內外網隔離各種方案介紹電力信息網改造思路參考案例分享目錄內外網隔離各種方案介紹目錄物理隔離內外網隔離方案邏輯隔離廣域網、局域網均物理隔離局域網物理隔離兩套有線網絡新建一套無線網絡MPLSVPN+EAD隔離VLAN+ACL隔離單機雙網卡+硬盤隔離卡雙機單網卡單機單網卡+硬盤隔離卡雙機單網卡單機雙網卡+硬盤隔離卡物理隔離內外網隔離方案邏輯隔離廣域網、局域網均物理隔離局域網物理隔離方案介紹

----電力信息網內外網隔離方案物理隔離方案介紹電力二次系統數據網絡總體策略4、縱向認證3、橫向隔離電力通信/信息網或發電信息網控制區生產區管理區信息區電力調度數據網生產控制大區管理信息大區防火墻2、網絡專用1、安全分區電力二次系統數據網絡總體策略4、縱向認證3、橫向隔離電力通信現有電力數據網絡隔離情況本次關注區域現有電力數據網絡隔離情況本次關注區域電力信息網絡安全隔離現狀總結實現了調度與管理網絡的橫向物理隔離國網\區域電網\省網\地市…縱向貫通初步實現統一Internet出口(以省為單位)管理信息網絡與Internet有邏輯連接絕大部分網省沒有部署綜合接入認證上網行為審計系統缺乏非法外聯缺乏有效監控安全事件管理與應急措施不健全存在重要信息泄露的隱患無法滿足等級保護的要求電力信息網絡安全隔離現狀總結實現了調度與管理網絡的橫向物理隔改造目標電力信息系統是涉及到國計民生的信息系統，一旦受到破壞，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成（嚴重）損害。根據國家對信息安全保障工作的要求，國家電網公司（以下簡稱“國網”）決定在全公司系統實施網絡與信息安全隔離方案——通過技術改造將現有網絡劃分為信息內網和信息外網并實施有效的安全隔離。根據要求，國網下屬各網XX電力、地市電業局以及三產公司等國網系統內單位須在2008年4月前完成過渡方案的實施，在一年半內完成整體網絡與信息安全隔離工作。根據國網公司下發文件的要求，各個網省、地區、縣現有網絡都不得與Internet互聯網互通，必須建設與內網物理隔離的信息系統，以保障內網網絡的信息安全性。新建的外網與內網采用網閘等設備進行物理隔離，與Internet采取邏輯隔離方式，確保外網信息正常發布（營銷、信息、招投標等）及信息安全。國網將通過新建信息外網，完善域名解析、防病毒、補丁管理，加強終端管理等一系列措施實現網絡與信息系統目標安全架構。改造目標電力信息系統是涉及到國計民生的信息系現有信息網絡改造后信息內網信息內網信息外網電力信息網絡改造總體策略現有信息網絡改造后信息內網信息內網信息外網電力信息網絡改造總改造思路

電力信息網絡的安全合規改造除了借鑒以前的電力二次安全防護標準外(此規范重點在電力生產業務領域,對管理信息側沒有提出實施細則),應更多地被動采納國家計算機安全防護等級標準,其他重要行業如政府、金融、能源等已經建設的經驗。由于電力系統的行業特殊性及部分業務（如電力交易、營銷、三公信息等）頻繁網上交互的特點，電力信息網絡的安全合規改造會把現有信息網絡改造成為電力信息內網，斷開與互聯網的連接，重新規劃一套網絡作為信息外網，可能會部署獨立的外網終端。內網與外網之間的隔離方式目前存在爭議，物理網閘的方式對現有應用會造成較大影響，尤其是影響SG186部分試點業務的推廣，因此國家電網認為可采用防火墻+強安全策略的邏輯隔離方式。加強信息內網和外網的安全審計工作，通過終端安全控制，上網行為監控，內部安全事件分析管理等手段加強信息網的可管理和可維護性。