1、H3C虛擬園區(qū)網(wǎng)處理方案交流杭州華三通信技術(shù)有限企業(yè)C-Marketing 張建偉第1頁(yè)提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)處理方案處理方案推廣和引導(dǎo)策略處理方案市場(chǎng)價(jià)值第2頁(yè)網(wǎng)絡(luò)應(yīng)用面臨挑戰(zhàn)伴隨對(duì)園區(qū)網(wǎng)絡(luò)需求日益復(fù)雜，可擴(kuò)展處理方案也越來(lái)越需要將多個(gè)網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。傳統(tǒng)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)提議一直缺乏一個(gè)對(duì)網(wǎng)絡(luò)流量分區(qū)，方便為封閉用戶組提供安全獨(dú)立環(huán)境方式。傳統(tǒng)布署方案第3頁(yè)網(wǎng)絡(luò)應(yīng)用面臨挑戰(zhàn)分層、模塊化布署 虛擬化第4頁(yè)虛擬化介紹虛擬資源2物理資源虛擬資源1虛擬資源3Virtual Private Networks設(shè)備虛擬化服務(wù)虛擬化通道虛擬化第5頁(yè)園區(qū)虛擬化推進(jìn)力法規(guī)遵從：部分企業(yè)受法律

2、或要求要求，必須對(duì)其內(nèi)部應(yīng)用或業(yè)務(wù)進(jìn)行分區(qū)。比如，在金融企業(yè)中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開(kāi)。企業(yè)中存在不一樣級(jí)別訪問(wèn)權(quán)限：幾乎每個(gè)企業(yè)都需要處理方案來(lái)為客戶、廠商、合作搭檔以及園區(qū)局域網(wǎng)上員工授予不一樣訪問(wèn)級(jí)別。簡(jiǎn)化網(wǎng)絡(luò)、提升資源利用率：非常大型網(wǎng)絡(luò)，如機(jī)場(chǎng)、大學(xué)等大型園區(qū)，為了確保各群組/部門業(yè)務(wù)安全性，需要建設(shè)和管理多套物理網(wǎng)絡(luò)，既昂貴又難于管理。網(wǎng)絡(luò)整合：在進(jìn)行企業(yè)收購(gòu)或合并時(shí)，需要能夠快速進(jìn)行網(wǎng)絡(luò)整合，把原來(lái)外部網(wǎng)絡(luò)和業(yè)務(wù)快速接入自己網(wǎng)絡(luò)。第6頁(yè)行業(yè)虛擬化需求行業(yè)虛 擬 化 需 求政府政務(wù)/行政中心，多個(gè)部門在一棟或幾棟大樓里、共用一套物理網(wǎng)絡(luò)，但需要不一樣部門業(yè)務(wù)安全隔離；給有互

3、訪需求部門提供通道；提供與同一系統(tǒng)內(nèi)上下一級(jí)辦公專網(wǎng)互連制造業(yè)一個(gè)大企業(yè)園區(qū)，需要生產(chǎn)平臺(tái)、管理運(yùn)行、銷售、安保監(jiān)控業(yè)務(wù)隔離金融銀行辦公網(wǎng)、金融服務(wù)大廳、自助服務(wù)平臺(tái)、安保監(jiān)控業(yè)務(wù)隔離醫(yī)療各科室門診業(yè)務(wù)、住院管理、藥品管理、財(cái)務(wù)管理、病房上網(wǎng)業(yè)務(wù)等教育分離學(xué)生上網(wǎng)、院系辦公、教學(xué)管理、外部科研院所業(yè)務(wù)，但同一部門分布在不一樣大樓里辦公室要能夠資源共享，同時(shí)對(duì)Internet出口、郵件、公告等共享服務(wù)進(jìn)行集中控制管理大型綜合園區(qū)內(nèi)部各企業(yè)、機(jī)構(gòu)分布在不一樣大樓里，共用相同網(wǎng)絡(luò)關(guān)鍵設(shè)備和Internet出口，內(nèi)部各企業(yè)、機(jī)構(gòu)關(guān)系復(fù)雜，現(xiàn)有需要共享數(shù)據(jù)、也有需要隔離開(kāi)業(yè)務(wù)第7頁(yè)經(jīng)典虛擬化需求舉例-政

