虚拟园区基础知识

虚拟园区网解决方案最佳实践日期：2007年9月楚雄光泰科技有限公司虚拟园区网需求分析虚拟化技术简介虚拟园区网典型应用场景虚拟园区网解决方案典型业务部署目录虚拟园区需求分析随着网络规模的不断增大，其应用和复杂度也在不断增加。对一个大型园区来说，通常包括很多不同的公司/部门/群组在同时使用网络，网络上承载着各种不同的复杂应用。如，一个大型科技园区，集中了几十、上百家公司，他们共用网络、Internet出口和一些资源服务器，但他们各自的办公和生产业务却需要与其他公司业务隔离开来，限制外部人员的访问权限；另如，政府、金融等部门，对日常生产、办公业务与涉密业务进行安全的隔离也有着严格的要求。对于有业务和应用隔离需求的用户来说，传统的物理网络隔离方案已无法满足需求：网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等，都大大增加了用户在网络投资、建设和运维、管理方面的负担。虚拟化技术－BGP/MPLSVPNMPLSL3VPN以可实现业务隔离、组网方式灵活、扩展性好、支持Qos等优点，可应用于实现园区虚拟化解决方案。BGP/MPLSVPN的主要原理是：利用BGP在骨干网上传播VPN的私网路由信息，用MPLS来转发VPN业务流。site1VPN1CEsite2VPN2CEPEPPEPPPEPE服务提供商的骨干网络site1CEsite2CEVPN1site3CEVPN2site1VPN1CEsite2VPN2CEPEPPEPPPEPE服务提供商的骨干网络site1CEsite2CEVPN1site3CEVPN2site1VPN1CEsite2VPN2CEPEPPEPPPEPE服务提供商的骨干网络site1CEsite2CEVPN1site3CEVPN2虚拟园区网需求分析虚拟化技术简介虚拟园区网典型应用场景虚拟园区网解决方案典型业务部署目录虚拟园区网简介实现公司/部门/群组间数据业务的隔离和互访是虚拟园区网解决方案的首要目标，但与此同时客户对下列业务也存在相同的需求：接入用户的认证和安全控制数据中心的访问控制，譬如公司级的数据资源可供全公司访问，部门级的数据资源仅供本部门访问。远程分支/办事处、移动用户接入访问控制，譬如通过Internet接入到园区网内部某VPN中，访问该VPN的所有资源。MPLSVPN的管理，使用管理软件对园区网中的VPN资源进行统一集中管理。虚拟园区网简介—H3C解决方案H3C完整的虚拟园区网解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个园区网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度虚拟园区网简介—H3C解决方案H3C虚拟园区网最佳实践解决方案通过在园区骨干网部署BGP/MPLSVPN实现园区网的虚拟化，在共用一张物理网络的基础上，园区内不同部门、业务实现隔离；并在此基础上进行各种业务的扩展，形成一整套的解决方案，具体业务部署如下：在接入层起EAD认证，对接入用户进行认证和安全控制；在园区出口处启用多实例NAT，为园区网提供统一的Internet出口；通过BGP/MPLSVPN的RT路由学习特性实现数据中心资源的访问控制，数据中心资源包括资源：所有VPN共享资源，某VPN独享资源，对外数据服务区资源；使用GREoverIPSec或者L2TPoverIPSec隧道，让远程分支或者移动用户接入到园区内部VPN中；H3C网管软件MVM提供对MPLSVPN网络的业务发现、拓扑显示、状态监控、连通性审计、性能管理和业务部署等管理功能。虚拟园区网需求分析虚拟化技术简介虚拟园区网典型应用场景虚拟园区网解决方案典型业务部署目录虚拟园区网典型应用场景H3C虚拟园区网最佳实践解决方案针对不同用户群的需求和组网规模，分别提出了不同的典型应用组网模型：对于园区规模较大、接入点数量多，对终端接入、业务横向隔离要求较高、网络承载业务多且复杂、需要较强管理能力的大型网络，我们推荐使用典型三层结构组网。