虛擬園區(qū)網(wǎng)解決方案最佳實(shí)踐

虛擬園區(qū)網(wǎng)解決方案最佳實(shí)踐

日期：2007年9月

杭州華三通信技術(shù)有限公司虛擬園區(qū)網(wǎng)需求分析虛擬化技術(shù)簡介虛擬園區(qū)網(wǎng)典型應(yīng)用場景虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署目錄虛擬園區(qū)需求分析隨著網(wǎng)絡(luò)規(guī)模的不斷增大，其應(yīng)用和復(fù)雜度也在不斷增加。對一個(gè)大型園區(qū)來說，通常包括很多不同的公司/部門/群組在同時(shí)使用網(wǎng)絡(luò)，網(wǎng)絡(luò)上承載著各種不同的復(fù)雜應(yīng)用。如，一個(gè)大型科技園區(qū)，集中了幾十、上百家公司，他們共用網(wǎng)絡(luò)、Internet出口和一些資源服務(wù)器，但他們各自的辦公和生產(chǎn)業(yè)務(wù)卻需要與其他公司業(yè)務(wù)隔離開來，限制外部人員的訪問權(quán)限；另如，政府、金融等部門，對日常生產(chǎn)、辦公業(yè)務(wù)與涉密業(yè)務(wù)進(jìn)行安全的隔離也有著嚴(yán)格的要求。對于有業(yè)務(wù)和應(yīng)用隔離需求的用戶來說，傳統(tǒng)的物理網(wǎng)絡(luò)隔離方案已無法滿足需求：網(wǎng)絡(luò)重復(fù)建設(shè)、分散管理、安全策略難部署、無法提供統(tǒng)一的應(yīng)用服務(wù)等，都大大增加了用戶在網(wǎng)絡(luò)投資、建設(shè)和運(yùn)維、管理方面的負(fù)擔(dān)。虛擬化技術(shù)－BGP/MPLSVPNMPLSL3VPN以可實(shí)現(xiàn)業(yè)務(wù)隔離、組網(wǎng)方式靈活、擴(kuò)展性好、支持Qos等優(yōu)點(diǎn)，可應(yīng)用于實(shí)現(xiàn)園區(qū)虛擬化解決方案。BGP/MPLSVPN的主要原理是：利用BGP在骨干網(wǎng)上傳播VPN的私網(wǎng)路由信息，用MPLS來轉(zhuǎn)發(fā)VPN業(yè)務(wù)流。虛擬園區(qū)網(wǎng)需求分析虛擬化技術(shù)簡介虛擬園區(qū)網(wǎng)典型應(yīng)用場景虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署目錄虛擬園區(qū)網(wǎng)簡介實(shí)現(xiàn)公司/部門/群組間數(shù)據(jù)業(yè)務(wù)的隔離和互訪是虛擬園區(qū)網(wǎng)解決方案的首要目標(biāo)，但與此同時(shí)客戶對下列業(yè)務(wù)也存在相同的需求：接入用戶的認(rèn)證和安全控制數(shù)據(jù)中心的訪問控制，譬如公司級的數(shù)據(jù)資源可供全公司訪問，部門級的數(shù)據(jù)資源僅供本部門訪問。遠(yuǎn)程分支/辦事處、移動(dòng)用戶接入訪問控制，譬如通過Internet接入到園區(qū)網(wǎng)內(nèi)部某VPN中，訪問該VPN的所有資源。MPLSVPN的管理，使用管理軟件對園區(qū)網(wǎng)中的VPN資源進(jìn)行統(tǒng)一集中管理。

虛擬園區(qū)網(wǎng)簡介—H3C解決方案H3C完整的虛擬園區(qū)網(wǎng)解決方案包括接入控制、通道隔離、統(tǒng)一應(yīng)用三個(gè)部分，實(shí)現(xiàn)對整個(gè)園區(qū)網(wǎng)絡(luò)、應(yīng)用資源的虛擬化，提高資源的利用效率、降低管理的復(fù)雜度虛擬園區(qū)網(wǎng)簡介—H3C解決方案H3C虛擬園區(qū)網(wǎng)最佳實(shí)踐解決方案通過在園區(qū)骨干網(wǎng)部署B(yǎng)GP/MPLSVPN實(shí)現(xiàn)園區(qū)網(wǎng)的虛擬化，在共用一張物理網(wǎng)絡(luò)的基礎(chǔ)上，園區(qū)內(nèi)不同部門、業(yè)務(wù)實(shí)現(xiàn)隔離；并在此基礎(chǔ)上進(jìn)行各種業(yè)務(wù)的擴(kuò)展，形成一整套的解決方案，具體業(yè)務(wù)部署如下：在接入層起EAD認(rèn)證，對接入用戶進(jìn)行認(rèn)證和安全控制；在園區(qū)出口處啟用多實(shí)例NAT，為園區(qū)網(wǎng)提供統(tǒng)一的Internet出口；通過BGP/MPLSVPN的RT路由學(xué)習(xí)特性實(shí)現(xiàn)數(shù)據(jù)中心資源的訪問控制，數(shù)據(jù)中心資源包括資源：所有VPN共享資源，某VPN獨(dú)享資源，對外數(shù)據(jù)服務(wù)區(qū)資源；使用GREoverIPSec或者L2TPoverIPSec隧道，讓遠(yuǎn)程分支或者移動(dòng)用戶接入到園區(qū)內(nèi)部VPN中；H3C網(wǎng)管軟件MVM提供對MPLSVPN網(wǎng)絡(luò)的業(yè)務(wù)發(fā)現(xiàn)、拓?fù)滹@示、狀態(tài)監(jiān)控、連通性審計(jì)、性能管理和業(yè)務(wù)部署等管理功能。虛擬園區(qū)網(wǎng)需求分析虛擬化技術(shù)簡介虛擬園區(qū)網(wǎng)典型應(yīng)用場景虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署目錄虛擬園區(qū)網(wǎng)典型應(yīng)用場景

