虛擬園區(qū)網(wǎng)解決方案最佳實踐

1、虛擬園區(qū)網(wǎng)解決方案最佳實踐,日期：2007年9月,杭州華三通信技術(shù)有限公司,虛擬園區(qū)網(wǎng)需求分析 虛擬化技術(shù)簡介 虛擬園區(qū)網(wǎng)典型應(yīng)用場景 虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署,目錄,虛擬園區(qū)需求分析,隨著網(wǎng)絡(luò)規(guī)模的不斷增大，其應(yīng)用和復(fù)雜度也在不斷增加。對一個大型園區(qū)來說，通常包括很多不同的公司/部門/群組在同時使用網(wǎng)絡(luò)，網(wǎng)絡(luò)上承載著各種不同的復(fù)雜應(yīng)用。如，一個大型科技園區(qū)，集中了幾十、上百家公司，他們共用網(wǎng)絡(luò)、Internet出口和一些資源服務(wù)器，但他們各自的辦公和生產(chǎn)業(yè)務(wù)卻需要與其他公司業(yè)務(wù)隔離開來，限制外部人員的訪問權(quán)限；另如，政府、金融等部門，對日常生產(chǎn)、辦公業(yè)務(wù)與涉密業(yè)務(wù)進(jìn)行安全的隔離也有著嚴(yán)

2、格的要求。 對于有業(yè)務(wù)和應(yīng)用隔離需求的用戶來說，傳統(tǒng)的物理網(wǎng)絡(luò)隔離方案已無法滿足需求：網(wǎng)絡(luò)重復(fù)建設(shè)、分散管理、安全策略難部署、無法提供統(tǒng)一的應(yīng)用服務(wù)等，都大大增加了用戶在網(wǎng)絡(luò)投資、建設(shè)和運維、管理方面的負(fù)擔(dān)。,虛擬化技術(shù)BGP/MPLS VPN,MPLS L3VPN以可實現(xiàn)業(yè)務(wù)隔離、組網(wǎng)方式靈活、擴(kuò)展性好、支持Qos等優(yōu)點，可應(yīng)用于實現(xiàn)園區(qū)虛擬化解決方案。BGP/MPLS VPN的主要原理是：利用BGP在骨干網(wǎng)上傳播VPN的私網(wǎng)路由信息，用MPLS來轉(zhuǎn)發(fā)VPN業(yè)務(wù)流。,虛擬園區(qū)網(wǎng)需求分析 虛擬化技術(shù)簡介 虛擬園區(qū)網(wǎng)典型應(yīng)用場景 虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署,目錄,虛擬園區(qū)網(wǎng)簡介,實現(xiàn)公司/部

3、門/群組間數(shù)據(jù)業(yè)務(wù)的隔離和互訪是虛擬園區(qū)網(wǎng)解決方案的首要目標(biāo)，但與此同時客戶對下列業(yè)務(wù)也存在相同的需求： 接入用戶的認(rèn)證和安全控制 數(shù)據(jù)中心的訪問控制，譬如公司級的數(shù)據(jù)資源可供全公司訪問，部門級的數(shù)據(jù)資源僅供本部門訪問。 遠(yuǎn)程分支/辦事處、移動用戶接入訪問控制，譬如通過Internet接入到園區(qū)網(wǎng)內(nèi)部某VPN中，訪問該VPN的所有資源。 MPLS VPN的管理，使用管理軟件對園區(qū)網(wǎng)中的VPN資源進(jìn)行統(tǒng)一集中管理。,虛擬園區(qū)網(wǎng)簡介H3C解決方案,H3C完整的虛擬園區(qū)網(wǎng)解決方案包括接入控制、通道隔離、統(tǒng)一應(yīng)用三個部分，實現(xiàn)對整個園區(qū)網(wǎng)絡(luò)、應(yīng)用資源的虛擬化，提高資源的利用效率、降低管理的復(fù)雜度,虛擬

