虛擬園區(qū)解決方案培訓_第1頁
虛擬園區(qū)解決方案培訓_第2頁
虛擬園區(qū)解決方案培訓_第3頁
虛擬園區(qū)解決方案培訓_第4頁
虛擬園區(qū)解決方案培訓_第5頁
已閱讀5頁,還剩34頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

H3C虛擬園區(qū)網(wǎng)解決方案交流杭州華三通信技術有限公司C-Marketing張建偉提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導策略解決方案市場價值網(wǎng)絡應用面臨的挑戰(zhàn)隨著對園區(qū)網(wǎng)絡的需求日益復雜,可擴展解決方案也越來越需要將多個網(wǎng)絡用戶組進行邏輯分區(qū)。傳統(tǒng)的園區(qū)網(wǎng)絡的設計建議一直缺乏一種對網(wǎng)絡流量分區(qū),以便為封閉用戶組提供安全獨立環(huán)境的方式。傳統(tǒng)部署方案網(wǎng)絡應用面臨的挑戰(zhàn)分層、模塊化的部署≠

虛擬化虛擬化簡介虛擬資源2物理資源虛擬資源1虛擬資源3VirtualPrivateNetworks設備的虛擬化服務的虛擬化通道的虛擬化園區(qū)虛擬化的推動力法規(guī)遵從:部分企業(yè)受法律或規(guī)定的要求,必須對其內(nèi)部應用或業(yè)務進行分區(qū)。例如,在金融公司中,銀行業(yè)務必須與證券交易業(yè)務分開。企業(yè)中存在不同級別的訪問權限:幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。簡化網(wǎng)絡、提高資源利用率:非常大型的網(wǎng)絡,如機場、大學等大型園區(qū),為了保證各群組/部門業(yè)務的安全性,需要建設和管理多套物理網(wǎng)絡,既昂貴又難于管理。網(wǎng)絡整合:在進行企業(yè)收購或合并時,需要能夠快速進行網(wǎng)絡整合,把原來外部的網(wǎng)絡和業(yè)務迅速接入自己的網(wǎng)絡。行業(yè)虛擬化需求行業(yè)虛擬化需求政府政務/行政中心,多個部門在一棟或幾棟大樓里、共用一套物理網(wǎng)絡,但需要不同部門業(yè)務安全隔離;給有互訪需求的部門提供通道;提供與同一系統(tǒng)內(nèi)上下一級辦公專網(wǎng)的互連制造業(yè)一個大企業(yè)園區(qū),需要生產(chǎn)平臺、管理運營、銷售、安保監(jiān)控業(yè)務隔離金融銀行的辦公網(wǎng)、金融服務大廳、自助服務平臺、安保監(jiān)控業(yè)務隔離醫(yī)療各科室門診業(yè)務、住院管理、藥品管理、財務管理、病房上網(wǎng)業(yè)務等教育分離學生上網(wǎng)、院系辦公、教學管理、外部科研院所業(yè)務,但同一部門分布在不同大樓里的辦公室要能夠資源共享,同時對Internet出口、郵件、公告等共享服務進行集中控制管理大型綜合園區(qū)內(nèi)部各企業(yè)、機構分布在不同的大樓里,共用相同的網(wǎng)絡核心設備和Internet出口,內(nèi)部各企業(yè)、機構關系復雜,既有需要共享的數(shù)據(jù)、也有需要隔離開的業(yè)務典型虛擬化需求舉例--政務行政中心XX廳局yy廳局zz廳局行政中心行政中心

當前部分大中城市正在或?qū)⒁ㄔO的城市行政中心,將市內(nèi)大部分黨政相關部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公,同時又為公眾提供“一站式”業(yè)務辦理服務。