4、務(wù)行政中心XX廳局yy廳局zz廳局行政中心行政中心 當(dāng)前部分大中城市正在或?qū)⒁ㄔO(shè)城市行政中心，將市內(nèi)大部分黨政相關(guān)部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公，同時(shí)又為公眾提供“一站式”業(yè)務(wù)辦理服務(wù)。行政中心市民(服務(wù))中心審批大廳第8頁(yè)行政中心內(nèi)部業(yè)務(wù)邏輯關(guān)系財(cái)政稅務(wù)市府發(fā)改委法院數(shù)據(jù)中心縣政府縣財(cái)政廣域網(wǎng)路由器Internet市府發(fā)改委稅務(wù)財(cái)政公共服務(wù)Internet出口公眾服務(wù)行政中心內(nèi)各部門協(xié)同辦公，各部門業(yè)務(wù)系統(tǒng)橫向隔離、少許有互訪需求，縱向與電子政務(wù)網(wǎng)業(yè)務(wù)互通行政中心政務(wù)網(wǎng)省政府省財(cái)政第9頁(yè)提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)處理方案處理方案推廣和引導(dǎo)策略處理方案市場(chǎng)價(jià)值第10頁(yè)

5、H3C虛擬園區(qū)網(wǎng)處理方案邏輯圖H3C園區(qū)虛擬化處理方案邏輯圖第11頁(yè)H3C虛擬園區(qū)網(wǎng)處理方案H3C園區(qū)虛擬化整體處理方案邏輯上包含下邊三個(gè)部分：接入控制：接入控制能夠確保網(wǎng)絡(luò)訪問(wèn)安全和接入用戶正確取得訪問(wèn)相關(guān)資源權(quán)限。園區(qū)虛擬化處理方案接入控制采取H3CEAD認(rèn)證系統(tǒng)，經(jīng)過(guò)認(rèn)證用戶才能取得對(duì)相關(guān)資源訪問(wèn)和使用；并經(jīng)過(guò)中央服務(wù)器和客戶端配合，監(jiān)控接入用戶安全狀態(tài)，如操作系統(tǒng)補(bǔ)丁、防火墻是否開(kāi)啟、補(bǔ)丁狀態(tài)、是否攜帶病毒等。通道隔離：經(jīng)過(guò)MPLS VPN技術(shù)對(duì)不一樣應(yīng)用、業(yè)務(wù)和群組用戶進(jìn)行安全隔離，提升數(shù)據(jù)傳輸保密性和安全性，為用戶業(yè)務(wù)傳輸提供端到端安全確保。統(tǒng)一應(yīng)用：應(yīng)用服務(wù)區(qū)經(jīng)過(guò)計(jì)算虛擬化、存放

6、虛擬化、虛擬安全等技術(shù)，為整網(wǎng)隔離用戶提供統(tǒng)一安全策略布署、數(shù)據(jù)中心服務(wù)、流量監(jiān)控、Internet/WAN訪問(wèn)服務(wù)等。第12頁(yè)經(jīng)典組網(wǎng)拓?fù)鋱D樓層接入關(guān)鍵交換層網(wǎng)管中心大樓匯聚樓層接入數(shù)據(jù)中心WAN分支機(jī)構(gòu)外駐機(jī)構(gòu)公眾InternetRPR2.5G大樓匯聚FIT APFIT AP無(wú)線接入第13頁(yè)接入控制-安全防護(hù)MPLS/VPN關(guān)鍵網(wǎng)數(shù)據(jù)中心認(rèn)證隔離區(qū)Cams安全策略服務(wù)器:用戶認(rèn)證、安全策略管理中心,策略下發(fā)安全狀態(tài)評(píng)定、安全事件處理、用戶隔離控制xLog管理服務(wù)器:用戶行為審計(jì)、用戶上網(wǎng)日志聯(lián)動(dòng)跟蹤C(jī)ams安全策略代理:分布式安全策略控制代理，確保安全策略服務(wù)器安全第三方防病毒服務(wù)器、補(bǔ)丁

7、升級(jí)服務(wù)器:提供病毒庫(kù)升級(jí)和系統(tǒng)補(bǔ)丁修復(fù)服務(wù)安全聯(lián)動(dòng)設(shè)備:動(dòng)態(tài)ACL隔離、服務(wù)策略控制iNode客戶端:1x認(rèn)證、Portal認(rèn)證、VPN認(rèn)證、病毒庫(kù)版本檢測(cè)、補(bǔ)丁檢測(cè)、協(xié)同與聯(lián)動(dòng)、安全策略實(shí)施、安全事件上報(bào)接入交換機(jī)(二層、三層)匯聚交換機(jī)PEPEPVPN安全網(wǎng)關(guān):遠(yuǎn)程用戶VPN認(rèn)證EAD認(rèn)證第14頁(yè)接入控制-權(quán)限下發(fā)MPLS VPN關(guān)鍵網(wǎng)用戶名：密碼下發(fā)VLAN用戶名1：密碼 VLAN11用戶名2：密碼 VLAN22用戶名3：密碼 VLAN33用戶名4：密碼 VLAN44集中控制服務(wù)器接入設(shè)備依據(jù)集中控制策略服務(wù)器下發(fā)策略，調(diào)整端口所屬VLAN，從而控制用戶加入VPNVPNVLAN依據(jù)認(rèn)證

