企业培训_虚拟园区网解决方案

H3C虚拟园区网解决方案交流 杭州华三通信技术有限公司 C Marketing张建伟 提纲 园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值 网络应用面临的挑战 随着对园区网络的需求日益复杂 可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区 传统的园区网络的设计建议一直缺乏一种对网络流量分区 以便为封闭用户组提供安全独立环境的方式 传统部署方案 网络应用面临的挑战 分层 模块化的部署 虚拟化 虚拟化简介 虚拟资源2 物理资源 虚拟资源1 虚拟资源3 VirtualPrivateNetworks 设备的虚拟化 服务的虚拟化 通道的虚拟化 园区虚拟化的推动力 法规遵从 部分企业受法律或规定的要求 必须对其内部应用或业务进行分区 例如 在金融公司中 银行业务必须与证券交易业务分开 企业中存在不同级别的访问权限 几乎每个企业都需要解决方案来为客户 厂商 合作伙伴以及园区局域网上的员工授予不同的访问级别 简化网络 提高资源利用率 非常大型的网络 如机场 大学等大型园区 为了保证各群组 部门业务的安全性 需要建设和管理多套物理网络 既昂贵又难于管理 网络整合 在进行企业收购或合并时 需要能够快速进行网络整合 把原来外部的网络和业务迅速接入自己的网络 行业虚拟化需求 典型虚拟化需求举例 政务行政中心 XX厅局 yy厅局 zz厅局 行政中心 行政中心当前部分大中城市正在或将要建设的城市行政中心 将市内大部分党政相关部门统一迁入行政中心 大楼或园区 集中办公 同时又为公众提供 一站式 业务办理服务 行政中心 市民 服务 中心 审批大厅 行政中心内部业务逻辑关系 数据中心 县政府 县财政 广域网路由器 Internet 市府 发改委 税务 财政 公共服务 Internet出口 公众服务 行政中心内各部门协同办公 各部门业务系统横向隔离 少量有互访需求 纵向与电子政务网业务互通 行政中心 政务网 省政府 省财政 提纲 园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值 H3C虚拟园区网解决方案逻辑图 H3C园区虚拟化解决方案逻辑图 H3C虚拟园区网解决方案 H3C园区虚拟化整体解决方案逻辑上包括下边三个部分 接入控制 接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限 园区虚拟化解决方案接入控制采用H3C的EAD认证系统 通过认证的用户才能获得对相关资源的访问和使用 并通过中央服务器和客户端的配合 监控接入用户的安全状态 如操作系统补丁 防火墙是否启动 补丁状态 是否携带病毒等 通道隔离 通过MPLSVPN技术对不同的应用 业务和群组用户进行安全隔离 提高数据传输保密性和安全性 为用户业务传输提供端到端的安全保证 统一应用 应用服务区通过计算虚拟化 存储虚拟化 虚拟安全等技术 为整网的隔离用户提供统一的安全策略部署 数据中心服务 流量监控 Internet WAN访问服务等 典型组网拓扑图 楼层接入 核心交换层 网管中心 大楼汇聚 楼层接入 数据中心 WAN 分支机构 外驻机构 公众 Internet RPR2 5G 大楼汇聚 无线接入 接入控制 安全防护 数据中心 认证隔离区 Cams安全策略服务器 用户认证 安全策略管理中心 策略下发安全状态评估 安全事件处理 用户隔离控制 xLog管理服务器 用户行为审计 用户上网日志联动跟踪 Cams安全策略代理 分布式安全策略控制代理 确保安全策略服务器安全 第三方防病毒服务器 补丁升级服务器 提供病毒库升级和系统补丁修复服务 安全联动设备 动态ACL隔离 服务策略控制 iNode客户端 1x认证 Portal认证 VPN认证 病毒库版本检测 补丁检测 协同与联动 安全策略实施 安全事件上报 接入交换机 二层 三层 汇聚交换机 PE PE P VPN安全网关 远程用户VPN认证 EAD认证 接入控制 权限下发 用户名1 密码VLAN11 用户名2 