行政中心市民(服務)中心審批大廳行政中心內(nèi)部業(yè)務邏輯關系財政稅務市府發(fā)改委法院數(shù)據(jù)中心縣政府縣財政廣域網(wǎng)路由器Internet市府發(fā)改委稅務財政公共服務Internet出口公眾服務行政中心內(nèi)各部門協(xié)同辦公,各部門業(yè)務系統(tǒng)橫向隔離、少量有互訪需求,縱向與電子政務網(wǎng)業(yè)務互通行政中心政務網(wǎng)省政府省財政提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導策略解決方案市場價值H3C虛擬園區(qū)網(wǎng)解決方案邏輯圖H3C園區(qū)虛擬化解決方案邏輯圖H3C虛擬園區(qū)網(wǎng)解決方案H3C園區(qū)虛擬化整體解決方案邏輯上包括下邊三個部分:接入控制:接入控制能夠保證網(wǎng)絡訪問的安全和接入用戶正確獲得訪問相關資源的權限。園區(qū)虛擬化解決方案接入控制采用H3C的EAD認證系統(tǒng),通過認證的用戶才能獲得對相關資源的訪問和使用;并通過中央服務器和客戶端的配合,監(jiān)控接入用戶的安全狀態(tài),如操作系統(tǒng)補丁、防火墻是否啟動、補丁狀態(tài)、是否攜帶病毒等。通道隔離:通過MPLSVPN技術對不同的應用、業(yè)務和群組用戶進行安全隔離,提高數(shù)據(jù)傳輸保密性和安全性,為用戶業(yè)務傳輸提供端到端的安全保證。統(tǒng)一應用:應用服務區(qū)通過計算虛擬化、存儲虛擬化、虛擬安全等技術,為整網(wǎng)的隔離用戶提供統(tǒng)一的安全策略部署、數(shù)據(jù)中心服務、流量監(jiān)控、Internet/WAN訪問服務等。典型組網(wǎng)拓撲圖樓層接入核心交換層網(wǎng)管中心大樓匯聚樓層接入數(shù)據(jù)中心WAN分支機構外駐機構公眾InternetRPR2.5G大樓匯聚FITAPFITAP無線接入接入控制--安全防護MPLS/VPN核心網(wǎng)數(shù)據(jù)中心認證隔離區(qū)Cams安全策略服務器:用戶認證、安全策略管理中心,策略下發(fā)安全狀態(tài)評估、安全事件處理、用戶隔離控制xLog管理服務器:用戶行為審計、用戶上網(wǎng)日志聯(lián)動跟蹤Cams安全策略代理:分布式安全策略控制代理,確保安全策略服務器安全第三方防病毒服務器、補丁升級服務器:提供病毒庫升級和系統(tǒng)補丁修復服務安全聯(lián)動設備:動態(tài)ACL隔離、服務策略控制iNode客戶端:1x認證、Portal認證、VPN認證、病毒庫版本檢測、補丁檢測、協(xié)同與聯(lián)動、安全策略實施、安全事件上報接入交換機(二層、三層)匯聚交換機PEPEPVPN安全網(wǎng)關:遠程用戶VPN認證EAD認證接入控制--權限下發(fā)MPLSVPN核心網(wǎng)用戶名:密碼下發(fā)VLAN用戶名1:密碼VLAN11用戶名2:密碼VLAN22用戶名3:密碼VLAN33用戶名4:密碼VLAN44集中控制服務器接入設備根據(jù)集中控制策略服務器下發(fā)策略,調(diào)整端口所屬VLAN,從而控制用戶加入的VPNVPNVLAN根據(jù)認證的用戶名/密碼,下發(fā)策略,分配用戶相應的訪問權限虛擬服務的集中策略控制員工合作方訪客……EAD+MPLSVPN靈活的權限控制接入方式:二層接入、三層接入VPN接入:單個接入設備下包含一組Site用戶(CE)、單個接入設備下包含多組Site用戶(MCE)不改變VPN歸屬關系的位置靈活遷移根據(jù)認證用戶名、密碼的不同,策略服務器下發(fā)策略調(diào)整用戶VPN歸屬關系AP無線移動用戶靈活接入VPN核心網(wǎng)通道隔離--設備虛擬化IPSwitchingMPLSSwitchingVLANInterface/PhysicalportMPLSVPNPE邏輯上把設備的路由表/轉(zhuǎn)發(fā)表劃分成幾個不同的路由/轉(zhuǎn)發(fā)表,分別與VPN映射起來,執(zhí)行不同的路由/轉(zhuǎn)發(fā)規(guī)則,如配置不同的默認路由、策略路由等通道隔離技術比較--VLAN適合小型網(wǎng)絡用戶邏輯隔離廣播域占用帶寬資源