H3C虛擬園區(qū)網(wǎng)最佳實(shí)踐解決方案針對不同用戶群的需求和組網(wǎng)規(guī)模，分別提出了不同的典型應(yīng)用組網(wǎng)模型：對于園區(qū)規(guī)模較大、接入點(diǎn)數(shù)量多，對終端接入、業(yè)務(wù)橫向隔離要求較高、網(wǎng)絡(luò)承載業(yè)務(wù)多且復(fù)雜、需要較強(qiáng)管理能力的大型網(wǎng)絡(luò)，我們推薦使用典型三層結(jié)構(gòu)組網(wǎng)。本組網(wǎng)網(wǎng)絡(luò)分三層結(jié)構(gòu)，核心設(shè)備做標(biāo)簽轉(zhuǎn)發(fā)，匯聚層作為PE設(shè)備、控制VPN路由發(fā)布，接入層提供大容量的接入和方便的擴(kuò)容能力。接入層設(shè)備為CE、MCE或者二層設(shè)備，CE雙歸屬或者二層設(shè)備的雙鏈路Trunk上行可提高網(wǎng)絡(luò)的可靠性；對于中小等規(guī)模、對業(yè)務(wù)有嚴(yán)格橫向隔離要求、網(wǎng)絡(luò)承載業(yè)務(wù)較少、接入用戶信任度較高的應(yīng)用場景，我們推薦使用二層扁平結(jié)構(gòu)組網(wǎng)。本組網(wǎng)網(wǎng)絡(luò)分兩層結(jié)構(gòu)，核心設(shè)備做標(biāo)簽轉(zhuǎn)發(fā)；接入用戶不需安全認(rèn)證，僅根據(jù)接入端口劃分訪問資源的權(quán)限，接入設(shè)備完成VPN映射和上行標(biāo)簽轉(zhuǎn)發(fā)。大型園區(qū)的部署方案PEPECE接入層匯聚層核心層MCEMPLSCorePFECEAS200AS100二層TRUNK上行PES3600S3610S3600EIS5510L2TPoverIPSec防火墻S7500ES7500EMSR50S10500S10500MSR50SecPath1000SecPath1000S7500ESecPath100移動(dòng)用戶PE用戶用戶用戶PE數(shù)據(jù)中心EAD認(rèn)證系統(tǒng)(cams/補(bǔ)丁服務(wù)器/病毒服務(wù)器)應(yīng)用服務(wù)器MPLSVPNManagerASBRS7500EASBRGREoverIPSec用戶MSR50跨域遠(yuǎn)程接入PPEPE大型園區(qū)的部署方案BGP/MPLSVPN實(shí)現(xiàn)了業(yè)務(wù)的隔離與互訪；通過EAD認(rèn)證保障終端接入的安全和進(jìn)行靈活的用戶訪問權(quán)限下發(fā)；集中部署的數(shù)據(jù)中心通過虛擬化技術(shù)為整網(wǎng)的不同用戶提供服務(wù)，根據(jù)應(yīng)用業(yè)務(wù)的需要合理分配資源，并可方便地實(shí)現(xiàn)資源的獨(dú)享和共享；支持三種跨域方式，滿足客戶的跨域需求；統(tǒng)一的Internet接口為橫向隔離的用戶提供上網(wǎng)服務(wù)，通過虛擬安全和多實(shí)例技術(shù)為不同群組用戶和業(yè)務(wù)下發(fā)不同的安全策略，并可在出口實(shí)現(xiàn)集中的監(jiān)控、計(jì)費(fèi)；遠(yuǎn)程分支、移動(dòng)用戶通過GREoverIPSec、L2TPoverIPSec隧道接入園區(qū)網(wǎng)VPN中；統(tǒng)一的網(wǎng)管中心通過管理VPN和專業(yè)的管理軟件實(shí)現(xiàn)對整網(wǎng)資源簡便、專業(yè)的管理。中小型園區(qū)的部署方案PEPE接入層核心層MPLSCorePPAS100PES7500ES7500ES9500S9500MSR50SecPath1000S7500E用戶用戶用戶PE數(shù)據(jù)中心EAD認(rèn)證系統(tǒng)(cams/補(bǔ)丁服務(wù)器/病毒服務(wù)器)應(yīng)用服務(wù)器用戶統(tǒng)一的Internet出口中小型園區(qū)的部署方案BGP/MPLSVPN實(shí)現(xiàn)了業(yè)務(wù)的隔離與互訪；接入用戶不需安全認(rèn)證，根據(jù)接入端口劃分訪問資源的權(quán)限，接入設(shè)備完成VPN映射和上行標(biāo)簽轉(zhuǎn)發(fā)；應(yīng)用服務(wù)器和管理服務(wù)器集中部署在服務(wù)器區(qū)，通過應(yīng)用虛擬化技術(shù)為不同群組用戶提供服務(wù)，通過管理VPN實(shí)現(xiàn)對整網(wǎng)資源的統(tǒng)一配置、管理；園區(qū)提供統(tǒng)一的Internet出口，進(jìn)行集中的監(jiān)控、計(jì)費(fèi)管理等功能，通過虛擬安全技術(shù)為不同用戶配置差異化的安全策略；統(tǒng)一的網(wǎng)管中心通過管理VPN和專業(yè)的管理軟件實(shí)現(xiàn)對整網(wǎng)資源簡便、專業(yè)的管理。虛擬園區(qū)網(wǎng)需求分析虛擬化技術(shù)簡介虛擬園區(qū)網(wǎng)典型應(yīng)用場景虛擬園區(qū)網(wǎng)解決方案典型業(yè)務(wù)部署目錄虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