改造思路電力信息網絡的安全合規改造除了借鑒以前國家電網公司信息網改造目標國家電網公司信息網改造目標H3C電力內外網安全改造方案綜述SecBladeFWSSLVPN網關H3CIPSSecPathIPSEAD終端控制軟件EAD安全策略管理中心SecCenter安全管理中心IMC網絡管理中心網管中心內網服務器區網通電信EAD終端控制軟件H3CFW信息內網信息外網H3CACG外網服務器區部署ACG應用控制產品實現Internter區域的上網行為監控(行為監管解決方案)內外網之間使用FW和SecBlade核心交換機插卡產品完成內外網之間強策略控制(內網控制解決方案)采用EAD實現接入綜合認證(內網控制解決方案)部署FW/IPS/UTM等安全產品實現信息外網Internet邊界防護（邊界防護解決方案）部署SSLVPN完成信息外網的移動辦公（遠程安全接入解決方案）部署ASE/AFC/SecBaldeFW對SG186業務數據中心進行防護（數據中心保護解決方案）部署SecCenter安全管理中心完成整網安全事件的分析和監控（統一安全管理平臺）H3C電力內外網安全改造方案綜述SecBladeFWSSL改造范圍網絡系統改造——將重新建設一張與內網隔離的網絡（以下稱“信息外網”），并部署相應安全防范設備和措施，保障信息、數據的安全發布，避免可能的信息泄密、黑客、病毒等安全威脅。網絡主體可考慮用有線方式、WLAN無線方式或者兩者相結合的方式來解決。業務系統改造——對于現有網絡的業務系統進行分析、評估，對于確實要對Internet發布信息的業務系統和服務器平臺，規劃搬遷部署方案，將業務系統轉移到外網核心網絡，對外網用戶提供相應服務，如營銷、招投標系統等。接入終端改造——可采用單PC方式或者雙PC方式解決。單PC方式下，采用PC機加裝硬盤隔離卡的方式解決，終端改造投資低，但考慮到安裝、維護復雜，管理不方便，建議采用雙PC方式解決。整個系統改造主要是網絡系統和業務系統建設部分，尤其是業務系統，必須充分考慮現有部分業務移植到外網上以后，如何繼續正常開展業務功能和提供必要的安全保障。改造范圍網絡系統改造——將重新建設一張與內網隔離的網絡（以下案例案例總結：H3C電力內外網安全方案SecBladeFWSSLVPN網關H3CIPSSecPathIPSSecPathASEEAD終端控制軟件EAD安全策略管理中心SecCenter安全管理中心IMC網絡管理中心網管中心內網服務器區網通電信EAD終端控制軟件H3CFW信息內網信息外網H3CACG外網服務器區邊界防護解決方案行為監控解決方案遠程安全接入解決方案內網控制解決方案數據中心保護解決方案統一安全管理平臺總結：H3C電力內外網安全方案SecBladeFWSSL佳木斯牡丹江大慶綏化哈爾濱雞西鶴崗齊齊哈爾黑河黑龍江省電力公司信息外網大興安嶺哈二局伊春千兆直連155MATM省局SR8805核心路由器ATM西部環網ATM東部環網155MPOS

黑龍江省電力公司信息外網省局部署H3C萬兆核心路由器SR8805，11個地市電業局部署H3C多核高端路由器SR6608；同時，省局局域網核心采用H3CS9512核心交換機，并且采用S5500-EI千兆接入。地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器佳木斯牡丹江大慶綏化哈爾濱雞西鶴崗齊齊哈爾黑河黑龍江省電力公東電新大樓外網服務器SecCenterS5100-EIIMC、EAD服務器EADEADEADEADS5100-EISecBladeFW×2SecBladeIPS×2SecBladeLBS9500SecBladeFWS9500SecBladeFW中電飛華網通S7506E東電新大樓外網服務器SecCenterS5100-EIIMC湖北電力公司總部信息外網湖北電力公司總部信息外網邏輯隔離方案介紹

