虚拟园区基础知识.ppt

虚拟园区需求分析 虚拟化技术－BGP/MPLS VPN 虚拟园区网简介 虚拟园区网简介—H3C解决方案 H3C完整的虚拟园区网解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度 虚拟园区网简介—H3C解决方案 H3C虚拟园区网最佳实践解决方案通过在园区骨干网部署BGP/MPLS VPN实现园区网的虚拟化，在共用一张物理网络的基础上，园区内不同部门、业务实现隔离；并在此基础上进行各种业务的扩展，形成一整套的解决方案，具体业务部署如下： 在接入层起EAD认证，对接入用户进行认证和安全控制； 在园区出口处启用多实例NAT，为园区网提供统一的Internet出口； 通过BGP/MPLS VPN的RT路由学习特性实现数据中心资源的访问控制，数据中心资源包括资源：所有VPN共享资源，某VPN独享资源，对外数据服务区资源； 使用GREoverIPSec或者L2TPoverIPSec隧道，让远程分支或者移动用户接入到园区内部VPN中； H3C网管软件MVM提供对MPLS VPN网络的业务发现、拓扑显示、状态监控、连通性审计、性能管理和业务部署等管理功能。 虚拟园区网典型应用场景 大型园区的部署方案 中小型园区的部署方案 虚拟园区网典型业务部署 虚拟园区网典型业务部署 ——BGP/MPLS VPN 部署 虚拟园区网典型业务部署 ——BGP/MPLS VPN 部署 虚拟园区网典型业务部署 ——园区Internet统一出口 虚拟园区网典型业务部署 ——园区Internet统一出口 虚拟园区网典型业务部署 ——中心服务器区部署 虚拟园区网典型业务部署 ——中心服务器区部署 虚拟园区网典型业务部署 ——端点准入EAD部署 虚拟园区网典型业务部署 ——端点准入EAD部署 虚拟园区网典型业务部署 ——远程分支接入园区VPN 虚拟园区网典型业务部署 ——远程分支接入园区VPN 虚拟园区网典型业务部署 ——移动用户接入园区VPN 虚拟园区网典型业务部署 ——移动用户接入园区VPN 虚拟园区网典型业务部署 ——网管iMC MVM部署 虚拟园区网典型业务部署 ——网管iMC MVM部署 虚拟园区网典型业务部署 ——网管iMC MVM部署 虚拟园区网典型业务部署 ——网管iMC MVM部署 移动用户使用L2TPoverIPSec方式接入到园 区网安全网关上， 通过将园区网网关L2TP隧道 的VT口绑定到目标VPN来实现接入用户接入园 区VPN；PSec隧道用户对私网报文加密，确保 私网通信的保密性。具体部署如下： 移动用户配置 移动用户使用H3C的iNode VPN客户端建立连接，启用IPSec安全协议； L2TP LNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址； 启用DPD功能，便于隧道的快速切换； PE MPLS Core VPN2 （30：30） PE CE L2TPoverIPSec隧道 隧道绑定到VPN中 园区网网关配置： 园区出口网关作为L2TP LNS端的基本配置，包括用户名、地址池、虚接口、L2TP相关配置； 将L2TP的VT口绑定到不同的VPN中，不同的用户登录时，会由于使用不同的VT口而接入到不同的VPN中； 由于远程移动接入用户公网IP的不确定性，园区网关IPSec 使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec 策略； 在VPN网关公网接口上启用IPSec策略； MVM是H3C公司推出的MPLS VPN网络管理系统软件，定位于为各种规模的企业MPLS VPN网络提供管理方案，可以配合的设备包括Cisco、H3C和华为的VPN网络设备