下邊，我們將虛擬園區(qū)網(wǎng)解決方案中的各種典型業(yè)務(wù)分離開來進(jìn)行描述，客戶可以根據(jù)實(shí)際需求，進(jìn)行典型業(yè)務(wù)的部署園區(qū)網(wǎng)核心BGP/MPLSVPN業(yè)務(wù)部署園區(qū)Internet統(tǒng)一出口業(yè)務(wù)部署數(shù)據(jù)中心服務(wù)器區(qū)業(yè)務(wù)部署端點(diǎn)準(zhǔn)入EAD部署遠(yuǎn)程分支使用GREoverIPSec隧道接入園區(qū)VPN部署移動(dòng)用戶使用L2TPoverIPSec隧道接入園區(qū)VPN部署網(wǎng)管iMCMVM業(yè)務(wù)部署虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——BGP/MPLSVPN

部署IP地址的規(guī)劃問題：MPLSVPN技術(shù)可以解決不同VPN間的地址重疊問題，但是在園區(qū)實(shí)際組網(wǎng)中，出現(xiàn)地址重疊的情況比較少，因此在規(guī)劃IP地址時(shí)，可以不去考慮地址重疊的問題。IGP協(xié)議的選擇：在MPLSVPN體系結(jié)構(gòu)中，IGP的主要作用是保證BGP對等體的可達(dá)性以及MPLS隧道的建立。一般推薦采用 收斂速度快、路由振蕩少、基于SPF算法的路由協(xié)議，如OSPF、IS-IS等；部分環(huán)境下也可以使用靜態(tài)方式。IGP的另一個(gè)功能就是驅(qū)動(dòng)公網(wǎng)標(biāo)簽分配，以建立MPLS隧道。MPLS部署：在園區(qū)骨干網(wǎng)中啟用MPLS，建立MPLS隧道。MPLS的配置中有一條命令：lsptrigger-all，這條命令的目的是為所有的IGP路由分配標(biāo)簽。由于MPLS隧道的起點(diǎn)和終點(diǎn)都是LSR的LSR－ID（一般都是Loopback接口），因此無需為每一條IGP路由都分配標(biāo)簽，默認(rèn)配置下只為32位主機(jī)地址分配標(biāo)簽，這樣就可以滿足MPLSVPN的部署需要了。所以建議不使用該命令，以免造成對標(biāo)簽空間不必要的浪費(fèi)。虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——BGP/MPLSVPN部署RT的作用：RT在MPLSVPN中用來控制VPN的隔離和部分互通。對不同的VPN，要求定義不同的RT值，如果有互通需求，通過RT的屬性來控制，分為export和import屬性。Export屬性代表發(fā)送VPN路由時(shí)附帶的屬性，當(dāng)另一PE設(shè)備收到此路由時(shí)，通過import屬性來決定學(xué)習(xí)與否；如果兩臺PE的VPN互相學(xué)習(xí)對方的路由，彼此間就可以達(dá)到互通，如果不學(xué)習(xí)就可以達(dá)到隔離的效果。PE－CE間路由的規(guī)則：PE與CE間的路由協(xié)議是用來傳遞VPN路由的，并且PE會將這些VPN路由通過BGP發(fā)送給其他PE。在實(shí)際需要中，可以使用直連，靜態(tài)，OSPF，RIP，IS-IS或是EBGP。這里要求PE設(shè)備對路由協(xié)議的支持要豐富，多實(shí)例是最基本的要求；如果接入是MCE，有著同樣的要求。在推薦組網(wǎng)中的雙歸屬特性來看，采用OSPP或是EBGP比較合適。從減輕網(wǎng)絡(luò)復(fù)雜程度來看，使用OSPF比較通用。虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——園區(qū)Internet統(tǒng)一出口

