企业断扩张引发前未网络灵活性安全性求样中断现基础设施情况满足求?
天企业园区网络
太网交换面世园区LAN 设计已历巨发展变化技术改进丰富实际验构建天网络设计理念
着园区LAN 扩建企业迫切需网络进行划分――户点者职初虚拟LAN(VLAN)生成树协议LAN 划分虚拟网络提供种效机制满足企业划分基础设施群组需求解决方案难扩展
着够执行路务层交换机出现扩展性性变成网络划分虚拟实体更加重设计标准天园区LAN 汇集交换式路式台服务网络实现佳模块性扩展性高性
前园区设计方案没区分网络中流量提供种便捷方法法园区中封闭户群组提供安全独立环境
思科园区虚拟专网(VPN)解决方案方面保留园区设计优点方面通现LAN 叠加VPN 机制添加网络划分安全虚拟网络功优势时解决方案解决分布式部署服务安全策略问题通集中理享服务应安全策略幅度降低维护园区群组享安全策略服务需资运营开支
挑战
企业中存拥需求户群组群组间差异转变成网络需求企业中群组需求略微企业中需求差异群组需IT 视完全客户区群组时IT 部门需:
群组间确保完全保密性
群组提供独立路域址空间
群组部署计费机制
群组执行安全策略
效理扩展述力
保持群组独立性安全性IT 部门面艰巨挑战尤伴着线网络户移动出现设想企业网络需求极端样企业:希划分户群组首务种企业流量划分问题起方便通选择适布线防火墙位置解决例公司希宾特定区域(包括厅者宾会议室)访问网络
便利防火墙网络部分隔开种做法效区分宾员工需户进步区分宾承包商工程师理层薪酬员时种区方式会变复杂遇种情况时防火墙物理位置法扩展方式解决问题
外极端拥户群组企业机场学种机构典型例子园区LAN 中(常常互相竞争)客户
机场(企业样)LAN 开展部业务业务――包括行李领取安全空中客流控制面客流控制维护财务等――需访问LAN外机场家该机场航空公司建立单独物理网络设想家航空公司建立全网状连接光纤网络仅非常昂贵难维护外果需机场部转移某航空公司位置种方式提供灵活性极限全球数机场采种方式种独立网络目保护家航空公司私密安全网络中光纤铺设特定点机场某特定区域供固定航空公司
样学拥需保持独立设施拥量私资金赞助研究组情况资助机构求项目网络必须学校网络部分隔离然访问学网络资源果学必须部署包含专防火墙路设备独立物理网络疑需投入量资金
园区VPN 企业节约量资运营开支外例子商务中心商务中心需物理区域――相园区――中公司提供办公空间公司商务中心租物理空间网络基础设施语音视频监控寻呼服务某情况甚租服务器群
数中心前端需足够智客户部署专数中心会非常昂贵客户需服务器群客户部署专数中心变更加没必
传统划分机制
划分园区LAN 机制包括VLAN 分布式访问控制列表(ACL)两种解决方案存扩展性限制理问题实现限划分部客户提供完全私独立网络
VLAN
园区IT 愿意建立相较生成树域种情况VLAN 实现端端跨越户群组直接VLAN 关联实现隔离实践证明种解决方案达定范围难扩展
端端VLAN 效扩展原需生成树协议避免出现拓扑环路生成树协议基原:踪整网络拓扑建立单树果发生障者拓扑发生变化生成树协议需种变化反映整网络中会产生网络规模成例收敛延时果超出定网络规模产生延时会法接受端端VLAN 扩展外原单广播域(VLAN)创建会避免形成统障域换句话说VLAN 中发生单障会影响整VLANVLAN 端端跨越时法控制障影响范围会波整网络生成树协议诊断理需全面文档深入网络知识STP 限网络部分(例配线间)时实现目标果生成树域扩展型网络会变非常难维护诊断
ACL
需现ACL 机制保护供某特定群组网络资源IT 部门群组户必须位特定子网中明确网络设备关联果满足条件(户具备移动性)网络理员务适网络设备添加适ACL果您种方式扩展户群组结果会数量难控制ACL 散布整园区中
