionDefense,端点准入防御对不同的接入终端实施不同的平安和访问策略接入控制—访问权限动态下发PEvpn1VPN2vpn3VPN4用户名:密码下发VLANCAMS:VLAN对应VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE:vlan11vlan22vlan33vlan44用户名1:密码VLAN11用户名2:密码VLAN22用户名3:密码VLAN33用户名4:密码VLAN44移动用户接入:灵活办公不改变VPN归属关系的位置灵活迁移根据认证用户名、密码的不同,策略效劳器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN园区核心网通道隔离—端到端的业务逻辑隔离核心交换层网管中心会聚层接入层数据中心FITAPFITAPMCE/CEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIPMPLSL3VPN提供端到端的业务隔离能力,并且通过RT属性控制VPN间业务互访通道隔离—部门业务的可控互访Site-ASite-B多角色主机多用途效劳器Extranet组网虚拟园区网扩容和升级核心交换层网管中心会聚层接入层数据中心FITAPFITAPMCE/CEMCE/CEPEPEEAD认证MPLSVPN通道企业/园区网PEPEPEMCE/CEPPPPPEOSPFospf/静态路由/RIP容易实现业务和网络的扩容升级PE统一应用—集中化数据中心FirewallIPS会聚交换机IPSAN负载均衡器业务效劳器接入交换机A部门B部门C部门D部门X部门FirewallIPS会聚交换机IPSAN负载均衡器业务效劳器接入交换机ABCDXABBCall核心交换机核心交换机独享资源效劳器区互访和共享资源效劳器区独享资源效劳器区通过逻辑隔离手段保证各部门对自身数据的独享性共享资源效劳器区部署需要在不同部门间共享的数据资源外部效劳器区提供公众业务、对外网站等效劳共享灾备中心为政务数据资源提供统一的备份容灾设施Internet对外网站、对公业务效劳区共享灾备中心园区数据中心MPLSVPNWAN数据中心虚拟化为全网用户提供效劳,数据中心内部可物理隔离也可逻辑隔离统一应用—高可用、高平安的出口效劳园区网管理中心城域网远程办公/出差用户核心交换机FWIPSRouterISP1ISP2Internet公众用户分部分部终结标签交换L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供访问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAToptionA\B\C三类MPLSVPN跨域互通统一应用—虚拟防火墙部门1部门2部门3部门4PESecPath/SecBlade园区网虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四针对不同业务,独立、灵活的平安策略部署多个逻辑防火墙,多平安域,独立的管理员,实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络结构的情况下,实现交换机高速转发和平安业务处理的有机融合保护投资、节约本钱、易扩展SecBladeFW统一应用—DHCP统一效劳MPLSVPN核心网集中DHCP效劳器接入设备DHCPRelay多实例,不同VPN用户动态获得IP地址多VPN用户共用同一台DHCP效劳器员工合作方访客……统一应用—整网平安综合防护三级平安防护“整网平安综合防护,平安事件,一网打尽”EADIPSFWFWSecBladeNAMASM数据中心EADEAD中心内部用户远程办公/出差用户IPSNSMrouterswitch统一应用—iMC智能管理中枢端点准入解决方案(EAD)行为审计解决方案(UBAS)平安联动解决方案(SCC)流量清洗解决方案(NTC)

流量分析解决方案(NTA)

性能优化解决方案(QoS)平安控制中心性能优化中心运营管理中心ITOIP开放智能管理中枢根底管理支撑根底网络管理解决方案(NMS)用户、资源、业务的融合管理资源人S业务首页网络、用户、业务信息综合概览网络网络资源、故障、性能信息综合管理用户用户接入、用户平安统一管理业务流程化的业务流管理MPLSVPN业务专业化管理部署监视调度审计鉴权iMCVPNManager

基于向导式VPN业务发现、业务部署基于业务功能、用户身份鉴权VPN中CE是通过哪些PE连起来的?VPN中CE的连接关系是什么?丰富直观的VPN拓扑功能

VPN物理拓扑

VPN业务拓扑

直观的VPN告警与性能监控功能PEPEPEPEPEPEPPCECE

立即、定期配置审计、连通性审计为VPN网络提供可靠性保证基于策略的VPN部署调整,为VPN业务运营提供闭环保证方案讨论—灵活业务访问模式园区网络1.用户A可访问Internet,不能访问办公网络2.用户A可访问办公网络,不能访问Internet3.用户B可访问办公网络,A和B访问权限不同用户A用户B用户C用户D办公网络Internet用户A、B、C、D分属不同的部门,访问权限不同用户屡次获取不同的访问权限,满足Internet、办公上网及隔离的要求不同访问权限的用户平安隔离,以免资源被非法访问CAMS实现方式一:GuestVlan+EAD园区网络1.用户默认属于GuestVlan,无须认证2.Internet与GuestVlan能够互通办公网络GVLAN10GVLAN20GVLAN30GVLAN40Internet用户A用户B用户C用户D实现方式一:GuestVlan+EAD园区网络2.动态VLAN与办公网络互通办公网络Internet1.用户启动EAD认证,动态下发VLAN和ACL用户A用户B用户C用户DDVLAN110DVLAN120DVLAN130DVLAN140实现方式二:EAD多效劳认证园区网络1.用户分配多个域后缀@Internet,@shuiwu等,对应多个效劳办公网络DVLAN10DVLAN20DVLAN30DVLAN140Internet用户A用户B用户C

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论