1、H3C虛擬園區(qū)網(wǎng)解決方案交流,杭州華三通信技術(shù)有限公司,提綱,園區(qū)虛擬化需求分析 H3C虛擬園區(qū)網(wǎng)解決方案 虛擬園區(qū)網(wǎng)解決方案總結(jié),網(wǎng)絡(luò)應(yīng)用面臨的挑戰(zhàn),園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴(kuò)展解決方案也越來(lái)越需要將多個(gè)網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。傳統(tǒng)園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)建議一直缺乏一種對(duì)網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨(dú)立環(huán)境的方式。,傳統(tǒng)部署方案,虛擬化簡(jiǎn)介,虛擬資源2,物理資源,虛擬資源1,虛擬資源3,Virtual Private Networks,設(shè)備的虛擬化,服務(wù)的虛擬化,通道的虛擬化,園區(qū)虛擬化的推動(dòng)力,法規(guī)遵從：部分企業(yè)受法律或規(guī)定的要求，必須對(duì)其內(nèi)部應(yīng)用或業(yè)務(wù)進(jìn)行分區(qū)。例如，在金融公司中，銀

2、行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。,企業(yè)中存在不同級(jí)別的訪問(wèn)權(quán)限：幾乎每個(gè)企業(yè)都需要解決方案來(lái)為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問(wèn)級(jí)別。,簡(jiǎn)化網(wǎng)絡(luò)、提高資源利用率：非常大型的網(wǎng)絡(luò)，如機(jī)場(chǎng)、大學(xué)等大型園區(qū)，為了保證各群組/部門業(yè)務(wù)的安全性，若建設(shè)和管理多套物理網(wǎng)絡(luò)，既昂貴又難于管理。,網(wǎng)絡(luò)整合：在進(jìn)行企業(yè)收購(gòu)或合并時(shí)，需要能夠快速進(jìn)行網(wǎng)絡(luò)整合，把原來(lái)外部的網(wǎng)絡(luò)和業(yè)務(wù)迅速接入自己的網(wǎng)絡(luò)。,典型虛擬化需求舉例-政務(wù)行政中心,XX廳局,yy廳局,zz廳局,行政中心,行政中心 當(dāng)前部分大中城市正在或?qū)⒁ㄔO(shè)的城市行政中心，將市內(nèi)大部分黨政相關(guān)部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公，

3、同時(shí)又為公眾提供“一站式”業(yè)務(wù)辦理服務(wù)。,行政中心,市民(服務(wù))中心,審批大廳,虛擬園區(qū)業(yè)務(wù)隔離邏輯關(guān)系,部門 A,部門 A,部門 B,Internet,廣域網(wǎng),園區(qū)網(wǎng)絡(luò),分支Y,分支X,數(shù)據(jù)中心,公眾用戶,為公眾用戶提供服務(wù)的對(duì)外業(yè)務(wù),內(nèi)部用戶對(duì)外部數(shù)據(jù)區(qū)的業(yè)務(wù),內(nèi)部用戶訪問(wèn)Internet,部門內(nèi)部業(yè)務(wù),部門間共享業(yè)務(wù),廣域網(wǎng)接入業(yè)務(wù),Campus,內(nèi)部私有數(shù)據(jù),內(nèi)部共享數(shù)據(jù),外部數(shù)據(jù),提綱,虛擬園區(qū)網(wǎng)需求分析 H3C虛擬園區(qū)網(wǎng)解決方案 H3C虛擬園區(qū)網(wǎng)最佳實(shí)踐,H3C虛擬園區(qū)網(wǎng)解決方案,H3C完整的園區(qū)虛擬化解決方案包括接入控制、通道隔離、統(tǒng)一應(yīng)用三個(gè)部分，實(shí)現(xiàn)對(duì)整個(gè)園區(qū)網(wǎng)絡(luò)、應(yīng)用資源的

