虛擬園區(qū)解決方案

1、H3C虛擬園區(qū)網處理方案交流杭州華三通信技術有限企業(yè)C-Marketing 張建偉第1頁提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網處理方案處理方案推廣和引導策略處理方案市場價值第2頁網絡應用面臨挑戰(zhàn)伴隨對園區(qū)網絡需求日益復雜，可擴展處理方案也越來越需要將多個網絡用戶組進行邏輯分區(qū)。傳統園區(qū)網絡設計提議一直缺乏一個對網絡流量分區(qū)，方便為封閉用戶組提供安全獨立環(huán)境方式。傳統布署方案第3頁網絡應用面臨挑戰(zhàn)分層、模塊化布署 虛擬化第4頁虛擬化介紹虛擬資源2物理資源虛擬資源1虛擬資源3Virtual Private Networks設備虛擬化服務虛擬化通道虛擬化第5頁園區(qū)虛擬化推進力法規(guī)遵從：部分企業(yè)受法律

2、或要求要求，必須對其內部應用或業(yè)務進行分區(qū)。比如，在金融企業(yè)中，銀行業(yè)務必須與證券交易業(yè)務分開。企業(yè)中存在不一樣級別訪問權限：幾乎每個企業(yè)都需要處理方案來為客戶、廠商、合作搭檔以及園區(qū)局域網上員工授予不一樣訪問級別。簡化網絡、提升資源利用率：非常大型網絡，如機場、大學等大型園區(qū)，為了確保各群組/部門業(yè)務安全性，需要建設和管理多套物理網絡，既昂貴又難于管理。網絡整合：在進行企業(yè)收購或合并時，需要能夠快速進行網絡整合，把原來外部網絡和業(yè)務快速接入自己網絡。第6頁行業(yè)虛擬化需求行業(yè)虛 擬 化 需 求政府政務/行政中心，多個部門在一棟或幾棟大樓里、共用一套物理網絡，但需要不一樣部門業(yè)務安全隔離；給有互

3、訪需求部門提供通道；提供與同一系統內上下一級辦公專網互連制造業(yè)一個大企業(yè)園區(qū)，需要生產平臺、管理運行、銷售、安保監(jiān)控業(yè)務隔離金融銀行辦公網、金融服務大廳、自助服務平臺、安保監(jiān)控業(yè)務隔離醫(yī)療各科室門診業(yè)務、住院管理、藥品管理、財務管理、病房上網業(yè)務等教育分離學生上網、院系辦公、教學管理、外部科研院所業(yè)務，但同一部門分布在不一樣大樓里辦公室要能夠資源共享，同時對Internet出口、郵件、公告等共享服務進行集中控制管理大型綜合園區(qū)內部各企業(yè)、機構分布在不一樣大樓里，共用相同網絡關鍵設備和Internet出口，內部各企業(yè)、機構關系復雜，現有需要共享數據、也有需要隔離開業(yè)務第7頁經典虛擬化需求舉例-政

4、務行政中心XX廳局yy廳局zz廳局行政中心行政中心 當前部分大中城市正在或將要建設城市行政中心，將市內大部分黨政相關部門統一遷入行政中心(大樓或園區(qū))集中辦公，同時又為公眾提供“一站式”業(yè)務辦理服務。行政中心市民(服務)中心審批大廳第8頁行政中心內部業(yè)務邏輯關系財政稅務市府發(fā)改委法院數據中心縣政府縣財政廣域網路由器Internet市府發(fā)改委稅務財政公共服務Internet出口公眾服務行政中心內各部門協同辦公，各部門業(yè)務系統橫向隔離、少許有互訪需求，縱向與電子政務網業(yè)務互通行政中心政務網省政府省財政第9頁提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網處理方案處理方案推廣和引導策略處理方案市場價值第10頁

5、H3C虛擬園區(qū)網處理方案邏輯圖H3C園區(qū)虛擬化處理方案邏輯圖第11頁H3C虛擬園區(qū)網處理方案H3C園區(qū)虛擬化整體處理方案邏輯上包含下邊三個部分：接入控制：接入控制能夠確保網絡訪問安全和接入用戶正確取得訪問相關資源權限。園區(qū)虛擬化處理方案接入控制采取H3CEAD認證系統，經過認證用戶才能取得對相關資源訪問和使用；并經過中央服務器和客戶端配合，監(jiān)控接入用戶安全狀態(tài)，如操作系統補丁、防火墻是否開啟、補丁狀態(tài)、是否攜帶病毒等。通道隔離：經過MPLS VPN技術對不一樣應用、業(yè)務和群組用戶進行安全隔離，提升數據傳輸保密性和安全性，為用戶業(yè)務傳輸提供端到端安全確保。統一應用：應用服務區(qū)經過計算虛擬化、存放

