【51CTO.com 綜合報道】當(dāng)前虛擬園區(qū)網(wǎng)1.0方案已廣泛應(yīng)用于政府、大企業(yè)、醫(yī)療等行業(yè)，它提出和實(shí)現(xiàn)了網(wǎng)絡(luò)虛擬化所需的基本技術(shù)思路：在用戶接入網(wǎng)絡(luò)時，使用802.1x、Portal協(xié)議提供身份識別、權(quán)限控制服務(wù)，實(shí)現(xiàn)最優(yōu)的訪問控制策略；在用戶接入網(wǎng)絡(luò)后，通過MPLS VPN、VRF－VRF等多種邏輯隔離技術(shù)，能在保留當(dāng)前園區(qū)網(wǎng)設(shè)計優(yōu)勢的同時，在一張物理網(wǎng)絡(luò)上疊加多層邏輯分區(qū)，提供安全的虛擬化網(wǎng)絡(luò)資源；共享服務(wù)和安全策略實(shí)施的集中化，大大減少了在園區(qū)網(wǎng)中維護(hù)不同群組的安全策略和服務(wù)所需的資本和運(yùn)營開支，有助于進(jìn)行統(tǒng)一的規(guī)劃建設(shè)和運(yùn)維管理。

一、 虛擬園區(qū)網(wǎng)1.0精髓

在“虛擬園區(qū)網(wǎng)解決方案1.0”中，重點(diǎn)關(guān)注如何解決以下三個問題： 

◆網(wǎng)絡(luò)接入控制：確保接入用戶的合法性和安全性，并能夠根據(jù)用戶身份動態(tài)授權(quán)； 

◆業(yè)務(wù)邏輯隔離：確保用戶組業(yè)務(wù)的安全隔離和可控互訪，即VPN隔離和互訪； 

◆統(tǒng)一服務(wù)：確保每個用戶組能夠獲得正確的服務(wù)，并進(jìn)行集中的管理和策略控制。

這三方面是實(shí)現(xiàn)虛擬化園區(qū)網(wǎng)絡(luò)建設(shè)中必須要面對和解決的問題，解決這些問題的思路和技術(shù)方案構(gòu)成了“虛擬園區(qū)網(wǎng)解決方案1.0”的精髓。

1. 網(wǎng)絡(luò)接入控制

通過網(wǎng)絡(luò)接入控制對接入網(wǎng)絡(luò)的終端進(jìn)行接入安全保障和基于身份的動態(tài)訪問授權(quán)。

虛擬園區(qū)網(wǎng)使用邏輯隔離技術(shù)，在一張物理網(wǎng)絡(luò)上虛擬出多套封閉的邏輯資源。在用戶接入網(wǎng)絡(luò)的時候，必須要考慮用戶所屬群組與邏輯網(wǎng)絡(luò)資源之間的對應(yīng)關(guān)系，以便于給用戶分配正確的權(quán)限，并保證封閉邏輯資源的安全性。

這里，建議部署H3C的終端準(zhǔn)入控制（EAD，End user Admission Domination）系統(tǒng)，該系統(tǒng)根據(jù)接入用戶的身份信息，與網(wǎng)絡(luò)設(shè)備配合對用戶進(jìn)行動態(tài)授權(quán)，控制不同群組用戶能夠訪問到不同的邏輯資源；并能提供用戶終端的安全性和法規(guī)遵從性檢查，加強(qiáng)對用戶的集中管理，提高網(wǎng)絡(luò)終端的主動安全防御能力。

在使用EAD系統(tǒng)進(jìn)行靈活準(zhǔn)入控制的時候，根據(jù)應(yīng)用場景不同，通常有兩種控制方式： 

◆802.1x方式  

圖1. 802.1x方式的網(wǎng)絡(luò)接入控制典型組網(wǎng)

如圖1所示，接入控制點(diǎn)在園區(qū)網(wǎng)絡(luò)的接入層設(shè)備、認(rèn)證協(xié)議使用802.1x。802.1x是端口安全的標(biāo)準(zhǔn)協(xié)議，能夠在認(rèn)證用戶及其關(guān)聯(lián)的VPN間形成連接，防止在未授權(quán)情況下訪問禁止接入的資源。

