一、園區(qū)網(wǎng)的技術(shù)發(fā)展驅(qū)動(dòng)力
隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的大規(guī)模應(yīng)用,企業(yè)信息化也發(fā)生了很大變化。一方面,應(yīng)用種類飛速增加。IT在企業(yè)信息化中發(fā)揮的作用越來越大,從辦公應(yīng)用IT化,再到多媒體、生產(chǎn)等應(yīng)用IT化,園區(qū)網(wǎng)所承載的應(yīng)用種類極大豐富。
不同類型應(yīng)用對(duì)網(wǎng)絡(luò)和安全的要求不同,面對(duì)眾多應(yīng)用,如果為不同應(yīng)用建設(shè)不同的網(wǎng)絡(luò)(如傳統(tǒng)的內(nèi)外網(wǎng)分離的建設(shè)模式),則需要建設(shè)多套網(wǎng)絡(luò),這帶來重復(fù)投資、用戶體驗(yàn)差、設(shè)備利用率低等問題。隨著應(yīng)用的不斷增加,這些問題會(huì)越來越突出。如果將所有應(yīng)用都承載在一張物理網(wǎng)絡(luò)上,又難以滿足不同種類的應(yīng)用對(duì)于安全和服務(wù)質(zhì)量要求不同的需求,同時(shí)網(wǎng)絡(luò)規(guī)模也變得十分龐大,網(wǎng)絡(luò)建設(shè)和運(yùn)維管理復(fù)雜。因此,未來的園區(qū)網(wǎng)應(yīng)該能在一張物理網(wǎng)絡(luò)上承載所有應(yīng)用,又可實(shí)現(xiàn)類似于多張物理網(wǎng)絡(luò)實(shí)現(xiàn)的隔離,同時(shí)簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu),簡(jiǎn)化運(yùn)維管理。
另一方面,安全防護(hù)更加精細(xì)。隨著攻擊手段的日漸豐富,網(wǎng)絡(luò)面臨的安全威脅越來越多,任意一臺(tái)終端發(fā)起的攻擊都可能造成嚴(yán)重的后果。此外,不同應(yīng)用面臨的安全威脅存在差異,需要的安全防護(hù)也不同。因此,未來的園區(qū)網(wǎng)應(yīng)該根據(jù)不同應(yīng)用提供針對(duì)性的安全防護(hù)、防護(hù)粒度更加細(xì)化,同時(shí)降低訪問時(shí)延、提高可靠性。
此外,隨著無線終端的普及,未來的園區(qū)網(wǎng)應(yīng)該提供有線無線一體化的靈活接入,并在此基礎(chǔ)上,提供無縫漫游、安全認(rèn)證、服務(wù)質(zhì)量保障等功能,提升用戶體驗(yàn)。
二、安全虛擬園區(qū)網(wǎng)需求要點(diǎn)
安全虛擬園區(qū)網(wǎng)的需求要點(diǎn)有如下三點(diǎn):
■ 簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)
采用一張物理網(wǎng)絡(luò)承載所有應(yīng)用的建設(shè)模式,會(huì)使園區(qū)網(wǎng)的規(guī)模變得龐大,需要簡(jiǎn)化。主要包括以下方面:
1) 簡(jiǎn)化拓?fù)浣Y(jié)構(gòu)。最主要的是減少網(wǎng)絡(luò)的邏輯節(jié)點(diǎn),簡(jiǎn)化網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)。同時(shí),避免STP、VRRP等協(xié)議收斂時(shí)引發(fā)的網(wǎng)絡(luò)震蕩。