6、虛擬化、虛擬安全等技術，為整網隔離用戶提供統一安全策略布署、數據中心服務、流量監(jiān)控、Internet/WAN訪問服務等。第12頁經典組網拓撲圖樓層接入關鍵交換層網管中心大樓匯聚樓層接入數據中心WAN分支機構外駐機構公眾InternetRPR2.5G大樓匯聚FIT APFIT AP無線接入第13頁接入控制-安全防護MPLS/VPN關鍵網數據中心認證隔離區(qū)Cams安全策略服務器:用戶認證、安全策略管理中心,策略下發(fā)安全狀態(tài)評定、安全事件處理、用戶隔離控制xLog管理服務器:用戶行為審計、用戶上網日志聯動跟蹤Cams安全策略代理:分布式安全策略控制代理，確保安全策略服務器安全第三方防病毒服務器、補丁

7、升級服務器:提供病毒庫升級和系統補丁修復服務安全聯動設備:動態(tài)ACL隔離、服務策略控制iNode客戶端:1x認證、Portal認證、VPN認證、病毒庫版本檢測、補丁檢測、協同與聯動、安全策略實施、安全事件上報接入交換機(二層、三層)匯聚交換機PEPEPVPN安全網關:遠程用戶VPN認證EAD認證第14頁接入控制-權限下發(fā)MPLS VPN關鍵網用戶名：密碼下發(fā)VLAN用戶名1：密碼 VLAN11用戶名2：密碼 VLAN22用戶名3：密碼 VLAN33用戶名4：密碼 VLAN44集中控制服務器接入設備依據集中控制策略服務器下發(fā)策略，調整端口所屬VLAN，從而控制用戶加入VPNVPNVLAN依據認證

8、用戶名/密碼，下發(fā)策略，分配用戶對應訪問權限虛擬服務集中策略控制員工合作方訪客第15頁EAD+MPLS VPN靈活權限控制接入方式：二層接入、三層接入VPN接入：單個接入設備下包含一組Site用戶(CE)、單個接入設備下包含多組Site用戶(MCE)不改變VPN歸屬關系位置靈活遷移依據認證用戶名、密碼不一樣，策略服務器下發(fā)策略調整用戶VPN歸屬關系AP無線移動用戶靈活接入VPN關鍵網第16頁通道隔離-設備虛擬化IP SwitchingMPLS SwitchingVLAN Interface/Physical portMPLS VPNPE邏輯上把設備路由表/轉發(fā)表劃分成幾個不一樣路由/轉發(fā)表，分

9、別與VPN映射起來，執(zhí)行不一樣路由/轉發(fā)規(guī)則，如配置不一樣默認路由、策略路由等第17頁通道隔離技術比較-VLAN適合小型網絡用戶邏輯隔離廣播域占用帶寬資源，鏈路利用率低二層網絡不適合大規(guī)模應用，網絡收斂速度慢需要配置較多二層特征，配置管理相對復雜第18頁通道隔離技術比較-分布式ACL適合一些規(guī)模不大、特征組網使用需要嚴密策略控制，配置管理復雜無法提供端到端隔離業(yè)務/網絡調整時需要更改大量配置嚴格限制可移動性第19頁支持園區(qū)內用戶群組any-to-any應用能夠提供安全端到端業(yè)務隔離，接入方式靈活適合大規(guī)模網絡應用，可擴展性好良好可移動性要求設備支持VRF/MPLS VPN通道隔離技術比較-VR

10、F+MPLS VPN第20頁端到端業(yè)務邏輯隔離關鍵交換層網管中心匯聚層接入層數據中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEPEEAD認證MPLS VPN通道企業(yè)/園區(qū)網PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLS L3 VPN提供端到端業(yè)務隔離能力，而且經過RT屬性控制VPN間業(yè)務互訪第21頁VPN互訪和資源共享VPN/VRF間路由引入，實現跨VRF路由查找匹配路由跨VRF轉發(fā)，實現VPN互訪和共享共享VPN多角色主機第22頁虛擬園區(qū)網擴容和升級關鍵交換層網管中心匯聚層

11、接入層數據中心FIT APFIT APRPR2.5GH3C S9500H3C S7500EH3C S3610/3600/5500EIMCE/CEMCE/CEPEPEEAD認證MPLS VPN通道企業(yè)/園區(qū)網PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIP輕易實現業(yè)務和網絡擴容升級PE第23頁網絡快速整合12廣域可擴充性第24頁園區(qū)網園區(qū)網Mpls coreVMWarePEPEppPEPEA部門資源B部門資源C部門資源AB共享資源BC共享資源ABC共享資源A部門B部門C部門A部門B部門vlan虛擬FWM_VRF獨享資源服務器區(qū)共享資源服務器區(qū)數據中心關鍵IV5000邏輯隔離

12、延伸至數據中心第25頁統一服務-共享數據中心FirewallIPS匯聚交換機IP SAN負載均衡器 業(yè)務服務器接入交換機A部門B部門C部門D部門X部門FirewallIPS匯聚交換機IP SAN負載均衡器 業(yè)務服務器接入交換機ABCDXABBCall關鍵交換機關鍵交換機獨享資源服務器區(qū)互訪和共享資源服務器區(qū)獨享資源服務器區(qū)經過邏輯隔離伎倆確保各部門對本身數據獨享性。共享資源服務器區(qū)布署需要在不一樣部門間共享數據資源。外部服務器區(qū)提供公眾業(yè)務、對外網站等服務共享災備中心為政務數據資源提供統一備份容災設施。Internet對外網站、對公業(yè)務服務區(qū)共享 災備中心數據中心MPLS VPNWAN數據中心

