版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、H3C虛擬園區(qū)網(wǎng)解決方案交流,杭州華三通信技術(shù)有限公司,提綱,園區(qū)虛擬化需求分析H3C虛擬園區(qū)網(wǎng)解決方案虛擬園區(qū)網(wǎng)解決方案總結(jié),網(wǎng)絡(luò)應(yīng)用面臨的挑戰(zhàn),園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜,可擴(kuò)展解決方案也越來(lái)越需要將多個(gè)網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。傳統(tǒng)園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)建議一直缺乏一種對(duì)網(wǎng)絡(luò)流量分區(qū),以便為封閉用戶組提供安全獨(dú)立環(huán)境的方式。,傳統(tǒng)部署方案,虛擬化簡(jiǎn)介,,虛擬資源2,,物理資源,虛擬資源1,虛擬資源3,,,,,,,Virtual Priva
2、te Networks,,,,,設(shè)備的虛擬化,服務(wù)的虛擬化,通道的虛擬化,園區(qū)虛擬化的推動(dòng)力,法規(guī)遵從:部分企業(yè)受法律或規(guī)定的要求,必須對(duì)其內(nèi)部應(yīng)用或業(yè)務(wù)進(jìn)行分區(qū)。例如,在金融公司中,銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開(kāi)。,企業(yè)中存在不同級(jí)別的訪問(wèn)權(quán)限:幾乎每個(gè)企業(yè)都需要解決方案來(lái)為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問(wèn)級(jí)別。,簡(jiǎn)化網(wǎng)絡(luò)、提高資源利用率:非常大型的網(wǎng)絡(luò),如機(jī)場(chǎng)、大學(xué)等大型園區(qū),為了保證各群組/部門業(yè)務(wù)的安全性
3、,若建設(shè)和管理多套物理網(wǎng)絡(luò),既昂貴又難于管理。,網(wǎng)絡(luò)整合:在進(jìn)行企業(yè)收購(gòu)或合并時(shí),需要能夠快速進(jìn)行網(wǎng)絡(luò)整合,把原來(lái)外部的網(wǎng)絡(luò)和業(yè)務(wù)迅速接入自己的網(wǎng)絡(luò)。,典型虛擬化需求舉例--政務(wù)行政中心,,XX廳局,yy廳局,zz廳局,行政中心,,,,行政中心 當(dāng)前部分大中城市正在或?qū)⒁ㄔO(shè)的城市行政中心,將市內(nèi)大部分黨政相關(guān)部門統(tǒng)一遷入行政中心(大樓或園區(qū))集中辦公,同時(shí)又為公眾提供“一站式”業(yè)務(wù)辦理服務(wù)。,行政中心,市民(服務(wù))中心,審批大
4、廳,虛擬園區(qū)業(yè)務(wù)隔離邏輯關(guān)系,,,,部門 A,部門 A,部門 B,Internet,,,廣域網(wǎng),,,,,,,,,園區(qū)網(wǎng)絡(luò),分支Y,分支X,,,,數(shù)據(jù)中心,公眾用戶,,為公眾用戶提供服務(wù)的對(duì)外業(yè)務(wù),,內(nèi)部用戶對(duì)外部數(shù)據(jù)區(qū)的業(yè)務(wù),,內(nèi)部用戶訪問(wèn)Internet,,,部門內(nèi)部業(yè)務(wù),,部門間共享業(yè)務(wù),,廣域網(wǎng)接入業(yè)務(wù),,Campus,,,,,內(nèi)部私有數(shù)據(jù),,內(nèi)部共享數(shù)據(jù),,外部數(shù)據(jù),提綱,虛擬園區(qū)網(wǎng)需求分析H3C虛擬園區(qū)網(wǎng)解決方案H3C虛擬