8、用戶名/密碼，下發(fā)策略，分配用戶對(duì)應(yīng)訪問(wèn)權(quán)限虛擬服務(wù)集中策略控制員工合作方訪客第15頁(yè)EAD+MPLS VPN靈活權(quán)限控制接入方式：二層接入、三層接入VPN接入：?jiǎn)蝹€(gè)接入設(shè)備下包含一組Site用戶(CE)、單個(gè)接入設(shè)備下包含多組Site用戶(MCE)不改變VPN歸屬關(guān)系位置靈活遷移依據(jù)認(rèn)證用戶名、密碼不一樣，策略服務(wù)器下發(fā)策略調(diào)整用戶VPN歸屬關(guān)系A(chǔ)P無(wú)線移動(dòng)用戶靈活接入VPN關(guān)鍵網(wǎng)第16頁(yè)通道隔離-設(shè)備虛擬化IP SwitchingMPLS SwitchingVLAN Interface/Physical portMPLS VPNPE邏輯上把設(shè)備路由表/轉(zhuǎn)發(fā)表劃分成幾個(gè)不一樣路由/轉(zhuǎn)發(fā)表，分

9、別與VPN映射起來(lái)，執(zhí)行不一樣路由/轉(zhuǎn)發(fā)規(guī)則，如配置不一樣默認(rèn)路由、策略路由等第17頁(yè)通道隔離技術(shù)比較-VLAN適合小型網(wǎng)絡(luò)用戶邏輯隔離廣播域占用帶寬資源，鏈路利用率低二層網(wǎng)絡(luò)不適合大規(guī)模應(yīng)用，網(wǎng)絡(luò)收斂速度慢需要配置較多二層特征，配置管理相對(duì)復(fù)雜第18頁(yè)通道隔離技術(shù)比較-分布式ACL適合一些規(guī)模不大、特征組網(wǎng)使用需要嚴(yán)密策略控制，配置管理復(fù)雜無(wú)法提供端到端隔離業(yè)務(wù)/網(wǎng)絡(luò)調(diào)整時(shí)需要更改大量配置嚴(yán)格限制可移動(dòng)性第19頁(yè)支持園區(qū)內(nèi)用戶群組any-to-any應(yīng)用能夠提供安全端到端業(yè)務(wù)隔離，接入方式靈活適合大規(guī)模網(wǎng)絡(luò)應(yīng)用，可擴(kuò)展性好良好可移動(dòng)性要求設(shè)備支持VRF/MPLS VPN通道隔離技術(shù)比較-VR

10、F+MPLS VPN第20頁(yè)端到端業(yè)務(wù)邏輯隔離關(guān)鍵交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEPEEAD認(rèn)證MPLS VPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLS L3 VPN提供端到端業(yè)務(wù)隔離能力，而且經(jīng)過(guò)RT屬性控制VPN間業(yè)務(wù)互訪第21頁(yè)VPN互訪和資源共享VPN/VRF間路由引入，實(shí)現(xiàn)跨VRF路由查找匹配路由跨VRF轉(zhuǎn)發(fā)，實(shí)現(xiàn)VPN互訪和共享共享VPN多角色主機(jī)第22頁(yè)虛擬園區(qū)網(wǎng)擴(kuò)容和升級(jí)關(guān)鍵交換層網(wǎng)管中心匯聚層

11、接入層數(shù)據(jù)中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEMCE/CEPEPEEAD認(rèn)證MPLS VPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIP輕易實(shí)現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)擴(kuò)容升級(jí)PE第23頁(yè)網(wǎng)絡(luò)快速整合12廣域可擴(kuò)充性第24頁(yè)園區(qū)網(wǎng)園區(qū)網(wǎng)Mpls coreVMWarePEPEppPEPEA部門資源B部門資源C部門資源AB共享資源BC共享資源ABC共享資源A部門B部門C部門A部門B部門vlan虛擬FWM_VRF獨(dú)享資源服務(wù)器區(qū)共享資源服務(wù)器區(qū)數(shù)據(jù)中心關(guān)鍵IV5000邏輯隔離

