虚拟园区网解决方案交流ppt(34张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业中存在不同级别的访问权限:几乎每个企业都需要解决方案来为客户、厂 商、合作伙伴以及园区局域网上的员工授予不同的访问级别。
简化网络、提高资源利用率:非常大型的网络,如机场、大学等大型园区,为 了保证各群组/部门业务的安全性,若建设和管理多套物理网络,既昂贵又难 于管理。
网络整合:在进行企业收购或合并时,需要能够快速进行网络整合,把原来外 部的网络和业务迅速接入自己的网络。
行政中心 审批大厅
6
虚拟园区业务隔离逻辑关系
部门内 部业务
部门间共 享业务
数据中心
内部用户对外部 数据区的业务
为公众用户提供 服务的对外业务
园区网络
内部用户访 问Internet
公众用户
部门 A Campus
部门 B
部门 A
内部私有数据 内部共享数据 外部数据
分支X 广域网
分支Y
广域网接 入业务
接入控制—端点准入和身份识别
你安全吗?
身份认证
安全认证
你可以做 什么?
动态授权
认证通过 的用户能 够正常访 问相应的 网络资源
接入请求
合法用户
合格用户
园区网络
你是谁?
非法用户 拒绝入网
不合格 进入隔离区
强制加固
不同用户 享受不同 的网络使 用权限
隔离区
你在做 什么?
行为审计
EAD:Endpoint Admission Defense,端点准入防御 对不同的接入终端实施不同的安全和访问策略
H3C虚拟园区网解决方案交流
杭州华三通信技术有限公司
提纲
园区虚拟化需求分析 H3C虚拟园区网解决方案 虚拟园区网解决方案总结
2
网络应用面临的挑战
传统部署方案
园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络 用户组进行逻辑分区。 传统园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭 用户组提供安全独立环境的方式。
虚拟园区网解决方案交流(ppt34页)
14
虚拟园区网解决方案交流(ppt34页)
接入控制—访问权限动态下发
vpn1 VPN2 vpn3 VPN4
PE
vlan11
PE:
VLAN VLAN11 VLAN22 VLAN33 VLAN44
CAMS:
用户名:密码
用户名1:密码 用户名2:化简介
设备的虚拟化 服务的虚拟化
通道的虚拟化
虚拟资源1
虚拟资源2
Virtual Private Networks
虚拟资源3
物理资源
4
园区虚拟化的推动力
法规遵从:部分企业受法律或规定的要求,必须对其内部应用或业务进行分区。 例如,在金融公司中,银行业务必须与证券交易业务分开。
虚拟园区网解决方案交流(ppt34页)
对应VPN VPN1 VPN2 VPN3 VPN4
下发VLAN
VLAN11 VLAN22 VLAN33 VLAN44
15
虚拟园区网解决方案交流(ppt34页)
移动用户接入:灵活办公
VRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转
发表, 扩展性好。 支持多种灵活的接入方式,配置管理简单、支持QoS, 能够满足大型复杂园区的应用
推荐组合:VLAN+VRF,VRF+MPLS VPN。二三层隔离的融合,安
全性高,避免大量的ACL配置问题,直观、易维护、易扩展
网管中心
公众
数据中心
分支机构
外驻机构
Internet
WAN
大楼汇聚
RPR 2.5G
核心交换层
无线接入
FIT AP FIT AP
大楼汇聚
楼层接入
楼层接入
10
园区虚拟化技术讨论
二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、 难以管理和定位,适合小型网络
分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展 性、管理性差,适合某些特定场合
5
典型虚拟化需求举例--政务行政中心
XX厅局
yy厅局
zz厅局
行政中心
当前部分大中城市正在或 将要建设的城市行政中心, 将市内大部分党政相关部门 统一迁入行政中心(大楼或园 区)集中办公,同时又为公众 提供“一站式”业务办理服 务。
行政中心
市民(服务) 中心
11
虚拟园区网解决方案交流(ppt34页)
H3C虚拟园区网解决方案整体思路
用户端点准入控制
对用户的安全认证和权限管理,使用H3C EAD解决方案(支持 portal、802.1X、VPN等认证方式),在接入边缘设备作认证 可以与无线终端与AP联动,对无线接入用户进行认证 根据用户认证的结果动态下发VPN归属,控制访问权限
业务逻辑隔离
共用物理网络,逻辑隔离使用VRF+MPLS VPN技术 用户通过CE\MCE设备接入,实现端到端的VPN隔离 核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的 VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内 部业务逻辑隔离和物理隔离
支持端到端的QoS
虚拟园区网解决方案交流(ppt34页)
数据中心逻辑上分成三个区域:
内部专有数据区:仅为单部门或业务提供服务
内部共享数据区:为网络内部全部或部分用户提供共享服务
外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、 门户网站等
虚拟园区网解决方案交流(ppt34页)
13
虚拟园区网解决方案交流(ppt34页)
12
虚拟园区网解决方案交流(ppt34页)
H3C虚拟园区网解决方案整体思路
集中服务管理
为园区内用户提供统一的Internet\WAN出口,进行集中监控、管 理
网络管理使用H3C iMC智能管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理
各种管理\策略服务器、应用服务器、存储设备等统一部署在数 据中心,为全网提供统一的应用和策略服务
7
提纲
虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践
8
H3C虚拟园区网解决方案
H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统
一应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源
的利用效率、降低管理的复杂度
9
典型组网拓扑图
简化网络、提高资源利用率:非常大型的网络,如机场、大学等大型园区,为 了保证各群组/部门业务的安全性,若建设和管理多套物理网络,既昂贵又难 于管理。
网络整合:在进行企业收购或合并时,需要能够快速进行网络整合,把原来外 部的网络和业务迅速接入自己的网络。
行政中心 审批大厅
6
虚拟园区业务隔离逻辑关系
部门内 部业务
部门间共 享业务
数据中心
内部用户对外部 数据区的业务
为公众用户提供 服务的对外业务
园区网络
内部用户访 问Internet
公众用户
部门 A Campus
部门 B
部门 A
内部私有数据 内部共享数据 外部数据
分支X 广域网
分支Y
广域网接 入业务
接入控制—端点准入和身份识别
你安全吗?
