H3C虛擬園區(qū)網(wǎng)解決方案

H3C虛擬園區(qū)網(wǎng)解決方案交流杭州華三通信技術(shù)提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案虛擬園區(qū)網(wǎng)解決方案總結(jié)網(wǎng)絡(luò)應(yīng)用面臨的挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴(kuò)展解決方案也越來越需要將多個網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。

傳統(tǒng)園區(qū)網(wǎng)絡(luò)的設(shè)計建議一直缺乏一種對網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供平安獨(dú)立環(huán)境的方式。傳統(tǒng)部署方案虛擬化簡介虛擬資源2物理資源虛擬資源1虛擬資源3VirtualPrivateNetworks設(shè)備的虛擬化效勞的虛擬化通道的虛擬化園區(qū)虛擬化的推動力法規(guī)遵從：局部企業(yè)受法律或規(guī)定的要求，必須對其內(nèi)部應(yīng)用或業(yè)務(wù)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。企業(yè)中存在不同級別的訪問權(quán)限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。簡化網(wǎng)絡(luò)、提高資源利用率：非常大型的網(wǎng)絡(luò)，如機(jī)場、大學(xué)等大型園區(qū)，為了保證各群組/部門業(yè)務(wù)的平安性，假設(shè)建設(shè)和管理多套物理網(wǎng)絡(luò)，既昂貴又難于管理。網(wǎng)絡(luò)整合：在進(jìn)行企業(yè)收購或合并時，需要能夠快速進(jìn)行網(wǎng)絡(luò)整合，把原來外部的網(wǎng)絡(luò)和業(yè)務(wù)迅速接入自己的網(wǎng)絡(luò)。典型虛擬化需求舉例--政務(wù)行政中心XX廳局yy廳局zz廳局行政中心行政中心當(dāng)前局部大中城市正在或?qū)⒁ㄔO(shè)的城市行政中心，將市內(nèi)大局部黨政相關(guān)部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公，同時又為公眾提供“一站式”業(yè)務(wù)辦理效勞。行政中心市民(效勞)中心審批大廳虛擬園區(qū)業(yè)務(wù)隔離邏輯關(guān)系部門A部門A部門BInternet廣域網(wǎng)園區(qū)網(wǎng)絡(luò)分支Y分支X數(shù)據(jù)中心公眾用戶為公眾用戶提供效勞的對外業(yè)務(wù)內(nèi)部用戶對外部數(shù)據(jù)區(qū)的業(yè)務(wù)內(nèi)部用戶訪問Internet部門內(nèi)部業(yè)務(wù)部門間共享業(yè)務(wù)廣域網(wǎng)接入業(yè)務(wù)Campus內(nèi)部私有數(shù)據(jù)內(nèi)部共享數(shù)據(jù)外部數(shù)據(jù)提綱虛擬園區(qū)網(wǎng)需求分析H3C虛擬園區(qū)網(wǎng)解決方案H3C虛擬園區(qū)網(wǎng)最正確實(shí)踐H3C虛擬園區(qū)網(wǎng)解決方案H3C完整的園區(qū)虛擬化解決方案包括接入控制、通道隔離、統(tǒng)一應(yīng)用三個局部，實(shí)現(xiàn)對整個園區(qū)網(wǎng)絡(luò)、應(yīng)用資源的虛擬化，提高資源的利用效率、降低管理的復(fù)雜度典型組網(wǎng)拓?fù)鋱D樓層接入核心交換層網(wǎng)管中心大樓會聚樓層接入數(shù)據(jù)中心WAN分支機(jī)構(gòu)外駐機(jī)構(gòu)公眾InternetRPR2.5G大樓會聚FITAPFITAP無線接入園區(qū)虛擬化技術(shù)討論二層VLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴(kuò)展，STP維護(hù)復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò)分布式ACL：需要嚴(yán)格的策略控制，靈活性差，可能配置錯誤，擴(kuò)展性、管理性差，適合某些特定場合VRF/MPLSVPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨(dú)立轉(zhuǎn)發(fā)表，擴(kuò)展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復(fù)雜園區(qū)的應(yīng)用推薦組合：VLAN+VRF，VRF+MPLSVPN。二三層隔離的融合，平安性高，防止大量的ACL配置問題，直觀、易維護(hù)、易擴(kuò)展H3C虛擬園區(qū)網(wǎng)解決方案整體思路用戶端點(diǎn)準(zhǔn)入控制對用戶的平安認(rèn)證和權(quán)限管理，使用H3CEAD解決方案〔支持portal、802.1X、VPN等認(rèn)證方式〕，在接入邊緣設(shè)備作認(rèn)證可以與無線終端與AP聯(lián)動，對無線接入用戶進(jìn)行認(rèn)證根據(jù)用戶認(rèn)證的結(jié)果動態(tài)下發(fā)VPN歸屬，控制訪問權(quán)限業(yè)務(wù)邏輯隔離共用物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLSVPN技術(shù)用戶通過CE\MCE設(shè)備接入，實(shí)現(xiàn)端到端的VPN隔離核心用MPLS標(biāo)簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專用的VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離支持端到端的QoSH3C虛擬園區(qū)網(wǎng)解決方案整體思路集中效勞管理為園區(qū)內(nèi)用戶提供統(tǒng)一的Internet\WAN出口，進(jìn)行集中監(jiān)控、管理網(wǎng)絡(luò)管理使用H3CiMC智能管理中心，內(nèi)嵌的MPLSVPNManager支持對MPLSVPN的專業(yè)管理各種管理\策略效勞器、應(yīng)用效勞器、存儲設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略效勞數(shù)據(jù)中心邏輯上分成三個區(qū)域：內(nèi)部專有數(shù)據(jù)區(qū)：僅為單部門或業(yè)務(wù)提供效勞內(nèi)部共享數(shù)據(jù)區(qū)：為網(wǎng)絡(luò)內(nèi)部全部或局部用戶提供共享效勞外部效勞區(qū)：為通過Internet接入的用戶提供給用效勞，如網(wǎng)上銀行、門戶網(wǎng)站等接入控制—端點(diǎn)準(zhǔn)入和身份識別不合格進(jìn)入隔離區(qū)強(qiáng)制加固隔離區(qū)安全認(rèn)證合法用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請求你是誰？