12、延伸至數(shù)據(jù)中心第25頁(yè)統(tǒng)一服務(wù)-共享數(shù)據(jù)中心FirewallIPS匯聚交換機(jī)IP SAN負(fù)載均衡器 業(yè)務(wù)服務(wù)器接入交換機(jī)A部門B部門C部門D部門X部門FirewallIPS匯聚交換機(jī)IP SAN負(fù)載均衡器 業(yè)務(wù)服務(wù)器接入交換機(jī)ABCDXABBCall關(guān)鍵交換機(jī)關(guān)鍵交換機(jī)獨(dú)享資源服務(wù)器區(qū)互訪和共享資源服務(wù)器區(qū)獨(dú)享資源服務(wù)器區(qū)經(jīng)過(guò)邏輯隔離伎倆確保各部門對(duì)本身數(shù)據(jù)獨(dú)享性。共享資源服務(wù)器區(qū)布署需要在不一樣部門間共享數(shù)據(jù)資源。外部服務(wù)器區(qū)提供公眾業(yè)務(wù)、對(duì)外網(wǎng)站等服務(wù)共享災(zāi)備中心為政務(wù)數(shù)據(jù)資源提供統(tǒng)一備份容災(zāi)設(shè)施。Internet對(duì)外網(wǎng)站、對(duì)公業(yè)務(wù)服務(wù)區(qū)共享 災(zāi)備中心數(shù)據(jù)中心MPLS VPNWAN數(shù)據(jù)中心

13、虛擬化為全網(wǎng)用戶提供服務(wù)，數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離第26頁(yè)統(tǒng)一園區(qū)出口服務(wù)campus管理中心行業(yè)城域網(wǎng)遠(yuǎn)程辦公/出差用戶關(guān)鍵交換機(jī)FWIPSRouterISP1ISP2Internet公眾用戶分支機(jī)構(gòu)外駐機(jī)構(gòu)外部辦公室終止標(biāo)簽交換L2TP over IPSec/ GRE over IPSec/ SSL VPNISP1供VPN接入使用ISP2供訪問(wèn)Internet使用門戶網(wǎng)站訪問(wèn)、網(wǎng)上業(yè)務(wù)辦理FW/NAT/VPNFW/NAT為訪問(wèn)Internet用戶提供統(tǒng)一/基于VPN安全策略控制第27頁(yè)廣域網(wǎng)出口服務(wù)行業(yè)城域網(wǎng)PEPEASBRASBRAS 100AS 200支持option ABC

14、三類跨域MPLS VPN互通方式，實(shí)現(xiàn)園區(qū)內(nèi)VPN業(yè)務(wù)與廣域行業(yè)縱向VPN業(yè)務(wù)互通第28頁(yè)遠(yuǎn)程分支、辦公室經(jīng)過(guò)Internet接入PEMPLS Core VPN2（30：30）PECEGREoverIPSec隧道隧道綁定到VPN中GRE over IPSec在遠(yuǎn)程分支安全網(wǎng)關(guān)與園區(qū)網(wǎng)安全網(wǎng)關(guān)之間配置GREoverIPSec隧道： 遠(yuǎn)程分支接入到園區(qū)網(wǎng)內(nèi)部VPN是經(jīng)過(guò)將園區(qū)網(wǎng)網(wǎng)關(guān)GRE隧道Tunnel口綁定到目標(biāo)VPN來(lái)實(shí)現(xiàn)；IPSec隧道用戶對(duì)私網(wǎng)報(bào)文加密，確保私網(wǎng)通信保密性PEMPLS Core VPN2（30：30）PECEL2TPoverIPSec隧道隧道綁定到VPN中L2TP over

15、 IPSec移動(dòng)用戶使用L2TP over IPSec方式接入到園區(qū)網(wǎng)安全網(wǎng)關(guān)上， 經(jīng)過(guò)將園區(qū)網(wǎng)網(wǎng)關(guān)L2TP隧道VT口綁定到目標(biāo)VPN來(lái)實(shí)現(xiàn)接入用戶接入園區(qū)VPN；IPSec隧道用戶對(duì)私網(wǎng)報(bào)文加密，確保私網(wǎng)通信保密性外部用戶接入內(nèi)部VPN，并取得正確訪問(wèn)權(quán)限第29頁(yè)虛擬安全技術(shù)細(xì)化安全控制粒度部門1部門2部門3部門4PESecPath/ SecBlade虛擬防火墻技術(shù)安全策略一安全策略二安全策略三安全策略四針對(duì)不一樣業(yè)務(wù)，獨(dú)立、靈活安全策略布署多安全域、獨(dú)立管理員，實(shí)現(xiàn)分級(jí)管理處理IP地址沖突SecBlade FW模塊能在不改變網(wǎng)絡(luò)結(jié)構(gòu)情況下，實(shí)現(xiàn)交換機(jī)高速轉(zhuǎn)發(fā)和安全業(yè)務(wù)處理有機(jī)融合保護(hù)投資、

