H3C 虚拟园区网解决方案
应用背景
随着网络规模的不断增大,其应用和复杂度也在不断增加。对一个大型园区来说,通常包括很多不同的公司/部门/群组在同时使用网络,网络上承载着各种不同的复杂应用。很多时候,需要对这些不同部门/群组用户的访问权限进行控制、不同业务间的网络传输也需要安全隔离,这种隔离指的是访问、传输、应用端到端的隔离。
对于有业务和应用隔离需求的用户来说,传统的物理网络隔离方案已无法满足需求:网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等,都大大增加了用户在网络投资、建设和运维、管理方面的负担。
在上世纪九十年代,L2交换是园区局域网的标志性特性,使用虚拟局域网(VLAN)技术将同一网络上的不同群组用户进行二层隔离,这种方案简单、高效,但却无法很好地适应网络扩展的需要:广播域占用带宽资源、收敛速度慢、需要配置较多的二层特性支持、故障定位和管理困难。
核心、汇聚层L3交换技术的使用,在VLAN方式基础上对网络的可扩展性、性能和管理复杂度进行了优化,但在网络分区和建立封闭用户组方面存在限制。访问控制列表(ACL)的使用并未真正建立封闭的用户群组,而只是在某些关键的节点对部分访问进行了限制,这种方式没有实现业务流量的安全隔离、配置管理复杂、限制了终端/应用系统的可移动性。
因此,我们需要一个便于扩展的解决方案,来保持用户群组的完全隔离,实现服务和安全策略的集中,并保留原有设计的高可用性、安全性和可扩展性的优势。
H3C虚拟园区网解决方案很好地解决了这个问题。其把共用的一套物理网络、客户端、服务器资源虚拟出多套逻辑资源,供不同的群组/部门、业务使用,虽然在物理上这些资源是统一、集中的,但对不同的用户/业务来说,能够使用到的资源、配置的安全/管理策略可能各不相同。解决方案
H3C的虚拟园区网解决方案,集中解决了以下三个重要问题:
l 接入控制:确保接入用户的合法性和安全性,并能够控制用户的访问权限;
l 通道隔离:确保用户群组获得正确的资源和网络流量的安全隔离;
l 统一应用:能够为各群组提供正确的服务,并进行集中的管理和策略控制。
接入控制:通过网络接入控制来对接入网络的终端进行接入安全保障和资源访问授权。建议采用H3C的EAD终端准入控制系统,对通过认证的用户动态下发VPN和对应的资源访问和使用权限,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。通过中央服务器和客户端的配合,还可以监控接入用户的安全状态,拒绝非法接入网络,防止终端ARP欺骗和攻击,进一步加强了整网的稳定和安全。
通道隔离:通过VLAN/VRF/MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离,把不同用户、不同应用的数据横向隔离开来,保证数据传输的私密性和安全性。从业务隔离的灵活性、配置/管理复杂度、扩展性、组网对设备的要求等多方面对比,建议大、中型园区内应用MPLS
L3VPN技术进行业务逻辑隔离。
统一应用:通过计算虚拟化、存储虚拟化、虚拟安全等技术,为整网的隔离用户提供统一的安全策略部署、集中的数据中心服务、统一的网络监控/管理软件、统一的Internet/WAN出口等服务,提高资源的利用率、降低管理复杂度。
H3C虚拟园区网解决方案提出了一种新的建网思路,通过虚拟化技术实现了终端接入的安全和访问权限控制、业务数据传输的安全隔离、应用资源的按需分配,具有提高了网络整体资源的利用率、降低用户投资、简化网络管理、增强网络应用安全性等优点。
方案优势
H3C虚拟园区网解决方案是一种真正的面向应用网络架构设计方案,该方案能够为行业和企业用户带来的好处包括:
l
端到端的业务安全隔离。通过接入访问控制、MPLS VPN隔离、应用虚拟化技术为用户业务提供端到端的安全隔离,同时能够实现灵活的互访和网络扩展。结合H3C虚拟化数据中心,实现一体化的园区网虚拟化解决方案;
l
终端接入灵活、安全。认证客户端能够杜绝非法终端接入网络,并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限,甚至可以通过多次认证在不同时刻获得不同的VPN归属和访问权限,方便做到灵活办公和公用办公,真正实现网络虚拟化;
l
降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点,提高了整体资源的利用率;
降低管理难度、提高管理效率。通过iMC专业管理平台对整网资源进行统一的管理和部署,提高管理效率。
|