H3C虛擬園區網解決方案把整網的物理資源虛擬成多套邏輯資源,各群組使用者根據預先的配置,只能使用相應的資源。下文字站為大家詳細介紹H3C虛擬園區網解決方案,歡迎閱讀!
1 虛擬園區網概述
企業園區網作為企業網路的核心部分,連線了企業總部的辦公、生產、研發、財務等多種重要的機構。在網路建設中佔有重要的地位。園區網內部終端種類眾多,接入使用者數量龐大,對網路的效能、可靠性、可管理性都有較高的要求。隨著IT業務在企業的生產中的重要性越來越高,建設一張簡潔、可靠、高效能的園區網就成為了企業必然的選擇。
在終端種類及使用者種類越來越多的今天,如何區分這些使用者的網路接入許可權並且在保證這些使用者能夠得到可控、可靠的網路服務,成為擺在企業網路管理者面前的難題。H3C的虛擬園區網解決方案集成了H3C的IRF2技術,MPLS/VPN技術,使用者終端准入技術,多業務辦卡擴充套件技術,通過各種技術的整合在企業網路的許可權劃分,使用者接入管理,提升網路可靠性幾個方面對現有的園區網建設方案進行了提升形成了一套新的虛擬園區網解決方案。
2 虛擬園區網架構
H3C虛擬園區網的整體結構,虛擬園區網中整合了橫向虛擬化及縱向虛擬化技術,接入層、匯聚層、核心層通過IRF2技術進行橫向整合,安全模組通過板卡的形式靈活部署在匯聚層交換機,DC前端交換機及Internet出口前端的交換機上。同時,整網通過MPLS/VPN或MCE多跳技術進行縱向虛擬化,完成對網路資源的隔離。
接入使用者通過使用H3C的接入准入方案,能夠針對每個使用者的身份自動的劃分到對應的VLAN中,並在進行三層轉發時,對應不同的VPN例項,做到在整個園區網內部的路徑劃分。同時,結合H3C的EAD認證系統,能夠對使用者終端的安全狀態進行驗證,最終使得接入到園區網的使用者不僅身份可靠而且其終端的安全狀態也是可靠的。
2.1 企業網架構的橫向虛擬化
企業網架構的橫向虛擬化是指:通過使用H3C創新的IRF2技術,是原有的園區網的接入層,匯聚層與核心層裝置各自進行橫向整合,將多臺冗餘裝置虛擬化為單臺邏輯裝置,形成一個網路管理與轉發節點。其優點主要有:
部署簡化:在這樣的虛擬化下,網狀的企業園區網路形成了一個非常簡潔的架構,網路各層之間通過捆綁的單邏輯鏈路互聯,消除了環路。不再需要在接入層設計複雜的生成樹協議,也不再需要在變成單一邏輯節點的客戶端接入閘道器上執行VRRP協議。
路由簡化:端到端IRF2部署使園區網路形成了無環、樹狀、輻射型的網路拓撲結構,極大簡化了執行維護管理工作。網路中資料流的巨集觀路徑上與簡化後的整體網路拓撲具有一致性,業務流在網路中的走向清晰明確。同時,每個IRF2節點本身的擴充套件(如增加該節點裝置)既不會改變企業網路的邏輯結構,也不會影響上下層網路的協議互動。
管理簡化:橫向整合後,原有的多臺裝置作為一臺裝置進行管理,對管理的裝置的數量進行大大的簡化,提高對裝置管理的效率。
2.2 企業網架構的縱向虛擬化
企業網的縱向虛擬化是指對企業網路中物理路徑的邏輯虛擬化。例如:一個大型政務中心園區可能會入駐政府的多個部門,包括市委、市府、人大、政協等,這些部門的縱向獨立性要求其業務資料與其他部門的業務安全隔離,但協同辦公又需要各部門業務能進行可控互訪;園區內資料中心的部分伺服器同時為多個部門提供服務、部分伺服器只為某個部門內部提供服務;園區內所有使用者通過同一Internet出口訪問網際網路;內部使用者無論從網路的任何位置接入,都能獲得與他在辦公室一樣的資源訪問許可權等。
通過將現有園區網路進行縱向的路徑虛擬化很好地解決了這個問題,縱向虛擬化就是把網路等硬體裝置和應用服務等都看成統一的資源,通過技術手段和方案設計,把這套共有的資源虛擬成多套邏輯資源,供不同的群組/業務使用。雖然在物理上這些資源是統一、集中的,但對不同的使用者/業務來說,能夠使用到的資源、配置的安全/管理策略可能各不相同。
H3C在縱向虛擬化技術中,解決了下面三方面問題:
1. 接入控制:使用者接入控制的主要目的在於能夠保證使用者接入的身份可靠,並且將不同的使用者進行分類,歸入到不同的區域中,保證其安全的接入網路。同時H3C還能夠通過EAD解決方案保證接入使用者的安全性。
2. 業務邏輯隔離:業務邏輯隔離區別不同許可權使用者業務之間能夠相互隔離,在必要的情況下也可以進行互訪。
3. 資源隔離:做到對不同使用者能夠訪問的資源的安全隔離,完成端到端的使用者訪問的虛擬化。
通過使用者接入控制及業務邏輯隔離技術,接入使用者通過網路邊緣的`CE/MCE裝置接入,認證通過後集中策略伺服器根據認證使用者名稱下發策略把使用者埠加入到相應的VLAN中,並根據預設下發部分訪問控制策略;在接入或匯聚裝置上,通過配置VLAN介面與VPN的繫結關係,把使用者加入到相應的VPN中去;MCE/PE裝置會為每個VPN建立獨立的路由轉發表項,從而保證VPN內使用者組的路由資訊不會擴散給其它VPN使用者,各VPN使用MCE或MPLS/VPN獨立進行資料轉發,這樣就為使用者到伺服器提供了一種端到端業務傳輸通道,把不同使用者組、不同應用的資料橫向隔離開來,完成了園區網的縱向虛擬化。
2.3 多業務板卡技術
在虛擬園區網方案中通過矩陣式的安全模組部署,解決了在傳統的安全技術部署時的難擴充套件,單一節點故障等問題。
H3C通過將安全模組結合網路裝置的創新,虛擬園區網中的的安全裝置部署能夠靈活的利用裝置背板的交換能力以及裝置對網路流量的策略,根據策略靈活的將需要進行安全保障的資料通過必要的安全裝置,形成一種定製化的,按需分配的安全部署,使得多VPN使用者共享集中部署的防火牆、入侵檢測裝置、無線接入裝置等網路裝置,做到對不同使用者訪問資源的獨立控制。