初始情況下，未認(rèn)證用戶連接網(wǎng)絡(luò)時，根據(jù)預(yù)配的策略，用戶不能接入網(wǎng)絡(luò)，或只能訪問部分安全等級要求不高的公共資源，如公共資源VPN里的打印機(jī)、軟件升級服務(wù)器、病毒庫版本升級服務(wù)器、訪問Internet服務(wù)等，無法訪問其它安全等級較高的私有VPN資源。

用戶使用EAD系統(tǒng)通過認(rèn)證后，網(wǎng)管會根據(jù)認(rèn)證用戶名的群組歸屬屬性，由策略服務(wù)器給接入層控制設(shè)備下發(fā)端口歸屬關(guān)系配置調(diào)整信息，建立用戶接入端口與相應(yīng)VPN的連接關(guān)系，提供用戶對相應(yīng)VPN內(nèi)資源的訪問通道。此時，用戶只能訪問所授權(quán)訪問VPN內(nèi)的資源，無法訪問和查看其它用戶VPN內(nèi)的資源，從而實(shí)現(xiàn)對接入用戶的資源訪問權(quán)限控制和安全的邏輯隔離。并且同一物理端口在不同時刻可分別提供給多個用戶使用，每次認(rèn)證通過后策略服務(wù)器都會根據(jù)認(rèn)證用戶屬性下發(fā)端口歸屬VPN的配置信息，使用戶接入到不同的VPN中去。用戶在未認(rèn)證時，可能都能訪問相同的公共資源，但用戶認(rèn)證后，就只能分別訪問所歸屬VPN內(nèi)的資源，同一臺終端先后使用不同的用戶名認(rèn)證接入網(wǎng)絡(luò)，能夠訪問到的資源也是不同的。這樣大大提高了用戶動態(tài)接入網(wǎng)絡(luò)資源的靈活性。

802.1x方式在網(wǎng)絡(luò)接入的最前端進(jìn)行訪問權(quán)限控制和安全檢查，通過調(diào)整用戶接入端口與VPN的映射關(guān)系來控制用戶對相應(yīng)VPN資源的訪問，具有較高的安全性。同時，能夠支持用戶的位置移動性，無論用戶從邊緣的哪個接口接入，都能訪問到相同的授權(quán)資源。 

◆Portal方式

對于無法在接入層設(shè)備進(jìn)行接入訪問控制的組網(wǎng)，還可以采用一種基于匯聚網(wǎng)關(guān)的Portal認(rèn)證方案。  

圖2. Portal方式網(wǎng)絡(luò)接入控制典型組網(wǎng)

在這個方案中，用戶的接入身份認(rèn)證和權(quán)限控制點(diǎn)不在接入層設(shè)備上，而是在位置較高的匯聚、核心層，這樣可以兼容下層網(wǎng)絡(luò)的異構(gòu)性、對接入層設(shè)備的要求也較低。但是，這種部署方式要求虛擬化VPN資源的劃分要在Portal認(rèn)證點(diǎn)之上。

初始情況下，用戶可以訪問不需要認(rèn)證的資源，如本地局域網(wǎng)內(nèi)的部分資源、Internet服務(wù)等。當(dāng)用戶需要通過Portal網(wǎng)關(guān)訪問受控資源的時候，就需要啟動EAD客戶端或通過認(rèn)證網(wǎng)關(guān)推送的認(rèn)證界面進(jìn)行認(rèn)證，服務(wù)器根據(jù)認(rèn)證用戶信息，下發(fā)控制策略給Portal網(wǎng)關(guān)，建立用戶與相應(yīng)VPN資源的訪問通道、限制對其它VPN虛擬資源的訪問。