,鏈路利用率低二層網(wǎng)絡不適合大規(guī)模應用,網(wǎng)絡收斂速度慢需要配置較多的二層特性,配置管理相對復雜通道隔離技術比較--分布式ACL適合一些規(guī)模不大、特性的組網(wǎng)使用需要嚴密的策略控制,配置管理復雜無法提供端到端的隔離業(yè)務/網(wǎng)絡調(diào)整時需要更改大量配置嚴格限制可移動性支持園區(qū)內(nèi)用戶群組any-to-any的應用能夠提供安全的端到端業(yè)務隔離,接入方式靈活適合大規(guī)模網(wǎng)絡應用,可擴展性好良好的可移動性要求設備支持VRF/MPLSVPN通道隔離技術比較--VRF+MPLSVPN√端到端業(yè)務的邏輯隔離核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEPEEAD認證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIPMPLSL3VPN提供端到端的業(yè)務隔離能力,并且通過RT屬性控制VPN間業(yè)務互訪VPN互訪和資源共享VPN/VRF間路由引入,實現(xiàn)跨VRF路由查找匹配路由跨VRF轉(zhuǎn)發(fā),實現(xiàn)VPN互訪和共享共享VPN多角色主機虛擬園區(qū)網(wǎng)擴容和升級核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心FITAPFITAPRPR2.5GH3CS9500H3CS7500EH3CS3610/3600/5500EIMCE/CEMCE/CEPEPEEAD認證MPLSVPN通道企業(yè)/園區(qū)網(wǎng)PEPEPEMCE/CEPPPPPEOSPFospf/靜態(tài)路由/RIP容易實現(xiàn)業(yè)務和網(wǎng)絡的擴容升級PE網(wǎng)絡的快速整合12廣域可擴充性園區(qū)網(wǎng)園區(qū)網(wǎng)MplscoreVMWarePEPEppPEPEA部門的資源B部門的資源C部門的資源AB共享的資源BC共享的資源ABC共享的資源A部門B部門C部門A部門B部門vlan虛擬FWM_VRF獨享資源服務器區(qū)共享資源服務器區(qū)數(shù)據(jù)中心核心IV5000邏輯隔離延伸至數(shù)據(jù)中心統(tǒng)一服務--共享數(shù)據(jù)中心FirewallIPS匯聚交換機IPSAN負載均衡器業(yè)務服務器接入交換機A部門B部門C部門D部門X部門FirewallIPS匯聚交換機IPSAN負載均衡器業(yè)務服務器接入交換機ABCDXABBCall核心交換機核心交換機獨享資源服務器區(qū)互訪和共享資源服務器區(qū)獨享資源服務器區(qū)通過邏輯隔離手段保證各部門對自身數(shù)據(jù)的獨享性。共享資源服務器區(qū)部署需要在不同部門間共享的數(shù)據(jù)資源。外部服務器區(qū)提供公眾業(yè)務、對外網(wǎng)站等服務共享災備中心為政務數(shù)據(jù)資源提供統(tǒng)一的備份容災設施。Internet對外網(wǎng)站、對公業(yè)務服務區(qū)共享災備中心數(shù)據(jù)中心MPLSVPNWAN數(shù)據(jù)中心虛擬化為全網(wǎng)用戶提供服務,數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離統(tǒng)一的園區(qū)出口服務campus管理中心行業(yè)城域網(wǎng)……遠程辦公/出差用戶核心交換機FWIPSRouterISP1ISP2Internet公眾用戶分支機構外駐機構外部辦公室終結標簽交換L2TPoverIPSec/GREoverIPSec/SSLVPNISP1供VPN接入使用ISP2供訪問Internet使用門戶網(wǎng)站訪問、網(wǎng)上業(yè)務辦理FW/NAT/VPNFW/NAT為