密码VLAN22 用户名3 密码VLAN33 用户名4 密码VLAN44 集中控制服务器 接入设备 根据集中控制策略服务器下发策略 调整端口所属VLAN 从而控制用户加入的VPN VPN VLAN 根据认证的用户名 密码 下发策略 分配用户相应的访问权限 虚拟服务的集中策略控制 员工 合作方 访客 EAD MPLSVPN灵活的权限控制 接入方式 二层接入 三层接入VPN接入 单个接入设备下包含一组Site用户 CE 单个接入设备下包含多组Site用户 MCE 不改变VPN归属关系的位置灵活迁移 根据认证用户名 密码的不同 策略服务器下发策略调整用户VPN归属关系 AP 无线移动用户灵活接入VPN 核心网 通道隔离 设备虚拟化 逻辑上把设备的路由表 转发表划分成几个不同的路由 转发表 分别与VPN映射起来 执行不同的路由 转发规则 如配置不同的默认路由 策略路由等 通道隔离技术比较 VLAN 适合小型网络用户逻辑隔离广播域占用带宽资源 链路利用率低二层网络不适合大规模应用 网络收敛速度慢需要配置较多的二层特性 配置管理相对复杂 通道隔离技术比较 分布式ACL 适合一些规模不大 特性的组网使用需要严密的策略控制 配置管理复杂无法提供端到端的隔离业务 网络调整时需要更改大量配置严格限制可移动性 支持园区内用户群组any to any的应用能够提供安全的端到端业务隔离 接入方式灵活适合大规模网络应用 可扩展性好良好的可移动性要求设备支持VRF MPLSVPN 通道隔离技术比较 VRF MPLSVPN 端到端业务的逻辑隔离 核心交换层 网管中心 汇聚层 接入层 数据中心 RPR2 5G H3CS9500 H3CS7500E H3CS3610 3600 5500EI MCE CE PE EAD认证 MPLSVPN通道 企业 园区网 PE PE PE MCE CE P P P P PE OSPF ospf 静态路由 RIP MPLSL3VPN提供端到端的业务隔离能力 并且通过RT属性控制VPN间业务互访 VPN互访和资源共享 VPN VRF间路由引入 实现跨VRF路由查找 匹配路由跨VRF转发 实现VPN互访和共享 共享VPN多角色主机 虚拟园区网扩容和升级 核心交换层 网管中心 汇聚层 接入层 数据中心 RPR2 5G H3CS9500 H3CS7500E H3CS3610 3600 5500EI MCE CE MCE CE PE PE EAD认证 MPLSVPN通道 企业 园区网 PE PE PE MCE CE P P P P PE OSPF ospf 静态路由 RIP 容易实现业务和网络的扩容升级 PE 网络的快速整合 1 2 广域可扩充性 园区网 园区网 Mplscore VMWare PE PE p p PE PE A部门的资源 B部门的资源 C部门的资源 AB共享的资源 BC共享的资源 ABC共享的资源 A部门 B部门 C部门 A部门 B部门 vlan 虚拟FW M VRF 独享资源服务器区 共享资源服务器区 数据中心核心 IV5000 逻辑隔离延伸至数据中心 统一服务 共享数据中心 Firewall IPS 汇聚交换机 IPSAN 负载均衡器 业务服务器 接入交换机 A部门 B部门 C部门 D部门 X部门 Firewall IPS 汇聚交换机 IPSAN 负载均衡器 业务服务器 接入交换机 A B C D X AB BC all 核心交换机 核心交换机 独享资源服务器区 互访和共享资源服务器区 独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性 共享资源服务器区部署需要在不同部门间共享的数据资源 外部服务器区提供公众业务 对外网站等服务共享灾备中心为政务数据资源提供统一的备份容灾设施 Internet 对外网站 对公业务服务区 共享灾备中心 数据中心 MPLSVPN WAN 数据中心虚拟化为全网用户提供服务 数据中心内部可物理隔离也可逻辑隔离 统一的园区出口服务 campus 管理中心 行业城域网 远程办公 出差用户 核心交换机 FW IPS Router ISP1 ISP2 