2) 簡(jiǎn)化運(yùn)維管理。網(wǎng)絡(luò)設(shè)備,尤其是接入層設(shè)備的配置、管理、維護(hù)消耗IT管理員大量的精力,需要簡(jiǎn)化。
3) 提高可靠性。園區(qū)網(wǎng)承載的核心應(yīng)用、實(shí)時(shí)性應(yīng)用要求不間斷運(yùn)行,這需要網(wǎng)絡(luò)網(wǎng)絡(luò)具備高可靠性。
■ 一張物理網(wǎng)絡(luò)承載多張?zhí)摂M業(yè)務(wù)網(wǎng)
采用一張物理網(wǎng)絡(luò)承載所有應(yīng)用的建設(shè)模式,需要滿足不同應(yīng)用對(duì)網(wǎng)絡(luò)和安全要求的差異,這需要在一張物理網(wǎng)絡(luò)上虛擬出多張?zhí)摂M業(yè)務(wù)網(wǎng),每張?zhí)摂M業(yè)務(wù)網(wǎng)承載一類應(yīng)用。具體來說,包括以下幾方面:
1) 虛擬業(yè)務(wù)網(wǎng)的構(gòu)建。應(yīng)能對(duì)整網(wǎng)的網(wǎng)絡(luò)、安全資源進(jìn)行劃分,形成各自獨(dú)立的虛擬業(yè)務(wù)網(wǎng)。
2) 彈性擴(kuò)展。虛擬業(yè)務(wù)網(wǎng)應(yīng)能根據(jù)應(yīng)用的變化做出及時(shí)調(diào)整,具備彈性擴(kuò)展的能力。
■ 安全防護(hù)與等保合規(guī)
虛擬業(yè)務(wù)網(wǎng)在相互隔離的同時(shí),也需要信息的互連互通,因此要對(duì)不同虛擬業(yè)務(wù)網(wǎng)間的流量進(jìn)行訪問控制和安全防護(hù),保障信息安全的互聯(lián)。在業(yè)務(wù)網(wǎng)內(nèi),也面臨著眾多安全需求,包括訪問控制、入侵防御、病毒防范、流量控制、行為審計(jì)、終端準(zhǔn)入等等。因此,需要對(duì)應(yīng)用進(jìn)行L2~7層的安全防護(hù)。
不同虛擬業(yè)務(wù)網(wǎng)面臨的安全威脅不同,同一虛擬業(yè)務(wù)網(wǎng)內(nèi)的不同應(yīng)用面臨的安全威脅也不同,這要求根據(jù)應(yīng)用提供針對(duì)性的安全防護(hù)。在一張物理網(wǎng)絡(luò)承載所有應(yīng)用的建設(shè)模式下,需要一套安全防護(hù)產(chǎn)品可以提供多種安全功能組合。
同時(shí),信息安全等級(jí)保護(hù)制度作為我國(guó)信息安全建設(shè)的基本國(guó)策,是必須要滿足的。因此,在進(jìn)行園區(qū)網(wǎng)建設(shè)時(shí),需要考慮等保的合規(guī)問題。
綜上所述,如何建設(shè)等保合規(guī)、滿足應(yīng)用要求、按需防護(hù)、防護(hù)粒度精細(xì)的安全防護(hù)體系,是園區(qū)網(wǎng)面臨的問題。
三、DP xCampus安全虛擬園區(qū)網(wǎng)解決方案
迪普科技憑借自身的技術(shù)積累以及對(duì)于應(yīng)用的理解,推出了DP xCampus安全虛擬園區(qū)網(wǎng)解決方案。DP xCampus安全虛擬園區(qū)網(wǎng)解決方案立足于園區(qū)網(wǎng)的建設(shè)目標(biāo)和建設(shè)需求,結(jié)合迪普科技領(lǐng)先的“應(yīng)用即網(wǎng)絡(luò)”技術(shù)理念和技術(shù)實(shí)現(xiàn),為用戶提供簡(jiǎn)單、智能、可靠的安全虛擬園區(qū)網(wǎng)建設(shè)方案。
DP xCampus安全虛擬園區(qū)網(wǎng)解決方案框架如下圖所示:
