虚拟园区网解决策划方案

H3C虚拟园区网解决方案交流虚拟园区网解决方案交流杭州华三通信技术有限公司C-Marketing 张建伟提纲提纲n园区虚拟化需求分析园区虚拟化需求分析nH3CH3C虚拟园区网解决方案虚拟园区网解决方案n解决方案的推广和引导策略解决方案的推广和引导策略n解决方案市场价值解决方案市场价值网络应用面临的挑战网络应用面临的挑战随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。传统的园区网络的设计建议一直缺乏一种对网络流量分区，户组进行逻辑分区。传统的园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式。以便为封闭用户组提供安全独立环境的方式。传统部署方案传统部署方案网络应用面临的挑战网络应用面临的挑战分层、模块化的部署分层、模块化的部署分层、模块化的部署分层、模块化的部署 虚拟化虚拟化虚拟化虚拟化虚拟化简介虚拟化简介虚拟资源虚拟资源2 2物理资源物理资源虚拟资源虚拟资源1 1虚拟资源虚拟资源3 3Virtual Private Networksl设备的虚拟化设备的虚拟化l服务的虚拟化服务的虚拟化l通道的虚拟化通道的虚拟化园区虚拟化的推动力园区虚拟化的推动力法规遵从：法规遵从：部分企业受法律或规定的要求，必须对其内部应用或业务进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。企业中存在不同级别的访问权限：企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。简化网络、提高资源利用率：简化网络、提高资源利用率：非常大型的网络，如机场、大学等大型园区，为了保证各群组/部门业务的安全性，需要建设和管理多套物理网络，既昂贵又难于管理。网络整合：网络整合：在进行企业收购或合并时，需要能够快速进行网络整合，把原来外部的网络和业务迅速接入自己的网络。行业虚拟化需求行业虚拟化需求行业行业虚虚 拟拟 化化 需需 求求政府政府政务/行政中心，多个部门在一栋或几栋大楼里、共用一套物理网络，但需要不同部门业务安全隔离；给有互访需求的部门提供通道；提供与同一系统内上下一级办公专网的互连制造业制造业一个大企业园区，需要生产平台、管理运营、销售、安保监控业务隔离金融金融银行的办公网、金融服务大厅、自助服务平台、安保监控业务隔离医疗医疗各科室门诊业务、住院管理、药品管理、财务管理、病房上网业务等教育教育分离学生上网、院系办公、教学管理、外部科研院所业务，但同一部门分布在不同大楼里的办公室要能够资源共享，同时对Internet出口、邮件、公告等共享服务进行集中控制管理大型综合园区大型综合园区内部各企业、机构分布在不同的大楼里，共用相同的网络核心设备和Internet出口，内部各企业、机构关系复杂，既有需要共享的数据、也有需要隔离开的业务典型虚拟化需求举例典型虚拟化需求举例-政务行政中心政务行政中心XXXX厅局厅局yyyy厅局厅局zzzz厅局厅局行政中心行政中心行政中心行政中心 当前部分大中城市正在或将要建设的城市行政中心，将市内大部分党政相关部门统一迁入行政中心(大楼或园区)集中办公，同时又为公众提供“一站式”业务办理服务。行政中心行政中心市民市民(服务服务)中心中心审批大厅审批大厅行政中心内部业务逻辑关系行政中心内部业务逻辑关系财政税务市府发改委法院数据中心数据中心县政府县财政广域网路由器广域网路由器市府 发改委税务财政公共服务Internet出口出口公众服务公众服务行政中心内各部门协同办公，各部门业务系统横向隔离、少量有互访需求，纵向与电子政务网业务互通行政中心行政中心政务网政务网省省政政府府省省财财政政提纲提纲n园区虚拟化需求分析园区虚拟化需求分析nH3CH3C虚拟园区网解决方案虚拟园区网解决方案n解决方案的推广和引导策略解决方案的推广和引导策略n解决方案市场价值解决方案市场价值H3C虚拟园区网解决方案逻辑图虚拟园区网解决方案逻辑图H3CH3C园区虚拟化解决方案逻辑图园区虚拟化解决方案逻辑图H3C虚拟园区网解决方案虚拟园区网解决方案H3CH3C园区虚拟化整体解决方案逻辑上包括下边三个部分：园区虚拟化整体解决方案逻辑上包括下边三个部分：n接入控制接入控制：接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限。园区虚拟化解决方案接入控制采用H3C的EAD认证系统，通过认证的用户才能获得对相关资源的访问和使用；并通过中央服务器和客户端的配合，监控接入用户的安全状态，如操作系统补丁、防火墙是否启动、补丁状态、是否携带病毒等。