在MPLSVPN園區(qū)組網(wǎng)中，Internet出口部署有多種方法，其中比較常用的是PE分布式上Internet和PE集中式上Internet，兩種方法有著不同的特點(diǎn)和適用范圍。園區(qū)網(wǎng)中多使用PE集中式上Internet，本組網(wǎng)中連接Internet出口的MCE設(shè)備支持多實(shí)例NAT，使用PE集中式更加方便：PE分布式上Internet：每個(gè)VRF中選擇一臺PE連接Internet，連接該P(yáng)E的CE上做NAT轉(zhuǎn)換；由該CE發(fā)布一條缺省路由給本VRF內(nèi)的所有CE；本方式是運(yùn)營商常用的，因?yàn)檫\(yùn)營商的每臺PE都直接與Internet直連，企業(yè)網(wǎng)不會使用；虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——園區(qū)Internet統(tǒng)一出口PE集中式上Internet：園區(qū)網(wǎng)統(tǒng)一Internet出口；選擇一臺健壯的MCE連接Internet，并在該MCE上做多實(shí)例地址轉(zhuǎn)換；MCE及連接該MCE的PE上建立多個(gè)VRF，與園區(qū)內(nèi)部需要上Internet的VRF一一對應(yīng)，并相互引入路由；在該MCE的每個(gè)VRF中發(fā)布一條默認(rèn)路由給本VRF內(nèi)的所有CE；該方式節(jié)省資源，支持VPN地址重疊；PE多實(shí)例NATMPLSCoreMCEPECE用戶CE用戶虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——中心服務(wù)器區(qū)部署

集中的數(shù)據(jù)中心訪問方式已經(jīng)成為一種趨勢，如何實(shí)現(xiàn)數(shù)據(jù)中心的虛擬化是園區(qū)虛擬化解決方案重點(diǎn)關(guān)注業(yè)務(wù)。在實(shí)際運(yùn)用中，數(shù)據(jù)中心一般會有三種服務(wù)器，一種是共用服務(wù)器，本園區(qū)網(wǎng)中的用戶都可以進(jìn)行訪問；一種是獨(dú)享服務(wù)器，僅某一個(gè)VPN的用戶可以進(jìn)行訪問；還有一種是對外服務(wù)器，即為Internet用戶提供服務(wù)。下面分別講述三種服務(wù)器的訪問控制。共享服務(wù)器：在連接該服務(wù)器的PE上建立共享服務(wù)器區(qū)的專署VPN；該VPN與園區(qū)網(wǎng)內(nèi)部所有業(yè)務(wù)VPN交互私網(wǎng)路由，園區(qū)網(wǎng)內(nèi)所有用戶都存在到達(dá)公共服務(wù)器的路由，可以訪問該服務(wù)器；由于所有的私網(wǎng)路由都要匯聚到公共服務(wù)器區(qū)所連的PE上，因此不能存在VPN的地址重疊；PEMPLSCoreCEVPN10（10：11）VPN2（11：10）CEVPN1（11：10）PEPE公共服務(wù)器虛擬園區(qū)網(wǎng)典型業(yè)務(wù)部署

——中心服務(wù)器區(qū)部署獨(dú)享服務(wù)器：獨(dú)享服務(wù)器歸屬與獨(dú)享用戶的縱向VPN中；用戶縱向VPN不向其它用戶VPN發(fā)布路由，無法實(shí)現(xiàn)互訪。對外服務(wù)器：在連接該服務(wù)器的PE上建立對外服務(wù)器區(qū)的專署VPN；該VPN與園區(qū)出口負(fù)責(zé)對外服務(wù)的VPN交互路由；在Internet出口設(shè)備的公網(wǎng)接口上啟用多實(shí)例natserver。PEMPLSC