▲
DP xCampus安全虛擬園區(qū)網(wǎng)解決方案框架
DP xCampus安全虛擬園區(qū)網(wǎng)解決方案提供虛擬化基礎(chǔ)架構(gòu),通過VSM虛擬交換矩陣技術(shù)和VEM虛擬擴(kuò)展矩陣技術(shù)將每個(gè)二層域簡(jiǎn)化為一臺(tái)邏輯設(shè)備,整網(wǎng)簡(jiǎn)化為幾臺(tái)邏輯設(shè)備,從而簡(jiǎn)化管理。通過OVC操作系統(tǒng)級(jí)虛擬化技術(shù)構(gòu)建虛擬業(yè)務(wù)網(wǎng),實(shí)現(xiàn)一張物理網(wǎng)絡(luò)承載所有應(yīng)用,并能按需提供精細(xì)化的網(wǎng)絡(luò)策略。通過在核心和匯聚設(shè)備上部署的安全業(yè)務(wù)板卡以及L2~7融合和L2~7虛擬化,可以為應(yīng)用提供一體化安全防護(hù),并可以通過智能流定義,按需提供精細(xì)化的安全策略。
3.1 虛擬化基礎(chǔ)架構(gòu)
如前所述,一張物理網(wǎng)絡(luò)上承載所有應(yīng)用的建設(shè)模式存在網(wǎng)絡(luò)規(guī)模龐大、建設(shè)復(fù)雜的問題,虛擬化基礎(chǔ)架構(gòu)是十分有效的解決方法。迪普科技虛擬化基礎(chǔ)架構(gòu)由VSM(Virtual Switching Matrix)虛擬交換矩陣技術(shù)和VEM(Virtual Extension Matrix)虛擬擴(kuò)展矩陣技術(shù)實(shí)現(xiàn)。
通過VSM技術(shù),可以將多臺(tái)核心設(shè)備虛擬成一臺(tái)邏輯設(shè)備,實(shí)現(xiàn)控制平面的統(tǒng)一。迪普科技VSM技術(shù)是L2~7全面的虛擬化技術(shù),不僅可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化,還創(chuàng)新地實(shí)現(xiàn)安全和應(yīng)用交付資源的虛擬化。通過VSM技術(shù)虛擬化后,園區(qū)網(wǎng)的核心設(shè)備虛擬成一臺(tái)邏輯設(shè)備,每個(gè)二層域的匯聚交換機(jī)分別虛擬成一臺(tái)邏輯設(shè)備。通過VSM虛擬化后,實(shí)現(xiàn)了接入層設(shè)備上行鏈路的跨設(shè)備鏈路聚合,消除了二層環(huán)路,STP對(duì)網(wǎng)絡(luò)的影響降到最低,同時(shí)三層也無需運(yùn)行VRRP協(xié)議。此外,在運(yùn)行VSM技術(shù)的虛擬化組內(nèi),多臺(tái)設(shè)備性能可以負(fù)載分擔(dān),與傳統(tǒng)主備模式相比,設(shè)備的利用率大大提升,節(jié)省用戶投資。
VSM技術(shù)在很大程度上簡(jiǎn)化網(wǎng)絡(luò),但對(duì)數(shù)量龐大、地理位置分散的接入層設(shè)備而言,IT管理員仍需一臺(tái)臺(tái)地配置、調(diào)試、管理,這些重復(fù)性的工作消耗大量了的精力,極大降低了工作效率。同時(shí)接入層設(shè)備的功能沒有核心、匯聚層設(shè)備功能豐富,這也影響了整網(wǎng)的業(yè)務(wù)處理能力。
▲
