H3C虛擬園區網解決方案

應用背景

隨著網路規模的不斷增大，其應用和複雜度也在不斷增加。對乙個大型園區來說，通常包括很多不同的公司/部門/群組在同時使用網路，網路上承載著各種不同的複雜應用。很多時候，需要對這些不同部門/群組使用者的訪問許可權進行控制、不同業務間的網路傳輸也需要安全隔離，這種隔離指的是訪問、傳輸、應用端到端的隔離。

對於有業務和應用隔離需求的使用者來說，傳統的物理網路隔離方案已無法滿足需求：網路重複建設、分散管理、安全策略難部署、無法提供統一的應用服務等，都大大增加了使用者在網路投資、建設和運維、管理方面的負擔。

在上世紀九十年代，l2交換是園區區域網的標誌性特性，使用虛擬區域網（vlan）技術將同一網路上的不同群組使用者進行二層隔離，這種方案簡單、高效，但卻無法很好地適應網路擴充套件的需要：廣播域占用頻寬資源、收斂速度慢、需要配置較多的二層特性支援、故障定位和管理困難。

核心、匯聚層l3交換技術的使用，在vlan方式基礎上對網路的可擴充套件性、效能和管理複雜度進行了優化，但在網路分割槽和建立封閉使用者組方面存在限制。訪問控制列表（acl）的使用並未真正建立封閉的使用者群組，而只是在某些關鍵的節點對部分訪問進行了限制，這種方式沒有實現業務流量的安全隔離、配置管理複雜、限制了終端/應用系統的可移動性。

因此，我們需要乙個便於擴充套件的解決方案，來保持使用者群組的完全隔離，實現服務和安全策略的集中，並保留原有設計的高可用性、安全性和可擴充套件性的優勢。

h3c虛擬園區網解決方案很好地解決了這個問題。其把共用的一套物理網路、客戶端、伺服器資源虛擬出多套邏輯資源，供不同的群組/部門、業務使用，雖然在物理上這些資源是統

一、集中的，但對不同的使用者/業務來說，能夠使用到的資源、配置的安全/管理策略可能各不相同。

解決方案

h3c的虛擬園區網解決方案，集中解決了以下三個重要問題：

z接入控制：確保接入使用者的合法性和安全性，並能夠控制使用者的訪問許可權；

z通道隔離：確保使用者群組獲得正確的資源和網路流量的安全隔離；

z統一應用：能夠為各群組提供正確的服務，並進行集中的管理和策略控制。

接入控制：通過網路接入控制來對接入網路的終端進行接入安全保障和資源訪問授權。建議

採用h3c的ead終端准入控制系統，對通過認證的使用者動態下發vpn和對應的資源訪問和使用許可權，加強對使用者的集中管理，統一實施企業安全策略，提高網路終端的主動抵抗能力。通過**伺服器和客戶端的配合，還可以監控接入使用者的安全狀態，拒絕非法接入網路，防止終端arp欺騙和攻擊，進一步加強了整網的穩定和安全。

通道隔離：通過vlan/vrf/mpls vpn技術對不同的應用、業務和群組使用者進行安全隔離，把不同使用者、不同應用的資料橫向隔離開來，保證資料傳輸的私密性和安全性。從業務隔離的靈活性、配置/管理複雜度、擴充套件性、組網對裝置的要求等多方面對比，建議大、中型園區內應用mpls l3vpn技術進行業務邏輯隔離。

統一應用：通過計算虛擬化、儲存虛擬化、虛擬安全等技術，為整網的隔離使用者提供統一的安全策略部署、集中的資料中心服務、統一的網路監控/管理軟體、統一的internet/wan出口等服務，提高資源的利用率、降低管理複雜度。

h3c虛擬園區網解決方案提出了一種新的建網思路，通過虛擬化技術實現了終端接入的安全和訪問許可權控制、業務資料傳輸的安全隔離、應用資源的按需分配，具有提高了網路整體資源的利用率、降低使用者投資、簡化網路管理、增強網路應用安全性等優點。

方案優勢

h3c虛擬園區網解決方案是一種真正的面向應用網路架構設計方案，該方案能夠為行業和企業使用者帶來的好處包括：

端到端的業務安全隔離。通過接入訪問控制、mpls vpn隔離、應用虛擬化技術為使用者業務提供端到端的安全隔離，同時能夠實現靈活的互訪和網路擴充套件。結合h3c虛擬化資料中心，實現一體化的園區網虛擬化解決方案；

終端接入靈活、安全。認證客戶端能夠杜絕非法終端接入網路，並且讓合法終端在任意位置接入網路均獲得相同的vpn歸屬和訪問許可權，甚至可以通過多次認證在不同時刻獲得不同的vpn歸屬和訪問許可權，方便做到靈活辦公和公用辦公，真正實現網路虛擬化；

降低網路投資、減少重複建設。避免了業務、資料物理隔離需要重複建設、應用伺服器、安全裝置重複採購的缺點，提高了整體資源的利用率；

降低管理難度、提高管理效率。通過imc專業管理平台對整網資源進行統一的管理和部署，提高管理效率。

H3C虛擬園區網解決方案

虛擬園區網解決方案

H3C無線方案

H3C數位化中小學校園網解決方案

H3C虛擬園區網解決方案

虛擬園區網解決方案

H3C無線方案

H3C數位化中小學校園網解決方案

相關推薦