本组网网络分三层结构，核心设备做标签转发，汇聚层作为PE设备、控制VPN路由发布，接入层提供大容量的接入和方便的扩容能力。接入层设备为CE、MCE或者二层设备，CE双归属或者二层设备的双链路Trunk上行可提高网络的可靠性；对于中小等规模、对业务有严格横向隔离要求、网络承载业务较少、接入用户信任度较高的应用场景，我们推荐使用二层扁平结构组网。本组网网络分两层结构，核心设备做标签转发；接入用户不需安全认证，仅根据接入端口划分访问资源的权限，接入设备完成VPN映射和上行标签转发。大型园区的部署方案PEPECE接入层汇聚层核心层MCEMPLSCorePFECEAS200AS100二层TRUNK上行PES3600S3610S3600EIS5510L2TPoverIPSec防火墙S7500ES7500EMSR50S9500S9500MSR50SecPath1000SecPath1000S7500ESecPath100移动用户PE用户用户用户PE数据中心EAD认证系统(cams/补丁服务器/病毒服务器)应用服务器MPLSVPNManagerASBRS7500EASBRGREoverIPSec用户MSR50跨域远程接入PPEPE大型园区的部署方案1.BGP/MPLSVPN实现了业务的隔离与互访；2.通过EAD认证保障终端接入的安全和进行灵活的用户访问权限下发；3.集中部署的数据中心通过虚拟化技术为整网的不同用户提供服务，根据应用业务的需要合理分配资源，并可方便地实现资源的独享和共享；4.支持三种跨域方式，满足客户的跨域需求；5.统一的Internet接口为横向隔离的用户提供上网服务，通过虚拟安全和多实例技术为不同群组用户和业务下发不同的安全策略，并可在出口实现集中的监控、计费；6.远程分支、移动用户通过GREoverIPSec、L2TPoverIPSec隧道接入园区网VPN中；7.统一的网管中心通过管理VPN和专业的管理软件实现对整网资源简便、专业的管理。中小型园区的部署方案PEPE接入层核心层MPLSCorePPAS100PES7500ES7500ES9500S9500MSR50SecPath1000S7500E用户用户用户PE数据中心EAD认证系统(cams/补丁服务器/病毒服务器)应用服务器用户统一的Internet出口中小型园区的部署方案1.BGP/MPLSVPN实现了业务的隔离与互访；2.接入用户不需安全认证，根据接入端口划分访问资源的权限，接入设备完成VPN映射和上行标签转发；3.应用服务器和管理服务器集中部署在服务器区，通过应用虚拟化技术为不同群组用户提供服务，通过管理VPN实现对整网资源的统一配置、管理；4.园区提供统一的Internet出口，进行集中的监控、计费管理等功能，通过虚拟安全技术为不同用户配置差异化的安全策略；5.统一的网管中心通过管理VPN和专业的管理软件实现对整网资源简便、专业的管理。虚拟园区网需求分析虚拟化技术简介虚拟园区网典型应用场景虚拟园区网解决方案典型业务部署目录虚拟园区网典型业务部署下边，我们将虚拟园区网解决方案中的各种典型业务分离开来进行描述，客户可以根据实际需求，进行典型业务的部署园区网核心BGP/MPLSVPN业务部署园区Internet统一出口业务部署数据中心服务器区业务部署端点准入EAD部署远程分支使用GREoverIPSec隧道接入园区VPN部署移动用户使用L2TPoverIPSec隧道接入园区VPN部署网管iMCMVM业务部署虚拟园区网典型业务部署——BGP/MPLSVPN部署1.IP地址的规划问题：MPLSVPN技术可以解决不同VPN间的地址重叠问题，但是在园区实际组网中，出现地址重叠的情况比较少，因此在规划IP地址时，可以不去考虑地址重叠的问题。2.IGP协议的选择：在MPLSVPN体系结构中，IGP的主要作用是保证BGP对等体的可达性以及MPLS隧道的建立。