4、園區(qū)網(wǎng)簡介H3C解決方案,H3C虛擬園區(qū)網(wǎng)最佳實踐解決方案通過在園區(qū)骨干網(wǎng)部署B(yǎng)GP/MPLS VPN實現(xiàn)園區(qū)網(wǎng)的虛擬化，在共用一張物理網(wǎng)絡(luò)的基礎(chǔ)上，園區(qū)內(nèi)不同部門、業(yè)務(wù)實現(xiàn)隔離；并在此基礎(chǔ)上進(jìn)行各種業(yè)務(wù)的擴(kuò)展，形成一整套的解決方案，具體業(yè)務(wù)部署如下： 在接入層起EAD認(rèn)證，對接入用戶進(jìn)行認(rèn)證和安全控制； 在園區(qū)出口處啟用多實例NAT，為園區(qū)網(wǎng)提供統(tǒng)一的Internet出口； 通過BGP/MPLS VPN的RT路由學(xué)習(xí)特性實現(xiàn)數(shù)據(jù)中心資源的訪問控制，數(shù)據(jù)中心資源包括資源：所有VPN共享資源，某VPN獨享資源，對外數(shù)據(jù)服務(wù)區(qū)資源； 使用GREoverIPSec或者L2TPoverIPSec隧道，

5、讓遠(yuǎn)程分支或者移動用戶接入到園區(qū)內(nèi)部VPN中； H3C網(wǎng)管軟件MVM提供對MPLS VPN網(wǎng)絡(luò)的業(yè)務(wù)發(fā)現(xiàn)、拓?fù)滹@示、狀態(tài)監(jiān)控、連通性審計、性能管理和業(yè)務(wù)部署等管理功能。,虛擬園區(qū)網(wǎng)需求分析 虛擬化技術(shù)簡介 虛擬園區(qū)網(wǎng)典型應(yīng)用場景 虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署,目錄,虛擬園區(qū)網(wǎng)典型應(yīng)用場景,H3C虛擬園區(qū)網(wǎng)最佳實踐解決方案針對不同用戶群的需求和組網(wǎng)規(guī)模，分別提出了不同的典型應(yīng)用組網(wǎng)模型： 對于園區(qū)規(guī)模較大、接入點數(shù)量多，對終端接入、業(yè)務(wù)橫向隔離要求較高、網(wǎng)絡(luò)承載業(yè)務(wù)多且復(fù)雜、需要較強管理能力的大型網(wǎng)絡(luò)，我們推薦使用典型三層結(jié)構(gòu)組網(wǎng)。本組網(wǎng)網(wǎng)絡(luò)分三層結(jié)構(gòu)，核心設(shè)備做標(biāo)簽轉(zhuǎn)發(fā)，匯聚層作為PE設(shè)備、

6、控制VPN路由發(fā)布，接入層提供大容量的接入和方便的擴(kuò)容能力。接入層設(shè)備為CE、MCE或者二層設(shè)備，CE雙歸屬或者二層設(shè)備的雙鏈路Trunk上行可提高網(wǎng)絡(luò)的可靠性； 對于中小等規(guī)模、對業(yè)務(wù)有嚴(yán)格橫向隔離要求、網(wǎng)絡(luò)承載業(yè)務(wù)較少、接入用戶信任度較高的應(yīng)用場景，我們推薦使用二層扁平結(jié)構(gòu)組網(wǎng) 。本組網(wǎng)網(wǎng)絡(luò)分兩層結(jié)構(gòu)，核心設(shè)備做標(biāo)簽轉(zhuǎn)發(fā)；接入用戶不需安全認(rèn)證，僅根據(jù)接入端口劃分訪問資源的權(quán)限，接入設(shè)備完成VPN映射和上行標(biāo)簽轉(zhuǎn)發(fā)。,大型園區(qū)的部署方案,PE,PE,CE,接入層,匯聚層,核心層,MCE,MPLS Core,P,FE,CE,AS200,AS100,二層TRUNK 上行,PE,S3600,S36

7、10,S3600EI,S5510,L2TP over IPSec,防火墻,S7500E,S7500E,MSR50,S9500,S9500,MSR50,SecPath1000,SecPath1000,S7500E,SecPath100,移動用戶,PE,用戶,用戶,用戶,PE,數(shù)據(jù)中心,EAD認(rèn)證系統(tǒng) (cams/補丁服務(wù)器/病毒服務(wù)器),應(yīng)用服務(wù)器,MPLS VPN Manager,ASBR,S7500E,ASBR,GRE over IPSec,用戶,MSR50,跨域,遠(yuǎn)程接入,P,PE,PE,大型園區(qū)的部署方案,BGP/MPLS VPN實現(xiàn)了業(yè)務(wù)的隔離與互訪； 通過EAD認(rèn)證保障終端接入的安全