身份认证
安全认证
你可以做 什么?
动态授权
认证通过 的用户能 够正常访 问相应的 网络资源
接入请求
合法用户
合格用户
园区网络
你是谁?
非法用户 拒绝入网
不合格 进入隔离区
强制加固
不同用户 享受不同 的网络使 用权限
隔离区
你在做 什么?
行为审计
EAD:Endpoint Admission Defense,端点准入防御 对不同的接入终端实施不同的安全和访问策略
H3C虚拟园区网解决方案交流
杭州华三通信技术有限公司
提纲
园区虚拟化需求分析 H3C虚拟园区网解决方案 虚拟园区网解决方案总结
2
网络应用面临的挑战
传统部署方案
园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络 用户组进行逻辑分区。 传统园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭 用户组提供安全独立环境的方式。
虚拟园区网解决方案交流(ppt34页)
14
虚拟园区网解决方案交流(ppt34页)
接入控制—访问权限动态下发
vpn1 VPN2 vpn3 VPN4
PE
vlan11
PE:
VLAN VLAN11 VLAN22 VLAN33 VLAN44
CAMS:
用户名:密码
用户名1:密码 用户名2:化简介
设备的虚拟化 服务的虚拟化
通道的虚拟化
虚拟资源1
虚拟资源2
Virtual Private Networks
虚拟资源3
物理资源
4
园区虚拟化的推动力
法规遵从:部分企业受法律或规定的要求,必须对其内部应用或业务进行分区。 例如,在金融公司中,银行业务必须与证券交易业务分开。
虚拟园区网解决方案交流(ppt34页)
对应VPN VPN1 VPN2 VPN3 VPN4
下发VLAN
VLAN11 VLAN22 VLAN33 VLAN44
15
虚拟园区网解决方案交流(ppt34页)
移动用户接入:灵活办公
VRF/MPLS VPN:三层隔离技术,业务隔离性好,每个VPN独立转
发表, 扩展性好。 支持多种灵活的接入方式,配置管理简单、支持QoS, 能够满足大型复杂园区的应用
推荐组合:VLAN+VRF,VRF+MPLS VPN。二三层隔离的融合,安
全性高,避免大量的ACL配置问题,直观、易维护、易扩展
网管中心
公众
数据中心
分支机构
外驻机构
Internet
WAN
大楼汇聚
RPR 2.5G
核心交换层
无线接入
FIT AP FIT AP
大楼汇聚
楼层接入
楼层接入
10
园区虚拟化技术讨论
二层VLAN:二层隔离技术,在三层终结。不易扩展,STP维护复杂、 难以管理和定位,适合小型网络
分布式ACL:需要严格的策略控制,灵活性差,可能配置错误,扩展 性、管理性差,适合某些特定场合
5
典型虚拟化需求举例--政务行政中心
XX厅局
yy厅局
zz厅局
行政中心
当前部分大中城市正在或 将要建设的城市行政中心, 将市内大部分党政相关部门 统一迁入行政中心(大楼或园 区)集中办公,同时又为公众 提供“一站式”业务办理服 务。
行政中心
市民(服务) 中心
11
虚拟园区网解决方案交流(ppt34页)
H3C虚拟园区网解决方案整体思路
用户端点准入控制
对用户的安全认证和权限管理,使用H3C EAD解决方案(支持 portal、802.1X、VPN等认证方式),在接入边缘设备作认证 可以与无线终端与AP联动,对无线接入用户进行认证 根据用户认证的结果动态下发VPN归属,控制访问权限
业务逻辑隔离
共用物理网络,逻辑隔离使用VRF+MPLS VPN技术 用户通过CE\MCE设备接入,实现端到端的VPN隔离 核心用MPLS标签转发,控制PE设备VPN路由引入,建立专用的 VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内 部业务逻辑隔离和物理隔离
支持端到端的QoS
虚拟园区网解决方案交流(ppt34页)
数据中心逻辑上分成三个区域:
内部专有数据区:仅为单部门或业务提供服务
内部共享数据区:为网络内部全部或部分用户提供共享服务
外部服务区:为通过Internet接入的用户提供应用服务,如网上银行、 门户网站等
虚拟园区网解决方案交流(ppt34页)
13
虚拟园区网解决方案交流(ppt34页)
12
虚拟园区网解决方案交流(ppt34页)
H3C虚拟园区网解决方案整体思路
集中服务管理
为园区内用户提供统一的Internet\WAN出口,进行集中监控、管 理
网络管理使用H3C iMC智能管理中心,内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理
各种管理\策略服务器、应用服务器、存储设备等统一部署在数 据中心,为全网提供统一的应用和策略服务
7
提纲
虚拟园区网需求分析 H3C虚拟园区网解决方案 H3C虚拟园区网最佳实践
8
H3C虚拟园区网解决方案
H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统
一应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源
的利用效率、降低管理的复杂度
9
典型组网拓扑图