迪普科技創(chuàng)新的VEM虛擬擴(kuò)展矩陣技術(shù),可以很好的解決以上問題。VEM技術(shù)可以將匯聚、接入層設(shè)備虛擬化為一臺(tái)邏輯設(shè)備。虛擬化后,匯聚層設(shè)備成為虛擬化組的主設(shè)備,接入層設(shè)備成為虛擬化組的擴(kuò)展設(shè)備。主設(shè)備對(duì)多臺(tái)下聯(lián)的擴(kuò)展設(shè)備進(jìn)行統(tǒng)一的控制管理,所有的數(shù)據(jù)轉(zhuǎn)發(fā)也由主設(shè)備完成。擴(kuò)展設(shè)備則相當(dāng)于主設(shè)備的接口板。通過VEM技術(shù),擴(kuò)展設(shè)備的配置維護(hù)均在主設(shè)備上操作,接入層設(shè)備無需一臺(tái)一臺(tái)分別配置維護(hù),極大簡(jiǎn)化了網(wǎng)絡(luò)的運(yùn)維管理。
對(duì)于大型園區(qū)網(wǎng),核心層通過VSM技術(shù)虛擬化成一臺(tái)邏輯設(shè)備;匯聚層、接入層通過VSM+VEM技術(shù),每個(gè)二層域虛擬化成一臺(tái)邏輯設(shè)備,整網(wǎng)簡(jiǎn)化成幾臺(tái)邏輯設(shè)備的連接。對(duì)于中小型園區(qū)網(wǎng),核心層、接入層通過VSM+VEM技術(shù),整網(wǎng)虛擬化成一臺(tái)邏輯設(shè)備,實(shí)現(xiàn)1-Tier組網(wǎng)。
綜上所述,通過虛擬化基礎(chǔ)架構(gòu),網(wǎng)絡(luò)結(jié)構(gòu)極大簡(jiǎn)化,運(yùn)維管理成本大大降低。
3.2 虛擬業(yè)務(wù)網(wǎng)
虛擬化基礎(chǔ)架構(gòu)極大地簡(jiǎn)化了網(wǎng)絡(luò),但面對(duì)不同應(yīng)用的不同需求,還需要建立不同的虛擬業(yè)務(wù)網(wǎng)。可以根據(jù)應(yīng)用的安全要求、功能屬性、用戶群體等因素,將應(yīng)用分為幾類,每一類應(yīng)用通過單獨(dú)的虛擬業(yè)務(wù)網(wǎng)進(jìn)行承載。每張?zhí)摂M業(yè)務(wù)網(wǎng)類似于單獨(dú)的一張物理網(wǎng)絡(luò),與其他網(wǎng)絡(luò)之間完全獨(dú)立。在虛擬業(yè)務(wù)網(wǎng)內(nèi),根據(jù)應(yīng)用的需求部署網(wǎng)絡(luò)策略和安全策略,包括VLAN、路由、QoS、組播策略、訪問控制策略、安全功能組合等等。這樣,就可以在一張物理網(wǎng)絡(luò)上承載所有應(yīng)用,并且滿足不同應(yīng)用對(duì)安全和網(wǎng)絡(luò)策略的不同要求。
虛擬業(yè)務(wù)網(wǎng)的實(shí)現(xiàn)是通過迪普科技創(chuàng)新的OVC(OS-level Virtual Context)操作系統(tǒng)級(jí)虛擬化技術(shù),結(jié)合認(rèn)證、訪問控制等技術(shù)來實(shí)現(xiàn)的。其中的關(guān)鍵技術(shù)包括:
▲
1) OVC。OVC技術(shù)可以將一臺(tái)設(shè)備虛擬成多臺(tái)邏輯設(shè)備(虛擬系統(tǒng))。每個(gè)虛擬系統(tǒng)擁有獨(dú)立的硬件、軟件、管理資源,包括轉(zhuǎn)發(fā)表項(xiàng)、控制進(jìn)程、內(nèi)存、CPU資源等等。管理上,每個(gè)虛擬系統(tǒng)擁有獨(dú)立的管理員、管理界面。不同虛擬系統(tǒng)間實(shí)現(xiàn)操作系統(tǒng)級(jí)的隔離。迪普科技OVC技術(shù)是L2~7全面的虛擬化技術(shù),不僅可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化,還創(chuàng)新地實(shí)現(xiàn)安全和應(yīng)用交付資源的虛擬化。通過OVC技術(shù),可以實(shí)現(xiàn)網(wǎng)絡(luò)核心層、匯聚層以及安全資源的劃分。