n通道隔离通道隔离：通过MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离，提高数据传输保密性和安全性，为用户业务传输提供端到端的安全保证。n统一应用统一应用：应用服务区通过计算虚拟化、存储虚拟化、虚拟安全等技术，为整网的隔离用户提供统一的安全策略部署、数据中心服务、流量监控、Internet/WAN访问服务等。典型组网拓扑图典型组网拓扑图楼层接入楼层接入核心交换层核心交换层网管中心网管中心大楼汇聚大楼汇聚楼层接入楼层接入数据中心数据中心WAN分支机构分支机构外驻机构外驻机构公众公众InternetRPRRPR2.5G2.5G大楼汇聚大楼汇聚FIT APFIT AP无线接入无线接入接入控制接入控制-安全防护安全防护MPLS/VPNMPLS/VPN核心网核心网数据中心认证隔离区Cams安全策略服务器:用户认证、安全策略管理中心,策略下发安全状态评估、安全事件处理、用户隔离控制xLog管理服务器:用户行为审计、用户上网日志联动跟踪Cams安全策略代理:分布式安全策略控制代理，确保安全策略服务器安全第三方防病毒服务器、补丁升级服务器:提供病毒库升级和系统补丁修复服务安全联动设备:动态ACL隔离、服务策略控制iNode客户端:1x认证、Portal认证、VPN认证、病毒库版本检测、补丁检测、协同与联动、安全策略实施、安全事件上报接入交换机(二层、三层)汇聚交换机PEPEPVPN安全网关:远程用户VPN认证EAD认证认证接入控制接入控制-权限下发权限下发MPLS VPNMPLS VPN核心网核心网用户名：密码用户名：密码用户名：密码用户名：密码下发下发下发下发VLANVLANVLANVLAN用户名1：密码 VLAN11用户名2：密码 VLAN22用户名3：密码 VLAN33用户名4：密码 VLAN44集中控制集中控制服务器服务器接入设备接入设备根据集中控制策略服务器下发策略，调整端口所属VLAN，从而控制用户加入的VPNVPNVLAN根据认证的用户名/密码，下发策略，分配用户相应的访问权限虚拟服务的集中策略控制虚拟服务的集中策略控制虚拟服务的集中策略控制虚拟服务的集中策略控制员工员工合作方合作方访客访客EAD+MPLS VPN灵活的权限控制灵活的权限控制l接入方式接入方式：二层接入、三层接入lVPNVPN接接入入：单个接入设备下包含一组Site用户(CE)、单个接入设备下包含多组Site用户(MCE)不改变VPN归属关系的位置灵活迁移位置灵活迁移根据认证用户名、密码的不同，策略服务器下发策略调整用户VPN归属关系AP无线移动用户灵活接入VPN核心网核心网通道隔离通道隔离-设备虚拟化设备虚拟化IP SwitchingMPLS SwitchingVLAN Interface/Physical portMPLS VPNPE逻辑上把设备的路由表/转发表划分成几个不同的路由/转发表，分别与VPN映射起来，执行不同的路由/转发规则，如配置不同的默认路由、策略路由等通道隔离技术比较通道隔离技术比较-VLAN适合小型网络用户逻辑隔离广播域占用带宽资源，链路利用率低二层网络不适合大规模应用，网络收敛速度慢需要配置较多的二层特性，配置管理相对复杂通道隔离技术比较通道隔离技术比较-分布式分布式ACL适合一些规模不大、特性的组网使用需要严密的策略控制，配置管理复杂无法提供端到端的隔离业务/网络调整时需要更改大量配置严格限制可移动性支持园区内用户群组any-to-any的应用能够提供安全的端到端业务隔离，接入方式灵活适合大规模网络应用，可扩展性好良好的可移动性要求设备支持VRF/MPLS VPN通道隔离技术比较通道隔离技术比较-VRF+MPLS VPN端到端业务的逻辑隔离端到端业务的逻辑隔离核心交换层网管中心网管中心汇聚层接入层数据中心数据中心FIT APFIT APRPRRPR2.5G2.5GH3C S9500H3C S9500H3C S7500EH3C S7500EH3C S3610/3600/5500EIH3C S3610/3600/5500EIMCE/CEMCE/CEPEPEEADEAD认证认证MPLS VPNMPLS VPN通道通道企业企业/园区网园区网PEPEPEPEPEPEMCE/CEMCE/CEP PP PP PP PPEPEOSPFospf/静态路由/RIPMPLS MPLS L3 L3 