基于Portal方式的接入控制簡化方案也得到了廣泛應(yīng)用，如在某個大型園區(qū)網(wǎng)絡(luò)中部署了虛擬化技術(shù)對辦公業(yè)務(wù)和訪問Internet業(yè)務(wù)進(jìn)行邏輯隔離，采用Portal認(rèn)證方式：用戶接入網(wǎng)絡(luò)后，無需認(rèn)證即可訪問Internet，此時用戶無法訪問辦公業(yè)務(wù)資源；當(dāng)用戶需要訪問辦公VPN資源的時候，數(shù)據(jù)流觸發(fā)Portal網(wǎng)關(guān)推送認(rèn)證界面給用戶，用戶認(rèn)證通過后即可訪問辦公VPN資源，但此時由于策略服務(wù)器給Portal網(wǎng)關(guān)下發(fā)了控制策略，用戶無法再同時訪問Internet，若需訪問Internet，用戶需要退出認(rèn)證。這樣，能夠更加靈活、簡化對網(wǎng)絡(luò)虛擬資源的訪問控制，更便于部署和使用。

網(wǎng)絡(luò)接入控制包含兩方面內(nèi)容：一是對接入用戶訪問網(wǎng)絡(luò)虛擬資源的權(quán)限控制，二是對接入用戶的合法性和安全性檢查。EAD系統(tǒng)充分支持這兩方面功能，無論使用802.1x方式還是Portal方式的認(rèn)證，都能對接入終端的安全性、合規(guī)性進(jìn)行檢查，并提供檢查報告，對不滿足要求的終端，限制其接入網(wǎng)絡(luò)。對認(rèn)證通過并進(jìn)行了訪問授權(quán)的用戶，仍能提供實(shí)時的安全狀態(tài)監(jiān)測，以保障終端和網(wǎng)絡(luò)的安全性。

2. 業(yè)務(wù)邏輯隔離

目前，有多種技術(shù)能夠支持網(wǎng)絡(luò)虛擬化分區(qū)、實(shí)現(xiàn)用戶組業(yè)務(wù)的邏輯隔離，包括GRE、VRF-VRF、MPLS L3/L2 VPN等。但是從虛擬園區(qū)網(wǎng)方案在行業(yè)應(yīng)用的分析來看，VRF-VRF和MPLS L3 VPN是應(yīng)用較多的技術(shù)，也相對于其它技術(shù)更有優(yōu)勢。 

◆中小型園區(qū)

對于一些中小型園區(qū)，網(wǎng)絡(luò)設(shè)備層次少、結(jié)構(gòu)簡單、業(yè)務(wù)劃分關(guān)系固定，非常適合VRF-VRF方案。利用園區(qū)內(nèi)設(shè)備的虛擬路由轉(zhuǎn)發(fā)功能，為不同群組/業(yè)務(wù)劃分固定的邏輯隔離通道，滿足業(yè)務(wù)的橫向隔離需求。一次配置完成后即可穩(wěn)定地提供服務(wù)，支持通道間的地址重疊和控制策略不一致。 

◆大型園區(qū)

對于大型復(fù)雜園區(qū)，更適合使用MPLS L3 VPN技術(shù)建立虛擬化園區(qū)網(wǎng)絡(luò)。MPLS L3 VPN已在廣域網(wǎng)應(yīng)用多年，技術(shù)成熟、控制靈活，對于虛擬網(wǎng)絡(luò)間的互訪業(yè)務(wù)能夠提供很好的支持。由于在大型園區(qū)內(nèi)部，無論業(yè)務(wù)系統(tǒng)集中還是分布部署，都可能存在跨VPN的業(yè)務(wù)互訪和資源共享，VRF-VRF、GRE等隔離技術(shù)無法很好地支撐這種業(yè)務(wù)訪問模式。MPLS VPN依靠路由、接口VPN實(shí)例綁定關(guān)系建立VPN通道進(jìn)行通信，通過路由的引入引出控制策略，實(shí)現(xiàn)VPN間靈活的互訪，并且能夠支持可靠性檢測、多路徑負(fù)載均衡等技術(shù)，所以更適合網(wǎng)絡(luò)規(guī)模大、設(shè)備臺數(shù)多的組網(wǎng)應(yīng)用環(huán)境。

利用MPLS VPN把網(wǎng)絡(luò)虛擬化從廣域延伸到園區(qū)，需要園區(qū)交換機(jī)產(chǎn)品對MPLS VPN特性提供全面的支持，否則無法實(shí)現(xiàn)真正的網(wǎng)絡(luò)虛擬化。以H3C為例，其路由器、交換機(jī)、安全等產(chǎn)品能夠提供全面的網(wǎng)絡(luò)虛擬化技術(shù)支持，實(shí)現(xiàn)跨廣域、園區(qū)的端到端虛擬化部署方案。  