5、園區(qū)網(wǎng)最佳實(shí)踐,H3C虛擬園區(qū)網(wǎng)解決方案,H3C完整的園區(qū)虛擬化解決方案包括接入控制、通道隔離、統(tǒng)一應(yīng)用三個(gè)部分,實(shí)現(xiàn)對(duì)整個(gè)園區(qū)網(wǎng)絡(luò)、應(yīng)用資源的虛擬化,提高資源的利用效率、降低管理的復(fù)雜度,,,典型組網(wǎng)拓?fù)鋱D,,,,,,,樓層接入,核心交換層,,,網(wǎng)管中心,,大樓匯聚,樓層接入,,,,數(shù)據(jù)中心,,WAN,分支機(jī)構(gòu),外駐機(jī)構(gòu),公眾,Internet,,RPR2.5G,,,,,,,,,,,,,大樓匯聚,,,無(wú)線接入,,,園區(qū)虛擬化技術(shù)討論
6、,二層VLAN:二層隔離技術(shù),在三層終結(jié)。不易擴(kuò)展,STP維護(hù)復(fù)雜、難以管理和定位,適合小型網(wǎng)絡(luò)分布式ACL:需要嚴(yán)格的策略控制,靈活性差,可能配置錯(cuò)誤,擴(kuò)展性、管理性差,適合某些特定場(chǎng)合VRF/MPLS VPN:三層隔離技術(shù),業(yè)務(wù)隔離性好,每個(gè)VPN獨(dú)立轉(zhuǎn)發(fā)表, 擴(kuò)展性好。 支持多種靈活的接入方式,配置管理簡(jiǎn)單、支持QoS,能夠滿足大型復(fù)雜園區(qū)的應(yīng)用推薦組合:VLAN+VRF,VRF+MPLS VPN。二三層隔離的融合,安全性高
7、,避免大量的ACL配置問(wèn)題,直觀、易維護(hù)、易擴(kuò)展,H3C虛擬園區(qū)網(wǎng)解決方案整體思路,用戶端點(diǎn)準(zhǔn)入控制對(duì)用戶的安全認(rèn)證和權(quán)限管理,使用H3C EAD解決方案(支持portal、802.1X、VPN等認(rèn)證方式),在接入邊緣設(shè)備作認(rèn)證可以與無(wú)線終端與AP聯(lián)動(dòng),對(duì)無(wú)線接入用戶進(jìn)行認(rèn)證根據(jù)用戶認(rèn)證的結(jié)果動(dòng)態(tài)下發(fā)VPN歸屬,控制訪問(wèn)權(quán)限業(yè)務(wù)邏輯隔離共用物理網(wǎng)絡(luò),邏輯隔離使用VRF+MPLS VPN技術(shù)用戶通過(guò)CE\MCE設(shè)備接入,實(shí)現(xiàn)端
8、到端的VPN隔離核心用MPLS標(biāo)簽轉(zhuǎn)發(fā),控制PE設(shè)備VPN路由引入,建立專用的VPN轉(zhuǎn)發(fā)通道,為數(shù)據(jù)中心提供PE或MCE接口,兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離支持端到端的QoS,H3C虛擬園區(qū)網(wǎng)解決方案整體思路,集中服務(wù)管理為園區(qū)內(nèi)用戶提供統(tǒng)一的Internet\WAN出口,進(jìn)行集中監(jiān)控、管理網(wǎng)絡(luò)管理使用H3C iMC智能管理中心,內(nèi)嵌的MPLS VPN Manager支持對(duì)MPLS VPN的專業(yè)管理各種管理\策略服務(wù)器
