思科业务就绪园区解决方案思科业务就绪园区解决方案思科园区虚拟专用网解决方案企业的不断扩张引发了对于前所未有的网络灵活性和安全性的要求。怎样在不中断现有基础设施的情况下满足这些要求?今天的企业园区网络从以太网交换面世以来,园区LAN的设计已经经历了巨大的发展变化。很多技术改进和丰富的实际经验共同构建了今天的网络设计理念。随着园区LAN的扩建,企业迫切需要对网络进行划分――按照用户、地点或者职能。最初,虚拟LAN(VLAN)和生成树协议为将LAN划分为多个虚拟网络提供了一种有效的机制,可以满足企业对于划分多个使用共同基础设施的群组的需求。但是,这个解决方案很难扩展。随着能够执行路由任务的多层交换机的出现,可扩展性和可用性变成了比将网络划分为多个虚拟实体更加重要的设计标准。因此,今天的园区LAN是一个汇集了交换式和路由式平台的服务的网络,可以实现最佳的模块性、可扩展性和高可用性。以前的园区设计方案都没有为区分网络中的流量提供一种便捷的方法,因而无法为园区中的封闭用户群组提供一个安全的、独立的环境。思科园区虚拟专用网(VPN)解决方案一方面保留了当今园区设计的优点,另一方面又通过在现有的LAN上叠加VPN机制,添加了将网络划分为多个安全虚拟网络的功能和优势。与此同时,这个解决方案还解决了分布式地部署服务和安全策略的问题。通过集中管理共享服务和应用安全策略,可以大幅度地降低维护园区的不同群组共享的安全策略和服务所需要的资本和运营开支。挑战在所有企业中都存在拥有不同需求的用户群组。这些群组之间的很多差异都转变成了不同的网络需求。在有些企业中,不同群组的需求只是略微有所不同。但是在其他一些企业中,这些需求的差异如此之大,以至于不同的群组需要被IT视为完全不同的客户。在区别对待不同群组时,IT部门需要:z在群组之间确保完全的保密性z为每个群组提供独立的路由域和地址空间z为每个群组部署不同的计费机制z为每个群组执行不同的安全策略z有效地管理和扩展所有上述能力保持这些群组的独立性和安全性是IT部门面临的一个艰巨的挑战,尤其是伴随着无线网络和用户移动的出现。设想一下不同企业的不同网络需求。一个极端是这样一些企业:尽管他们希望划分用户群组,但是这并不是他们的首要任务。这种企业的流量划分问题看起来可以方便地通过选择适当的布线和防火墙位置解决。例如,这些公司可能希望来宾只能从特定区域(包括大厅或者来宾会议室)访问网络,以便利用防火墙将他们与网络其他部分隔开。这种做法可以有效地区分来宾和员工。但是,在需要将用户进一步区分为来宾、承包商、工程师、管理层、薪酬人员时,这种区别方式就会变得有些复思科业务就绪园区解决方案杂。在遇到这种情况时,防火墙的物理位置就无法以可扩展的方式解决这个问题。另外一个极端是一些拥有很多用户群组的企业。机场和大学都是这种机构的典型例子,它们在一个共同的园区LAN中有很多不同的(常常是互相竞争的)客户。机场(与其他企业一样)在他们的LAN上开展所有的内部业务。所有这些业务――包括行李领取、安全、空中客流控制、地面客流控制、维护、财务等――都需要访问LAN。另外,机场还为每家使用该机场的航空公司建立了单独的物理网络。设想一下为每家航空公司建立的全网状连接的光纤网络。这不仅非常昂贵,而且很难维护。另外,如果需要在机场内部转移某个航空公司的位置,这种方式提供的灵活性极为有限。但是,全球大多数机场都采用了这种方式。使用这种独立网络的目的是保护每家航空公司的私密和安全。在这些网络中,光纤只铺设到特定的地点,因此机场的某些特定区域只供固定的航空公司使用。同样,大学也拥有很多需要保持独立的设施。他们还拥有大量由私人资金赞助的研究小组。在很多情况下,资助机构要求项目网络必须与学校网络的其他部分隔离,但是仍然可以访问大学的所有网络资源。如果大学必须部署多个包含专用防火墙和路由设备的独立物理网络,无疑需要投入大量的资金。园区VPN可以为企业节约大量资本和运营开支的另外一个例子是商务中心。