圖3. H3C端到端的虛擬化解決方案

3. 統(tǒng)一服務(wù)

傳統(tǒng)物理隔離網(wǎng)絡(luò)帶來的一個嚴(yán)重問題：應(yīng)用服務(wù)器需要重復(fù)部署且數(shù)據(jù)同步困難、安全策略需要分別定義和配置、管理復(fù)雜度增加。園區(qū)虛擬化方案能夠有效解決以上難題，為用戶提供集中的數(shù)據(jù)中心服務(wù)、統(tǒng)一的Internet/廣域網(wǎng)出口、統(tǒng)一的網(wǎng)絡(luò)監(jiān)控/管理軟件，提高資源的利用率、降低管理復(fù)雜度： 

◆集中的數(shù)據(jù)中心服務(wù)。數(shù)據(jù)中心的應(yīng)用支持多VPN用戶的共享或?qū)Ｓ?，通過云計算、服務(wù)器虛擬化等技術(shù)的應(yīng)用，屏蔽數(shù)據(jù)中心內(nèi)部硬件設(shè)備間的差異，根據(jù)虛擬網(wǎng)絡(luò)用戶組和業(yè)務(wù)的需求分配計算、存儲資源，提供統(tǒng)一、集中的服務(wù)，以降低提供這些服務(wù)的資本和運(yùn)營開支； 

◆園區(qū)內(nèi)所有用戶共享統(tǒng)一的Internet/廣域網(wǎng)接口。虛擬防火墻、NAT轉(zhuǎn)換等技術(shù)的應(yīng)用減少了網(wǎng)絡(luò)、安全設(shè)備的部署數(shù)量，多VPN用戶共享集中部署的防火墻和入侵檢測設(shè)備。以H3C的網(wǎng)絡(luò)、安全產(chǎn)品為例，是通過VPN感知功能，在一個設(shè)備上能夠并發(fā)提供幾百個虛擬防火墻，每個虛擬網(wǎng)絡(luò)用戶組都能在各自的虛擬防火墻實(shí)例上實(shí)施自己的策略，而整體上只需要擁有一臺硬件防火墻設(shè)備； 

◆統(tǒng)一的網(wǎng)絡(luò)管理、監(jiān)控軟件。通過專門的管理VPN，實(shí)現(xiàn)對整網(wǎng)資源的配置管理和對各種業(yè)務(wù)流量的監(jiān)控、規(guī)劃。例如通過iMC統(tǒng)一管理平臺、MPLS VPN Manager對全網(wǎng)設(shè)備、用戶、VPN業(yè)務(wù)進(jìn)行統(tǒng)一管理和監(jiān)控，降低管理難度和運(yùn)維成本。

二、 結(jié)束語

實(shí)現(xiàn)園區(qū)甚至整個網(wǎng)絡(luò)的虛擬化，需要考慮用戶終端接入的安全檢查、接入VPN的動態(tài)授權(quán)、MPLS VPN端到端的業(yè)務(wù)隔離、虛擬防火墻、NAT多實(shí)例、共享數(shù)據(jù)中心、統(tǒng)一的運(yùn)維和管理平臺等多種技術(shù)、產(chǎn)品的綜合應(yīng)用，從而達(dá)到理想的設(shè)計效果。

虛擬園區(qū)網(wǎng)解決方案1.0以靈活的接入控制、安全的業(yè)務(wù)邏輯隔離、統(tǒng)一服務(wù)能力為精髓，提供了一套完整的實(shí)現(xiàn)虛擬化的基礎(chǔ)方案。之后2.0方案在此基礎(chǔ)上，整合了IRF智能彈性架構(gòu)、多業(yè)務(wù)插卡等亮點(diǎn)技術(shù)，更進(jìn)一步提高了網(wǎng)絡(luò)的可靠性、提升整體資源的利用率、降低用戶投資、簡化網(wǎng)絡(luò)管理、增強(qiáng)應(yīng)用提供能力，開始了向智能化信息網(wǎng)絡(luò)架構(gòu)的遷移。