8、和進(jìn)行靈活的用戶訪問權(quán)限下發(fā)； 集中部署的數(shù)據(jù)中心通過虛擬化技術(shù)為整網(wǎng)的不同用戶提供服務(wù)，根據(jù)應(yīng)用業(yè)務(wù)的需要合理分配資源，并可方便地實現(xiàn)資源的獨享和共享； 支持三種跨域方式，滿足客戶的跨域需求； 統(tǒng)一的Internet接口為橫向隔離的用戶提供上網(wǎng)服務(wù)，通過虛擬安全和多實例技術(shù)為不同群組用戶和業(yè)務(wù)下發(fā)不同的安全策略，并可在出口實現(xiàn)集中的監(jiān)控、計費； 遠(yuǎn)程分支、移動用戶通過GREoverIPSec、L2TPoverIPSec隧道接入園區(qū)網(wǎng)VPN中； 統(tǒng)一的網(wǎng)管中心通過管理VPN和專業(yè)的管理軟件實現(xiàn)對整網(wǎng)資源簡便、專業(yè)的管理。,中小型園區(qū)的部署方案,PE,PE,接入層,核心層,MPLS Core,P

9、,P,AS100,PE,S7500E,S7500E,S9500,S9500,MSR50,SecPath1000,S7500E,用戶,用戶,用戶,PE,數(shù)據(jù)中心,EAD認(rèn)證系統(tǒng) (cams/補丁服務(wù)器/病毒服務(wù)器),應(yīng)用服務(wù)器,用戶,統(tǒng)一的Internet 出口,中小型園區(qū)的部署方案,BGP/MPLS VPN實現(xiàn)了業(yè)務(wù)的隔離與互訪； 接入用戶不需安全認(rèn)證，根據(jù)接入端口劃分訪問資源的權(quán)限，接入設(shè)備完成VPN映射和上行標(biāo)簽轉(zhuǎn)發(fā)； 應(yīng)用服務(wù)器和管理服務(wù)器集中部署在服務(wù)器區(qū)，通過應(yīng)用虛擬化技術(shù)為不同群組用戶提供服務(wù)，通過管理VPN實現(xiàn)對整網(wǎng)資源的統(tǒng)一配置、管理； 園區(qū)提供統(tǒng)一的Internet出口，進(jìn)行

10、集中的監(jiān)控、計費管理等功能，通過虛擬安全技術(shù)為不同用戶配置差異化的安全策略； 統(tǒng)一的網(wǎng)管中心通過管理VPN和專業(yè)的管理軟件實現(xiàn)對整網(wǎng)資源簡便、專業(yè)的管理。,虛擬園區(qū)網(wǎng)需求分析 虛擬化技術(shù)簡介 虛擬園區(qū)網(wǎng)典型應(yīng)用場景 虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署,目錄,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署,下邊，我們將虛擬園區(qū)網(wǎng)解決方案中的各種典型業(yè)務(wù)分離開來進(jìn)行描述，客戶可以根據(jù)實際需求，進(jìn)行典型業(yè)務(wù)的部署 園區(qū)網(wǎng)核心BGP/MPLS VPN業(yè)務(wù)部署 園區(qū)Internet統(tǒng)一出口業(yè)務(wù)部署 數(shù)據(jù)中心服務(wù)器區(qū)業(yè)務(wù)部署 端點準(zhǔn)入EAD部署 遠(yuǎn)程分支使用GREoverIPSec隧道接入園區(qū)VPN部署 移動用戶使用L2TPover

11、IPSec隧道接入園區(qū)VPN部署 網(wǎng)管iMC MVM業(yè)務(wù)部署,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 BGP/MPLS VPN 部署,IP地址的規(guī)劃問題：MPLS VPN技術(shù)可以解決不同VPN間的地址重疊問題，但是在園區(qū)實際組網(wǎng)中，出現(xiàn)地址重疊的情況比較少，因此在規(guī)劃IP地址時，可以不去考慮地址重疊的問題。 IGP協(xié)議的選擇：在MPLS VPN體系結(jié)構(gòu)中，IGP的主要作用是保證BGP對等體的可達(dá)性以及MPLS隧道的建立。一般推薦采用收斂速度快、路由振蕩少、基于SPF算法的路由協(xié)議，如OSPF、IS-IS等；部分環(huán)境下也可以使用靜態(tài)方式。IGP的另一個功能就是驅(qū)動公網(wǎng)標(biāo)簽分配，以建立MPLS隧道。 MPLS部署