園區(qū)網(wǎng)絡(luò)動態(tài)授權(quán)合格用戶不同用戶享受不同的網(wǎng)絡(luò)使用權(quán)限你安全嗎？你可以做什么？你在做什么？行為審計認(rèn)證通過的用戶能夠正常訪問相應(yīng)的網(wǎng)絡(luò)資源EAD：EndpointAdmissionDefense，端點(diǎn)準(zhǔn)入防御對不同的接入終端實(shí)施不同的平安和訪問策略接入控制—訪問權(quán)限動態(tài)下發(fā)PEvpn1VPN2vpn3VPN4用戶名：密碼下發(fā)VLANCAMS：VLAN對應(yīng)VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用戶名1：密碼VLAN11用戶名2：密碼VLAN22用戶名3：密碼VLAN33用戶名4：密碼VLAN44移動用戶接入：靈活辦公不改變VPN歸屬關(guān)系的位置靈活遷移根據(jù)認(rèn)證用戶名、密碼的不同，策略效勞器下發(fā)策略調(diào)整用戶VPN歸屬關(guān)系A(chǔ)P無線移動用戶靈活接入VPN園區(qū)核心網(wǎng)通道隔離—端到端的業(yè)務(wù)邏輯隔離核心交換層網(wǎng)管中心會聚層接入層數(shù)據(jù)中心FITAPFITAPMCE/CEPEEAD認(rèn)證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLSL3VPN提供端到端的業(yè)務(wù)隔離能力，并且通過RT屬性控制VPN間業(yè)務(wù)互訪通道隔離—部門業(yè)務(wù)的可控互訪Site-ASite-B多角色主機(jī)多用途效勞器Extranet組網(wǎng)虛擬園區(qū)網(wǎng)擴(kuò)容和升級核心交換層網(wǎng)管中心會聚層接入層數(shù)據(jù)中心FITAPFITAPMCE/CEMCE/CEPEPEEAD認(rèn)證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIP容易實(shí)現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)的擴(kuò)容升級PE統(tǒng)一應(yīng)用—集中化數(shù)據(jù)中心FirewallIPS會聚交換機(jī)IPSAN負(fù)載均衡器業(yè)務(wù)效勞器接入交換機(jī)A部門B部門C部門D部門X部門FirewallIPS會聚交換機(jī)IPSAN負(fù)載均衡器業(yè)務(wù)效勞器接入交換機(jī)ABCDXABBCall核心交換機(jī)核心交換機(jī)獨(dú)享資源效勞器區(qū)互訪和共享資源效勞器區(qū)獨(dú)享資源效勞器區(qū)通過邏輯隔離手段保證各部門對自身數(shù)據(jù)的獨(dú)享性共享資源效勞器區(qū)部署需要在不同部門間共享的數(shù)據(jù)資源外部效勞器區(qū)提供公眾業(yè)務(wù)、對外網(wǎng)站等效勞共享災(zāi)備中心為政務(wù)數(shù)據(jù)資源提供統(tǒng)一的備份容災(zāi)設(shè)施Internet對外網(wǎng)站、對公業(yè)務(wù)效勞區(qū)共享災(zāi)備中心園區(qū)數(shù)據(jù)中心MPLSVPNWAN數(shù)據(jù)中心虛擬化為全網(wǎng)用戶提供效勞，數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離統(tǒng)一應(yīng)用—高可用、高平安的出口效勞園區(qū)網(wǎng)管理中心城域網(wǎng)遠(yuǎn)程辦公/出差用戶核心交換機(jī)FWIPSRouterISP1ISP2Internet公眾用戶分部分部終結(jié)標(biāo)簽交換L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供訪問Internet使用門戶網(wǎng)站訪問、網(wǎng)上業(yè)務(wù)辦理FW/NAT/VPNFW/NAToptionA\B\C三類MPLSVPN跨域互通統(tǒng)一應(yīng)用—虛擬防火墻部門1部門2部門3部門4PESecPath/SecBlade園區(qū)網(wǎng)虛擬防火墻技術(shù)安全策略一安全策略二安全策略三安全策略四針對不同業(yè)務(wù)，獨(dú)立、靈活的平安策略部署多個邏輯防火墻，多平安域，獨(dú)立的管理員，實(shí)現(xiàn)分級管理解決IP地址沖突SecBladeFW模塊能在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下，實(shí)現(xiàn)交換機(jī)高速轉(zhuǎn)發(fā)和平安業(yè)務(wù)處理的有機(jī)融合保護(hù)投資、節(jié)約本錢、易擴(kuò)展SecBladeFW統(tǒng)一應(yīng)用—DHCP統(tǒng)一效勞MPLSVPN核心網(wǎng)集中DHCP效勞器接入設(shè)備DHCPRelay多實(shí)例，不同VPN用戶動態(tài)獲得IP地址多VPN用戶共用同一臺DHCP效勞器員工合作方訪客……統(tǒng)一應(yīng)用—整網(wǎng)平安綜合防護(hù)三級平安防護(hù)“整網(wǎng)平安綜合防護(hù)，平安事件，一網(wǎng)打盡”EADIPSFWFWSecBladeNAMASM數(shù)據(jù)中心EADEAD中心內(nèi)部用戶遠(yuǎn)程辦公/出差用戶IPSNSMrouterswitch統(tǒng)一應(yīng)用—iMC智能管理中樞端點(diǎn)準(zhǔn)入解決方案(EAD)行為審計解決方案(UBAS)平安聯(lián)動解決方案(SCC)流量清洗解決方案(NTC)