邏輯隔離方案介紹園區網虛擬化關鍵技術二層VLAN：二層隔離技術，在三層終結。不易擴展，STP維護復雜、難以管理和定位，適合小型網絡分布式ACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合VRF/MPLSVPN：三層隔離技術，業務隔離性好，每個VPN獨立轉發表，擴展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復雜園區的應用推薦組合：VRF+MPLSVPN。二三層隔離的融合，安全性高，避免大量的ACL配置問題，直觀、易維護、易擴展園區網虛擬化關鍵技術二層VLAN：二層隔離技術，在三層終結。架構分解用戶端點準入控制對用戶的安全認證和權限管理，使用H3CEAD解決方案（支持portal、802.1X、VPN等認證方式），在接入邊緣設備作認證可以與無線終端與AP聯動，對無線接入用戶進行認證根據用戶認證的結果動態下發VPN歸屬，控制訪問權限業務邏輯隔離共用物理網絡，邏輯隔離使用VRF+MPLSVPN技術用戶通過CE\MCE設備接入，實現端到端的VPN隔離核心用MPLS標簽轉發，控制PE設備VPN路由引入，建立專用的VPN轉發通道，為數據中心提供PE或MCE接口，兼容數據中心內部業務邏輯隔離和物理隔離支持端到端的QoS架構分解用戶端點準入控制架構分解（續）集中服務管理為園區內用戶提供統一的Internet\WAN出口，進行集中監控、管理網絡管理使用H3CiMC智能管理中心，內嵌的MPLSVPNManager支持對MPLSVPN的專業管理各種管理\策略服務器、應用服務器、存儲設備等統一部署在數據中心，為全網提供統一的應用和策略服務數據中心邏輯上分成三個區域：內部專有數據區：僅為單部門或業務提供服務內部共享數據區：為網絡內部全部或部分用戶提供共享服務外部服務區：為通過Internet接入的用戶提供應用服務，如網上銀行、門戶網站等架構分解（續）集中服務管理接入控制—訪問權限動態下發PEvpn1VPN2vpn3VPN4用戶名：密碼下發VLANCAMS：VLAN對應VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用戶名1：密碼VLAN11用戶名2：密碼VLAN22用戶名3：密碼VLAN33用戶名4：密碼VLAN44接入控制—訪問權限動態下發PEvpn1VPN2vpn3VPN通道隔離—端到端的業務邏輯隔離核心交換層網管中心匯聚層接入層數據中心FITAPFITAPMCE/CEPEEAD認證MPLSVPN通道企業/園區網PEPEPEMCE/CEPPPPPEOSPFospf/靜態路由/RIPMPLSL3VPN提供端到端的業務隔離能力，并且通過RT屬性控制VPN間業務互訪通道隔離—端到端的業務邏輯隔離核心交換層網管中心匯聚層接入層方案討論—靈活業務訪問模式園區網絡1.用戶A可訪問Internet，不能訪問辦公網絡2.用戶A可訪問辦公網絡，不能訪問Internet3.用戶B可訪問辦公網絡，A和B訪問權限不同用戶A用戶B用戶C用戶D辦公網絡Internet用戶A、B、C、D分屬不同的部門，訪問權限不同用戶多次獲取不同的訪問權限，滿足Internet、辦公上網及隔離的要求不同訪問權限的用戶安全隔離，以免資源被非法訪問CAMS方案討論—靈活業務訪問模式園區網絡1.用戶A可訪問Inter實現方式一：GuestVlan+EAD園區網絡1.用戶默認屬于GuestVlan，無須認證2.Internet與GuestVlan能夠互通辦公網絡GVLAN10GVLAN20GVLAN30GVLAN40Internet用戶A用戶B用戶C用戶D實現方式一：GuestVlan+EAD園區網絡1.用戶默認實現方式一：GuestVlan+EAD園區網絡2.動態VLAN與辦公網絡互通辦公網絡Internet1.用戶啟動EAD認證，動態下發VLAN和ACL用戶A用戶B用戶C用戶DDVLAN110DVLAN120DVLAN130DVLAN140實現方式一：GuestVlan+EAD園區網絡2.