H3C虛擬園區(qū)網(wǎng)解決方案交流杭州華三通信技術(shù)有限公司C-Marketing張建偉提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導(dǎo)策略解決方案市場價值網(wǎng)絡(luò)應(yīng)用面臨的挑戰(zhàn)隨著對園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴展解決方案也越來越需要將多個網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。傳統(tǒng)的園區(qū)網(wǎng)絡(luò)的設(shè)計建議一直缺乏一種對網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨立環(huán)境的方式。傳統(tǒng)部署方案網(wǎng)絡(luò)應(yīng)用面臨的挑戰(zhàn)分層、模塊化的部署≠

虛擬化虛擬化簡介虛擬資源2物理資源虛擬資源1虛擬資源3VirtualPrivateNetworks設(shè)備的虛擬化服務(wù)的虛擬化通道的虛擬化園區(qū)虛擬化的推動力法規(guī)遵從：部分企業(yè)受法律或規(guī)定的要求，必須對其內(nèi)部應(yīng)用或業(yè)務(wù)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。企業(yè)中存在不同級別的訪問權(quán)限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。簡化網(wǎng)絡(luò)、提高資源利用率：非常大型的網(wǎng)絡(luò)，如機場、大學(xué)等大型園區(qū)，為了保證各群組/部門業(yè)務(wù)的安全性，需要建設(shè)和管理多套物理網(wǎng)絡(luò)，既昂貴又難于管理。網(wǎng)絡(luò)整合：在進(jìn)行企業(yè)收購或合并時，需要能夠快速進(jìn)行網(wǎng)絡(luò)整合，把原來外部的網(wǎng)絡(luò)和業(yè)務(wù)迅速接入自己的網(wǎng)絡(luò)。行業(yè)虛擬化需求行業(yè)虛擬化需求政府政務(wù)/行政中心，多個部門在一棟或幾棟大樓里、共用一套物理網(wǎng)絡(luò)，但需要不同部門業(yè)務(wù)安全隔離；給有互訪需求的部門提供通道；提供與同一系統(tǒng)內(nèi)上下一級辦公專網(wǎng)的互連制造業(yè)一個大企業(yè)園區(qū)，需要生產(chǎn)平臺、管理運營、銷售、安保監(jiān)控業(yè)務(wù)隔離金融銀行的辦公網(wǎng)、金融服務(wù)大廳、自助服務(wù)平臺、安保監(jiān)控業(yè)務(wù)隔離醫(yī)療各科室門診業(yè)務(wù)、住院管理、藥品管理、財務(wù)管理、病房上網(wǎng)業(yè)務(wù)等教育分離學(xué)生上網(wǎng)、院系辦公、教學(xué)管理、外部科研院所業(yè)務(wù)，但同一部門分布在不同大樓里的辦公室要能夠資源共享，同時對Internet出口、郵件、公告等共享服務(wù)進(jìn)行集中控制管理大型綜合園區(qū)內(nèi)部各企業(yè)、機構(gòu)分布在不同的大樓里，共用相同的網(wǎng)絡(luò)核心設(shè)備和Internet出口，內(nèi)部各企業(yè)、機構(gòu)關(guān)系復(fù)雜，既有需要共享的數(shù)據(jù)、也有需要隔離開的業(yè)務(wù)典型虛擬化需求舉例--政務(wù)行政中心XX廳局yy廳局zz廳局行政中心行政中心

當(dāng)前部分大中城市正在或?qū)⒁ㄔO(shè)的城市行政中心，將市內(nèi)大部分黨政相關(guān)部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公，同時又為公眾提供“一站式”業(yè)務(wù)辦理服務(wù)。