着户园区中移动性增强种方式扩展性问题变更加明显ACL 需址识户必须整园区中群组创建子网分布层交换机群组创建ACL群组创建子网问题路协议做效扩展保护群组安全ACL 进行部署维护工作会非常费时利ACL 划分户群组仅相繁琐提供户群组需治力某户群组需选择IP 寻址机制(会网络中网络重叠)外户群组需专防火墙控制安全策略时企业需VPN 基础根业务模式部署计费记帐机制需够VPN 间享集中资源(例防火墙设备服务器群集WAN 互联网接入)
正确解决方案
保持户群组完全独立集中理服务安全策略保存现园区设计高性扩展性需扩展解决方案样解决方案通园区LAN 路式基础设施建立基协议标签交换(MPLS)第三层VPN 实现
思科园区VPN 解决方案
典型园区网络设计会网络边缘(接入层)种交换技术(第二层)网络核心(分布层核心层)路技术(第三层)网络接入层利VLAN 实现网络划分网络核心(第三层)利基MPLS 第三层VPN 划分路域实现扩展端端网络划分文假定已存扩展网络设计――包括路式园区核心分布层(图1 示)
作现园区设计部分VLAN 部署网络边缘映射重叠园区路部分第三层VPN通种方式保留层次化园区部署优点园区LAN 中实现端端扩展网络划分集中理安全服务VPN 路器具路表路进程流量根MPLS 者8021Q
标签进行转发时保持独立该解决方案视独立物理网络重叠网络VPN物理网络
图2 显示独立虚拟网络重叠现园区LAN 合作伙伴承包商宾提供独立VPN
VPN 端接VPN 隧道交换机拥独立虚拟路进程称虚拟路转发(VRF)值注意图中承包商VPN显示BGPMPLS VPN 意-意连接特性必须牢记隧道点点线路提供意-意连接点群体连接种点群体方式克服点点VPN 机制辐射形拓扑复杂性问题记机场面挑战?利思科园区VPN 解决方案航空公司流量通
机场园区LAN 进行安全传输――仅提供航空公司需隐私安全性航空公司灵活毫费力业务转移机场中候机室
显著降低机场成物理布线幅度简化机场现灵活航空公司登机口缩短资源闲置时间提高生产率――时限度降低运营成学利思科园区VPN 解决方案研究组教师分配享式园区基础设施VPN研究组互相隔离网络中开展工作外思科园区VPN 解决方案VPN 某选中央点端接进出VPN 通信单防火墙设备控制该设备VPN 提供功齐全彼独立虚拟防火墙学带处――降低基础设施成加强扩展性提高理性利思科园区VPN
解决方案商务中心享式基础设施时确保保客户私密性安全性种情况享式基础设施仅包括线缆路器交换机网络设备(例防火墙)包括通园区VPN 划分服务区群集企业利统划分数中心部客户提供服务种方式利享现数中心设备例SSL 端接引擎负载衡器
企业带处
思科园区VPN 解决方案优势网络划分服务集中
园区LAN 划分VPN
网络完全独立寻址机制策略利第三层VPN 机制划分LAN 优势包括:
私密性保护
子网透明度
户移动性
针VPN 执行流量策略(监整形)
针VPN 进行计费
服务集中化
服务集中化幅度简化加强安全策略实施通VPN 提供单接入点集中防火墙入侵检测设备VPN 享VPN 需服务享显著降低提供服务资运营开支
集中化服务包括:
安全策略执行(ACL 防火墙通道)
流量监控记帐计费
享互联网WAN 接入
享数中心
点集成
私密性保护
通园区分独立VPN群组保护私密性第三层VPN 解决方案VPN 建立独立路域群组路控制信息彼隔离路信息VPN 间分发会受严格限制群组数会发生意外泄漏通第三层MPLS VPN 实现网络划分安全等级通基电路网络(例ATM 帧中继)建立服务供应商环境相提LAN 中网络划分VPN 间安全等级通VLAN实现等级相
前述种企业工作组间种私密性保护中获益情况需员工承包商宾提供独立网络承包商宾需员工享网络基础设施访问员工部流量资源样宾访问承包商流量反然群组需享物理网络时保护私密性终户体验应完全独立物理网络网络安全互联没
子网透明度
前述VPN 建独立路域提供指定VPN IP 址空间灵活性――否VPN 址空间重叠者突群组RFC 1918规定独立私IP 址