2) 端口劃分。運(yùn)行VEM技術(shù)后,接入層設(shè)備作為主設(shè)備的網(wǎng)絡(luò)資源(接口板)存在,由主設(shè)備進(jìn)行控制和管理。因此,當(dāng)通過OVC技術(shù)將一臺(tái)設(shè)備虛擬化成不同虛擬業(yè)務(wù)網(wǎng)的設(shè)備時(shí),可以對(duì)主設(shè)備的資源,包括接入層設(shè)備進(jìn)行劃分,可以將接入層設(shè)備的不同接口劃分給不同的虛擬系統(tǒng),進(jìn)而實(shí)現(xiàn)接入層的端口隔離。通過VEM+OVC技術(shù),可以將接入層的每個(gè)端口分配到相應(yīng)的虛擬業(yè)務(wù)網(wǎng)內(nèi),并且隔離級(jí)別是操作系統(tǒng)級(jí),從而創(chuàng)新地實(shí)現(xiàn)了接入層資源的劃分,應(yīng)用的安全性更加有保障。
3) 用戶劃分。通過迪普科技TAC終端接入控制,可識(shí)別不同用戶的身份,根據(jù)用戶身份選擇對(duì)應(yīng)的虛擬業(yè)務(wù)網(wǎng)。當(dāng)用戶的物理位置變化后,TAC會(huì)確保用戶仍然選擇到相同的虛擬業(yè)務(wù)網(wǎng),并且網(wǎng)絡(luò)策略不變。因此,通過TAC終端接入控制,實(shí)現(xiàn)不同虛擬業(yè)務(wù)網(wǎng)的用戶劃分。
綜上所述,在虛擬化基礎(chǔ)架構(gòu)之上,通過OVC操作系統(tǒng)級(jí)虛擬化技術(shù),結(jié)合認(rèn)證、訪問控制等技術(shù),不僅可以將一張物理網(wǎng)絡(luò)的網(wǎng)絡(luò)資源劃分給不同的虛擬業(yè)務(wù)網(wǎng),也可以對(duì)安全資源進(jìn)行劃分。不同虛擬業(yè)務(wù)網(wǎng)從核心、匯聚、接入層到安全資源完全獨(dú)立,從硬件、軟件到管理完全獨(dú)立,從而滿足不同應(yīng)用的不同網(wǎng)絡(luò)和安全要求。
DP xCampus安全虛擬園區(qū)網(wǎng)解決方案不僅可以承載多個(gè)虛擬業(yè)務(wù)網(wǎng),而且能根據(jù)應(yīng)用的變化,實(shí)現(xiàn)虛擬業(yè)務(wù)網(wǎng)的動(dòng)態(tài)擴(kuò)展,更好地滿足應(yīng)用不斷增加和變化的發(fā)展趨勢(shì)。當(dāng)要新增一套虛擬業(yè)務(wù)網(wǎng)時(shí),可通過OVC技術(shù),在現(xiàn)有的資源池中,為新的應(yīng)用劃分出獨(dú)立的核心層、匯聚層、接入層的網(wǎng)絡(luò)資源,以及安全資源。當(dāng)應(yīng)用需要的網(wǎng)絡(luò)、安全資源增加時(shí),可將更多的資源劃分給虛擬業(yè)務(wù)網(wǎng),實(shí)現(xiàn)虛擬業(yè)務(wù)網(wǎng)的擴(kuò)容;當(dāng)應(yīng)用所需的資源減少時(shí),可將虛擬業(yè)務(wù)網(wǎng)的部分資源釋放;當(dāng)應(yīng)用廢棄時(shí),可將對(duì)應(yīng)的虛擬業(yè)務(wù)網(wǎng)刪除;這樣,便可在一套物理網(wǎng)絡(luò)上,根據(jù)應(yīng)用的變化及時(shí)作出調(diào)整,網(wǎng)絡(luò)具備很強(qiáng)的適應(yīng)能力。