行政中心市民(服務(wù))中心審批大廳行政中心內(nèi)部業(yè)務(wù)邏輯關(guān)系財政稅務(wù)市府發(fā)改委法院數(shù)據(jù)中心縣政府縣財政廣域網(wǎng)路由器Internet市府發(fā)改委稅務(wù)財政公共服務(wù)Internet出口公眾服務(wù)行政中心內(nèi)各部門協(xié)同辦公，各部門業(yè)務(wù)系統(tǒng)橫向隔離、少量有互訪需求，縱向與電子政務(wù)網(wǎng)業(yè)務(wù)互通行政中心政務(wù)網(wǎng)省政府省財政提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導(dǎo)策略解決方案市場價值H3C虛擬園區(qū)網(wǎng)解決方案邏輯圖H3C園區(qū)虛擬化解決方案邏輯圖H3C虛擬園區(qū)網(wǎng)解決方案H3C園區(qū)虛擬化整體解決方案邏輯上包括下邊三個部分：接入控制：接入控制能夠保證網(wǎng)絡(luò)訪問的安全和接入用戶正確獲得訪問相關(guān)資源的權(quán)限。園區(qū)虛擬化解決方案接入控制采用H3C的EAD認(rèn)證系統(tǒng)，通過認(rèn)證的用戶才能獲得對相關(guān)資源的訪問和使用；并通過中央服務(wù)器和客戶端的配合，監(jiān)控接入用戶的安全狀態(tài)，如操作系統(tǒng)補丁、防火墻是否啟動、補丁狀態(tài)、是否攜帶病毒等。通道隔離：通過MPLSVPN技術(shù)對不同的應(yīng)用、業(yè)務(wù)和群組用戶進(jìn)行安全隔離，提高數(shù)據(jù)傳輸保密性和安全性，為用戶業(yè)務(wù)傳輸提供端到端的安全保證。統(tǒng)一應(yīng)用：應(yīng)用服務(wù)區(qū)通過計算虛擬化、存儲虛擬化、虛擬安全等技術(shù)，為整網(wǎng)的隔離用戶提供統(tǒng)一的安全策略部署、數(shù)據(jù)中心服務(wù)、流量監(jiān)控、Internet/WAN訪問服務(wù)等。典型組網(wǎng)拓?fù)鋱D樓層接入核心交換層網(wǎng)管中心大樓匯聚樓層接入數(shù)據(jù)中心WAN分支機構(gòu)外駐機構(gòu)公眾InternetRPR2.5G大樓匯聚FITAPFITAP無線接入接入控制--安全防護(hù)MPLS/VPN核心網(wǎng)數(shù)據(jù)中心認(rèn)證隔離區(qū)Cams安全策略服務(wù)器:用戶認(rèn)證、安全策略管理中心,策略下發(fā)安全狀態(tài)評估、安全事件處理、用戶隔離控制xLog管理服務(wù)器:用戶行為審計、用戶上網(wǎng)日志聯(lián)動跟蹤Cams安全策略代理:分布式安全策略控制代理，確保安全策略服務(wù)器安全第三方防病毒服務(wù)器、補丁升級服務(wù)器:提供病毒庫升級和系統(tǒng)補丁修復(fù)服務(wù)安全聯(lián)動設(shè)備:動態(tài)ACL隔離、服務(wù)策略控制iNode客戶端:1x認(rèn)證、Portal認(rèn)證、VPN認(rèn)證、病毒庫版本檢測、補丁檢測、協(xié)同與聯(lián)動、安全策略實施、安全事件上報接入交換機(二層、三層)匯聚交換機PEPEPVPN安全網(wǎng)關(guān):遠(yuǎn)程用戶VPN認(rèn)證EAD認(rèn)證接入控制--權(quán)限下發(fā)MPLSVPN核心網(wǎng)用戶名：密碼下發(fā)VLAN用戶名1：密碼VLAN11用戶名2：密碼VLAN22用戶名3：密碼VLAN33用戶名4：密碼VLAN44集中控制服務(wù)器接入設(shè)備根據(jù)集中控制策略服務(wù)器下發(fā)策略，調(diào)整端口所屬VLAN，從而控制用戶加入的VPNVPNVLAN根據(jù)認(rèn)證的用戶名/密碼，下發(fā)策略，分配用戶相應(yīng)的訪問權(quán)限虛擬服務(wù)的集中策略控制員工合作方訪客……EAD+MPLSVPN靈活的權(quán)限控制接入方式：二層接入、三層接入VPN接入：單個接入設(shè)備下包含一組Site用戶(CE)、單個接入設(shè)備下包含多組Site用戶(MCE)不改變VPN歸屬關(guān)系的位置靈活遷移根據(jù)認(rèn)證用戶名、密碼的不同，策略服務(wù)器下發(fā)策略調(diào)整用戶VPN歸屬關(guān)系A(chǔ)P無線移動用戶靈活接入VPN核心網(wǎng)通道隔離--設(shè)備虛擬化IPSwitchingMPLSSwitchingVLANInterface/PhysicalportMPLSVPNPE邏輯上把設(shè)備的路由表/轉(zhuǎn)發(fā)表劃分成幾個不同的路由/轉(zhuǎn)發(fā)表，分別與VPN映射起來，執(zhí)行不同的路由/轉(zhuǎn