12、：在園區(qū)骨干網(wǎng)中啟用MPLS，建立MPLS隧道。MPLS的配置中有一條命令：lsp trigger-all，這條命令的目的是為所有的IGP路由分配標(biāo)簽。由于MPLS隧道的起點和終點都是LSR的LSRID（一般都是Loopback接口），因此無需為每一條IGP路由都分配標(biāo)簽，默認(rèn)配置下只為32位主機(jī)地址分配標(biāo)簽，這樣就可以滿足MPLS VPN的部署需要了。所以建議不使用該命令，以免造成對標(biāo)簽空間不必要的浪費。,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 BGP/MPLS VPN 部署,RT的作用：RT在MPLS VPN中用來控制VPN的隔離和部分互通。對不同的VPN，要求定義不同的RT值，如果有互通需求，通過RT的

13、屬性來控制，分為export和import屬性。Export屬性代表發(fā)送VPN路由時附帶的屬性，當(dāng)另一PE設(shè)備收到此路由時，通過import屬性來決定學(xué)習(xí)與否；如果兩臺PE的VPN互相學(xué)習(xí)對方的路由，彼此間就可以達(dá)到互通，如果不學(xué)習(xí)就可以達(dá)到隔離的效果。 PECE間路由的規(guī)則：PE與CE間的路由協(xié)議是用來傳遞VPN路由的，并且PE會將這些VPN路由通過BGP發(fā)送給其他PE。在實際需要中，可以使用直連，靜態(tài)，OSPF，RIP，IS-IS或是EBGP。這里要求PE設(shè)備對路由協(xié)議的支持要豐富，多實例是最基本的要求；如果接入是MCE，有著同樣的要求。在推薦組網(wǎng)中的雙歸屬特性來看，采用OSPP或是EBG

14、P比較合適。從減輕網(wǎng)絡(luò)復(fù)雜程度來看，使用OSPF比較通用。,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 園區(qū)Internet統(tǒng)一出口,在MPLS VPN園區(qū)組網(wǎng)中，Internet出口部署有多種方法，其中比較常用的 是PE分布式上Internet和PE集中式上Internet，兩種方法有著不同的特點和適 用范圍。園區(qū)網(wǎng)中多使用PE集中式上Internet，本組網(wǎng)中連接Internet出口的 MCE設(shè)備支持多實例NAT，使用PE集中式更加方便： PE分布式上Internet： 每個VRF中選擇一臺PE連接Internet，連接該PE的CE上做NAT轉(zhuǎn)換； 由該CE發(fā)布一條缺省路由給本VRF內(nèi)的所有CE； 本方式是運

15、營商常用的，因為運營商的每臺PE都直接與Internet直連，企業(yè)網(wǎng)不會使用；,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 園區(qū)Internet統(tǒng)一出口,PE集中式上Internet： 園區(qū)網(wǎng)統(tǒng)一Internet出口； 選擇一臺健壯的MCE連接Internet，并在該MCE上做多實例地址轉(zhuǎn)換； MCE及連接該MCE的PE上建立多個VRF，與園區(qū)內(nèi)部需要上Internet的VRF一一對應(yīng)，并相互引入路由； 在該MCE的每個VRF中發(fā)布一條默認(rèn)路由給本VRF內(nèi)的所有CE； 該方式節(jié)省資源，支持VPN地址重疊；,PE,多實例NAT,MPLS Core,MCE,PE,CE,用戶,CE,用戶,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 中心服

16、務(wù)器區(qū)部署,集中的數(shù)據(jù)中心訪問方式已經(jīng)成為一種趨勢，如何實現(xiàn)數(shù)據(jù)中心的虛擬化是 園區(qū)虛擬化解決方案重點關(guān)注業(yè)務(wù)。在實際運用中，數(shù)據(jù)中心一般會有三種服 務(wù)器，一種是共用服務(wù)器，本園區(qū)網(wǎng)中的用戶都可以進(jìn)行訪問；一種是獨享服 務(wù)器，僅某一個VPN的用戶可以進(jìn)行訪問；還有一種是對外服務(wù)器，即為 Internet用戶提供服務(wù)。下面分別講述三種服務(wù)器的訪問控制。,共享服務(wù)器： 在連接該服務(wù)器的PE上建立共享服務(wù)器區(qū)的專署VPN； 該VPN與園區(qū)網(wǎng)內(nèi)部所有業(yè)務(wù)VPN交互私網(wǎng)路由，園區(qū)網(wǎng)內(nèi)所有用戶都存在到達(dá)公共服務(wù)器的路由，可以訪問該服務(wù)器； 由于所有的私網(wǎng)路由都要匯聚到公共服務(wù)器區(qū)所連的PE上，因此不能存在

