H3C虛擬園區(qū)網的解決方案

　　H3C虛擬園區(qū)網解決方案把整網的物理資源虛擬成多套邏輯資源，各群組用戶根據預先的配置，只能使用相應的資源。下文yjbys為大家詳細介紹H3C虛擬園區(qū)網解決方案，歡迎閱讀!

　　1 虛擬園區(qū)網概述

　　企業(yè)園區(qū)網作為企業(yè)網絡的核心部分，連接了企業(yè)總部的辦公、生產、研發(fā)、財務等多種重要的機構。在網絡建設中占有重要的地位。園區(qū)網內部終端種類眾多，接入用戶數量龐大，對網絡的性能、可靠性、可管理性都有較高的要求。隨著IT業(yè)務在企業(yè)的生產中的重要性越來越高，建設一張簡潔、可靠、高性能的園區(qū)網就成為了企業(yè)必然的選擇。

　　在終端種類及用戶種類越來越多的今天，如何區(qū)分這些用戶的網絡接入權限并且在保證這些用戶能夠得到可控、可靠的網絡服務，成為擺在企業(yè)網絡管理者面前的難題。H3C的虛擬園區(qū)網解決方案集成了H3C的IRF2技術，MPLS/VPN技術，用戶終端準入技術，多業(yè)務辦卡擴展技術，通過各種技術的集成在企業(yè)網絡的權限劃分，用戶接入管理，提升網絡可靠性幾個方面對現有的園區(qū)網建設方案進行了提升形成了一套新的虛擬園區(qū)網解決方案。

　　2 虛擬園區(qū)網架構

　　H3C虛擬園區(qū)網的整體結構，虛擬園區(qū)網中整合了橫向虛擬化及縱向虛擬化技術，接入層、匯聚層、核心層通過IRF2技術進行橫向整合，安全模塊通過板卡的形式靈活部署在匯聚層交換機，DC前端交換機及Internet出口前端的交換機上。同時，整網通過MPLS/VPN或MCE多跳技術進行縱向虛擬化，完成對網絡資源的隔離。

　　接入用戶通過使用H3C的接入準入方案，能夠針對每個用戶的身份自動的劃分到對應的VLAN中，并在進行三層轉發(fā)時，對應不同的VPN實例，做到在整個園區(qū)網內部的路徑劃分。同時，結合H3C的EAD認證系統(tǒng)，能夠對用戶終端的安全狀態(tài)進行驗證，最終使得接入到園區(qū)網的用戶不僅身份可靠而且其終端的安全狀態(tài)也是可靠的。

　　2.1 企業(yè)網架構的橫向虛擬化

　　企業(yè)網架構的橫向虛擬化是指：通過使用H3C創(chuàng)新的IRF2技術，是原有的園區(qū)網的接入層，匯聚層與核心層設備各自進行橫向整合，將多臺冗余設備虛擬化為單臺邏輯設備，形成一個網絡管理與轉發(fā)節(jié)點。其優(yōu)點主要有：

　　部署簡化：在這樣的虛擬化下，網狀的企業(yè)園區(qū)網絡形成了一個非常簡潔的架構，網絡各層之間通過捆綁的單邏輯鏈路互聯，消除了環(huán)路。不再需要在接入層設計復雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點的客戶端接入網關上運行VRRP協(xié)議。

　　路由簡化：端到端IRF2部署使園區(qū)網絡形成了無環(huán)、樹狀、輻射型的網絡拓撲結構，極大簡化了運行維護管理工作。網絡中數據流的宏觀路徑上與簡化后的整體網絡拓撲具有一致性，業(yè)務流在網絡中的走向清晰明確。同時，每個IRF2節(jié)點本身的擴展(如增加該節(jié)點設備)既不會改變企業(yè)網絡的邏輯結構，也不會影響上下層網絡的協(xié)議交互。

