文档介绍：虚拟园区网解决方案最佳实践日期: 2007 年9月杭州华三通信技术有限公司?虚拟园区网需求分析?虚拟化技术简介?虚拟园区网典型应用场景?虚拟园区网解决方案典型业务部署目录 2 虚拟园区需求分析随着网络规模的不断增大,其应用和复杂度也在不断增加。对一个大型园区来说,通常包括很多不同的公司/部门/群组在同时使用网络,网络上承载着各种不同的复杂应用。如,一个大型科技园区,集中了几十、上百家公司,他们共用网络、 出口和一些资源服务器,但他们各自的办公和生产业务却需要与其他公司业务隔离开来,限制外部人员的访问权限;另如,政府、金融等部门,对日常生产、办公业务与涉密业务进行安全的隔离也有着严格的要求。对于有业务和应用隔离需求的用户来说,传统的物理网络隔离方案已无法满足需求:网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等,都大大增加了用户在网络投资、建设和运维、管理方面的负担。 3 虚拟化技术- BGP/MPLS VPN MPLS L3VPN 以可实现业务隔离、组网方式灵活、扩展性好、支持 Qos 等优点,可应用于实现园区虚拟化解决方案。 BGP/MPLS VPN 的主要原理是:利用 BGP 在骨干网上传播 VPN 的私网路由信息,用 MPLS 来转发 VPN 业务流。 4 ?虚拟园区网需求分析?虚拟化技术简介?虚拟园区网典型应用场景?虚拟园区网解决方案典型业务部署目录 5 虚拟园区网简介实现公司/部门/群组间数据业务的隔离和互访是虚拟园区网解决方案的首要目标,但与此同时客户对下列业务也存在相同的需求: ?接入用户的认证和安全控制?数据中心的访问控制,譬如公司级的数据资源可供全公司访问,部门级的数据资源仅供本部门访问。?远程分支/办事处、移动用户接入访问控制,譬如通过 接入到园区网内部某 VPN 中,访问该 VPN 的所有资源。? MPLS VPN 的管理,使用管理软件对园区网中的 VPN 资源进行统一集中管理。 6 虚拟园区网简介— H3C 解决方案 H3C 完整的虚拟园区网解决方案包括接入控制、通道隔离、统一应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源的利用效率、降低管理的复杂度 7 虚拟园区网简介— H3C 解决方案 H3C 虚拟园区网最佳实践解决方案通过在园区骨干网部署 BGP/MPLS VPN 实现园区网的虚拟化,在共用一张物理网络的基础上,园区内不同部门、业务实现隔离;并在此基础上进行各种业务的扩展,形成一整套的解决方案,具体业务部署如下: ?在接入层起 EAD 认证,对接入用户进行认证和安全控制; ?在园区出口处启用多实例 NAT ,为园区网提供统一的 出口; ?通过 BGP/MPLS VPN 的 RT路由学****特性实现数据中心资源的访问控制,数据中心资源包括资源:所有 VPN 共享资源,某 VPN 独享资源,对外数据服务区资源; ?使用 GREoverIPSec 或者 L2TPoverIPSec 隧道,让远程分支或者移动用户接入到园区内部 VPN 中; ? H3C 网管软件 MVM 提供对 MPLS VPN 网络的业务发现、拓扑显示、状态监控、连通性审计、性能管理和业务部署等管理功能。 8 ?虚拟园区网需求分析?虚拟化技术简介?虚拟园区网典型应用场景?虚拟园区网解决方案典型业务部署目录 9 虚拟园区网典型应用场景 H3C 虚拟园区网最佳实践解决方案针对不同用户群的需求和组网规模,分别提出了不同的典型应用组网模型: ?对于园区规模较大、接入点数量多,对终端接入、业务横向隔离要求较高、网络承载业务多且复杂、需要较强管理能力的大型网络,我们推荐使用典型三层结构组网。本组网网络分三层结构,核心设备做标签转发,汇聚层作为 PE 设备、控制 VPN 路由发布,接入层提供大容量的接入和方便的扩容能力。接入层设备为 CE 、 MCE 或者二层设备, CE 双归属或者二层设备的双链路 Trunk 上行可提高网络的可靠性; ?对于中小等规模、对业务有严格横向隔离要求、网络承载业务较少、接入用户信任度较高的应用场景,我们推荐使用二层扁平结构组网。本组网网络分两层结构,核心设备做标签转发;接入用户不需安全认证,仅根据接入端口划分访问资源的权限,接入设备完成 VPN 映射和上行标签转发。