NSX软件定义网络业务案例白皮书

1、借助 VMware NSX 实现网络虚拟化和安全性改变传统网络连接的现状，释放软件定义的数据中心的全部价值。业务案例白皮书借助 VMware NSX 实现网络虚拟化和安全性白皮书 / PAGE 16 目录 HYPERLINK l _bookmark0 内容提要4 HYPERLINK l _bookmark0 软件定义的数据中心的高价值 IT 成果4 HYPERLINK l _bookmark0 情况概述4 HYPERLINK l _bookmark0 主要趋势：IT 越来越像云服务提供商4 HYPERLINK l _bookmark1 软件定义的数据中心5 HYPERLINK l _bookm

2、ark1 混合云计算5 HYPERLINK l _bookmark2 网络虚拟化6 HYPERLINK l _bookmark2 开放网络连接6 HYPERLINK l _bookmark2 IT 挑战：在节省成本的同时，提高速度、敏捷性和安全性6 HYPERLINK l _bookmark2 高级持续性威胁6 HYPERLINK l _bookmark3 硬件限制和约束7 HYPERLINK l _bookmark3 容易出错的人工配置7 HYPERLINK l _bookmark4 VMware 解决方案8 HYPERLINK l _bookmark4 NSX：面向 SDDC 的网络虚拟化

3、和安全性8 HYPERLINK l _bookmark4 突破性用例8 HYPERLINK l _bookmark4 微分段8 HYPERLINK l _bookmark5 灾难恢复9 HYPERLINK l _bookmark5 自助研发云9 HYPERLINK l _bookmark5 云计算应用程序可移植性和数据中心迁移9 HYPERLINK l _bookmark6 IT 自动化和编排10 HYPERLINK l _bookmark6 基础架构优化和更新10 HYPERLINK l _bookmark7 业务价值11 HYPERLINK l _bookmark7 功能优势：快速、敏捷、

4、安全、可靠11 HYPERLINK l _bookmark7 最大限度降低数据泄露的风险和影响11 HYPERLINK l _bookmark7 提高 IT 服务交付和上市速度11 HYPERLINK l _bookmark7 简化网络流量11 HYPERLINK l _bookmark7 提高服务可用性11 HYPERLINK l _bookmark7 改善协商和购买杠杆效应11 HYPERLINK l _bookmark8 优化网络工程师的工作12 HYPERLINK l _bookmark8 经济效益：节省大量资金开销/运维成本12 HYPERLINK l _bookmark8 节省微分

5、段资金开销12 HYPERLINK l _bookmark9 IT 自动化降低运维成本13 HYPERLINK l _bookmark10 节省服务器资产利用率资金开销14 HYPERLINK l _bookmark11 高性价比带来资金开销节省15 HYPERLINK l _bookmark12 延长的硬件生命周期带来资金开销节省16 HYPERLINK l _bookmark13 结论17 HYPERLINK l _bookmark13 变革优势和无中断部署17 HYPERLINK l _bookmark13 开始体验17 HYPERLINK l _bookmark13 参考17内容提要软

6、件定义的数据中心的高价值 IT 成果此 VMware 业务案例主要面向业务和 IT 管理人员，以及 IT 运维、IT 基础架构和 IT 安全专家。您将了解领先企业如何通过网络虚拟化和安全性让软件定义的数据中心(SDDC) 发挥前所未有的价值。领先企业已认识到，SDDC 是实现现代化IT 的关键所在。他们正在使用SDDC 推动创新，加速业务发展，建立竞争优势，并降低总体IT 成本。目前，他们使用VMware 产品作为其SDDC 平台和方法的重要支柱。这些企业在为其SDDC 提供支持的统一平台上，除了使用VMware 存储和服务器虚拟化，还同时使用了VMware NSXTM 网络虚拟化和安全性。借

7、助NSX，企业实现了无与伦比的速度、敏捷性和安全性，同时大大改善了经济性、灵活性和可选择性。下面是企业使用NSX 的一些主要用例以及他们取得的IT 成果：微分段 数据中心内东西方向流量的防火墙控制和安全性。最大限度降低数据泄露的风险和影响。节省约 68%的资金开销。IT 自动化和编排 减少网络置备和管理过程中的人工操作并缩短周期时间。加快IT 服务交付并缩短新应用程序上市时间。节省 56-86% 的运维成本。IT 优化和更新 促进实现现代化的分支/主干(leaf/spine) 网络结构、裸机交换机、开放网络连接和其他数据中心优化的催化剂。节省 66-88% 的资金开销。灾难恢复 云级别服务可用

8、性。降低计划外停机的风险和影响。发生一次突发事件，即可节省 690,000 到几千万美元的运维成本。情况概述主要趋势：IT 越来越像云服务提供商企业希望 IT 能够像 Amazon、Facebook 和 Google 等一流云服务提供商那样实现卓越的速度、敏捷性和安全性。大多数企业的数据中心无论是大小还是规模都远远不及这些网络巨头，但是他们同样期望实现相似的速度、敏捷性和经济性。Amazon、Facebook 和Google 是通过在基础架构中设计抽象层来实现这些优势的。他们将网络连接元素和服务从硬件中解耦出来并融入到软件应用程序中。从历史角度来看，抽象层已成为计算机科学和软件工程的基本推动因