16、節(jié)約成本、易擴(kuò)展SecBlade FW第30頁(yè)統(tǒng)一DHCP服務(wù)MPLS VPN關(guān)鍵網(wǎng)集中DHCP服務(wù)器接入設(shè)備DHCP Relay多實(shí)例，不一樣VPN用戶動(dòng)態(tài)取得IP地址多VPN用戶共用同一臺(tái)DHCP服務(wù)器員工合作方訪客第31頁(yè)多業(yè)務(wù)端到端Qos支持能力corePEaccessPPE接入業(yè)務(wù)識(shí)別，修改IP報(bào)文DSCP/COSMPLS封裝，DSCP/COS到Exp字段映射，或優(yōu)先級(jí)管制依據(jù)Exp決定轉(zhuǎn)發(fā)優(yōu)先級(jí)MPLS去封裝，信任IP報(bào)文轉(zhuǎn)發(fā)優(yōu)先級(jí)或Exp-DSCP映射信任IP報(bào)文轉(zhuǎn)發(fā)優(yōu)先級(jí)整體Qos策略提供對(duì)關(guān)鍵業(yè)務(wù)平時(shí)和峰值時(shí)服務(wù)質(zhì)量確保第32頁(yè)整網(wǎng)設(shè)備/業(yè)務(wù)統(tǒng)一配置管理iMC MVM簡(jiǎn)化VP

17、N業(yè)務(wù)管理第33頁(yè)提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)處理方案處理方案推廣和引導(dǎo)策略處理方案市場(chǎng)價(jià)值第34頁(yè)經(jīng)典組網(wǎng)及設(shè)備關(guān)鍵交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心廣域網(wǎng)分支機(jī)構(gòu)FIT APFIT APInternetRPR2.5GH3C S9500/ S75EH3C S7500E/S9500H3C S3610/3600/5500EI /5510MCE/CEMCE/CEPEPEEAD認(rèn)證分支機(jī)構(gòu)L2TP over IPSec /GRE over IPSec出差用戶公眾用戶MPLS VPN通道企業(yè)/園區(qū)網(wǎng)N*E1PEPEPEPEMCE/CEPPPPSecPath 1000FSR8800/6600H

18、3C S7500E/S9500H3C S3610/55EI第35頁(yè)方案推廣及引導(dǎo)策略有明確業(yè)務(wù)隔離需求、少許業(yè)務(wù)互訪項(xiàng)目，要明確用戶業(yè)務(wù)模型和流量走向在大中型園區(qū)網(wǎng)項(xiàng)目中引導(dǎo)本公司虛擬化方案，小型網(wǎng)絡(luò)或設(shè)備層次較低情況引導(dǎo)傳統(tǒng)VLAN/ACL方案本公司方案可屏蔽除Cisco外其它廠商，引導(dǎo)時(shí)突出方案整體性，端到端業(yè)務(wù)隔離、訪問(wèn)權(quán)限集中控制、共享數(shù)據(jù)中心和統(tǒng)一服務(wù)應(yīng)用以及網(wǎng)絡(luò)、安全、存放等產(chǎn)品對(duì)虛擬化應(yīng)用支持第36頁(yè)提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)處理方案處理方案推廣和引導(dǎo)策略處理方案市場(chǎng)價(jià)值第37頁(yè)虛擬園區(qū)網(wǎng)處理方案市場(chǎng)價(jià)值節(jié)約網(wǎng)絡(luò)投資、降低重復(fù)建設(shè)：經(jīng)過(guò)資源虛擬化業(yè)務(wù)邏輯隔離，防止了業(yè)務(wù)、數(shù)據(jù)物理隔離需要網(wǎng)絡(luò)重復(fù)建設(shè)、應(yīng)用服務(wù)器、安全設(shè)備重復(fù)采購(gòu)缺點(diǎn)，提升了整體資源利用