綜上所述,通過迪普科技的VSM+VEM+OVC+TAC技術(shù),可在一套物理網(wǎng)絡(luò)上虛擬出多套虛擬業(yè)務(wù)網(wǎng),進(jìn)行不同應(yīng)用的承載,虛擬業(yè)務(wù)網(wǎng)間實(shí)現(xiàn)類似多套物理網(wǎng)絡(luò)的隔離。在此基礎(chǔ)上,能進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的動(dòng)態(tài)擴(kuò)展,很好地應(yīng)對(duì)應(yīng)用增加的發(fā)展趨勢(shì)。
3.3 安全體系架構(gòu)
如前所述,園區(qū)網(wǎng)的安全防護(hù)體系應(yīng)該根據(jù)應(yīng)用需要提供針對(duì)性的防護(hù),防護(hù)粒度更加細(xì)致,同時(shí)滿足等保要求。
▲
迪普科技可以提供訪問控制、入侵防御、病毒防范、流量控制、行為審計(jì)在內(nèi)完善的安全防護(hù),既保障虛擬業(yè)務(wù)網(wǎng)內(nèi)應(yīng)用的安全,又保障虛擬業(yè)務(wù)網(wǎng)間安全的互連,同時(shí)滿足等保的相關(guān)要求。
迪普科技的核心層、匯聚層產(chǎn)品支持多種類型的安全業(yè)務(wù)板卡,在與網(wǎng)絡(luò)融合的基礎(chǔ)上,這些板卡可以提供豐富的安全功能。通過迪普科技創(chuàng)新的智能流定義技術(shù),可以指定特定的數(shù)據(jù)流通過特定的業(yè)務(wù)板卡,業(yè)務(wù)板卡的通過順序也可自行定義。這樣就可以針對(duì)不同應(yīng)用提供不同的安全防護(hù)。同時(shí),智能流定義通過圖形化配置,配置過程十分簡(jiǎn)單,極大地簡(jiǎn)化安全策略的部署。
通過L2~7的VSM虛擬化技術(shù),同類型的業(yè)務(wù)板卡可以虛擬成為一塊邏輯板卡,從而簡(jiǎn)化管理,提高性能和可靠性。而VEM技術(shù)可以將流量從接入層牽引至核心層,再結(jié)合智能流定義技術(shù),就可以對(duì)所有端口間的訪問流量進(jìn)行安全防護(hù)。與傳統(tǒng)安全防護(hù)體系主要對(duì)VLAN間流量防護(hù)相比,迪普科技通過VEM+VSM,以及多種類型的安全業(yè)務(wù)板卡,可以將防護(hù)粒度從VLAN間提升至VLAN內(nèi),大大增強(qiáng)了網(wǎng)絡(luò)的安全性。
無論是針對(duì)不同應(yīng)用進(jìn)行針對(duì)性防護(hù),還是防護(hù)細(xì)粒度的提升,都對(duì)安全防護(hù)體系的性能提出了很高的要求。迪普科技通過創(chuàng)新的產(chǎn)品設(shè)計(jì),提供整機(jī)最大3.2Tbps(64字節(jié))業(yè)務(wù)處理性能、32億并發(fā)連接和1.28億每秒新建連接的業(yè)務(wù)處理能力,領(lǐng)先業(yè)界平均水平10倍以上,讓安全防護(hù)體系無性能之憂。
綜上所述,迪普科技通過L2~7融合、L2~7虛擬化、智能流定義、VEM技術(shù),對(duì)園區(qū)網(wǎng)中所有流量都可以提供L2~7全面的安全防護(hù),防護(hù)功能按需定義,防護(hù)粒度達(dá)到VLAN內(nèi),同時(shí)滿足信息等保的相關(guān)要求。
四、安全虛擬園區(qū)網(wǎng)方案設(shè)計(jì)
■ 中小型園區(qū)網(wǎng)方案設(shè)計(jì)