VPNVPN提提供供端端到到端端的的业业务务隔隔离离能能力力，并并且且通通过过RTRT属属性性控控制制VPNVPN间业务互访间业务互访VPN互访和资源共享互访和资源共享VPN/VRF间路由间路由引入，实现跨引入，实现跨VRF路由查找路由查找匹配路由跨匹配路由跨VRF转转发，实现发，实现VPN互访互访和共享和共享共享共享VPN多角色主机多角色主机虚拟园区网扩容和升级虚拟园区网扩容和升级核心交换层网管中心网管中心汇聚层接入层数据中心数据中心FIT APFIT APRPRRPR2.5G2.5GH3C S9500H3C S9500H3C S7500EH3C S7500EH3C S3610/3600/5500EIH3C S3610/3600/5500EIMCE/CEMCE/CEMCE/CEMCE/CEPEPEPEPEEADEAD认证认证MPLS VPNMPLS VPN通道通道企业企业/园区网园区网PEPEPEPEPEPEMCE/CEMCE/CEP PP PP PP PPEPEOSPFospf/静态路由/RIP容容易易实实现现业业务务和和网网络络的扩容升级的扩容升级PEPE网络的快速整合网络的快速整合12广域可扩充性广域可扩充性园区网园区网园区网园区网Mpls coreVMWarePEPEPEPEp pp pPEPEPEPEA部门的资源B部门的资源C部门的资源AB共享的资源BC共享的资源ABC共享的资源A部门B部门C部门A部门B部门vlan虚拟FWM_VRF独享资源服务器区独享资源服务器区共享资源服务器区共享资源服务器区数据中心核心数据中心核心IV5000逻辑隔离延伸至数据中心逻辑隔离延伸至数据中心统一服务统一服务-共享数据中心共享数据中心FirewallIPS汇聚交换机IP SAN负载均衡器 业务服务器接入交换机A A部门部门B B部门部门C C部门部门D D部门部门X X部门部门FirewallIPS汇聚交换机IP SAN负载均衡器 业务服务器接入交换机ABCDXABBCall核心交换机核心交换机独享资源服务器区互访和共享资源服务器区独享资源服务器区通过逻辑隔离手段保证各部门对自身数据的独享性。共享资源服务器区部署需要在不同部门间共享的数据资源。外部服务器区提供公众业务、对外网站等服务共享灾备中心为政务数据资源提供统一的备份容灾设施。InternetInternet对外网站、对公业务服务区共享共享 灾备中心灾备中心数据中心数据中心MPLS VPNMPLS VPNWAN数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离数据中心虚拟化为全网用户提供服务，数据中心内部可物理隔离也可逻辑隔离统一的园区出口服务统一的园区出口服务campuscampus管理中心管理中心行业城域网行业城域网远远程程办办公公/出差用户出差用户核心交换机核心交换机FWFWIPSIPSRouterRouterISP1ISP1ISP2ISP2公众用户公众用户分支机分支机构构外驻机外驻机构构外部办公室终结标签交换L2TP over IPSec/GRE over IPSec/SSL VPNISP1供 VPN接入使用ISP2供 访 问Internet使用门户网站访问、网上业务办理FW/NAT/VPNFW/NAT为访问为访问Internet的用户提供统一的用户提供统一/基于基于VPN的安全策略控制的安全策略控制广域网出口服务广域网出口服务行业城域网行业城域网PEPEPEPEASBRASBRASBRASBRAS 100AS 200支持支持option ABCoption ABC三类跨域三类跨域MPLS VPNMPLS VPN互通方式，互通方式，实现园区内实现园区内VPNVPN业务与广域行业纵向业务与广域行业纵向VPNVPN业务的互业务的互通通远程分支、办公室通过远程分支、办公室通过Internet接入接入PEPEMPLS MPLS Core Core VPN2（30：30）PEPECECEGREoverIPSec隧道隧道绑定到VPN中GRE over IPSec在远程分支的安全网关与园区网的安全网关之间配置GREoverIPSec隧道：远程分支接入到园区网内部VPN是通过将园区网网关GRE隧道的Tunnel口绑定到目标VPN来实现的；IPSec隧道用户对私网报文加密，确保私网通信的保密性PEPEMPLS MPLS Core Core VPN2（30：30）PEPECECEL2TPoverIPSec隧道隧道绑定到VPN中L2TP over IPSec移动用户使用L2TP over IPSec方式接入到园区网安全网关上，通过将园区网网关L2TP隧道的VT口绑定到目标VPN来实现接入用户接入园区VPN；IPSec隧道用户对私网报文加密，确保私网通信的保密性外部用户接入内部外部用户接入内部VPN，并获得正确，并获得正确的访问权限的访问权限虚拟安全技术细化安全控制粒度虚拟安全技术细化安全控制粒度部门部门1 