動態VL實現方式二：EAD多服務認證園區網絡1.用戶分配多個域后綴@Internet，@shuiwu等，對應多個服務辦公網絡DVLAN10DVLAN20DVLAN30DVLAN140Internet用戶A用戶B用戶C用戶D2.用戶使用@Internet認證，下發Internet訪問權限3.用戶D使用@caizheng認證，下發財政訪問權限實現方式二：EAD多服務認證園區網絡1.用戶分配多個域后綴@案例案例省網管電子政務中心SR8812SR8812SR8812內網匯聚1內網匯聚2內網匯聚3內網匯聚4內網匯聚5內網匯聚12內網匯聚11內網匯聚10內網匯聚9內網匯聚8內網匯聚6內網匯聚7行政中心原區外市級遠程接入單位網管中心市屬遠程撥號接入單位行政中心原區外縣區遠程接入單位MPLS-VPNP/PE區域核心設備匯聚設備匯聚設備S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E昆明市行政中心網絡省網管電子政務中心SR8812SR8812SR8812內網匯海南電子政務網WX5002政務網核心AP服務器區EADiMC病毒庫補丁海南行政大樓政務中心接入交換機S3600/PWR外聯單位接入匯聚交換機S5626FS9512互聯網核心S7506E省數據中心服務器接入交換機S5500EI海南省電子政務網絡海南電子政務網WX5002政務網核心AP服務器區EADiMC29淄博電子政務外網淄博電子政務外網30服務器群廣州市電子MPLSVPN防火墻千兆光纖千兆電S5500EI-PWRS9508（內置防火墻）S3600S9508（內置防火墻）S3600S3600廣州市政務中心網絡項目，整網采用H3C公司產品，涵蓋交換、無線、安全、端點準入、網管等。核心為2臺S9508高端路由交換機，且內置8G吞吐量防火墻插卡，啟用MPLS功能；匯聚采用支撐遠程供電的S5500EI，可對接入AP進行供電，且具備MCE功能，為MPLS提供良好擴展能力；接入采用EAD端點準入，提供良好的安全接入功能，配備無線AP提供FITAP方案，為政務大廳提供靈活安全的無線接入；整網配置一套IMC智能管理中心，對所有設備、用戶、業務進行統一管理。S5500EI-PWRS5500EI-PWREAD客戶端

WA2110-AGWA2110-AGWA2110-AGEAD客戶端

EAD客戶端

IMC智能管理中心H3CWX5002無線控制器廣州市政務服務中心服務器群廣州市電子防火墻千兆光纖千兆電S5500EI-PWR核心層中心機房大孤山礦機房東礦機房綠化街機房眼礦機房齊大山機房iMCS9508S9508S7506ESDHS7506ES7506E弓長嶺S9508S9508S9508S9508S7506ES7506E鞍鋼ERP主交換機S3126SDHSDH大連礦SDH大連新礦S3126S3126復洲彎礦瓦房子錳礦S3126瓦房子協力S3126燈塔礦選廠S7506ESDH樓屋30臺S3126SDH接各廠礦等接入層接各廠礦等接入層接各廠礦等接入層接各廠礦等接入層接各廠礦等接入層鞍鋼礦山網絡核心層中心機房大孤山礦機房東礦機房綠化街機房眼礦機房齊大山機32內外網改造安全解決方案內外網隔離各種方案介紹電力信息網改造思路參考案例分享目錄內外網隔離各種方案介紹目錄物理隔離內外網隔離方案邏輯隔離廣域網、局域網均物理隔離局域網物理隔離兩套有線網絡新建一套無線網絡MPLSVPN+EAD隔離VLAN+ACL隔離單機雙網卡+硬盤隔離卡雙機單網卡單機單網卡+硬盤隔離卡雙機單網卡單機雙網卡+硬盤隔離卡物理隔離內外網隔離方案邏輯隔離廣域網、局域網均物理隔離局域網物理隔離方案介紹

