收藏
下载资源

【8A文】VMWare-NSX网络及安全虚拟化解决方案

上传人:Jerm****014 文档编号:71084563 上传时间:2019-01-19 格式:PPTX 页数:56 大小:13.31MB
返回 下载 相关 举报
【8A文】VMWare-NSX网络及安全虚拟化解决方案_第1页
第1页 / 共56页
【8A文】VMWare-NSX网络及安全虚拟化解决方案_第2页
第2页 / 共56页
【8A文】VMWare-NSX网络及安全虚拟化解决方案_第3页
第3页 / 共56页
【8A文】VMWare-NSX网络及安全虚拟化解决方案_第4页
第4页 / 共56页
【8A文】VMWare-NSX网络及安全虚拟化解决方案_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《【8A文】VMWare-NSX网络及安全虚拟化解决方案》由会员分享,可在线阅读,更多相关《【8A文】VMWare-NSX网络及安全虚拟化解决方案(56页珍藏版)》请在金锄头文库上搜索。

1、VMware NSX:网络及安全虚拟化解决方案,1,2,主题内容,网络及安全为什么要虚拟化?,3,网络成为通往云计算之路的壁垒,物理网络,VLANs 不可扩展,缺少自动化程序化控制,单个人工节点管理,不宜满足多种业务的SLAs,网络分割限制资源池化与共享,网络状态难以统一监控,烟囱式扩展方式,功能被硬件捆绑,工作负载不能灵活部署、均衡资源,有限的多租户支持,租户自己无法控制地址管理,限制了虚机迁移范围,虚拟网络与物理网络协调困难,L3-L7 集中式转发性能瓶颈,虚拟机网络计费,人工操作拖延迁移与灾备恢复时间,目前网络与安全架构向云计算转型时遇到的挑战,vSphere,VLANs, ACLs,

2、防火墙, IDS/IPS, 监控 服务器防病毒, 虚拟机安全 网络设备及架构需全部升级来适应虚拟化环境: FabricPath/TRILL, and VM-tracing etc. 需要新的成百上千万的投资! AAA、应用、数据保护、合规,DMZ 防火墙, NAT, DDI Site and user VPNs 负载均衡器, WAF 专有硬件,桌面防病毒 数据丢失保护, 白名单,配置太复杂, 烟囱式扩展, 大量人工操作, 集中式处理带来性能瓶颈, 网络资源限制!,挑战,效率,一、网络割裂 导致资源池利用率及灵活性降低,6,二、网络架构复杂,维护工作量大,7,定义DV Port Groups D

3、efined based on traffic type Teaming Resiliency, Capacity VLAN Traffic Isolation NIOC Shares B/W mgmt End-End QoS - 802.1p 物理网卡功能分区 Aggregate multiple pNics 监控与排障 NetFlow Understand traffic Port Mirroring Troubleshooting 物理网络设计 802.1Q, STP, Ethernet Channel Blade I/O Module Design VLAN load balancin

4、g, L3 GW redundancy fast convergence Multi-Chassis LACP, L2MP QoS, Security,subscription ratio,难以保证网络配置的一致性!,三、安全域的边界防护难以运维,CONFIDENTIAL,8,Data Center Perimeter,Data Center Perimeter,在数据中心内部 很少或没有 东西向安全控制,Internet,Internet,安全控制不足,基于IP的安全策略 难以运维,四、已有业务变更响应缓慢,容易导致误操作,9,业务开发人员: 我已经调整好一套两层的Web应用系统,要尽快上线

5、 网络管理员: 我应该如何调整配置网络拓扑?NAT策略? 安全管理员:我应该如何调整防火墙安全策略?负载分担策略?,Internet,Web,App,五、对新业务部署上线支持缓慢,10,服务部署缓慢 可扩展性受限 移动性受限 依赖于硬件 运维管理复杂,虚拟化和云计算环境,使得数据中心的业务流量模型发生改变,11,六、核心链路和节点带宽被大量发夹流量消耗,12,70%,计算虚拟抽象层,七、难以实现网络及安全的L2-L7层自动化,物理基础架构,管理平面分散 大部分没有开放API接口 难以实现端到端的网络自动化,虚拟数据中心,企业建立云计算数据中心该如何应对以上挑战?,网络割裂 导致资源池利用率及灵

6、活性降低 网络架构复杂,割接工作量大 安全域的边界防护难以运维 已有业务变更响应缓慢,容易导致误操作 对新业务部署上线支持缓慢 核心链路和节点带宽被大量发夹流量消耗 难以实现网络及安全的L2-L7层自动化,CONFIDENTIAL,14,NSX网络及安全虚拟化平台主要功能,15,VMware NSX网络与安全虚拟化平台,基于NSX的网络与安全虚拟化,像管理VM一样 管理网络与安全,硬件,软件,二层交换,IT物理基础架构,软件定义的数据中心,计算-vSphere,网络-NSX,存储-VSAN,云计算管理平台vRealize Suite 7,云计算业务 (vRealize Business for

7、 Cloud),云计算运营管理 (vRealize Operations 和 vRealize Log Insight),云计算自动化 (vRealize Automation),基础架构虚拟化,计算硬件,网络硬件,存储硬件,NSX是VMware SDDC(软件定义的数据中心)的重要组成部分,终端用户计算,应用,传统应用,新式云应用,vCloud Automation Center IaaS PaaS DaaS,Hyper- visors,CMS,IaaS PaaS DaaS,NSX网络与安全虚拟化总体架构,NSX 支持广阔的网络虚拟化生态系统,NSX API,合作 伙伴 扩展,Cloud M