　　管理簡化：橫向整合后，原有的多臺設備作為一臺設備進行管理，對管理的設備的數量進行大大的簡化，提高對設備管理的效率。

　　2.2 企業(yè)網架構的縱向虛擬化

　　企業(yè)網的縱向虛擬化是指對企業(yè)網絡中物理路徑的邏輯虛擬化。例如：一個大型政務中心園區(qū)可能會入駐政府的多個部門，包括市委、市府、人大、政協(xié)等，這些部門的縱向獨立性要求其業(yè)務數據與其他部門的業(yè)務安全隔離，但協(xié)同辦公又需要各部門業(yè)務能進行可控互訪;園區(qū)內數據中心的部分服務器同時為多個部門提供服務、部分服務器只為某個部門內部提供服務;園區(qū)內所有用戶通過同一Internet出口訪問互聯網;內部用戶無論從網絡的任何位置接入，都能獲得與他在辦公室一樣的資源訪問權限等。

　　通過將現有園區(qū)網絡進行縱向的路徑虛擬化很好地解決了這個問題，縱向虛擬化就是把網絡等硬件設備和應用服務等都看成統(tǒng)一的資源，通過技術手段和方案設計，把這套共有的資源虛擬成多套邏輯資源，供不同的群組/業(yè)務使用。雖然在物理上這些資源是統(tǒng)一、集中的，但對不同的用戶/業(yè)務來說，能夠使用到的資源、配置的安全/管理策略可能各不相同。

　　H3C在縱向虛擬化技術中，解決了下面三方面問題：

　　1. 接入控制：用戶接入控制的主要目的在于能夠保證用戶接入的身份可靠，并且將不同的用戶進行分類，歸入到不同的區(qū)域中，保證其安全的接入網絡。同時H3C還能夠通過EAD解決方案保證接入用戶的安全性。

　　2. 業(yè)務邏輯隔離：業(yè)務邏輯隔離區(qū)別不同權限用戶業(yè)務之間能夠相互隔離，在必要的情況下也可以進行互訪。

　　3. 資源隔離：做到對不同用戶能夠訪問的資源的安全隔離，完成端到端的用戶訪問的虛擬化。

　　通過用戶接入控制及業(yè)務邏輯隔離技術，接入用戶通過網絡邊緣的CE/MCE設備接入，認證通過后集中策略服務器根據認證用戶名下發(fā)策略把用戶端口加入到相應的VLAN中，并根據預設下發(fā)部分訪問控制策略;在接入或匯聚設備上，通過配置VLAN接口與VPN的綁定關系，把用戶加入到相應的VPN中去;MCE/PE設備會為每個VPN建立獨立的路由轉發(fā)表項，從而保證VPN內用戶組的路由信息不會擴散給其它VPN用戶，各VPN使用MCE或MPLS/VPN獨立進行數據轉發(fā)，這樣就為用戶到服務器提供了一種端到端業(yè)務傳輸通道，把不同用戶組、不同應用的數據橫向隔離開來，完成了園區(qū)網的縱向虛擬化。

　　2.3 多業(yè)務板卡技術

　　在虛擬園區(qū)網方案中通過矩陣式的安全模塊部署，解決了在傳統(tǒng)的安全技術部署時的難擴展，單一節(jié)點故障等問題。

　　H3C通過將安全模塊結合網絡設備的創(chuàng)新，虛擬園區(qū)網中的的安全設備部署能夠靈活的利用設備背板的交換能力以及設備對網絡流量的策略，根據策略靈活的將需要進行安全保障的數據通過必要的安全設備，形成一種定制化的，按需分配的安全部署，使得多VPN用戶共享集中部署的防火墻、入侵檢測設備、無線接入設備等網絡設備，做到對不同用戶訪問資源的獨立控制。

【H3C虛擬園區(qū)網的解決方案】相關文章：

戲曲表演的虛擬手法02-21

H3C云計算銷售專家認證06-01

h3c初級認證考試指南09-05

H3C交換機配置命令10-14

h3c路由器默認密碼01-28

H3C交換機DHCP Relay的配置07-17

H3C認證考試報名條件09-04

H3C交換機初始化配置07-17

H3C交換機配置如何初始化07-17

企業(yè)中層管理存在的問題與解決方案06-11