Internet 公众用户 分支机构 外驻机构 外部办公室 终结标签交换 L2TPoverIPSec GREoverIPSec SSLVPN ISP1供VPN接入使用 ISP2供访问Internet使用 门户网站访问 网上业务办理 FW NAT VPN FW NAT 为访问Internet的用户提供统一 基于VPN的安全策略控制 广域网出口服务 行业城域网 PE PE ASBR ASBR AS100 AS200 支持optionA B C三类跨域MPLSVPN互通方式 实现园区内VPN业务与广域行业纵向VPN业务的互通 远程分支 办公室通过Internet接入 PE MPLSCore VPN2 30 30 PE CE GREoverIPSec隧道 隧道绑定到VPN中 GREoverIPSec 在远程分支的安全网关与园区网的安全网关之间配置GREoverIPSec隧道 远程分支接入到园区网内部VPN是通过将园区网网关GRE隧道的Tunnel口绑定到目标VPN来实现的 IPSec隧道用户对私网报文加密 确保私网通信的保密性 PE MPLSCore VPN2 30 30 PE CE L2TPoverIPSec隧道 隧道绑定到VPN中 L2TPoverIPSec 移动用户使用L2TPoverIPSec方式接入到园区网安全网关上 通过将园区网网关L2TP隧道的VT口绑定到目标VPN来实现接入用户接入园区VPN IPSec隧道用户对私网报文加密 确保私网通信的保密性 外部用户接入内部VPN 并获得正确的访问权限 虚拟安全技术细化安全控制粒度 针对不同业务 独立 灵活的安全策略部署多安全域 独立的管理员 实现分级管理解决IP地址冲突SecBladeFW模块能在不改变网络结构的情况下 实现交换机高速转发和安全业务处理的有机融合保护投资 节约成本 易扩展 SecBladeFW 统一DHCP服务 集中DHCP服务器 接入设备 DHCPRelay多实例 不同VPN用户动态获得IP地址 多VPN用户共用同一台DHCP服务器 员工 合作方 访客 多业务端到端的Qos支持能力 core PE access P PE 接入业务识别 修改IP报文DSCP COS MPLS封装 DSCP COS到Exp字段映射 或优先级管制 根据Exp决定转发优先级 MPLS去封装 信任IP报文转发优先级或Exp DSCP映射 信任IP报文转发优先级 整体Qos策略 提供对关键业务平时和峰值时的服务质量保证 整网设备 业务的统一配置管理 iMCMVM简化VPN业务管理 提纲 园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值 典型组网及设备 核心交换层 网管中心 汇聚层 接入层 数据中心 广域网 分支机构 Internet RPR2 5G H3CS9500 S75E H3CS7500E S9500 H3CS3610 3600 5500EI 5510 MCE CE MCE CE PE PE EAD认证 分支机构 L2TPoverIPSec GREoverIPSec 出差用户 公众用户 MPLSVPN通道 企业 园区网 N E1 PE PE PE PE MCE CE P P P P SecPath1000F SR8800 6600 H3CS7500E S9500 H3CS3610 55EI 方案推广及引导策略 有明确业务隔离需求 少量业务互访的项目 要明确用户的业务模型和流量走向在大中型园区网项目中引导我司虚拟化方案 小型网络或设备层次较低的情况引导传统的VLAN ACL方案我司方案可屏蔽除Cisco外其它厂商 引导时突出方案的整体性 端到端的业务隔离 访问权限集中控制 共享数据中心和统一服务应用以及网络 安全 存储等产品对虚拟化应用的支持 提纲 园区虚拟化需求分析H3C虚拟园区网解决方案解决方案的推广和引导策略解决方案市场价值 虚拟园区网解决方案市场价值 节省网络投资 减少重复建设 通过资源虚拟化的业务逻辑隔离 避免了业务 数据物理隔离需要网络重复建设 应用服务器 安全设备重复采购的缺点 提高了整体资源的利用率业务端到端的安全隔离 通过访问控