8、gmt Platforms,S6000 Gateway,VLAN1 10.x.x.x,VLAN2 172.16.x.x,VLAN2 192.168.x.x,Virtual Network(NonBoardcast),Virtual Layer 2 88.33.x.x (whatever),NSX主要功能模块详解一: Layer2 逻辑交换机-VxLAN,利用VXLAN解决数据中心网络存在的三大问题: Any application any where 大二层架构下存在的:MAC地址表、VLAN和二层Flooding三大问题 数据复制支持unicast、hybrid和multicast模式,解决

9、目前vxlan没有control plane带来的flooding问题,NSX主要功能模块详解二:分布式逻辑路由器DLR,集中部署管理、分布式处理,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,NSX主要功能模块详解三:分布式逻辑防火墙 DFW,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,软件定义的虚拟化网络-分布式防火墙DFW 实现微分段 Micro-Segmentation和SpoofGuard,NSX主要功能模块详解四:NSX Edge:集成化多功能的虚拟网关,VM,VM,VM,VM,VM,虚

10、拟环境VxLAN,物理环境 VLAN,NSX典型的部署案例: 快速部署网络与安全服务 Edge作为南北向网关是NSX关键组成部分,NSX主要功能模块详解五: 可视化流量监控分析 Flow Monitoring,By default, flow monitoring is disabled To enable flow monitoring, click the Enable button Flows that shouldnt be collected can be added to the exclusion lists in the Exclusion Settings of the Co

11、nfiguration tab,27 | 35,NSX和VMware vRealize Operations集成实现网络虚拟化的全面可视化管理,NSX网络及安全虚拟化方案典型应用场景,29,NSX的主要使用情境及其提供给客户的核心价值,30,Multi-tenant Infrastructure,Developer Cloud,DMZ Anywhere,Secure End User,Metro Pooling,Hybrid Cloud Networking,快速部署完整信息系统,由数周到数分钟,以低廉的成本取得最完善的数据中心东西向防护,藉由简化的逻辑网络大幅减少RTO (Recovery

12、Time Objective),核心 价值,其他 相关 情境,最近发生的攻击事件:,31,绝大多数攻击都有一个通性: 攻击包可以在数据中心内部任意通行,而由于投资成本太高而且运维管理十分复杂,以至于数据中心 Micro-segmentation 难以实现,而NSX有效的解决了这个问题,NSX的主要使用情境:安全微分段(Micro Segmentation),NSX Micro-segmentation的主要功能,分区,隔离,高级服务,Production,Test,Dev Network,相关安全组间依据安全策略通信,可以集成第三方的L4 L7层安全解决方案,不相关网络完全隔离,DB,App,

13、Web,DB,App,Web,32,公共通信网,E,A,3,e,l,l,s,VDI,SEC,公共服务区,SEC,市级机关,市级机关,省级机关,V D I,部 门 内 部 应 用,部 门 对 外 应 用,部 门 内 部 应 用,安全管理监控区,安全管理监控区,公共服务区,E-mail www App.,入侵检测,入侵检测,Internet,Internet,资 源 池 与 微 分 段 方 案,34,Micro-segmentation: 实现虚拟化数据中心内部不同应用的安全防护,Application segmentation,按部门、区域划分隔离 按应用边界划分 按应用层划分 支持安全组内部成

14、员之间的逻辑隔离 以虚机为单位隔离,按需部署逻辑隔离,支持现有网络与应用 灵活方便的安全对象管理 安全管控与应用一致性部署,好处,控制一个网络中各组之间的流量 基于逻辑分组而不是物理拓扑 保护流量安全 灵活地创建网段 甚至在同一虚拟局域网上的不同系统之间(这在传统网络中极难做到),桌面虚拟化给您的数据中心带来更大的受攻击面,用户行为,零日威胁,不安全的 Internet 网站,桌面到桌面的黑客攻击,桌面到服务器的黑客攻击,向东 向西,虚拟桌面,数据 中心,VDI 无法解决的问题:,桌面虚拟化带来了新的安全注意事项: 暴露了数据中心内的巨大攻击面 用户和基础架构间具有多个“东西向”流,保密资料,

15、35,NSX微分段功能加强了Horizon VDI基础架构安全,为虚拟桌面和应用保驾护航,通过 NSX 网络虚拟化可以灵活创建网络资源池和逻辑隔离区,支持动态伸缩管理。,微分段保护虚拟桌面和应用: 桌面虚机间访问控制 桌面到后台应用访问控制 桌面防病毒,NSX 的Edge服务网关也可以用于支持VDI的基础架构: Edge Firewall & LB。,外部开发人员桌面池,Internal Developer Network,External Developer Network,Horizon Infra,CONFIDENTIAL,36,使用NSX保护 VDI 环境中的东西向流量,侧重于合规性和风险缓解的组织将实施 安全区以保护数据中心内的东西向流量,难以实施 需要大量的物理基础架构 管理复杂,集中式虚拟 桌面,保密资料,37,利用NSX提升虚拟桌面的网络安全,为每个桌面构建“一体式网络” 消除网络间的串扰 最小的受攻击面 防范威胁扩散 集中定义策略,并在虚拟机创建时即自动添加到其中 永久跟随桌面,无论它位于何处,NSX 微分段: 应对VDI环境的东西向挑战,保密资料,39,虚拟网络连接:快速、简单、可

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 总结/计划/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号