17、VPN的地址重疊；,PE,MPLS Core,CE,VPN10 （10：11）,VPN2 （11：10）,CE,VPN1 （11：10）,PE,PE,公共服務(wù)器,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 中心服務(wù)器區(qū)部署,獨享服務(wù)器： 獨享服務(wù)器歸屬與獨享用戶的縱向VPN中； 用戶縱向VPN不向其它用戶VPN發(fā)布路由，無法實現(xiàn)互訪。 對外服務(wù)器： 在連接該服務(wù)器的PE上建立對外服務(wù)器區(qū)的專署VPN； 該VPN與園區(qū)出口負(fù)責(zé)對外服務(wù)的VPN交互路由； 在Internet出口設(shè)備的公網(wǎng)接口上啟用多實例nat server。,PE,MPLS Core,VPN20 （20：1）,CE,VPN1 （1：20）,PE,獨享

18、服務(wù)器,PE,MPLS Core,VPN30 （30：30）,VPN2 （30：30）,PE,對外服務(wù)器,NAT server,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 端點準(zhǔn)入EAD部署,在CE上配置radius認(rèn)證對接入用戶進(jìn)行身份認(rèn)證，EAD服務(wù)器可放置在管理VPN中，或者公共服務(wù)器區(qū)，具體Radius認(rèn)證配置請參考H3C EAD解決方案相關(guān)文檔，這里僅對同一個二層接入端口、客戶端使用不同用戶名分別接入到不同VPN的方法進(jìn)行配置舉例說明。對于大型的會議室接入接口或者共用的接入接口，不同的用戶使用該接口登錄到園區(qū)網(wǎng)時，希望能綁定到不同的VPN中，譬如園區(qū)網(wǎng)中的A公司使用該會議室時，希望會議使用PC能訪問到自

19、己公司的VPN中；而園區(qū)網(wǎng)中的B公司使用該會議室時，希望能夠訪問B公司的VPN中去。 現(xiàn)有的技術(shù)是在接入設(shè)備連接用戶的以太網(wǎng)接口上手動配置VLAN號，然后將該VLAN三層接口綁定到VPN中，從而將該端口接入的用戶綁定到該VPN中，這樣的結(jié)果是一個固定的以太網(wǎng)端口上只能接入到一個固定的VPN中。要想使不同的用戶接入到不同的VPN中，需要在設(shè)備上修改該接口VLAN號，使用不便。,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 端點準(zhǔn)入EAD部署,H3C解決方案：采用認(rèn)證服務(wù)器向接入設(shè)備下發(fā)策略的方式，將請求接入的客戶端歸屬到不同的VPN中。對于從同一個交換機(jī)的接口接入的用戶，認(rèn)證服務(wù)器可以根據(jù)客戶端上傳的信息的不同，譬如

20、登錄用戶名，將其劃入到不同的VLAN中，從而歸屬到不同的VPN中。具體實現(xiàn)步驟如下：,在接入設(shè)備上配置VLAN，與PE設(shè)備上的VLAN及歸屬VPN的對應(yīng)關(guān)系相對應(yīng)； 在認(rèn)證服務(wù)器上配置用戶名與下發(fā)接口VLAN的對應(yīng)關(guān)系； 認(rèn)證服務(wù)器接收到客戶端的接入請求時，根據(jù)預(yù)先配置的對應(yīng)關(guān)系下發(fā)VLAN號； 接入設(shè)備根據(jù)認(rèn)證服務(wù)器下發(fā)的消息，配置該客戶端接入接口所屬VLAN，從而使用戶歸屬到相應(yīng)VPN中。,接入層,匯聚層,S3600,S75E,用戶,客戶端,VLAN 1010,VLAN 1011,CAMS,下發(fā) VLAN,VPN 1010,VPN 1011,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 遠(yuǎn)程分支接入園區(qū)VPN,