----電力信息網內外網隔離方案物理隔離方案介紹電力二次系統數據網絡總體策略4、縱向認證3、橫向隔離電力通信/信息網或發電信息網控制區生產區管理區信息區電力調度數據網生產控制大區管理信息大區防火墻2、網絡專用1、安全分區電力二次系統數據網絡總體策略4、縱向認證3、橫向隔離電力通信現有電力數據網絡隔離情況本次關注區域現有電力數據網絡隔離情況本次關注區域電力信息網絡安全隔離現狀總結實現了調度與管理網絡的橫向物理隔離國網\區域電網\省網\地市…縱向貫通初步實現統一Internet出口(以省為單位)管理信息網絡與Internet有邏輯連接絕大部分網省沒有部署綜合接入認證上網行為審計系統缺乏非法外聯缺乏有效監控安全事件管理與應急措施不健全存在重要信息泄露的隱患無法滿足等級保護的要求電力信息網絡安全隔離現狀總結實現了調度與管理網絡的橫向物理隔改造目標電力信息系統是涉及到國計民生的信息系統，一旦受到破壞，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成（嚴重）損害。根據國家對信息安全保障工作的要求，國家電網公司（以下簡稱“國網”）決定在全公司系統實施網絡與信息安全隔離方案——通過技術改造將現有網絡劃分為信息內網和信息外網并實施有效的安全隔離。根據要求，國網下屬各網XX電力、地市電業局以及三產公司等國網系統內單位須在2008年4月前完成過渡方案的實施，在一年半內完成整體網絡與信息安全隔離工作。根據國網公司下發文件的要求，各個網省、地區、縣現有網絡都不得與Internet互聯網互通，必須建設與內網物理隔離的信息系統，以保障內網網絡的信息安全性。新建的外網與內網采用網閘等設備進行物理隔離，與Internet采取邏輯隔離方式，確保外網信息正常發布（營銷、信息、招投標等）及信息安全。國網將通過新建信息外網，完善域名解析、防病毒、補丁管理，加強終端管理等一系列措施實現網絡與信息系統目標安全架構。改造目標電力信息系統是涉及到國計民生的信息系現有信息網絡改造后信息內網信息內網信息外網電力信息網絡改造總體策略現有信息網絡改造后信息內網信息內網信息外網電力信息網絡改造總改造思路

電力信息網絡的安全合規改造除了借鑒以前的電力二次安全防護標準外(此規范重點在電力生產業務領域,對管理信息側沒有提出實施細則),應更多地被動采納國家計算機安全防護等級標準,其他重要行業如政府、金融、能源等已經建設的經驗。由于電力系統的行業特殊性及部分業務（如電力交易、營銷、三公信息等）頻繁網上交互的特點，電力信息網絡的安全合規改造會把現有信息網絡改造成為電力信息內網，斷開與互聯網的連接，重新規劃一套網絡作為信息外網，可能會部署獨立的外網終端。內網與外網之間的隔離方式目前存在爭議，物理網閘的方式對現有應用會造成較大影響，尤其是影響SG186部分試點業務的推廣，因此國家電網認為可采用防火墻+強安全策略的邏輯隔離方式。加強信息內網和外網的安全審計工作，通過終端安全控制，上網行為監控，內部安全事件分析管理等手段加強信息網的可管理和可維護性。改造思路電力信息網絡的安全合規改造除了借鑒以前國家電網公司信息網改造目標國家電網公司信息網改造目標H3C電力內外網安全改造方案綜述SecBladeFWSSLVPN網關H3CIPSSecPathIPSEAD終端控制軟件EAD安全策略管理中心SecCenter安全管理中心IMC網絡管理中心網管中心內網服務器區網通電信EAD終端控制軟件H3CFW信息內網信息外網H3CACG外網服務器區部署ACG應用控制產品實現Internter區域的上網行為監控(行為監管解決方案)內外網之間使用FW和SecBlade核心交換機插卡產品完成內外網之間強策略控制(內網控制解決方案)采用EAD實現接入綜合認證(內網控制解決方案)部署FW/IPS/UTM等安全產品實現信