虚拟园区网解决方案(1)
ቤተ መጻሕፍቲ ባይዱ
虚拟园区网解决方案(1)
实现方式一:Guest Vlan+EAD
2. Internet与
Guest Vlan能 够互通
Internet
办公网络
园区网络
1.用户默认属于
Guest Vlan,无 须认证
GVLAN 10 GVLAN 20 GVLAN 30 GVLAN 40
用户A
用户B
用户C
用户D
虚拟园区网解决方案(1)
提纲
虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践
虚拟园区网解决方案(1)
H3C虚拟园区网解决方案
n
H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一
应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源的
利用效率、降低管理的复杂度
虚拟园区网解决方案(1)
典型组网拓扑图
ISP1
远 程 办 公 / ISP1 供 VPN 接
出差用户
入使用
IPS
FW
ISP2
ISP2 供 访 问
FW/NAT
I
Internet使用
门户网站访问、
Router 终结标签交换
n 网上业务办理 公众用户
核心交换机
t
e
r
虚拟园区网解决方案(1)
统一应用—虚拟防火墙
虚拟防火墙技术
SecPath/ SecBlade
A部门
B部门
C部门
D部门
MPLS VPN
X部门
Internet
核心交 换机
核心交 换机
IPS
汇聚交换
机
接入交换机
Firewal l
负载均衡 器
业务服务 器
IPS
汇聚交换
机
接入交换机
Firewal l
负载均 衡器
业务服务 器
对外网站、对公业务服务区
IP SAN
A
B
C
D
X
独享资源服务器区
IP SAN
AB
VPN中CE 的连接关系 是什么?
基于策略的VPN部署调整,为 VPN业务运营提供闭环保证
PE
PE
CE
PE
PP
CE
PE
PE
PE
立即、定期配置审计、连通性
审计为VPN网络提供可虚靠拟性园保区证网解决方案(1)
方案讨论—灵活业务访问模式
Internet
2.用户A可访问
办公网络,不能 访问Internet
“整网安全综合防护, 安全事件,一网打尽”
数据中心
IFSNArsPPowASWSeuSSMiMctceBhr la de
中心内部用户
EAD
EAD
EAD
虚拟园区网解决方案(1)
统一应用— iMC智能管理中枢
ITOIP开放智能管理中枢
安全控制中心
性能优化中心
• 端点准入解决方案(EAD) • 行为审计解决方案(UBAS) • 安全联动解决方案(SCC) • 流量清洗解决方案(NTC)
网管中心
公众
数据中心
分支机构
外驻机构
Internet
WAN
大楼汇聚
RPR 2.5G
核心交换层
无线接入
FIT AP FIT AP
大楼汇聚
楼层接入
楼层接入 虚拟园区网解决方案(1)
园区虚拟化技术讨论
二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、 难以管理和定位,适合小型网络 分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展 性、管理性差,适合某些特定场合
H3C虚拟园区网解决方案整体思路
用户端点准入控制
对用户的安全认证和权限管理,使用H3C EAD解决方案(支持 portal、802.1X、VPN等认证方式),在接入边缘设备作认证 可以与无线终端与AP联动,对无线接入用户进行认证 根据用户认证的结果动态下发VPN归属,控制访问权限
业务逻辑隔离
共用物理网络,逻辑隔离使用VRF+MPLS VPN技术 用户通过CE\MCE设备接入,实现端到端的VPN隔离 核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的 VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内 部业务逻辑隔离和物理隔离 支持端到端的QoS
接入请求
合法用户
合格用户
园区网络
你是谁?
非法用户 拒绝入网
不合格 进入隔离区
强制加固
不同用户 享受不同 的网络使 用权限
隔离区
你在做 什么?