1部门部门2 2部门部门3 3部门部门4 4PEPESecPath/SecPath/SecBladeSecBlade虚拟防火墙技术虚拟防火墙技术安全策略一安全策略二安全策略三安全策略四l针对不同业务，独立、灵活的安全策略部署l多安全域、独立的管理员，实现分级管理l解决IP地址冲突lSecBlade FW模块能在不改变网络结构的情况下，实现交换机高速转发和安全业务处理的有机融合l保护投资、节约成本、易扩展SecBlade FWSecBlade FW统一统一DHCP服务服务MPLS VPNMPLS VPN核心网核心网集中集中DHCP服务器服务器接入设备接入设备DHCP Relay多实例，不同VPN用户动态获得IP地址多多多多VPNVPN用户共用同一台用户共用同一台用户共用同一台用户共用同一台DHCPDHCP服务器服务器服务器服务器员工员工合作方合作方访客访客多业务端到端的多业务端到端的QosQos支持能力支持能力corecorePEPEaccessaccessP PPEPE接入业务识别，修 改 IP报 文DSCP/COSMPLS封 装，DSCP/COS到Exp字段映射，或优先级管制根据Exp决定转发优先级MPLS去封装，信任IP报文转发优先 级 或 Exp-DSCP映射信任IP报文转发优先级整体Qos策略提供对关键业务平时和峰值时的服务质量保证整网设备整网设备/业务的统一配置管理业务的统一配置管理iMC MVM简化简化VPN业务管理业务管理提纲提纲n园区虚拟化需求分析园区虚拟化需求分析nH3CH3C虚拟园区网解决方案虚拟园区网解决方案n解决方案的推广和引导策略解决方案的推广和引导策略n解决方案市场价值解决方案市场价值典型组网及设备典型组网及设备核心交换层网管中心网管中心汇聚层接入层数据中心数据中心广域网广域网分支机分支机构构FIT APFIT APInternetRPRRPR2.5G2.5GH3C S9500/H3C S9500/S75ES75EH3C S7500E/S9500H3C S7500E/S9500H3C S3610/3600/5500EI H3C S3610/3600/5500EI/5510/5510MCE/CEMCE/CEMCE/CEMCE/CEPEPEPEPEEADEAD认证认证分支机分支机构构L2TP over IPSec/GRE over IPSec出差用户出差用户公众用户公众用户MPLS VPNMPLS VPN通道通道企业企业/园区网园区网N*E1N*E1PEPEPEPEPEPEPEPEMCE/CEMCE/CEP PP PP PP PSecPath 1000FSecPath 1000FSR8800/6600SR8800/6600H3C S7500E/S9500H3C S7500E/S9500H3C S3610/55EIH3C S3610/55EI方案推广及引导策略方案推广及引导策略n有明确业务隔离需求、少量业务互访的项目，要明确用户的业务模型和流量走向n在大中型园区网项目中引导我司虚拟化方案，小型网络或设备层次较低的情况引导传统的VLAN/ACL方案n我司方案可屏蔽除Cisco外其它厂商，引导时突出方案的整体性，端到端的业务隔离、访问权限集中控制、共享数据中心和统一服务应用以及网络、安全、存储等产品对虚拟化应用的支持提纲提纲n园区虚拟化需求分析园区虚拟化需求分析nH3CH3C虚拟园区网解决方案虚拟园区网解决方案n解决方案的推广和引导策略解决方案的推广和引导策略n解决方案市场价值解决方案市场价值虚拟园区网解决方案市场价值虚拟园区网解决方案市场价值n节省网络投资、减少重复建设节省网络投资、减少重复建设：通过资源虚拟化的业务逻辑隔离，避免了业务、数据物理隔离需要网络重复建设、应用服务器、安全设备重复采购的缺点，提高了整体资源的利用率n业务端到端的安全隔离业务端到端的安全隔离：通过访问控制、MPLS L3VPN传输隔离、应用虚拟化技术为不同业务建立端到端的传输通道、进行业务安全隔离，同时能够进行灵活的互访和应用扩展n接入安全防护接入安全防护：通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害n提供统一的服务和应用提供统一的服务和应用：通过统一的数据中心和应用服务器区，为全网用户提供各种应用服务、监控和计费，并可根据应用分配资源，提高了服务的能力和效率n降低管理难度、提高管理效率降低管理难度、提高管理效率：通过iMC统一管理平台和VPN专门管理通道的部署，实现对整网资源统一管理、提高管理效率