息外網Internet邊界防護（邊界防護解決方案）部署SSLVPN完成信息外網的移動辦公（遠程安全接入解決方案）部署ASE/AFC/SecBaldeFW對SG186業務數據中心進行防護（數據中心保護解決方案）部署SecCenter安全管理中心完成整網安全事件的分析和監控（統一安全管理平臺）H3C電力內外網安全改造方案綜述SecBladeFWSSL改造范圍網絡系統改造——將重新建設一張與內網隔離的網絡（以下稱“信息外網”），并部署相應安全防范設備和措施，保障信息、數據的安全發布，避免可能的信息泄密、黑客、病毒等安全威脅。網絡主體可考慮用有線方式、WLAN無線方式或者兩者相結合的方式來解決。業務系統改造——對于現有網絡的業務系統進行分析、評估，對于確實要對Internet發布信息的業務系統和服務器平臺，規劃搬遷部署方案，將業務系統轉移到外網核心網絡，對外網用戶提供相應服務，如營銷、招投標系統等。接入終端改造——可采用單PC方式或者雙PC方式解決。單PC方式下，采用PC機加裝硬盤隔離卡的方式解決，終端改造投資低，但考慮到安裝、維護復雜，管理不方便，建議采用雙PC方式解決。整個系統改造主要是網絡系統和業務系統建設部分，尤其是業務系統，必須充分考慮現有部分業務移植到外網上以后，如何繼續正常開展業務功能和提供必要的安全保障。改造范圍網絡系統改造——將重新建設一張與內網隔離的網絡（以下案例案例總結：H3C電力內外網安全方案SecBladeFWSSLVPN網關H3CIPSSecPathIPSSecPathASEEAD終端控制軟件EAD安全策略管理中心SecCenter安全管理中心IMC網絡管理中心網管中心內網服務器區網通電信EAD終端控制軟件H3CFW信息內網信息外網H3CACG外網服務器區邊界防護解決方案行為監控解決方案遠程安全接入解決方案內網控制解決方案數據中心保護解決方案統一安全管理平臺總結：H3C電力內外網安全方案SecBladeFWSSL佳木斯牡丹江大慶綏化哈爾濱雞西鶴崗齊齊哈爾黑河黑龍江省電力公司信息外網大興安嶺哈二局伊春千兆直連155MATM省局SR8805核心路由器ATM西部環網ATM東部環網155MPOS

黑龍江省電力公司信息外網省局部署H3C萬兆核心路由器SR8805，11個地市電業局部署H3C多核高端路由器SR6608；同時，省局局域網核心采用H3CS9512核心交換機，并且采用S5500-EI千兆接入。地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器地市局SR6608核心路由器佳木斯牡丹江大慶綏化哈爾濱雞西鶴崗齊齊哈爾黑河黑龍江省電力公東電新大樓外網服務器SecCenterS5100-EIIMC、EAD服務器EADEADEADEADS5100-EISecBladeFW×2SecBladeIPS×2SecBladeLBS9500SecBladeFWS9500SecBladeFW中電飛華網通S7506E東電新大樓外網服務器SecCenterS5100-EIIMC湖北電力公司總部信息外網湖北電力公司總部信息外網邏輯隔離方案介紹

邏輯隔離方案介紹園區網虛擬化關鍵技術二層VLAN：二層隔離技術，在三層終結。不易擴展，STP維護復雜、難以管理和定位，適合小型網絡分布式ACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴展性、管理性差，適合某些特定場合VRF/MPLSVPN：三層隔離技術，業務隔離性好，每個VPN獨立轉發表，擴展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復雜園區的應用推薦組合：VRF+MPLSVPN。