流量分析解決方案(NTA)

性能優(yōu)化解決方案(QoS)平安控制中心性能優(yōu)化中心運(yùn)營管理中心ITOIP開放智能管理中樞根底管理支撐根底網(wǎng)絡(luò)管理解決方案(NMS)用戶、資源、業(yè)務(wù)的融合管理資源人S業(yè)務(wù)首頁網(wǎng)絡(luò)、用戶、業(yè)務(wù)信息綜合概覽網(wǎng)絡(luò)網(wǎng)絡(luò)資源、故障、性能信息綜合管理用戶用戶接入、用戶平安統(tǒng)一管理業(yè)務(wù)流程化的業(yè)務(wù)流管理MPLSVPN業(yè)務(wù)專業(yè)化管理部署監(jiān)視調(diào)度審計鑒權(quán)iMCVPNManager

基于向?qū)絍PN業(yè)務(wù)發(fā)現(xiàn)、業(yè)務(wù)部署基于業(yè)務(wù)功能、用戶身份鑒權(quán)VPN中CE是通過哪些PE連起來的？VPN中CE的連接關(guān)系是什么？豐富直觀的VPN拓?fù)涔δ?/p>

VPN物理拓?fù)?/p>

VPN業(yè)務(wù)拓?fù)?/p>

直觀的VPN告警與性能監(jiān)控功能PEPEPEPEPEPEPPCECE

立即、定期配置審計、連通性審計為VPN網(wǎng)絡(luò)提供可靠性保證基于策略的VPN部署調(diào)整，為VPN業(yè)務(wù)運(yùn)營提供閉環(huán)保證方案討論—靈活業(yè)務(wù)訪問模式園區(qū)網(wǎng)絡(luò)1.用戶A可訪問Internet，不能訪問辦公網(wǎng)絡(luò)2.用戶A可訪問辦公網(wǎng)絡(luò)，不能訪問Internet3.用戶B可訪問辦公網(wǎng)絡(luò)，A和B訪問權(quán)限不同用戶A用戶B用戶C用戶D辦公網(wǎng)絡(luò)Internet用戶A、B、C、D分屬不同的部門，訪問權(quán)限不同用戶屢次獲取不同的訪問權(quán)限，滿足Internet、辦公上網(wǎng)及隔離的要求不同訪問權(quán)限的用戶平安隔離，以免資源被非法訪問CAMS實(shí)現(xiàn)方式一：GuestVlan+EAD園區(qū)網(wǎng)絡(luò)1.用戶默認(rèn)屬于GuestVlan，無須認(rèn)證2.Internet與GuestVlan能夠互通辦公網(wǎng)絡(luò)GVLAN10GVLAN20GVLAN30GVLAN40Internet用戶A用戶B用戶C用戶D實(shí)現(xiàn)方式一：GuestVlan+EAD園區(qū)網(wǎng)絡(luò)2.動態(tài)VLAN與辦公網(wǎng)絡(luò)互通辦公網(wǎng)絡(luò)Internet1.用戶啟動EAD認(rèn)證，動態(tài)下發(fā)VLAN和ACL用戶A用戶B用戶C用戶DDVLAN110DVLAN120DVLAN130DVLAN140實(shí)現(xiàn)方式二：EAD多效勞認(rèn)證園區(qū)網(wǎng)絡(luò)1.用戶分配多個域后綴@Internet，@shuiwu等，對應(yīng)多個效勞辦公網(wǎng)絡(luò)DVLAN10DVLAN20DVLAN30DVLAN140Internet用戶A用戶B用戶C