一般推荐采用收敛速度快、路由振荡少、基于SPF算法的路由协议，如OSPF、IS-IS等；部分环境下也可以使用静态方式。IGP的另一个功能就是驱动公网标签分配，以建立MPLS隧道。3.MPLS部署：在园区骨干网中启用MPLS，建立MPLS隧道。MPLS的配置中有一条命令：lsptrigger-all，这条命令的目的是为所有的IGP路由分配标签。由于MPLS隧道的起点和终点都是LSR的LSR－ID（一般都是Loopback接口），因此无需为每一条IGP路由都分配标签，默认配置下只为32位主机地址分配标签，这样就可以满足MPLSVPN的部署需要了。所以建议不使用该命令，以免造成对标签空间不必要的浪费。虚拟园区网典型业务部署——BGP/MPLSVPN部署4.RT的作用：RT在MPLSVPN中用来控制VPN的隔离和部分互通。对不同的VPN，要求定义不同的RT值，如果有互通需求，通过RT的属性来控制，分为export和import属性。Export属性代表发送VPN路由时附带的属性，当另一PE设备收到此路由时，通过import属性来决定学习与否；如果两台PE的VPN互相学习对方的路由，彼此间就可以达到互通，如果不学习就可以达到隔离的效果。5.PE－CE间路由的规则：PE与CE间的路由协议是用来传递VPN路由的，并且PE会将这些VPN路由通过BGP发送给其他PE。在实际需要中，可以使用直连，静态，OSPF，RIP，IS-IS或是EBGP。这里要求PE设备对路由协议的支持要丰富，多实例是最基本的要求；如果接入是MCE，有着同样的要求。在推荐组网中的双归属特性来看，采用OSPP或是EBGP比较合适。从减轻网络复杂程度来看，使用OSPF比较通用。虚拟园区网典型业务部署——园区Internet统一出口在MPLSVPN园区组网中，Internet出口部署有多种方法，其中比较常用的是PE分布式上Internet和PE集中式上Internet，两种方法有着不同的特点和适用范围。园区网中多使用PE集中式上Internet，本组网中连接Internet出口的MCE设备支持多实例NAT，使用PE集中式更加方便：1.PE分布式上Internet：a.每个VRF中选择一台PE连接Internet，连接该PE的CE上做NAT转换；b.由该CE发布一条缺省路由给本VRF内的所有CE；c.本方式是运营商常用的，因为运营商的每台PE都直接与Internet直连，企业网不会使用；虚拟园区网典型业务部署——园区Internet统一出口2.PE集中式上Internet：a.园区网统一Internet出口；b.选择一台健壮的MCE连接Internet，并在该MCE上做多实例地址转换；c.MCE及连接该MCE的PE上建立多个VRF，与园区内部需要上Internet的VRF一一对应，并相互引入路由；d.在该MCE的每个VRF中发布一条默认路由给本VRF内的所有CE；e.该方式节省资源，支持VPN地址重叠；PE多实例NATMPLSCoreMCEPECE用户CE用户虚拟园区网典型业务部署——中心服务器区部署集中的数据中心访问方式已经成为一种趋势，如何实现数据中心的虚拟化是园区虚拟化解决方案重点关注业务。在实际运用中，数据中心一般会有三种服务器，一种是共用服务器，本园区网中的用户都可以进行访问；一种是独享服务器，仅某一个VPN的用户可以进行访问；还有一种是对外服务器，即为Internet用户提供服务。下面分别讲述三种服务器的访问控制。1.共享服务器：a.在连接该服务器的PE上建立共享服务器区的专署VPN；b.该VPN与园区网内部所有业务VPN交互私网路由，园区网内所有用户都存在到达公共服务器的路由，可以访问该服务器；c.由于所有的私网路由都要汇聚到公共服务器区所连的PE上，因此不能存在VPN的地址重叠；PEMPLSCoreCEVPN10（10：11）VPN2（11：10）CEVPN1（11：10）PEPE公共服务器虚拟园区网典型业务部署——中心服务器区部署2.独享服务器：a.独享服务器