种灵活性情况例需某已分配址收购公司网络合享LAN 中时该网络作独立VPN 加入基础设施收购网络VPN 发生突情况保留原始址空间样种灵活性拥常需独立理址空间工程者开发群组企业具重意义
户移动性
基MPLS 园区VPN 具高性配线间支持VPN事实理角度说种方式更加适合园区LAN 中部署VPNVPN 处户边园区中移动边VPN
中规定权力策略VPN 户始终处原始VPN 中――身
户分配园区中某VPN 相户连接端口分配该VPN 关接入VLAN根户身份(利8021x 身份验证)者设备MAC 址(利VLAN 理策略服务器[VMPS]者思科安全户注册工具[URT])户分配某指定VPN(VLAN)种VPN 分配动态简便需相关接入端口分配适VLAN设想航空公司例子园区VPN 航空公司登记柜台登机口种称户终端设备理念航空公司员工操作员机场中移动办公提高机场空间利效率外航空公司跑道操作员通线技术连接网络户需返跑道间时始终位特定VPN 中跑道操作员移动求更复杂需线漫游机制目前意味着扁式第二层网络目前问题通第二层环生成树加解决第二层VPN 机制――例虚拟专VPN 服务(VPLS)――利现支持MPLS 基础设施提供更加便扩展第二层VPN 解决方案线漫游导致问题暂时性移动IP 线客户端接入点快第三层提供漫游功园区中需第二层连接应应MPLS VPN 通部分IP 流量第三层VPN 流量第二层VPN提供全面解决方案两种VPN时提供文介绍优势
集中式安全
前述非专门设置针某VPN 出入路否流量法进入者离开该VPN网络工程师控制VPN 接入点位置数量幅度减少网络工程师必须维护ACL 数量ACL 需位出入点(图3 示)出入点位某集中点时该集中点作安全策略集中实施点VPN 间中转区享资源(例服务器群WAN 互联网)接入点 中央点实施安全策略减少需维护ACL 数量长度简化理需分发整园区ACL 现变更短需中央点部署集中实施安全策略实现安全设备――例防火墙入侵检测系统(IDS)――享代防火墙(例针Catalyst 6500 系列交换机思科防火墙服务模块)时设备提供数百虚拟防火墙虚拟
防火墙支持VPN够VPN 分配专虚拟防火墙通支持VPN 虚拟防火墙群组虚拟防火墙执行策略时企业需拥维护台防火墙设备
记需研究组提供私网络学例子?组提供独立防火墙服务会非常昂贵尤需分散方式执行安全策略情况通集中实施安全策略(图4 示)学防火墙设备(者两防火墙组成冗余阵列)虚拟防火墙方面教师研究组提供服务方面保持间独立性
点集成
安全享服务访问集中理简化新办公点网络中集成企业影响办公点需重新配置整集中安全ACL 情况方便添加新办公点正迅速扩建需中断点(包括中央服务点)业务者配置情况集成者移点园区尤
享服务
VPN 某中央点端接流量需流防火墙企业保护进入VPN 通信流量安全性通防火墙网络址解析(NAT)功VPN 某享服务区域进行安全通信
享服务区域提供享资源――服务器群互联网接入区域作VPN间通信中转区域
利Cisco Catalyst 系列交换机虚拟防火墙流量整形器监器进出VPN 流量实施安全控制例针VPN 流量整形速率限制助精确控制享资源访问权限例互联网者WAN 连接企业VPN 需访问资源时VPN分配服务等级
时企业VPN 享服务区域间流量保存基VPN 记帐信息必信息理者计费
享数中心
企业中群组需专服务器群服务器群规模群组需包含成百千台服务器型数中心需专型数中心部署型数中心济文已介绍利ACL 划分数中心弊端园区VPN 网络工程师划分数中心群组提供专服务器资源时享数中心基础设施数中心通VLAN 进行划分VLAN 会映射分布层相应第三层VPN
记帐计费
根企业采服务模式需确定种基客户特定资源情况计费机制CiscoNetFlow Collector 企业准确网络流量记帐信息计费安全享服务样记帐应集中理存记帐计费需求企业包括机场商务中心商务中心需租户提供享园区网络商务中心服务部分数中心基础设施中通常包括IP 电话互联网接入服务服务必须租户(VPN)情况进行计费
