H3C虚拟园区网解决方案交流信有杭州华三通信技术有限公司提纲园区虚拟化需求分析H3C虚拟园区网解决方案虚拟园区网解决方案总结网络应用面临的挑战传统部署方案园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。用户组进行逻辑分区。传统园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭传统园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭用户组提供安全独立环境的方式。用户组提供安全独立环境的方式。虚拟化简介设备的虚拟化服务的虚拟化通道的虚拟化虚拟资源2虚拟资源1虚拟资源3VirtualPrivateNetworks物理资源园区虚拟化的推动力法规遵从:部分企业受法律或规定的要求必须对其内部应用或业务进行分区法规遵从:部分企业受法律或规定的要求,必须对其内部应用或业务进行分区。例如,在金融公司中,银行业务必须与证券交易业务分开。企业中存在不同级别的访问权限:几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。简化网络、提高资源利用率:非常大型的网络,如机场、大学等大型园区,为了保证各群组/部门业务的安全性若建设和管理多套物理网络既昂贵又难了保证各群组/部门业务的安全性,若建设和管理多套物理网络,既昂贵又难于管理。网络整合:在进行企业收购或合并时,需要能够快速进行网络整合,把原来外部的网络和业务迅速接入自己的网络。厅局行政中心当前部分大中城市正在或将要建设的城市行政中心,将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公,同时又为公众提供“一站式”业务办理服务务。行政中心行政中心市民(服务)审批大厅行政中心行政中心市民(服务)中心审批大厅虚拟园区业务隔离逻辑关系数据中心数据中心公众用户为公众用户提供内部用户对外部数据区的业务园区网络为公众用户提供服务的对外业务部门内部业务园区网络内部用户访问Internet部门间共享业务广域网分支X部门A部门A部门B分支Y广域网接入业务Campus虚拟园区网解决方案H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源的利用效率、降低管理的复杂度楼层接入楼层接入园区虚拟化技术讨论二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、难以管理和定位,适合小型网络分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展性、管理性差,适合某些特定场合VRF/MPLSVPN:三层隔离技术,业务隔离性好,每个VPN独立转发表扩展性好支持多种灵活的接入方式配置管理简单支持QS发表,扩展性好。支持多种灵活的接入方式,配置管理简单、支持QoS,能够满足大型复杂园区的应用推荐组合:VLAN+VRF,VRF+MPLSVPN。二三层隔离的融合,安全性高避免大量的ACL配置问题直观易维护易扩展全性高,避免大量的ACL配置问题,直观、易维护、易扩展H3C虚拟园区网解决方案整体思路用户端点准入控制对用户的安全认证和权限管理,使用H3CEAD解决方案(支持portal、802.1X、VPN等认证方式),在接入边缘设备作认证可以与无线终端与AP联动,对无线接入用户进行认证根据用户认证的结果动态下发VPN归属,控制访问权限业务逻辑隔离共用物理网络,逻辑隔离使用VRF+MPLSVPN技术用户通过CE\MCE设备接入,实现端到端的VPN隔离核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离支持端到端的QoSH3C虚拟园区网解决方案整体思路集中服务管理集中服务管理为园区内用户提供统一的Internet\WAN出口,进行集中监控、管理网络管理使用H3CiMC智能管理中心,内嵌的MPLSVPNManager支持对MPLSVPN的专业管理各种管理\策略服务器、应用服务器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略服务数据中心逻辑上分成三个区域数据中心逻辑上分成三个区域:内部专有数据区:仅为单部门或业务提供服务内部共享数据区为网络内部全部或部分用户提供共享服务内部共享数据区:为网络内部全部或部分用户提供共享服务外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、门户网站等接入控制—端点准入和身份识别你安全吗?你可以做认证通过安全认证安全认证身份认证身份认证动态授权动态授权你安全吗?你可以做什么?认证通过的用户能够正常访问相应的网络资源不合格不合格合法用户合法用户非法用户非法用户接入请求接入请求园区网络园区网络合格用户合格用户不同用户不同用户不合格不合格进入隔离区进入隔离区强制加固强制加固非法用户非法用户拒绝入网拒绝入网你是谁?不同用户不同用户享受不同享受不同的网络使的网络使用权限用权限隔离区隔离区你是谁?