行为审计
EAD:Endpoint Admission Defense,端点准入防御 对不同的接入终端实施不同的安全和访问策略
虚拟园区网解决方案(1)
接入控制—访问权限动态下发
虚拟园区网解决方案(1)
统一应用— DHCP统一服务
集中DHCP 服务器
接入设备
MPLS VPN核心网
多VPN用户共用同一台 DHCP服务器
DHCP Relay多实例, 不同VPN用户动态获 得IP地址
员工 合作方
访客
……
虚拟园区网解决方案(1)
统一应用—整网安全综合防护
三级安全防护
远程办公/ 出差用户
实现方式一:Guest Vlan+EAD
Internet
2.动态VLAN与
办公网络互通
办公网络
园区网络
1.用户启动EAD
认证,动态下发 VLAN和ACL
DVLAN 110 DVLAN 120 DVLAN 130 DVLAN 140
用户A
用户B
用户C
用户D
虚拟园区网解决方案(1)
实现方式二:EAD多服务认证
虚拟园区网解决方案(1)
H3C虚拟园区网解决方案整体思路
集中服务管理
为园区内用户提供统一的Internet\WAN出口,进行集中监控、管 理 网络管理使用H3C iMC智能管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理 各种管理\策略服务器、应用服务器、存储设备等统一部署在数 据中心,为全网提供统一的应用和策略服务 数据中心逻辑上分成三个区域:
内部专有数据区:仅为单部门或业务提供服务 内部共享数据区:为网络内部全部或部分用户提供共享服务 外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、 门户网站等
虚拟园区网解决方案(1)
接入控制—端点准入和身份识别
你安全吗?
身份认证
安全认证
你可以做 什么?
动态授权
认证通过 的用户能 够正常访 问相应的 网络资源
虚拟园区网解决方案(1)
典型虚拟化需求举例--政务行政中心
XX厅局
yy厅局
zz厅局
行政中心
当前部分大中城市正在或 将要建设的城市行政中心, 将市内大部分党政相关部门 统一迁入行政中心(大楼或园 区)集中办公,同时又为公众 提供“一站式”业务办理服 务。
行政中心
市民(服务) 中心
行政中心 审批大厅
虚拟园区网解决方案(1)
• 流量分析解决方案(NTA) • 性能优化解决方案(QoS)
运营管理中心
基础管理支撑
• 基础网络管理解决方案(NMS)
虚拟园区网解决方案(1)
用户、资源、业务的融合管理
首页
网络、用户、业务信息综合概览
用户
用户接入、用户安全统一管理
网络
网络资源、故障、性能信息综合管理
业务
流程化的业务流管理
人
业务
资源
PE 园区网
部门 1
部门 部门 部门 4 23
安全策略一 安全策略二 安全策略三 安全策略四
SecBlade FW
针对不同业务,独立、灵活的安全 策略部署 多个逻辑防火墙,多安全域,独立 的管理员,实现分级管理 解决IP地址冲突 SecBlade FW模块能在不改变网络 结构的情况下,实现交换机高速转发 和安全业务处理的有机融合 保护投资、节约成本、易扩展
虚拟园区网解决方案(1)
移动用户接入:灵活办公
园区核心网
AP
无线移动用户灵活 接入VPN
不 改 变 VPN 归 属 关 系的位置灵活迁移
根据认证用户 名、密码的不 同,策略服务 器下发策略调 整用户VPN归 属关系
虚拟园区网解决方案(1)
通道隔离—端到端的业务逻辑隔离
网管中心
企业/园区网
数据中心
BC
all
互访和共享资源服务器区
园区数据中心
WAN
共享灾备 中心
虚拟园区网解决方案(1)
统一应用—高可用、高安全的出口服务
分部
分部
城域网
option A\B\C三类 MPLS VPN跨域互通
园区网
管理中心
L2TP over IPSec/
GRE over IPSec/
SSL VPN
FW/NAT/VPN
VRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转
发表, 扩展性好。 支持多种灵活的接入方式,配置管理简单、支持QoS, 能够满足大型复杂园区的应用
推荐组合:VLAN+VRF,VRF+MPLS VPN。二三层隔离的融合,安
全性高,避免大量的ACL配置问题,直观、易维护、易扩展
虚拟园区网解决方案(1)
Internet
办公网络
2.用户使用
@Internet认证, 下发Internet访
问权限
1.用户分配多个
域后缀 @Internet, @shuiwu等,对 应多个服务
