2.2 业务逻辑隔离
对园区内共用一个物理网络传输各种应用数据的横向逻辑隔离,有VLAN、隧道、VRF-VRF、VPN等多种方式,但从业务隔离的灵活性、配置/管理复杂度、扩展性、组网对设备的要求等多方面综合对比,MPLS L3VPN技术最适合应用在大、中型园区内进行业务逻辑隔离。
MPLS L3VPN原来是广泛应用于服务提供商VPN解决方案中基于PE的技术,它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。MPLS L3VPN组网方式灵活、可扩展性好,并能够方便地支持MPLS QoS和MPLS TE,因此得到越来越多的应用。
在园区中,我们使用交换机搭建这样一个MPLS VPN网络,承载所有业务的传输数据,并进行安全隔离。接入用户通过网络边缘的CE/MCE设备接入,认证通过后Cams策略服务器根据认证用户名下发策略把用户端口加入到相应的VLAN中,通过VLAN接口与VPN的绑定关系,把用户加入到相应的VPN中去;服务器端根据应用和访问用户的不同,也把数据分配到相应的VPN中传输,并且PE设备会为每个VPN建立独立的转发表项,各VPN进行独立的数据转发,这样就为用户到服务器提供了一种端到端业务传输通道,把不同用户、不同应用的数据横向隔离开来,保证数据传输的私密性和安全性。
图4 PE上VRF转发表隔离
2.3 统一服务和管理
传统物理隔离网络造成的一个后果,是必然的安全策略分别部署、管理复杂度增加、应用服务器需要重复部署且数据同步困难,本方案中各种虚拟化技术的综合应用,有效解决了以上难题。
在园区虚拟化解决方案中,我们为用户提供集中的数据中心服务、统一的Internet/广域网出口、统一的网络监控/管理软件,提高资源的利用率:
2 园区内所有用户共享统一的Internet/广域网接口,通过虚拟防火墙、NAT多实例等部署方案,为不同群组的用户和业务提供灵活的安全策略服务
2 集中的数据中心,通过计算虚拟化、存储虚拟化、虚拟安全等技术,屏蔽底层硬件服务器、存储设备间的差异,根据业务使用分配资源
2 统一的网络管理、监控软件,通过专门的管理VPN,实现对整网资源的配置管理和对各种业务流量的监控、规划
3. 园区虚拟化解决方案的典型组网及应用
根据用户需求和网络规模的不同,园区虚拟化解决方案也有不同的部署方式,包括网络设备、数据中心、安全设备、网管中心等,都需要根据具体情况来选择,下面介绍两种常见的部署方案,仅供参考。
3.1 大型园区的部署方案
图5 大型虚拟化园区典型部署方案
适用:园区规模较大、接入点数量多,对终端接入、业务横向隔离要求较高,网络承载业务多且复杂、需要较强管理能力的大型网络。
组网特点及建议:
网络分三层结构,核心设备做标签转发,汇聚层作为PE设备、控制VPN路由发布,提供大容量的接入和方便的扩容能力
通过EAD认证保障终端接入的安全和进行灵活的用户访问权限下发
集中部署的数据中心通过虚拟化技术为整网的不同用户提供服务,根据应用业务的需要合理分配资源,并可方便地实现资源的独享和共享
统一的Internet接口为横向隔离的用户提供上网服务,通过虚拟安全和多实例技术为不同群组用户和业务下发不同的安全策略,并可在出口实现集中的监控、计费;统一的广域网接口实现用户从外部专网灵活地接入内部VPN
统一的网管中心通过管理VPN和专业的管理软件实现对整网资源简便、专业的管理
3.2 中小型园区部署方案
图6 中、小型虚拟园区部署方案
适用:适用于中等规模、对业务有严格横向隔离要求、网络承载业务较少、接入用户信任度较高的应用场景
组网特点及建议:
接入用户不需安全认证,根据接入端口划分访问资源的权限,接入设备完成VPN映射和上行标签转发
应用服务器和管理服务器集中部署在服务器区,通过应用虚拟化技术为不同群组用户提供服务,通过管理VPN实现对整网资源的统一配置、管理
园区提供统一的Internet出口,进行集中的监控、计费管理等功能,通过虚拟安全技术为不同用户配置差异化的安全策略
4. 方案总结
园区虚拟化解决方案提出了一种新的建网思路,是真正面向应用的网络架构,通过虚拟化技术实现了终端接入的安全和访问权限控制、业务数据传输的安全隔离、应用资源的按需分配,具有提高了网络整体资源的利用率、降低用户投资、简化网络管理、增强网络应用安全性等优点。
(责任编辑:高爽)