思科IP 电话解决方案包括适电话计费机制思科提供解决方案中互联网接入服务Cisco NetFlow Collector 享服务区域搜集流量统计数计费
部署选项
图5 显示构成MPLS VPN 网络组件
供应商边缘(PE)路器客户边缘(CE)路器接收路通MPLS 骨干网发送PE 路器位网络中间供应商(P)路器者标签交换路器(LSR)部署项纯第三层MPLS 传输服务
PE 路器需VPN 信息PE 路器间划分PE 路器需获直接连接VPN 路信息骨干网中P 路器支持VPN提供更高扩展性需传输VPN 路防止P 路器中路表保存VPN 状态信息出现没必增长
图5 显示构成MPLS VPN 网络组件:
客户边缘(CE)――台位网络边缘路器第三层VPN 空间拓展路域边缘
CE 路器许支持VPN
供应商边缘(PE)――端接BGPMPLS VPN 隧道路器标记着BGPMPLS VPN 空间
边缘部分针VPN 配置处理发生PE 路器
供应商(P)――BGPMPLS VPN 空间部转发分组路器
路(L3)域――园区LAN 中第三层部分路域通常分布交换机开始包括网络核心
交换(L2)域――园区LAN 中第二层部分交换域通常出现接入层配线间交换机
里连接分布层通VLAN 进行划分
BGPMPLS 域――路域部分RFC 2547 规定通BGP MPLS 机
制部署第三层VPN覆盖整路域者包含核心
第三层VPN 空间――划分路域园区VPN空间会覆盖整路域划分通种第三层VPN 机制(例BGPMPLS VPN MultiVRF VPN 扩展)组合实现
园区VPN――覆盖交换路域端端网段包括VLAN 第三层VPN两者间映射 面BGPMPLS VPN 部署园区VPN 两种方式分符合RFC 2547 IETF草案2547bis 规定
图6园区VPN 部署选项
图6 左侧网络中PE 分布层交换机担种情况BGPMPLS VPN 空间会覆盖整路域外部网络云表示该BGPMPLS VPN 空间路域相需VPN 扩展PE 外需台CE 路器VPN 通VLAN(红色黄色)扩展路域外进入接入层(第二层)路域第三层VPN 第二层域VLAN 结合实现端端划分――园区VPN
图6 右侧网络中BGPMPLS VPN 空间缩减跳核心路器现充端接BGPMPLS VPN PE 路器分布层交换机必须充通8021q 中继PE 路器通信CE路器支持路表(MultiVRF CE 者VRFlite)便第三层VPN 扩展路域边缘种方式需种更加复杂配置分布层交换机消MPLS BGP 支持需求企业分布层选择更交换机型号VPN 通VLAN 扩展接入层
网络独立拥单独路表流量法没专门设置某进入端接点情况离开者进入VPNVPN 提供安全等级单独部署VLAN 相VPN进入端接点方便方设置企业创建中央点根企业安全策略VPN 间享安全设备服务集中控制进出外联网互联网通信(必时甚包括
VPN 间通信)
集中服务通中央服务点应PE 端接VPN 部署端接VPN 路(者冗余)防火墙设备虚拟防火墙流量会通中转路器防火墙享服务间路果VPN 间存重叠IP 址NAT 虚拟防火墙执行图7 显示集中点部署方式
图7 集中服务部署
注意:现部署方式涉路目标处理支持VRF NAT支持VRF 防火墙选择种部署方式流量路原理类似图7 中介绍方式某情况客户需园区VPN 拓展理位置分散园区时WAN种隧道机制思科园区VPN 解决方案通种点点点群体隧道选项
WAN 拓展园区VPN图8 示思科园区VPN 解决方案架构企业类型WAN 隧道机制(例GREIPSecL2TPv3EoMPLSVPLSBGPMPLG VPN 者BGPGREVPN)
图8 WAN 部署