二三層隔離的融合，安全性高，避免大量的ACL配置問題，直觀、易維護、易擴展園區網虛擬化關鍵技術二層VLAN：二層隔離技術，在三層終結。架構分解用戶端點準入控制對用戶的安全認證和權限管理，使用H3CEAD解決方案（支持portal、802.1X、VPN等認證方式），在接入邊緣設備作認證可以與無線終端與AP聯動，對無線接入用戶進行認證根據用戶認證的結果動態下發VPN歸屬，控制訪問權限業務邏輯隔離共用物理網絡，邏輯隔離使用VRF+MPLSVPN技術用戶通過CE\MCE設備接入，實現端到端的VPN隔離核心用MPLS標簽轉發，控制PE設備VPN路由引入，建立專用的VPN轉發通道，為數據中心提供PE或MCE接口，兼容數據中心內部業務邏輯隔離和物理隔離支持端到端的QoS架構分解用戶端點準入控制架構分解（續）集中服務管理為園區內用戶提供統一的Internet\WAN出口，進行集中監控、管理網絡管理使用H3CiMC智能管理中心，內嵌的MPLSVPNManager支持對MPLSVPN的專業管理各種管理\策略服務器、應用服務器、存儲設備等統一部署在數據中心，為全網提供統一的應用和策略服務數據中心邏輯上分成三個區域：內部專有數據區：僅為單部門或業務提供服務內部共享數據區：為網絡內部全部或部分用戶提供共享服務外部服務區：為通過Internet接入的用戶提供應用服務，如網上銀行、門戶網站等架構分解（續）集中服務管理接入控制—訪問權限動態下發PEvpn1VPN2vpn3VPN4用戶名：密碼下發VLANCAMS：VLAN對應VPNVLAN11VPN1VLAN22VPN2VLAN33VPN3VLAN44VPN4PE：vlan11vlan22vlan33vlan44用戶名1：密碼VLAN11用戶名2：密碼VLAN22用戶名3：密碼VLAN33用戶名4：密碼VLAN44接入控制—訪問權限動態下發PEvpn1VPN2vpn3VPN通道隔離—端到端的業務邏輯隔離核心交換層網管中心匯聚層接入層數據中心FITAPFITAPMCE/CEPEEAD認證MPLSVPN通道企業/園區網PEPEPEMCE/CEPPPPPEOSPFospf/靜態路由/RIPMPLSL3VPN提供端到端的業務隔離能力，并且通過RT屬性控制VPN間業務互訪通道隔離—端到端的業務邏輯隔離核心交換層網管中心匯聚層接入層方案討論—靈活業務訪問模式園區網絡1.用戶A可訪問Internet，不能訪問辦公網絡2.用戶A可訪問辦公網絡，不能訪問Internet3.用戶B可訪問辦公網絡，A和B訪問權限不同用戶A用戶B用戶C用戶D辦公網絡Internet用戶A、B、C、D分屬不同的部門，訪問權限不同用戶多次獲取不同的訪問權限，滿足Internet、辦公上網及隔離的要求不同訪問權限的用戶安全隔離，以免資源被非法訪問CAMS方案討論—靈活業務訪問模式園區網絡1.用戶A可訪問Inter實現方式一：GuestVlan+EAD園區網絡1.用戶默認屬于GuestVlan，無須認證2.Internet與GuestVlan能夠互通辦公網絡GVLAN10GVLAN20GVLAN30GVLAN40Internet用戶A用戶B用戶C用戶D實現方式一：GuestVlan+EAD園區網絡1.用戶默認實現方式一：GuestVlan+EAD園區網絡2.動態VLAN與辦公網絡互通辦公網絡Internet1.用戶啟動EAD認證，動態下發VLAN和ACL用戶A用戶B用戶C用戶DDVLAN110DVLAN120DVLAN130DVLAN140實現方式一：GuestVlan+EAD園區網絡2.動態VL實現方式二：EAD多服務認證園區網絡1.用戶分配多個域后綴@Internet，@shuiwu等，對應多個服務辦公網絡DVLAN10DVLAN20DVLAN30DVLAN140Internet用戶A用戶B用戶C用戶D2.用戶使用