9、素之一。每次添加一个重大的抽象层时， 都会加快其上下的创新速度。例如，看看操作系统、编程语言、API 和服务器虚拟化给信息技术带来了哪些改变。通过服务器虚拟化，服务器虚拟化管理程序（抽象层）可在软件中重现x86 物理服务器的各种属性（例如，CPU、RAM、磁盘、网卡）。网络虚拟化可视作与网络虚拟化管理程序等效的功能。NSX 可在软件中重现第 2 层到第 7 层的网络服务（例如，交换、路由、防火墙、负载平衡、VPN、访问控制和 QoS）。与置备虚拟机一样， 只需短短数秒，企业即可使用NSX 置备独一无二的独立虚拟网络。软件定义的数据中心在SDDC 体系结构中，包括计算、存储和网络连接在内的所有基

10、础架构都实现了虚拟化、池化以及按需交付。数据中心的运维和控制实现了高度自动化和标准化。业务线(LOB)、应用程序和Web 团队可通过自助服务立即部署基础架构。最近的一项研究表明，SDDC 每年可以减少 56% 的置备和管理运维开销。1 为新应用程序置备生产网络所需的日历时间（包括执行人工任务的时间和周期时间）从 3 到 4 周缩短到了几分钟。此外，SDDC 还通过更强大的体系功能、关键创新以及更快的上市速度为企业带来价值。混合云计算越来越多的企业采用混合云以更低的服务成本加速 IT 服务交付。最近的一项研究表明，82% 的企业具有混合云策略。2 混合云可以跨越内部私有云和外部公有云或私有云。企

11、业可以将混合云用于数据存储、自动调整和云爆发、高可用性和灾难恢复、数据驻留法规遵从性、开发和测试以及其他使用情形。传统数据中心受到供应商特定硬件和物理拓扑的限制。过去，这些限制使IT 难以实施混合云。现在，无论企业使用的是哪种硬件，都可以使用 NSX 桥接并构建混合云。借助 NSX，他们无需担忧网络互操作性或服务提供商约束。生成的混合云可以提供无与伦比的业务敏捷性、极大地简化运维操作并降低成本。网络虚拟化我们最近经历了一次结构性变革，这一变革改变了整个网络连接。企业在速度、敏捷性和安全性方面取得了重大进步。同时，经济性、灵活性和可选择性也得到了显著改善。与虚拟机一样，可以通过编程方式创建、移

12、动、复制、删除和还原虚拟网络，这一切都无需重新配置基础物理硬件或拓扑。NSX 可在虚拟化层内创建完整的网络构造。虚拟网络可以包含L2 交换、L3 路由、负载平衡、防火墙、VPN、ACL、QoS 等。就像x86 服务器可以作为计算容量池一样，物理网络也可以作为按需使用和调整用途的传输容量池。开放网络连接IT 组织可以充分利用开放网络连接带来的显著性价比优势。网络硬件和软件的解聚推动了此次转变。企业正使用商业裸机交换机和开源Linux 网络操作系统取代昂贵的专用装置。将网络服务抽象到虚拟化层同样促进了裸机交换机的应用。除了节省大量资金开销，企业还使用开放网络连接节省了运维成本。围绕开放操作系统存在

13、各种各样的接入技术、工具和社区，因此，自动化、配置、监控、故障排除网络以及向网络中添加新功能变得更容易，而且成本也更低。IT 挑战：在节省成本的同时，提高速度、敏捷性和安全性IT 组织面临着彼此对立的两方面挑战：企业希望少花钱，多办事。一方面，企业希望IT 适应不断变化的市场需求和技术使用模式、推动生产力和业务增长，并改善服务质量；另一方面，企业又希望IT 能够整合资源，降低成本。与当初解决服务器虚拟化难题一样，IT 组织使用网络虚拟化成功化解了上述两方面的压力。Google、Facebook 和 Amazon 等云服务提供商证明，应用程序和服务可以按需置备，并且可以对业务产生立竿见影的效果。

14、企业领导层一直要求自己的IT 组织也像这些大型云服务提供商那样运维和履行职责。他们希望企业能够实现相同级别的速度和敏捷性。但是，IT 组织做不到像云服务提供商那样思考和行动，导致企业高管逐渐对他们失去了信心。结果是，企业有时会绕过 IT 组织访问一些必要的基础架构、应用程序和服务。IT 规避导致了不必要的分裂，最终降低了其余企业IT 服务的整体价值。高级持续性威胁虽然 Target、Anthem、Home Depot、Sony 等公司最近遭遇的攻击各不相同，但它们有一个共同的特性。攻击一旦进入数据中心边界，就能在各个服务器之间横向扩展，随后就能从这些服务器收集敏感数据并泄露到外部。这些案例突出