21、在遠(yuǎn)程分支的安全網(wǎng)關(guān)與園區(qū)網(wǎng)的安全網(wǎng)關(guān)之間配置GREoverIPSec隧道： 遠(yuǎn)程分支接入到園區(qū)網(wǎng)內(nèi)部VPN是通過將園區(qū)網(wǎng)網(wǎng)關(guān)GRE隧道的Tunnel口綁定 到目標(biāo)VPN來實現(xiàn)的；IPSec隧道用戶對私網(wǎng)報文加密，確保私網(wǎng)通信的保密 性。具體部署如下： 企業(yè)分支配置 在遠(yuǎn)程分支安全網(wǎng)關(guān)上建立Loopback口； 遠(yuǎn)程分支的GRE隧道的源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址； 在遠(yuǎn)程分支GRE tunnel口上啟用OSPF，與園區(qū)交互私網(wǎng)路由； 分支IPSEC的感興趣流源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址； 分支啟用DPD功能，便于隧道的快速切換； 在網(wǎng)關(guān)公

22、網(wǎng)接口上啟用IPSec策略；,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 遠(yuǎn)程分支接入園區(qū)VPN,園區(qū)網(wǎng)網(wǎng)關(guān)配置： 園區(qū)網(wǎng)安全網(wǎng)關(guān)上建立Loopback口 總部的GRE隧道的源/目的IP分別為總部/分支的Loopback口地址； 將GRE Tunnel隧道綁定到該分支需要接入的VPN中； 在Tunnel口上啟用多實例OSPF，與遠(yuǎn)程分支交互私網(wǎng)路由； 由于遠(yuǎn)程移動接入用戶公網(wǎng)IP的不確定性，IPSec 使用動態(tài)模板方式：先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec 策略；在公網(wǎng)接口上啟用IPSec策略；,PE,MPLS Core,VPN2 （30：30）,PE,CE,GREoverIPSec隧道,隧道綁

23、定到VPN中,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 移動用戶接入園區(qū)VPN,移動用戶使用L2TPoverIPSec方式接入到園 區(qū)網(wǎng)安全網(wǎng)關(guān)上， 通過將園區(qū)網(wǎng)網(wǎng)關(guān)L2TP隧道 的VT口綁定到目標(biāo)VPN來實現(xiàn)接入用戶接入園 區(qū)VPN；PSec隧道用戶對私網(wǎng)報文加密，確保 私網(wǎng)通信的保密性。具體部署如下： 移動用戶配置 移動用戶使用H3C的iNode VPN客戶端建立連接，啟用IPSec安全協(xié)議； L2TP LNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址； 啟用DPD功能，便于隧道的快速切換；,PE,MPLS Core,VPN2 （30：30）,PE,CE,L2TPoverIPSec

24、隧道,隧道綁定到VPN中,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 移動用戶接入園區(qū)VPN,園區(qū)網(wǎng)網(wǎng)關(guān)配置： 園區(qū)出口網(wǎng)關(guān)作為L2TP LNS端的基本配置，包括用戶名、地址池、虛接口、L2TP相關(guān)配置； 將L2TP的VT口綁定到不同的VPN中，不同的用戶登錄時，會由于使用不同的VT口而接入到不同的VPN中； 由于遠(yuǎn)程移動接入用戶公網(wǎng)IP的不確定性，園區(qū)網(wǎng)關(guān)IPSec 使用動態(tài)模板方式，先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec 策略； 在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略；,虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署 網(wǎng)管iMC MVM部署,MVM是H3C公司推出的MPLS VPN網(wǎng)絡(luò)管理系統(tǒng)軟件，定位于為各種規(guī)模的企業(yè)MPLS VPN網(wǎng)絡(luò)提供管理方案，可以配合的設(shè)備包括Cisco、H3C和華為的VPN網(wǎng)絡(luò)設(shè)備。MVM在iMC基礎(chǔ)網(wǎng)絡(luò)管理的基礎(chǔ)上，提供對MPLS VPN網(wǎng)絡(luò)的業(yè)務(wù)發(fā)現(xiàn)、拓?fù)滹@示、狀態(tài)監(jiān)控、連通性審計、性能管理和業(yè)務(wù)部署等管理功能。 iMC MVM管理MPLS VPN有3種方式，第一種是將MVM服務(wù)器放在公網(wǎng)里面，可以管理P、PE設(shè)備；第二種是將MVM服務(wù)器放在管理VPN中，可以管理PE、CE設(shè)備；第三種是MVM服務(wù)器使用多網(wǎng)卡接入，即接入到公網(wǎng)中，也接入到管理VPN中，這樣可以管理P、PE、CE。 iMC MVM首先要將需要管理的設(shè)備引