【51CTO.com 綜合報道】當前虛擬園區網1.0方案已廣泛應用于政府、大企業、醫療等行業，它提出和實現了網絡虛擬化所需的基本技術思路：在用戶接入網絡時，使用802.1x、Portal協議提供身份識別、權限控制服務，實現最優的訪問控制策略；在用戶接入網絡后，通過MPLS VPN、VRF－VRF等多種邏輯隔離技術，能在保留當前園區網設計優勢的同時，在一張物理網絡上疊加多層邏輯分區，提供安全的虛擬化網絡資源；共享服務和安全策略實施的集中化，大大減少了在園區網中維護不同群組的安全策略和服務所需的資本和運營開支，有助于進行統一的規劃建設和運維管理。

一、 虛擬園區網1.0精髓

在“虛擬園區網解決方案1.0”中，重點關注如何解決以下三個問題： 

◆網絡接入控制：確保接入用戶的合法性和安全性，并能夠根據用戶身份動態授權； 

◆業務邏輯隔離：確保用戶組業務的安全隔離和可控互訪，即VPN隔離和互訪； 

◆統一服務：確保每個用戶組能夠獲得正確的服務，并進行集中的管理和策略控制。

這三方面是實現虛擬化園區網絡建設中必須要面對和解決的問題，解決這些問題的思路和技術方案構成了“虛擬園區網解決方案1.0”的精髓。

1. 網絡接入控制

通過網絡接入控制對接入網絡的終端進行接入安全保障和基于身份的動態訪問授權。

虛擬園區網使用邏輯隔離技術，在一張物理網絡上虛擬出多套封閉的邏輯資源。在用戶接入網絡的時候，必須要考慮用戶所屬群組與邏輯網絡資源之間的對應關系，以便于給用戶分配正確的權限，并保證封閉邏輯資源的安全性。

這里，建議部署H3C的終端準入控制（EAD，End user Admission Domination）系統，該系統根據接入用戶的身份信息，與網絡設備配合對用戶進行動態授權，控制不同群組用戶能夠訪問到不同的邏輯資源；并能提供用戶終端的安全性和法規遵從性檢查，加強對用戶的集中管理，提高網絡終端的主動安全防御能力。

在使用EAD系統進行靈活準入控制的時候，根據應用場景不同，通常有兩種控制方式： 

◆802.1x方式  

圖1. 802.1x方式的網絡接入控制典型組網

如圖1所示，接入控制點在園區網絡的接入層設備、認證協議使用802.1x。802.1x是端口安全的標準協議，能夠在認證用戶及其關聯的VPN間形成連接，防止在未授權情況下訪問禁止接入的資源。

初始情況下，未認證用戶連接網絡時，根據預配的策略，用戶不能接入網絡，或只能訪問部分安全等級要求不高的公共資源，如公共資源VPN里的打印機、軟件升級服務器、病毒庫版本升級服務器、訪問Internet服務等，無法訪問其它安全等級較高的私有VPN資源。

用戶使用EAD系統通過認證后，網管會根據認證用戶名的群組歸屬屬性，由策略服務器給接入層控制設備下發端口歸屬關系配置調整信息，建立用戶接入端口與相應VPN的連接關系，提供用戶對相應VPN內資源的訪問通道。此時，用戶只能訪問所授權訪問VPN內的資源，無法訪問和查看其它用戶VPN內的資源，從而實現對接入用戶的資源訪問權限控制和安全的邏輯隔離。并且同一物理端口在不同時刻可分別提供給多個用戶使用，每次認證通過后策略服務器都會根據認證用戶屬性下發端口歸屬VPN的配置信息，使用戶接入到不同的VPN中去。用戶在未認證時，可能都能訪問相同的公共資源，但用戶認證后，就只能分別訪問所歸屬VPN內的資源，同一臺終端先后使用不同的用戶名認證接入網絡，能夠訪問到的資源也是不同的。這樣大大提高了用戶動態接入網絡資源的靈活性。

802.1x方式在網絡接入的最前端進行訪問權限控制和安全檢查，通過調整用戶接入端口與VPN的映射關系來控制用戶對相應VPN資源的訪問，具有較高的安全性。同時，能夠支持用戶的位置移動性，無論用戶從邊緣的哪個接口接入，都能訪問到相同的授權資源。 

◆Portal方式

對于無法在接入層設備進行接入訪問控制的組網，還可以采用一種基于匯聚網關的Portal認證方案。  

圖2. Portal方式網絡接入控制典型組網

在這個方案中，用戶的接入身份認證和權限控制點不在接入層設備上，而是在位置較高的匯聚、核心層，這樣可以兼容下層網絡的異構性、對接入層設備的要求也較低。但是，這種部署方式要求虛擬化VPN資源的劃分要在Portal認證點之上。

初始情況下，用戶可以訪問不需要認證的資源，如本地局域網內的部分資源、Internet服務等。當用戶需要通過Portal網關訪問受控資源的時候，就需要啟動EAD客戶端或通過認證網關推送的認證界面進行認證，服務器根據認證用戶信息，下發控制策略給Portal網關，建立用戶與相應VPN資源的訪問通道、限制對其它VPN虛擬資源的訪問。