种情况您会问:难道服务供应商技术?着企业断扩网络基础设施发展网络需支持类型集成化服务必须提供扩展高度网络基础设施着越越服务(例电话视频监控声音系统等)需企业网络服务需求变越越严格针性越越高企业想适安全定制策略方式提供服务等级必须供服务供应商技术
部署建议
思科园区VPN 解决方案建议部署方式包括BGPMPLS VPN 扩展整第三层域VRF CE 路器(VRFlite)换句话说果济条件允许部署思科园区VPN 解决方案企业应尝试整路域中部署BGPMPLS VPN(RFC 2547)VRFlite 应作种移植途径
建议采种部署方式原全面BGPMPLS 部署企业带处(VRFlite 扩展VPN 部署方式相): VRF 数量增加――全面BGPMPLS 部署台Cisco Catalyst 6500 系列Supervisor Engine 作PE 时支持超400 VRF采VRFlite 部署分Catalyst3550 者4500 时处理7 VRF 者64 VRF
简化配置维护――VRFlite 需PECE 连接配置维护PECE 路协议8021Q 中继配置端端BGPMPLS VPN 时需样做全面部署幅度简化园区VPN 配置理加强组播处理力――BGPMPLS VPN 扩展整路域环境中更处理组播利组播VPN(MVPN)PE 路器――例Cisco Catalyst 6500 系列Supervisor Engine720――
效VPN 中处理组播流量
目前正评估通VRFlite 添加扩展提供组播支持灵活性现采种时性方法利CE VRFlite 网络中支持组播时性方法属文讨范围
提高灵活性――全面BGPMPLS VPN 部署网络工程师灵活部署基MPLS 功例流量隧道工程快速重新路(FRR)VRFlite 法提供功结合VRFlite 部署相整路域中部署BGPMPLS VPN 带显著优势VRFlite企业缺乏MPLS 功较便宜产品放第三层边缘(通常分布层)产品包括Cisco Catalyst 3500 Cisco Catalyst 4500 交换机支持VRFlite具备MPLS 功建议全面BGPMPLS VPN 部署迈进第步VRFlite全面BGPMPLS VPN 部署提供更加全面功优势外需全面BGPMPLS VPN 部署前直VRFlite 部署
技术台
思科园区VPN 解决方案采整Cisco Catalyst 交换机系列提供种先进技术助VLANLAN 划分Catalyst 系列交换机中端端分布核心路域中进行划分通Catalyst 6500 Supervisor 720 支持BGPMPLS VPN 实现路域覆盖型Cisco Catalyst 交换机(例Catalyst 3550Catalyst 3750 Catalyst 4500 系列)情况利非基MPLS VRFlite 点点VPN(称MultiVRF CE)进行扩展中央点安全设备(例思科防火墙服务模块思科IPSec VPN 服务模块Catalyst 6500
思科IDS 模块)提供基础设施集成服务服务方面VPN 享方面虚拟方式专门满足VPN 特殊需求种功(例支持虚拟VRF 防火墙者支持VRF IPSec VPN 加密进程)服务模块VPN 提供独立服务降低资开支安全理VPN 扩展提供集中点种方式会产生单点障安全设备高度冗余配置
Cisco NetFlow Collector 需记帐计费功提供必工具理功CiscoWorks
配置工具思科IP 解决方案中心提供具体选择种方式取决企业需求整Cisco Catalyst 交换机系列切入解决方案中层次网络工程师更加充分发挥智化基础设施作
总结
思科园区VPN 解决方案助改进园区LAN 解决企业面诸问题实现扩展网络划分提供便捷解决方案
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档