)發(fā)規(guī)則，如配置不同的默認(rèn)路由、策略路由等通道隔離技術(shù)比較--VLAN適合小型網(wǎng)絡(luò)用戶邏輯隔離廣播域占用帶寬資源，鏈路利用率低二層網(wǎng)絡(luò)不適合大規(guī)模應(yīng)用，網(wǎng)絡(luò)收斂速度慢需要配置較多的二層特性，配置管理相對復(fù)雜通道隔離技術(shù)比較--分布式ACL適合一些規(guī)模不大、特性的組網(wǎng)使用需要嚴(yán)密的策略控制，配置管理復(fù)雜無法提供端到端的隔離業(yè)務(wù)/網(wǎng)絡(luò)調(diào)整時需要更改大量配置嚴(yán)格限制可移動性支持園區(qū)內(nèi)用戶群組any-to-any的應(yīng)用能夠提供安全的端到端業(yè)務(wù)隔離，接入方式靈活適合大規(guī)模網(wǎng)絡(luò)應(yīng)用，可擴展性好良好的可移動性要求設(shè)備支持VRF/MPLSVPN通道隔離技術(shù)比較--VRF+MPLSVPN√端到端業(yè)務(wù)的邏輯隔離核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEPEEAD認(rèn)證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLSL3VPN提供端到端的業(yè)務(wù)隔離能力，并且通過RT屬性控制VPN間業(yè)務(wù)互訪VPN互訪和資源共享VPN/VRF間路由引入，實現(xiàn)跨VRF路由查找匹配路由跨VRF轉(zhuǎn)發(fā)，實現(xiàn)VPN互訪和共享共享VPN多角色主機虛擬園區(qū)網(wǎng)擴容和升級核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEMCE/CEPEPEEAD認(rèn)證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIP容易實現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)的擴容升級PE網(wǎng)絡(luò)的快速整合12廣域可擴充性園區(qū)網(wǎng)園區(qū)網(wǎng)MplscoreVMWarePEPEppPEPEA部門的資源B部門的資源C部門的資源AB共享的資源BC共享的資源ABC共享的資源A部門B部門C部門A部門B部門vlan虛擬FWM_VRF獨享資源服務(wù)器區(qū)共享資源服務(wù)器區(qū)數(shù)據(jù)中心核心IV5000邏輯隔離延伸至數(shù)據(jù)中心統(tǒng)一服務(wù)--共享數(shù)據(jù)中心FirewallIPS匯聚交換機IPSAN負(fù)載均衡器業(yè)務(wù)服務(wù)器接入交換機A部門B部門C部門D部門X部門FirewallIPS匯聚交換機IPSAN負(fù)載均衡器業(yè)務(wù)服務(wù)器接入交換機ABCDXABBCall核心交換機核心交換機獨享資源服務(wù)器區(qū)互訪和共享資源服務(wù)器區(qū)獨享資源服務(wù)器區(qū)通過邏輯隔離手段保證各部門對自身數(shù)據(jù)的獨享性。共享資源服務(wù)器區(qū)部署需要在不同部門間共享的數(shù)據(jù)資源。外部服務(wù)器區(qū)提供公眾業(yè)務(wù)、對外網(wǎng)站等服務(wù)共享災(zāi)備中心為政務(wù)數(shù)據(jù)資源提供統(tǒng)一的備份容災(zāi)設(shè)施。Internet對外網(wǎng)站、對公業(yè)務(wù)服務(wù)區(qū)共享災(zāi)備中心數(shù)據(jù)中心MPLSVPNWAN數(shù)據(jù)中心虛擬化為全網(wǎng)用戶提供服務(wù)，數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離統(tǒng)一的園區(qū)出口服務(wù)campus管理中心行業(yè)城域網(wǎng)……遠(yuǎn)程辦公/出差用戶核心交換機FWIPSRouterISP1ISP2Internet公眾用戶分支機構(gòu)外駐機構(gòu)外部辦公室終結(jié)標(biāo)簽交換L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供訪問Internet使用門戶網(wǎng)站訪問、網(wǎng)上業(yè)務(wù)辦理FW/NAT/VPNFW/NAT為訪問Internet的用戶提供統(tǒng)一/基于VPN的安全策略控制廣域網(wǎng)出口服務(wù)行業(yè)城域網(wǎng)……PEPEASBRASBRAS100AS200支持optionA\B\C三類跨域MPLSVPN互通方式，實現(xiàn)園區(qū)內(nèi)VPN業(yè)務(wù)與廣域行業(yè)縱向VPN業(yè)務(wù)的互通遠(yuǎn)程分支、辦公室通過Internet接入PEMPLSCoreVPN2（30：30）PECEGREoverIPSec隧道隧道綁定到VPN中GREoverIPSec在遠(yuǎn)程分支的安全網(wǎng)關(guān)與園區(qū)網(wǎng)的安全網(wǎng)關(guān)之間配置GREoverIPSec隧道：遠(yuǎn)程分支接入到園區(qū)網(wǎng)內(nèi)部VPN是通過將園區(qū)網(wǎng)網(wǎng)關(guān)GRE隧道的Tunnel口綁定到目標(biāo)VPN來實現(xiàn)的；IPSec隧道用戶對私網(wǎng)報文加密，確保私網(wǎng)通信的保密性PEMPLSCoreVPN2（30：30）PECEL2TPoverIPSec隧道隧道綁定到VPN中L2TPoverIPSec移動用戶使用L2TPoverIPSec方式接入到園區(qū)網(wǎng)安全網(wǎng)關(guān)上，通過將園區(qū)網(wǎng)網(wǎng)關(guān)L2TP隧道的VT口綁定到目標(biāo)VPN來實現(xiàn)接入用戶接入園區(qū)VPN；IPSec隧道用戶對私網(wǎng)報文加密，確保私網(wǎng)通信的保密性外部用戶接入內(nèi)部VPN，并獲得正確的訪問權(quán)限虛擬安全技術(shù)細(xì)化安全控制粒度部門1部門2部門3部門4PESecPath/SecBlade虛擬防火墻技術(shù)安全策略一安全策略二安全策略三安全策略四針對不同業(yè)務(wù)，獨立、靈活的安全策略部署多安全域、獨立的管理員，實現(xiàn)分級管理解決IP地址沖突SecBladeFW模塊能在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下，實現(xiàn)交換機高速轉(zhuǎn)發(fā)和安全業(yè)務(wù)處理的有機融合保護(hù)投資、節(jié)約成本、易擴展SecBladeFW統(tǒng)一DHCP服務(wù)MPLSVPN核心網(wǎng)集中DHCP服務(wù)器接入設(shè)備DHCPRelay多實例，不同VPN用戶動態(tài)獲得IP地址多VPN用戶共用同一臺DHCP服務(wù)器員工合作方訪客……多業(yè)務(wù)端到端的Qos支持能力corePEaccessPPE接入業(yè)務(wù)識別，修改IP報文DSCP/COSMPLS封裝，DSCP/COS到Exp字段映射，或優(yōu)先級管制根據(jù)Exp決定轉(zhuǎn)發(fā)優(yōu)先級MPLS去封裝，信任IP報文轉(zhuǎn)發(fā)優(yōu)先級或Exp->DSCP映射信任IP報文轉(zhuǎn)發(fā)優(yōu)先級整體Qos策略提供對關(guān)鍵業(yè)務(wù)平時和峰值時的服務(wù)質(zhì)量保證整網(wǎng)設(shè)備/業(yè)務(wù)的統(tǒng)一配置管理iMCMVM簡化VPN業(yè)務(wù)管理提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導(dǎo)策略解決方案市場價值典型組網(wǎng)及設(shè)備核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心廣域網(wǎng)分支機構(gòu)FITAPFITAPInternetRPR2.5GH3CS9500/S75EH3CS7500E/S9500H3CS3610/3600/5500EI/5510MCE/CEMCE/CEPEPEEAD認(rèn)證分支機構(gòu)L2TPoverIPSec/GREoverIPSec出差用戶公眾用戶MPLSVPN通道企業(yè)/園區(qū)網(wǎng)N*E1PEPEPEPEMCE/CEPPPPSecPath1000FSR8800/6600H3CS7500E/S9500H3CS36