9、、應(yīng)用服務(wù)器、存儲(chǔ)設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心,為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略服務(wù)數(shù)據(jù)中心邏輯上分成三個(gè)區(qū)域:內(nèi)部專有數(shù)據(jù)區(qū):僅為單部門或業(yè)務(wù)提供服務(wù)內(nèi)部共享數(shù)據(jù)區(qū):為網(wǎng)絡(luò)內(nèi)部全部或部分用戶提供共享服務(wù)外部服務(wù)區(qū):為通過(guò)Internet接入的用戶提供應(yīng)用服務(wù),如網(wǎng)上銀行、門戶網(wǎng)站等,接入控制—端點(diǎn)準(zhǔn)入和身份識(shí)別,EAD:Endpoint Admission Defense,端點(diǎn)準(zhǔn)入防御對(duì)不同的接入終端實(shí)施不同的安全和訪問(wèn)策略,接入控制
10、—訪問(wèn)權(quán)限動(dòng)態(tài)下發(fā),,,PE,vpn1,VPN2,vpn3,VPN4,CAMS:,PE:,vlan11,vlan22,vlan33,vlan44,用戶名1:密碼 VLAN11,用戶名2:密碼 VLAN22,用戶名3:密碼 VLAN33,用戶名4:密碼 VLAN44,,,,
11、移動(dòng)用戶接入:靈活辦公,,不改變VPN歸屬關(guān)系的位置靈活遷移,根據(jù)認(rèn)證用戶名、密碼的不同,策略服務(wù)器下發(fā)策略調(diào)整用戶VPN歸屬關(guān)系,AP,,,無(wú)線移動(dòng)用戶靈活接入VPN,園區(qū)核心網(wǎng),通道隔離—端到端的業(yè)務(wù)邏輯隔離,,,,,核心交換層,網(wǎng)管中心,匯聚層,接入層,,,數(shù)據(jù)中心,,,,,,,,MCE/CE,,,,,,,,,,PE,,,,,EAD認(rèn)證,,,,,,MPLS VPN通道,企業(yè)/園區(qū)網(wǎng),PE,PE,PE,MCE/CE,P,P,P,P,
12、PE,OSPF,ospf/靜態(tài)路由/RIP,MPLS L3 VPN提供端到端的業(yè)務(wù)隔離能力,并且通過(guò)RT屬性控制VPN間業(yè)務(wù)互訪,,通道隔離—部門業(yè)務(wù)的可控互訪,,,Site-A,Site-B,,,多角色主機(jī)多用途服務(wù)器Extranet組網(wǎng),,,虛擬園區(qū)網(wǎng)擴(kuò)容和升級(jí),,,核心交換層,網(wǎng)管中心,匯聚層,接入層,,,數(shù)據(jù)中心,,,,,,,,,,MCE/CE,MCE/CE,,,,,,,,,PE,,,,,,PE,,,,,EAD認(rèn)證,,,,,
13、,MPLS VPN通道,企業(yè)/園區(qū)網(wǎng),PE,PE,PE,MCE/CE,P,P,P,P,PE,OSPF,ospf/靜態(tài)路由/RIP,容易實(shí)現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)的擴(kuò)容升級(jí),,,,,,,,PE,統(tǒng)一應(yīng)用—集中化數(shù)據(jù)中心,,,,Firewall,IPS,匯聚交換機(jī),IP SAN,負(fù)載均衡器,業(yè)務(wù)服務(wù)器,接入交換機(jī),,,A部門,B部門,C部門,D部門,X部門,,,,,,,,,,Firewall,IPS,匯聚交換機(jī),IP SAN,負(fù)載均衡器,業(yè)務(wù)服務(wù)器
14、,接入交換機(jī),A,B,C,D,X,,,,AB,BC,all,核心交換機(jī),核心交換機(jī),獨(dú)享資源服務(wù)器區(qū),互訪和共享資源服務(wù)器區(qū),獨(dú)享資源服務(wù)器區(qū)通過(guò)邏輯隔離手段保證各部門對(duì)自身數(shù)據(jù)的獨(dú)享性共享資源服務(wù)器區(qū)部署需要在不同部門間共享的數(shù)據(jù)資源外部服務(wù)器區(qū)提供公眾業(yè)務(wù)、對(duì)外網(wǎng)站等服務(wù)共享災(zāi)備中心為政務(wù)數(shù)據(jù)資源提供統(tǒng)一的備份容災(zāi)設(shè)施,,,Internet,,對(duì)外網(wǎng)站、對(duì)公業(yè)務(wù)服務(wù)區(qū),,,共享災(zāi)備中心,,,,,,,園區(qū)數(shù)據(jù)中心,MPLS VP