訪問Internet的用戶提供統(tǒng)一/基于VPN的安全策略控制廣域網(wǎng)出口服務行業(yè)城域網(wǎng)……PEPEASBRASBRAS100AS200支持optionA\B\C三類跨域MPLSVPN互通方式,實現(xiàn)園區(qū)內(nèi)VPN業(yè)務與廣域行業(yè)縱向VPN業(yè)務的互通遠程分支、辦公室通過Internet接入PEMPLSCoreVPN2(30:30)PECEGREoverIPSec隧道隧道綁定到VPN中GREoverIPSec在遠程分支的安全網(wǎng)關與園區(qū)網(wǎng)的安全網(wǎng)關之間配置GREoverIPSec隧道:遠程分支接入到園區(qū)網(wǎng)內(nèi)部VPN是通過將園區(qū)網(wǎng)網(wǎng)關GRE隧道的Tunnel口綁定到目標VPN來實現(xiàn)的;IPSec隧道用戶對私網(wǎng)報文加密,確保私網(wǎng)通信的保密性PEMPLSCoreVPN2(30:30)PECEL2TPoverIPSec隧道隧道綁定到VPN中L2TPoverIPSec移動用戶使用L2TPoverIPSec方式接入到園區(qū)網(wǎng)安全網(wǎng)關上,通過將園區(qū)網(wǎng)網(wǎng)關L2TP隧道的VT口綁定到目標VPN來實現(xiàn)接入用戶接入園區(qū)VPN;IPSec隧道用戶對私網(wǎng)報文加密,確保私網(wǎng)通信的保密性外部用戶接入內(nèi)部VPN,并獲得正確的訪問權限虛擬安全技術細化安全控制粒度部門1部門2部門3部門4PESecPath/SecBlade虛擬防火墻技術安全策略一安全策略二安全策略三安全策略四針對不同業(yè)務,獨立、靈活的安全策略部署多安全域、獨立的管理員,實現(xiàn)分級管理解決IP地址沖突SecBladeFW模塊能在不改變網(wǎng)絡結構的情況下,實現(xiàn)交換機高速轉(zhuǎn)發(fā)和安全業(yè)務處理的有機融合保護投資、節(jié)約成本、易擴展SecBladeFW統(tǒng)一DHCP服務MPLSVPN核心網(wǎng)集中DHCP服務器接入設備DHCPRelay多實例,不同VPN用戶動態(tài)獲得IP地址多VPN用戶共用同一臺DHCP服務器員工合作方訪客……多業(yè)務端到端的Qos支持能力corePEaccessPPE接入業(yè)務識別,修改IP報文DSCP/COSMPLS封裝,DSCP/COS到Exp字段映射,或優(yōu)先級管制根據(jù)Exp決定轉(zhuǎn)發(fā)優(yōu)先級MPLS去封裝,信任IP報文轉(zhuǎn)發(fā)優(yōu)先級或Exp->DSCP映射信任IP報文轉(zhuǎn)發(fā)優(yōu)先級整體Qos策略提供對關鍵業(yè)務平時和峰值時的服務質(zhì)量保證整網(wǎng)設備/業(yè)務的統(tǒng)一配置管理iMCMVM簡化VPN業(yè)務管理提綱園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案解決方案的推廣和引導策略解決方案市場價值典型組網(wǎng)及設備核心交換層網(wǎng)管中心匯聚層接入層數(shù)據(jù)中心廣域網(wǎng)分支機構FITAPFITAPInternetRPR2.5GH3CS9500/S75EH3CS7500E/S9500H3CS3610/3600/5500EI/5510MCE/CEMCE/CEPEPEEAD認證分支機構L2TPoverIPSec/GREoverIPSec出差用戶公眾用戶MPLSVPN通道企業(yè)/園區(qū)網(wǎng)N*E1PEPEPEPEMCE/CEPPPPSecPath1000FSR8800/6600H3CS7500E/S9500H3CS36

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論