你在做行为审计行为审计你在做什么?EAD:EndpointAdmissionDefense,端点准入防御对不同的接入终端实施不同的安全和访问策略接入控制—访问权限动态下发PE:vpn1VPN2vpn3VPN4VLAN对应VPNVLAN11VPN1PEVLAN22VPN2VLAN33VPN3VLAN44VPN4CAMS:VLAN44VPN4vlan11用户名:密码下发VLAN用户名1:密码VLAN11用户名2:密码VLAN22用户名2:密码VLAN22用户名3:密码VLAN33用户名4:密码VLAN44移动用户接入:灵活办公园区核心网AP根据认证用户名、密码的不同,策略服务器下发策略调无线移动用户灵活接入VPN不改变VPN归属关系的位置灵活迁移器下发策略调整用户VPN归属关系通道隔离—端到端的业务逻辑隔离网管中心数据中心PEMPLSL3VPN提供端核心交换层网管中心PPOSPF到端的业务隔离能力,并且通过RT属性控制VPN间业务互访核心交换层企业/园区网PPVPN间业务互访汇聚层MCE/CEPEPEPEPEMCE/CEospf/静态路由/RIP接入层FITAPFITAPEAD认证MPLSVPN通道通道隔离—部门业务的可控互访Site-ASite-B多角色主机多角色主机多用途服务器Extranet组网虚拟园区网扩容和升级网管中心数据中心PE核心交换层网管中心PPOSPF核心交换层企业/园区网PP容易实现业务和网络的扩容升级汇聚层MCE/CEMCE/CEPEPEPEPEPEMCE/CEospf/静态路由/RIPPE接入层FITAPFITAPMCE/CEEAD认证MPLSVPN通道统一应用—集中化数据中心独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性数据中心虚拟化为全网用户提供服务,数据中心内部可物理隔离也可逻辑隔离独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性共享资源服务器区部署需要在不同部门间共享的数据资源外部服务器区提供公众业务、对外网站等服务共享灾备中心为政务数据资源提供统的备份容灾设施A部门B部门C部门D部门X部门共享灾备中心为政务数据资源提供统一的备份容灾设施InternetMPLSVPN核心交换机核心交换机MPLSVPNFirewallIPS汇聚交换机负载均衡器业务服务器接入交换机FirewallIPS汇聚交换机负载均衡器业务服务器接入交换机对外网站、对公业务服务区IPSANIPSANABCDXABBCall独享资源服务器区互访和共享资源服务器区共享灾备WAN共享灾备中心园区数据中心统一应用—高可用、高安全的出口服务远办/分部分部ISP1供VPN接城域网远程办公/出差用户ISP1L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用FW/NAT/VPN城域网FWIPSISP2ISP2供访问Internet使用FW/NAToptionA\B\C三类MPLSVPN跨域互通核心交换机Router公众用户终结标签交换门户网站访问、网上业务办理园区网管理中心核心交换机统一应用—虚拟防火墙虚拟防火墙技术SecPath/SecBlade虚拟防火墙技术PE针对不同业务,独立、灵活的安全SecBladeFWPE园区网策略部署多个逻辑防火墙,多安全域,独立的管理员实现分级管理部门1部门2部门3部门4的管理员,实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络安全策略一安全策略二安全策略三SecBladeFW模块能在不改变网络结构的情况下,实现交换机高速转发和安全业务处理的有机融合安策略安全策略四保护投资、节约成本、易扩展统一应用—DHCP统一服务集中DHCP服务器MPLSVPN核心网多多VPNVPN用户共用同台用户共用同台接入设备多多VPNVPN用户共用同一台用户共用同一台DHCPDHCP服务器服务器DHCPRelay多实例,不同VPN用户动态获得IP地址员工合作方访客……访客统一应用—整网安全综合防护SecBladeSecBlade三级安全防护三级安全防护IPSIPSSecBladeSecBlade数据中心NAMASMASM数据中心远程办公/switchswitchEADEADFWFWEADEADEADEAD中心内部用户远程办公/出差用户IPSIPSNSMrouterrouter““整网安全综合防护,安整网安全综合防护,安FWFWNSM全事件,一网打尽”全事件,一网打尽”统一应用—iMC智能管理中枢ITOIP开放智能管理中枢安全控制中心性能优化中心运营管理中心•端点准入解决方案(EAD)•行为审计解决方案(UBAS)•流量分析解决方案(NTA)•性能优化解决方案(QoS)安全控制中心性能优化中心运营管理中心•行为审计解决方案(UBAS)•安全联动解决方案(SCC)•流量清洗解决方案(NTC)•性能优化解决方案(QoS)流量清洗解决方案(NTC)基础管理支撑•基础网络管理解决方案(NMS)用户、资源、业务的融合管理人首页网络、用户、业务信息综合概览用户用户接入、用户安全统一管理业务网络络资故障性能信息综合管业务资源网络资源、故障、性能信息综合管理流程化的业务流管理S连起来的?丰富直观的VPN拓扑功能直观的VPN告警与性能监控功能部署监视VPN物理拓扑VPN业务拓扑鉴权iMCVPNManager基于向导式VPN业务发现、业务部署VPN中CE的连接关系是什么?调度审计基于策略的VPN部署调整,为VPN业务运营提供闭环保证基于业务功能PEPEPEPEPPCECE基于业务功能、用户