4、虛擬化，提高資源的利用效率、降低管理的復(fù)雜度,典型組網(wǎng)拓?fù)鋱D,樓層接入,核心交換層,網(wǎng)管中心,大樓匯聚,樓層接入,數(shù)據(jù)中心,WAN,分支機(jī)構(gòu),外駐機(jī)構(gòu),公眾,Internet,RPR 2.5G,大樓匯聚,無(wú)線接入,園區(qū)虛擬化技術(shù)討論,二層VLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴(kuò)展，STP維護(hù)復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò) 分布式ACL：需要嚴(yán)格的策略控制，靈活性差，可能配置錯(cuò)誤，擴(kuò)展性、管理性差，適合某些特定場(chǎng)合 VRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個(gè)VPN獨(dú)立轉(zhuǎn)發(fā)表， 擴(kuò)展性好。 支持多種靈活的接入方式，配置管理簡(jiǎn)單、支持QoS，能夠滿足大型復(fù)雜園區(qū)的應(yīng)用 推薦組合

5、：VLAN+VRF，VRF+MPLS VPN。二三層隔離的融合，安全性高，避免大量的ACL配置問(wèn)題，直觀、易維護(hù)、易擴(kuò)展,H3C虛擬園區(qū)網(wǎng)解決方案整體思路,用戶端點(diǎn)準(zhǔn)入控制 對(duì)用戶的安全認(rèn)證和權(quán)限管理，使用H3C EAD解決方案（支持portal、802.1X、VPN等認(rèn)證方式），在接入邊緣設(shè)備作認(rèn)證 可以與無(wú)線終端與AP聯(lián)動(dòng)，對(duì)無(wú)線接入用戶進(jìn)行認(rèn)證 根據(jù)用戶認(rèn)證的結(jié)果動(dòng)態(tài)下發(fā)VPN歸屬，控制訪問(wèn)權(quán)限 業(yè)務(wù)邏輯隔離 共用物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLS VPN技術(shù) 用戶通過(guò)CEMCE設(shè)備接入，實(shí)現(xiàn)端到端的VPN隔離 核心用MPLS標(biāo)簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專用的VPN轉(zhuǎn)發(fā)

6、通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離 支持端到端的QoS,H3C虛擬園區(qū)網(wǎng)解決方案整體思路,集中服務(wù)管理 為園區(qū)內(nèi)用戶提供統(tǒng)一的InternetWAN出口，進(jìn)行集中監(jiān)控、管理 網(wǎng)絡(luò)管理使用H3C iMC智能管理中心，內(nèi)嵌的MPLS VPN Manager支持對(duì)MPLS VPN的專業(yè)管理 各種管理策略服務(wù)器、應(yīng)用服務(wù)器、存儲(chǔ)設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略服務(wù) 數(shù)據(jù)中心邏輯上分成三個(gè)區(qū)域： 內(nèi)部專有數(shù)據(jù)區(qū)：僅為單部門或業(yè)務(wù)提供服務(wù) 內(nèi)部共享數(shù)據(jù)區(qū)：為網(wǎng)絡(luò)內(nèi)部全部或部分用戶提供共享服務(wù) 外部服務(wù)區(qū)：為通過(guò)Internet接入的用戶提供應(yīng)用

7、服務(wù)，如網(wǎng)上銀行、門戶網(wǎng)站等,接入控制端點(diǎn)準(zhǔn)入和身份識(shí)別,EAD：Endpoint Admission Defense，端點(diǎn)準(zhǔn)入防御 對(duì)不同的接入終端實(shí)施不同的安全和訪問(wèn)策略,接入控制訪問(wèn)權(quán)限動(dòng)態(tài)下發(fā),PE,vpn1,VPN2,vpn3,VPN4,CAMS：,PE：,vlan11,vlan22,vlan33,vlan44,用戶名1：密碼 VLAN11,用戶名2：密碼 VLAN22,用戶名3：密碼 VLAN33,用戶名4：密碼 VLAN44,移動(dòng)用戶接入：靈活辦公,不改變VPN歸屬關(guān)系的位置靈活遷移,根據(jù)認(rèn)證用戶名、密碼的不同，策略服務(wù)器下發(fā)策略調(diào)整用戶VPN歸屬關(guān)系,AP,無(wú)線移動(dòng)用戶靈活接入