13、虛擬化為全網用戶提供服務，數據中心內部可物理隔離也可邏輯隔離第26頁統一園區(qū)出口服務campus管理中心行業(yè)城域網遠程辦公/出差用戶關鍵交換機FWIPSRouterISP1ISP2Internet公眾用戶分支機構外駐機構外部辦公室終止標簽交換L2TP over IPSec/ GRE over IPSec/ SSL VPNISP1供VPN接入使用ISP2供訪問Internet使用門戶網站訪問、網上業(yè)務辦理FW/NAT/VPNFW/NAT為訪問Internet用戶提供統一/基于VPN安全策略控制第27頁廣域網出口服務行業(yè)城域網PEPEASBRASBRAS 100AS 200支持option ABC

14、三類跨域MPLS VPN互通方式，實現園區(qū)內VPN業(yè)務與廣域行業(yè)縱向VPN業(yè)務互通第28頁遠程分支、辦公室經過Internet接入PEMPLS Core VPN2（30：30）PECEGREoverIPSec隧道隧道綁定到VPN中GRE over IPSec在遠程分支安全網關與園區(qū)網安全網關之間配置GREoverIPSec隧道： 遠程分支接入到園區(qū)網內部VPN是經過將園區(qū)網網關GRE隧道Tunnel口綁定到目標VPN來實現；IPSec隧道用戶對私網報文加密，確保私網通信保密性PEMPLS Core VPN2（30：30）PECEL2TPoverIPSec隧道隧道綁定到VPN中L2TP over

15、 IPSec移動用戶使用L2TP over IPSec方式接入到園區(qū)網安全網關上， 經過將園區(qū)網網關L2TP隧道VT口綁定到目標VPN來實現接入用戶接入園區(qū)VPN；IPSec隧道用戶對私網報文加密，確保私網通信保密性外部用戶接入內部VPN，并取得正確訪問權限第29頁虛擬安全技術細化安全控制粒度部門1部門2部門3部門4PESecPath/ SecBlade虛擬防火墻技術安全策略一安全策略二安全策略三安全策略四針對不一樣業(yè)務，獨立、靈活安全策略布署多安全域、獨立管理員，實現分級管理處理IP地址沖突SecBlade FW模塊能在不改變網絡結構情況下，實現交換機高速轉發(fā)和安全業(yè)務處理有機融合保護投資、

16、節(jié)約成本、易擴展SecBlade FW第30頁統一DHCP服務MPLS VPN關鍵網集中DHCP服務器接入設備DHCP Relay多實例，不一樣VPN用戶動態(tài)取得IP地址多VPN用戶共用同一臺DHCP服務器員工合作方訪客第31頁多業(yè)務端到端Qos支持能力corePEaccessPPE接入業(yè)務識別，修改IP報文DSCP/COSMPLS封裝，DSCP/COS到Exp字段映射，或優(yōu)先級管制依據Exp決定轉發(fā)優(yōu)先級MPLS去封裝，信任IP報文轉發(fā)優(yōu)先級或Exp-DSCP映射信任IP報文轉發(fā)優(yōu)先級整體Qos策略提供對關鍵業(yè)務平時和峰值時服務質量確保第32頁整網設備/業(yè)務統一配置管理iMC MVM簡化VP

17、N業(yè)務管理第33頁提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網處理方案處理方案推廣和引導策略處理方案市場價值第34頁經典組網及設備關鍵交換層網管中心匯聚層接入層數據中心廣域網分支機構FIT APFIT APInternetRPR2.5GH3C S9500/ S75EH3C S7500E/S9500H3C S3610/3600/5500EI /5510MCE/CEMCE/CEPEPEEAD認證分支機構L2TP over IPSec /GRE over IPSec出差用戶公眾用戶MPLS VPN通道企業(yè)/園區(qū)網N*E1PEPEPEPEMCE/CEPPPPSecPath 1000FSR8800/6600H

18、3C S7500E/S9500H3C S3610/55EI第35頁方案推廣及引導策略有明確業(yè)務隔離需求、少許業(yè)務互訪項目，要明確用戶業(yè)務模型和流量走向在大中型園區(qū)網項目中引導本公司虛擬化方案，小型網絡或設備層次較低情況引導傳統VLAN/ACL方案本公司方案可屏蔽除Cisco外其它廠商，引導時突出方案整體性，端到端業(yè)務隔離、訪問權限集中控制、共享數據中心和統一服務應用以及網絡、安全、存放等產品對虛擬化應用支持第36頁提要園區(qū)虛擬化需求分析H3C虛擬園區(qū)網處理方案處理方案推廣和引導策略處理方案市場價值第37頁虛擬園區(qū)網處理方案市場價值節(jié)約網絡投資、降低重復建設：經過資源虛擬化業(yè)務邏輯隔離，防止了業(yè)務、數據物理隔離需要網絡重復建設、應用服務器、安全設備重復采購缺點，提升了整體資源利用