商务中心需要在一个物理区域――相当于一个园区――中为不同的公司提供办公空间。这些公司向商务中心租用物理空间,以及网络基础设施和语音、视频、监控和寻呼服务。在某些情况下,他们甚至还可以租用服务器群。由于数据中心前端需要足够的智能,所以为每个客户部署一个专用数据中心可能会非常昂贵。很多客户可能只需要一个服务器群,这使得为每个客户部署一个专用数据中心变得更加没有必要。传统的划分机制过去,可以用于划分园区LAN的机制包括VLAN和分布式访问控制列表(ACL)。这两种解决方案都存在自己的可扩展性限制和管理问题。它们只能实现有限的划分,而且不能为不同的内部客户提供完全私有的、独立的网络。使用VLAN对于一个很小的园区,IT可能愿意为其建立一个相对较大的生成树域。在这种情况下,VLAN可以实现端到端的跨越,而且用户群组可以直接与VLAN关联,以实现隔离。但是,实践证明,这种解决方案在达到一定范围之后就将很难扩展。端到端VLAN不能有效扩展的主要原因是它们需要依靠生成树协议避免出现拓扑环路。生成树协议所基于的原则是:跟踪整个网络的拓扑从而建立单个树。如果发生故障或者拓扑发生变化,生成树协议就需要将这种变化反映到整个网络之中。因此,这会产生与网络规模成比例的收敛延时。如果超出一定的网络规模,所产生的延时可能会让人无法接受。思科业务就绪园区解决方案端到端VLAN不能扩展的另外一个原因是单个广播域(VLAN)的创建会不可避免地形成一个统一的故障域。换句话说,VLAN中发生的单个故障会影响整个VLAN。当VLAN为端到端跨越时,就无法控制故障的影响范围,因而会波及整个网络。生成树协议的诊断和管理需要全面的文档和深入的网络知识。当STP只限于网络的一小部分(例如一个配线间)时,这是一个可以实现的目标。但是,如果将生成树域扩展到一个大型网络,它就会变得非常难以维护和诊断。使用ACL对于一个需要用现有的ACL机制保护供某个特定群组使用的网络资源的IT部门,群组用户必须位于特定的子网中,因而与明确的网络设备关联。如果满足这些条件(即用户不具备移动性),那么网络管理员的任务就是在适当的网络设备上添加适当的ACL。但是,如果您将这种方式扩展到多个用户群组,结果就是会有数量难以控制的ACL散布在整个园区中。随着用户在园区中的移动性的增强,这种方式的可扩展性问题变得更加明显。因为ACL需要依靠地址识别用户,所以必须要在整个园区中为每个群组创建子网,再在每个分布层交换机为每个群组创建不同的ACL。为每个群组创建一个子网并不是问题,因为路由协议可以做到有效的扩展,但是为了保护群组安全而对ACL进行的部署和维护工作可能会非常费时。利用ACL划分用户群组不仅相当繁琐,而且不能提供用户群组所需得的自治能力。某些用户群组可能需要选择他们自己的IP寻址机制(可能会与网络中的其他网络重叠)。另外一些用户群组可能需要在他们自己的专用防火墙上控制他们的安全策略。与此同时,企业可能需要在每个VPN的基础上,根据它的业务模式部署计费和记帐机制,还可能需要能够在不同的VPN之间共享集中资源(例如防火墙设备、服务器群集、WAN和互联网接入)。正确的解决方案要保持用户群组的完全独立和集中管理服务、安全策略,以及保存现有园区设计的高可用性和可扩展性,需要使用一个可扩展的解决方案。这样的解决方案可以通过在园区LAN的路由式基础设施上建立基于多协议标签交换(MPLS)的第三层VPN实现。思科园区VPN解决方案典型的园区网络设计会在网络边缘(接入层)使用多种交换技术(第二层),在网络核心(分布层和核心层)使用路由技术(第三层)。因此,可以在网络接入层利用VLAN实现网络划分,并在网络核心(第三层)利用基于MPLS的第三层VPN划分路由域,从而实现可扩展的端到端网络划分。本文假定已经存在一个可扩展的网络设计――包括一个路由式园区核心和分布层(如图1所示)。思科业务就绪园区解决方案作为现有园区设计的一部分,VLAN部署在网络边缘。它可以映射到重叠于园区的路由部分之上的第三层VPN。