8、VPN,園區(qū)核心網(wǎng),通道隔離端到端的業(yè)務(wù)邏輯隔離,核心交換層,網(wǎng)管中心,匯聚層,接入層,數(shù)據(jù)中心,MCE/CE,PE,EAD認(rèn)證,MPLS VPN通道,企業(yè)/園區(qū)網(wǎng),PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/靜態(tài)路由/RIP,MPLS L3 VPN提供端到端的業(yè)務(wù)隔離能力，并且通過(guò)RT屬性控制VPN間業(yè)務(wù)互訪,通道隔離部門業(yè)務(wù)的可控互訪,Site-A,Site-B,多角色主機(jī) 多用途服務(wù)器 Extranet組網(wǎng),虛擬園區(qū)網(wǎng)擴(kuò)容和升級(jí),核心交換層,網(wǎng)管中心,匯聚層,接入層,數(shù)據(jù)中心,MCE/CE,MCE/CE,PE,PE,EAD認(rèn)證,MPLS VPN通道,企業(yè)/園

9、區(qū)網(wǎng),PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/靜態(tài)路由/RIP,容易實(shí)現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)的擴(kuò)容升級(jí),PE,統(tǒng)一應(yīng)用集中化數(shù)據(jù)中心,Firewall,IPS,匯聚交換機(jī),IP SAN,負(fù)載均衡器,業(yè)務(wù)服務(wù)器,接入交換機(jī),A部門,B部門,C部門,D部門,X部門,Firewall,IPS,匯聚交換機(jī),IP SAN,負(fù)載均衡器,業(yè)務(wù)服務(wù)器,接入交換機(jī),A,B,C,D,X,AB,BC,all,核心交換機(jī),核心交換機(jī),獨(dú)享資源服務(wù)器區(qū),互訪和共享資源服務(wù)器區(qū),獨(dú)享資源服務(wù)器區(qū)通過(guò)邏輯隔離手段保證各部門對(duì)自身數(shù)據(jù)的獨(dú)享性 共享資源服務(wù)器區(qū)部署需要在不同部門間共享的數(shù)據(jù)資源 外部服

10、務(wù)器區(qū)提供公眾業(yè)務(wù)、對(duì)外網(wǎng)站等服務(wù) 共享災(zāi)備中心為政務(wù)數(shù)據(jù)資源提供統(tǒng)一的備份容災(zāi)設(shè)施,Internet,對(duì)外網(wǎng)站、對(duì)公業(yè)務(wù)服務(wù)區(qū),共享災(zāi)備中心,園區(qū)數(shù)據(jù)中心,MPLS VPN,WAN,數(shù)據(jù)中心虛擬化為全網(wǎng)用戶提供服務(wù)，數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離,統(tǒng)一應(yīng)用高可用、高安全的出口服務(wù),園區(qū)網(wǎng),管理中心,城域網(wǎng),遠(yuǎn)程辦公/出差用戶,核心交換機(jī),FW,IPS,Router,ISP1,ISP2,Internet,公眾用戶,分部,分部,終結(jié)標(biāo)簽交換,L2TP over IPSec/ GRE over IPSec/ SSL VPN,ISP1供VPN接入使用,ISP2供訪問(wèn)Internet使用,門戶網(wǎng)站

11、訪問(wèn)、網(wǎng)上業(yè)務(wù)辦理,FW/NAT/VPN,FW/NAT,option ABC三類MPLS VPN跨域互通,統(tǒng)一應(yīng)用虛擬防火墻,針對(duì)不同業(yè)務(wù)，獨(dú)立、靈活的安全策略部署 多個(gè)邏輯防火墻，多安全域，獨(dú)立的管理員，實(shí)現(xiàn)分級(jí)管理 解決IP地址沖突 SecBlade FW模塊能在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下，實(shí)現(xiàn)交換機(jī)高速轉(zhuǎn)發(fā)和安全業(yè)務(wù)處理的有機(jī)融合 保護(hù)投資、節(jié)約成本、易擴(kuò)展,SecBlade FW,統(tǒng)一應(yīng)用 DHCP統(tǒng)一服務(wù),集中DHCP服務(wù)器,接入設(shè)備,DHCP Relay多實(shí)例，不同VPN用戶動(dòng)態(tài)獲得IP地址,多VPN用戶共用同一臺(tái)DHCP服務(wù)器,員工,合作方,訪客,統(tǒng)一應(yīng)用整網(wǎng)安全綜合防護(hù),三級(jí)安全防