基于Portal方式的接入控制簡化方案也得到了廣泛應用，如在某個大型園區網絡中部署了虛擬化技術對辦公業務和訪問Internet業務進行邏輯隔離，采用Portal認證方式：用戶接入網絡后，無需認證即可訪問Internet，此時用戶無法訪問辦公業務資源；當用戶需要訪問辦公VPN資源的時候，數據流觸發Portal網關推送認證界面給用戶，用戶認證通過后即可訪問辦公VPN資源，但此時由于策略服務器給Portal網關下發了控制策略，用戶無法再同時訪問Internet，若需訪問Internet，用戶需要退出認證。這樣，能夠更加靈活、簡化對網絡虛擬資源的訪問控制，更便于部署和使用。

網絡接入控制包含兩方面內容：一是對接入用戶訪問網絡虛擬資源的權限控制，二是對接入用戶的合法性和安全性檢查。EAD系統充分支持這兩方面功能，無論使用802.1x方式還是Portal方式的認證，都能對接入終端的安全性、合規性進行檢查，并提供檢查報告，對不滿足要求的終端，限制其接入網絡。對認證通過并進行了訪問授權的用戶，仍能提供實時的安全狀態監測，以保障終端和網絡的安全性。

2. 業務邏輯隔離

目前，有多種技術能夠支持網絡虛擬化分區、實現用戶組業務的邏輯隔離，包括GRE、VRF-VRF、MPLS L3/L2 VPN等。但是從虛擬園區網方案在行業應用的分析來看，VRF-VRF和MPLS L3 VPN是應用較多的技術，也相對于其它技術更有優勢。 

◆中小型園區

對于一些中小型園區，網絡設備層次少、結構簡單、業務劃分關系固定，非常適合VRF-VRF方案。利用園區內設備的虛擬路由轉發功能，為不同群組/業務劃分固定的邏輯隔離通道，滿足業務的橫向隔離需求。一次配置完成后即可穩定地提供服務，支持通道間的地址重疊和控制策略不一致。 

◆大型園區

對于大型復雜園區，更適合使用MPLS L3 VPN技術建立虛擬化園區網絡。MPLS L3 VPN已在廣域網應用多年，技術成熟、控制靈活，對于虛擬網絡間的互訪業務能夠提供很好的支持。由于在大型園區內部，無論業務系統集中還是分布部署，都可能存在跨VPN的業務互訪和資源共享，VRF-VRF、GRE等隔離技術無法很好地支撐這種業務訪問模式。MPLS VPN依靠路由、接口VPN實例綁定關系建立VPN通道進行通信，通過路由的引入引出控制策略，實現VPN間靈活的互訪，并且能夠支持可靠性檢測、多路徑負載均衡等技術，所以更適合網絡規模大、設備臺數多的組網應用環境。

利用MPLS VPN把網絡虛擬化從廣域延伸到園區，需要園區交換機產品對MPLS VPN特性提供全面的支持，否則無法實現真正的網絡虛擬化。以H3C為例，其路由器、交換機、安全等產品能夠提供全面的網絡虛擬化技術支持，實現跨廣域、園區的端到端虛擬化部署方案。  

圖3. H3C端到端的虛擬化解決方案

3. 統一服務

傳統物理隔離網絡帶來的一個嚴重問題：應用服務器需要重復部署且數據同步困難、安全策略需要分別定義和配置、管理復雜度增加。園區虛擬化方案能夠有效解決以上難題，為用戶提供集中的數據中心服務、統一的Internet/廣域網出口、統一的網絡監控/管理軟件，提高資源的利用率、降低管理復雜度： 

◆集中的數據中心服務。數據中心的應用支持多VPN用戶的共享或專用，通過云計算、服務器虛擬化等技術的應用，屏蔽數據中心內部硬件設備間的差異，根據虛擬網絡用戶組和業務的需求分配計算、存儲資源，提供統一、集中的服務，以降低提供這些服務的資本和運營開支； 

◆園區內所有用戶共享統一的Internet/廣域網接口。虛擬防火墻、NAT轉換等技術的應用減少了網絡、安全設備的部署數量，多VPN用戶共享集中部署的防火墻和入侵檢測設備。以H3C的網絡、安全產品為例，是通過VPN感知功能，在一個設備上能夠并發提供幾百個虛擬防火墻，每個虛擬網絡用戶組都能在各自的虛擬防火墻實例上實施自己的策略，而整體上只需要擁有一臺硬件防火墻設備； 

◆統一的網絡管理、監控軟件。通過專門的管理VPN，實現對整網資源的配置管理和對各種業務流量的監控、規劃。例如通過iMC統一管理平臺、MPLS VPN Manager對全網設備、用戶、VPN業務進行統一管理和監控，降低管理難度和運維成本。

二、 結束語

實現園區甚至整個網絡的虛擬化，需要考慮用戶終端接入的安全檢查、接入VPN的動態授權、MPLS VPN端到端的業務隔離、虛擬防火墻、NAT多實例、共享數據中心、統一的運維和管理平臺等多種技術、產品的綜合應用，從而達到理想的設計效果。

虛擬園區網解決方案1.0以靈活的接入控制、安全的業務邏輯隔離、統一服務能力為精髓，提供了一套完整的實現虛擬化的基礎方案。之后2.0方案在此基礎上，整合了IRF智能彈性架構、多業務插卡等亮點技術，更進一步提高了網絡的可靠性、提升整體資源的利用率、降低用戶投資、簡化網絡管理、增強應用提供能力，開始了向智能化信息網絡架構的遷移。