15、N,WAN,,,,,數(shù)據(jù)中心虛擬化為全網(wǎng)用戶提供服務(wù),數(shù)據(jù)中心內(nèi)部可物理隔離也可邏輯隔離,統(tǒng)一應(yīng)用—高可用、高安全的出口服務(wù),,,,園區(qū)網(wǎng),,管理中心,城域網(wǎng),遠(yuǎn)程辦公/出差用戶,,,,,,,,,,,,核心交換機(jī),FW,IPS,Router,,,,,,,ISP1,ISP2,Internet,公眾用戶,,,分部,分部,,,,,終結(jié)標(biāo)簽交換,L2TP over IPSec/ GRE over IPSec/ SSL VPN,ISP1供VPN接
16、入使用,ISP2供訪問(wèn)Internet使用,門戶網(wǎng)站訪問(wèn)、網(wǎng)上業(yè)務(wù)辦理,FW/NAT/VPN,FW/NAT,option A\B\C三類MPLS VPN跨域互通,統(tǒng)一應(yīng)用—虛擬防火墻,針對(duì)不同業(yè)務(wù),獨(dú)立、靈活的安全策略部署多個(gè)邏輯防火墻,多安全域,獨(dú)立的管理員,實(shí)現(xiàn)分級(jí)管理解決IP地址沖突SecBlade FW模塊能在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下,實(shí)現(xiàn)交換機(jī)高速轉(zhuǎn)發(fā)和安全業(yè)務(wù)處理的有機(jī)融合保護(hù)投資、節(jié)約成本、易擴(kuò)展,SecBlade
17、FW,,統(tǒng)一應(yīng)用— DHCP統(tǒng)一服務(wù),,,,,,集中DHCP服務(wù)器,接入設(shè)備,DHCP Relay多實(shí)例,不同VPN用戶動(dòng)態(tài)獲得IP地址,多VPN用戶共用同一臺(tái)DHCP服務(wù)器,員工,合作方,訪客,……,,,,,統(tǒng)一應(yīng)用—整網(wǎng)安全綜合防護(hù),,,,,,,三級(jí)安全防護(hù),“整網(wǎng)安全綜合防護(hù),安全事件,一網(wǎng)打盡”,EAD,IPS,FW,FW,SecBlade,NAM,,ASM,,數(shù)據(jù)中心,,,,EAD,EAD,中心內(nèi)部用戶,遠(yuǎn)程辦公/出差用戶,I
18、PS,NSM,router,switch,,,,,,,,統(tǒng)一應(yīng)用— iMC智能管理中樞,,,,端點(diǎn)準(zhǔn)入解決方案(EAD) 行為審計(jì)解決方案(UBAS) 安全聯(lián)動(dòng)解決方案(SCC) 流量清洗解決方案(NTC),流量分析解決方案(NTA) 性能優(yōu)化解決方案(QoS),安全控制中心,性能優(yōu)化中心,運(yùn)營(yíng)管理中心,ITOIP開(kāi)放智能管理中樞,,基礎(chǔ)管理支撐,基礎(chǔ)網(wǎng)絡(luò)管理解決方案(NMS),,,,用戶、資源、業(yè)務(wù)的融合管理,首頁(yè),網(wǎng)絡(luò)、用戶