中小型園區(qū)網(wǎng)的方案設(shè)計(jì)較為簡(jiǎn)單,采用“核心-接入”的扁平化組網(wǎng)模式,整網(wǎng)為一個(gè)二層域。通過部署無線AP、AC提供靈活的無線接入,并實(shí)現(xiàn)有線無線一體化。通過在核心部署業(yè)務(wù)板卡實(shí)現(xiàn)安全防護(hù)所需的功能。
方案拓?fù)淙缦聢D所示:
▲
中小型園區(qū)網(wǎng)方案的設(shè)計(jì)要點(diǎn)如下:
√ 1-Tier組網(wǎng),整網(wǎng)虛擬化為一臺(tái)邏輯設(shè)備
√ 虛擬業(yè)務(wù)網(wǎng),不同應(yīng)用通過不同的虛擬業(yè)務(wù)網(wǎng)承載
√ L2~7層安全防護(hù),按需提供安全防護(hù),實(shí)現(xiàn)VLAN內(nèi)防護(hù)
■ 大型園區(qū)網(wǎng)方案設(shè)計(jì)
大型園區(qū)網(wǎng)的方案是在中小型園區(qū)網(wǎng)方案的基礎(chǔ)上,增加二層域的數(shù)量,二層域與核心層通過路由互通,并實(shí)現(xiàn)有線無線一體化。通過在核心部署業(yè)務(wù)板卡實(shí)現(xiàn)安全防護(hù)所需的功能。方案拓?fù)淙缦聢D所示:
▲
大型園區(qū)網(wǎng)方案的設(shè)計(jì)要點(diǎn)如下:
√ 虛擬化組網(wǎng),整網(wǎng)虛擬化為一臺(tái)核心層設(shè)備與幾臺(tái)匯聚設(shè)備的相連
√ 虛擬業(yè)務(wù)網(wǎng),實(shí)現(xiàn)不同應(yīng)用的操作系統(tǒng)級(jí)隔離,隔離到邊
√ 安全體系架構(gòu),建立安全資源池,提供自定義的安全防護(hù)
■ 演進(jìn)方案
對(duì)于非新建園區(qū),迪普科技提供演進(jìn)性的解決方案。在演進(jìn)的第一階段,部署一體化的安全核心,通過在安全核心上部署的多種安全業(yè)務(wù)板卡實(shí)現(xiàn)安全防護(hù)的功能。在實(shí)際部署時(shí),可以通過OVC技術(shù)將安全核心一分為二,分別為內(nèi)網(wǎng)和外網(wǎng)提供安全防護(hù),網(wǎng)絡(luò)核心與安全核心分離。
當(dāng)后續(xù)網(wǎng)絡(luò)擴(kuò)容時(shí),可以在安全核心上增加交換板卡,新建網(wǎng)絡(luò)采用VEM技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)核心與安全核心的融合。有網(wǎng)絡(luò)達(dá)到使用年限以后,再行替換。從而最大程度減少對(duì)網(wǎng)絡(luò)的改動(dòng),保護(hù)投資,實(shí)現(xiàn)網(wǎng)絡(luò)的平滑演進(jìn)。
演進(jìn)方案的設(shè)計(jì)要點(diǎn)如下:
√ 安全防護(hù),提供L2~7層安全防護(hù),滿足等保要求
√ 按需防護(hù),根據(jù)應(yīng)用需要提供針對(duì)性的防護(hù)
√ 平滑演進(jìn),滿足網(wǎng)絡(luò)擴(kuò)容需求,對(duì)現(xiàn)網(wǎng)改動(dòng)最小
總之,DP xCampus安全虛擬園區(qū)網(wǎng)解決方案不但能夠滿足園區(qū)網(wǎng)需要的極大簡(jiǎn)化、虛擬隔離、安全防護(hù)等需求,而且能夠提供網(wǎng)絡(luò)安全融合的部署方案,以及靈活的租戶自組網(wǎng)能力。DP xCampus安全虛擬園區(qū)網(wǎng)解決方案能夠給客戶提供不可替代的價(jià)值。