通过这种方式,既可以保留层次化园区部署的所有优点,又可以在园区LAN中实现端到端的、可扩展的网络划分和集中管理的安全和服务。每个VPN都在每个路由器上具有自己的路由表和路由进程,所有流量都在根据MPLS或者802.1Q标签进行转发时保持独立。该解决方案可以被视为多个独立的物理网络的重叠。但是,每个网络都是一个VPN,而不是一个物理网络。图2显示了独立的虚拟网络如何重叠到现有的园区LAN上,为合作伙伴、承包商和来宾提供独立的VPN。图1可扩展园区设计接入第二层分布互联网核心第三层第二层图2利用VPN划分网络来宾承包商承包商合作伙伴承包商合作伙伴来宾园区核心思科业务就绪园区解决方案每个VPN都在端接VPN隧道的交换机上拥有一个独立的虚拟路由进程。它被称为虚拟路由转发(VRF)。值得注意的是上图中的承包商VPN,它显示了BGP/MPLSVPN的任意-任意连接特性。必须牢记的是,这些隧道并不是点对点线路,而是可以提供任意-任意连接的点对群体连接。这种点对群体方式可以克服其他点对点VPN机制所共有的辐射形拓扑的复杂性问题。还记得机场所面临的挑战吗?利用思科园区VPN解决方案,所有航空公司的流量都可以通过一个机场园区LAN进行安全的传输――不仅提供航空公司所需要的隐私和安全性,而且让航空公司可以灵活地、毫不费力地将他们的业务转移到机场中的任何候机室。这可以显著地降低机场的成本。物理布线将得到大幅度简化,而机场现在可以灵活地让任何航空公司使用任何登机口,从而缩短资源的闲置时间并提高生产率――同时最大限度地降低运营成本。至于大学,利用思科园区VPN解决方案,不同的研究小组和教师们可以被分配到共享式园区基础设施上的不同VPN。这使得不同的研究小组可以在互相隔离的网络中开展工作。另外,思科园区VPN解决方案还可以让VPN在某个可选的中央地点端接,即进出VPN的通信可以由单个防火墙设备控制。该设备可以为每个VPN提供功能齐全的、彼此独立的虚拟防火墙。这可以为大学带来很多好处――从降低基础设施成本、加强可扩展性到提高可管理性。利用思科园区VPN解决方案,商务中心可以在使用共享式基础设施的同时,确保保每个客户的私密性和安全性。在这种情况下,共享式基础设施不仅包括线缆、路由器、交换机和网络设备(例如防火墙),还包括可以通过园区VPN划分的服务区群集,从而让企业可以利用一个统一划分的数据中心为多个内部客户提供服务。这种方式可以利用和共享现有的数据中心设备,例如SSL端接引擎和负载平衡器。为企业带来的好处思科园区VPN解决方案的很多优势来自于网络划分和服务集中。将园区LAN划分为VPN这些网络是完全独立的,使用自己的寻址机制和策略。利用第三层VPN机制划分LAN的优势包括:z私密性保护z子网透明度z用户移动性z针对每个VPN执行流量策略(监管、整形)z针对每个VPN进行计费服务的集中化服务的集中化可以大幅度简化和加强安全策略的实施。通过为每个VPN提供单个接入点,集中的防火墙和入侵检测设备可以由多个VPN共享。不同VPN都需要使用的其他一些服务也可以共享,从而显著降低提供这些服务的资本和运营开支。思科业务就绪园区解决方案可以集中化的服务包括:z安全策略执行(ACL和防火墙通道)z流量监控、记帐和计费z共享的互联网和WAN接入z共享的数据中心z地点集成私密性保护通过将园区分为多个独立的VPN,每个群组可以保护自己的私密性。第三层VPN解决方案可以为每个VPN建立独立的路由域。因此,不同群组的路由控制信息是彼此隔离的。由于路由信息在不同VPN之间的分发会受到严格的限制,不同群组的数据不会发生意外泄漏。通过第三层MPLSVPN实现的网络划分和安全等级可以与通过基于电路的网络(例如ATM和帧中继)所建立的服务供应商环境相提并论。在LAN中,网络划分和VPN间安全的等级与通过VLAN实现的等级相当。如前所述,一种可以让企业从工作组之间的这种私密性保护中获益的情况是他们需要为员工、承包商和来宾提供独立的