19、、業(yè)務(wù)信息綜合概覽,網(wǎng)絡(luò),網(wǎng)絡(luò)資源、故障、性能信息綜合管理,用戶,用戶接入、用戶安全統(tǒng)一管理,業(yè)務(wù),流程化的業(yè)務(wù)流管理,MPLS VPN業(yè)務(wù)專業(yè)化管理,,,,,基于向?qū)絍PN業(yè)務(wù)發(fā)現(xiàn)、業(yè)務(wù)部署,基于業(yè)務(wù)功能、用戶身份鑒權(quán),,基于策略的VPN部署調(diào)整,為VPN業(yè)務(wù)運(yùn)營(yíng)提供閉環(huán)保證,,,方案討論—靈活業(yè)務(wù)訪問(wèn)模式,園區(qū)網(wǎng)絡(luò),,1.用戶A可訪問(wèn)Internet,不能訪問(wèn)辦公網(wǎng)絡(luò),2.用戶A可訪問(wèn)辦公網(wǎng)絡(luò),不能訪問(wèn)Internet,3.用戶B
20、可訪問(wèn)辦公網(wǎng)絡(luò),A和B訪問(wèn)權(quán)限不同,用戶A,用戶B,用戶C,用戶D,辦公網(wǎng)絡(luò),Internet,用戶A、B、C、D分屬不同的部門,訪問(wèn)權(quán)限不同,用戶多次獲取不同的訪問(wèn)權(quán)限,滿足Internet、辦公上網(wǎng)及隔離的要求,不同訪問(wèn)權(quán)限的用戶安全隔離,以免資源被非法訪問(wèn),,,,CAMS,,,,,,實(shí)現(xiàn)方式一:Guest Vlan+EAD,園區(qū)網(wǎng)絡(luò),,1.用戶默認(rèn)屬于Guest Vlan,無(wú)須認(rèn)證,2. Internet與Guest Vlan能夠
21、互通,辦公網(wǎng)絡(luò),,,,,GVLAN 10,GVLAN 20,GVLAN 30,GVLAN 40,Internet,用戶A,用戶B,用戶C,用戶D,,,,,,實(shí)現(xiàn)方式一:Guest Vlan+EAD,園區(qū)網(wǎng)絡(luò),,2.動(dòng)態(tài)VLAN與辦公網(wǎng)絡(luò)互通,辦公網(wǎng)絡(luò),Internet,,1.用戶啟動(dòng)EAD認(rèn)證,動(dòng)態(tài)下發(fā)VLAN和ACL,,,,,,,,,,,,用戶A,用戶B,用戶C,用戶D,DVLAN 110,DVLAN 120,DVLAN 130,DV
22、LAN 140,,,,,,實(shí)現(xiàn)方式二:EAD多服務(wù)認(rèn)證,園區(qū)網(wǎng)絡(luò),,1.用戶分配多個(gè)域后綴@Internet,@shuiwu等,對(duì)應(yīng)多個(gè)服務(wù),辦公網(wǎng)絡(luò),,,,DVLAN 10,DVLAN 20,DVLAN 30,DVLAN 140,Internet,用戶A,用戶B,用戶C,用戶D,2.用戶使用@Internet認(rèn)證,下發(fā)Internet訪問(wèn)權(quán)限,,3.用戶D使用@caizheng認(rèn)證,下發(fā)財(cái)政訪問(wèn)權(quán)限,提綱,虛擬園區(qū)網(wǎng)需求分析H3C虛
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 市解決方案_智慧園區(qū)網(wǎng)解決方案
- 市解決方案_數(shù)字孿生園區(qū)解決方案
- 智慧園區(qū)解決方案
- 智慧園區(qū)解決方案
- 市解決方案_智慧生產(chǎn)企業(yè)園區(qū)解決方案
- 虛擬旅游解決方案
- 智慧園區(qū)解決方案2016
- 市解決方案_智慧工業(yè)園區(qū)解決方案
- 智慧園區(qū)解決方案-2017
- 智慧化工園區(qū)解決方案
- 園區(qū)招商crm解決方案
- 市解決方案_智慧園區(qū)信息化綜合解決方案
- 市解決方案_智慧工業(yè)園區(qū)解決方案(1)
- vmware虛擬化解決方案
- citrix虛擬化解決方案
- 桌面虛擬化解決方案
- 最新智慧園區(qū)整體解決方案
- 智慧園區(qū)總體架構(gòu)解決方案
- xx智慧園區(qū)建設(shè)解決方案
- 最新智慧園區(qū)整體解決方案
評(píng)論
0/150
提交評(píng)論