12、護(hù),“整網(wǎng)安全綜合防護(hù)，安全事件，一網(wǎng)打盡”,EAD,IPS,FW,FW,SecBlade,NAM,ASM,數(shù)據(jù)中心,EAD,EAD,中心內(nèi)部用戶,遠(yuǎn)程辦公/出差用戶,IPS,NSM,router,switch,統(tǒng)一應(yīng)用 iMC智能管理中樞,端點(diǎn)準(zhǔn)入解決方案(EAD) 行為審計(jì)解決方案(UBAS) 安全聯(lián)動(dòng)解決方案(SCC) 流量清洗解決方案(NTC),流量分析解決方案(NTA) 性能優(yōu)化解決方案(QoS),安全控制中心,性能優(yōu)化中心,運(yùn)營(yíng)管理中心,ITOIP開放智能管理中樞,基礎(chǔ)管理支撐,基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS),用戶、資源、業(yè)務(wù)的融合管理,首頁(yè),網(wǎng)絡(luò)、用戶、業(yè)務(wù)信息綜合概覽,網(wǎng)絡(luò),網(wǎng)

13、絡(luò)資源、故障、性能信息綜合管理,用戶,用戶接入、用戶安全統(tǒng)一管理,業(yè)務(wù),流程化的業(yè)務(wù)流管理,MPLS VPN業(yè)務(wù)專業(yè)化管理,基于向?qū)絍PN業(yè)務(wù)發(fā)現(xiàn)、業(yè)務(wù)部署,基于業(yè)務(wù)功能、用戶身份鑒權(quán),基于策略的VPN部署調(diào)整，為VPN業(yè)務(wù)運(yùn)營(yíng)提供閉環(huán)保證,方案討論靈活業(yè)務(wù)訪問(wèn)模式,園區(qū)網(wǎng)絡(luò),1.用戶A可訪問(wèn)Internet，不能訪問(wèn)辦公網(wǎng)絡(luò),2.用戶A可訪問(wèn)辦公網(wǎng)絡(luò)，不能訪問(wèn)Internet,3.用戶B可訪問(wèn)辦公網(wǎng)絡(luò)，A和B訪問(wèn)權(quán)限不同,用戶A,用戶B,用戶C,用戶D,辦公網(wǎng)絡(luò),Internet,用戶A、B、C、D分屬不同的部門，訪問(wèn)權(quán)限不同,用戶多次獲取不同的訪問(wèn)權(quán)限，滿足Internet、辦公上網(wǎng)及隔

14、離的要求,不同訪問(wèn)權(quán)限的用戶安全隔離，以免資源被非法訪問(wèn),CAMS,實(shí)現(xiàn)方式一：Guest Vlan+EAD,園區(qū)網(wǎng)絡(luò),1.用戶默認(rèn)屬于Guest Vlan，無(wú)須認(rèn)證,2. Internet與Guest Vlan能夠互通,辦公網(wǎng)絡(luò),GVLAN 10,GVLAN 20,GVLAN 30,GVLAN 40,Internet,用戶A,用戶B,用戶C,用戶D,實(shí)現(xiàn)方式一：Guest Vlan+EAD,園區(qū)網(wǎng)絡(luò),2.動(dòng)態(tài)VLAN與辦公網(wǎng)絡(luò)互通,辦公網(wǎng)絡(luò),Internet,1.用戶啟動(dòng)EAD認(rèn)證，動(dòng)態(tài)下發(fā)VLAN和ACL,用戶A,用戶B,用戶C,用戶D,DVLAN 110,DVLAN 120,DVLAN 130,DVLAN 140,實(shí)現(xiàn)方式二：EAD多服務(wù)認(rèn)證,園區(qū)網(wǎng)絡(luò),1.用戶分配多個(gè)域后綴Internet，shuiwu等，對(duì)應(yīng)多個(gè)服務(wù),辦公網(wǎng)絡(luò),DVLAN 10,DVLAN 20,DVLAN 30,DVLAN 140,Internet,用戶A,用戶B,用戶C,用戶D,2.用戶使用Internet認(rèn)證，下發(fā)Interne