15、了现代数据中心存在的一个致命弱点：安全控制有限，不足以阻止高级持续性威胁(APT) 在边界内扩散传播。边界防火墙必不可少，能够有效阻止 APT。但是，最近的攻击表明，威胁仍可通过合法接入点进入。一旦进入，威胁将在服务器之间成倍扩散，增大损坏的可能性。该问题一直无法解决，因为面临着操作上的难题：所需的物理防火墙数量过多，规则列表过于复杂，实在是任务繁重，成本高昂。最近的一项研究表明，2013 年共有 63,437 起已确认的安全突发事件，以及 1,367 起已确认的敏感数据泄露案例。3 在美国，一个数据泄露突发事件的平均总成本为 585 万美元。4 全球最低平均成本也达到了 137 万美元（印度

16、）。所有其他国家或地区介于这两个数值之间。正如我们从广泛报道的数据泄露事件中所了解到的一样，成本非常高昂。以 Sony Pictures Entertainment 为例， 该公司近几年出现了两次数据泄露事件。一次发生在 2011 年 6 月，另一次发生在 2014 年 11 月。5 2011 年的数据泄露事件给Sony Pictures 造成了 1.71 亿美元的成本损失。根据我们了解到的信息，分析师认为，2014 年数据泄露事件的成本损失接近 1 亿美元。6 2014 年对Sony Pictures 的攻击一度导致公司的整个网络关闭数日，这又演变成了一次成本极其高昂的灾难恢复事件。研究表明

17、，涉及 10,000 条以上记录的材料数据的泄露可能性约为22%。成本可能超过 1 亿美元，这一风险非常有必要防止。硬件限制和约束传统网络基础架构限制了IT 组织在日益动态化、数字化环境中的适应能力和创新能力。所有工作负载都与物理硬件和拓扑拴在了一起，虚拟机中的虚拟化工作负载也不例外，这限制了其移动性。针对网络连接的封闭黑盒方法虽然可以提供自定义的操作系统、ASIC、CLI 和管理，但进一步将企业禁锢在了现有硬件上。传统网络硬件严重减缓了置备过程，并限制了工作负载的放置和可移植性。一项研究发现，90% 的公司因其网络复杂性而处于不利地位，进而对可在何时、何处部署哪些应用程序和服务造成影响。IT

18、 组织平均在 12 个月的周期内会对企业网络进行十次更改，每次更改都需要一个维护时段。维护时段的平均等待时间为每次 27 天。因此，企业每年需要花 270 天（也就是 9 个月）等待IT 交付新服务或改进的服务。规模更大的企业所需的更改会明显更多，维护时段的等待时间也会更长。在受访的公司中，45% 的公司表示员工工作效率受到不利影响，42% 的公司表示业务分析受到负面影响。7容易出错的人工配置使用物理网络，网络管理员每天不得不执行大量重复的人工任务。例如，如果某个业务线或部门请求部署一个全新的应用程序和服务，那么管理员将需要创建 VLAN、跨交换机和上行链路映射 VLAN、创建端口组、更新服务

19、配置文件以及执行大量其他任务。管理员通常会借助CLI 进行配置，但CLI 并不是那么灵活。人工配置网络基础架构很容易出错。实际上，停机的一个主要原因就是人工错误。许多研究一致发现，占比最高的网络突发事件（20%8 到 32%9）是由于人工/配置错误导致的。一个错误可能会导致一个重大连接问题或一次影响业务的停机。数据中心计划外停机所导致的财务影响是显著的。据统计报告显示，突发事件平均时长为86 分钟，每分钟成本为 7,900 美元。每次突发事件的平均总成本约为 690,200 美元。10在我们接触的范围里，82% 的公司都经历了因IT 人员配置错误引起的网络停机。其中，94% 的受访公司遭受了某

20、种类型的业务损失。80% 遭受收入损失，49% 遭受员工工作效率损失。11VMware 解决方案NSX：面向 SDDC 的网络虚拟化和安全性领先企业使用VMware NSX 作为其SDDC 的重要支柱。这些组织将NSX 视作可解决众多IT 挑战和业务计划的战略平台。NSX 为网络提供了一种类似于虚拟机的运行模式。与服务器虚拟机一样，网络服务独立于基础硬件和拓扑，在软件中以编程方式配置和管理。NSX 使企业可以摆脱传统网络基础架构的束缚。只需短短数秒，NSX 即可创建并置备具有一致配置和安全性的复杂多层网络。包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性在内的所有网络连接元

21、素和服务都在虚拟化管理程序内部。虚拟网络使用基础物理网络作为简单的IP 转发底板。您可以想想传统网络机箱，底板插在插槽中，线路卡直接连接到底板。没有人会对机箱底板进行配置更改；它只用于在线路卡之间转发数据包。在虚拟化网络中，虚拟化管理程序就类似于线路卡，而物理网络类似于底板。突破性用例企业使用 NSX 可以提供许多新的用例和高价值 IT 成果，这在以前是无法通过传统网络基础架构实现的。此外，IT 执行现有操作指令的速度得到了极大提升，而成本却降低了。通常，企业只需一个用例，即可判定NSX 的成本绝对合理。同时，他们会建立一个战略平台，以实现IT 自动化并逐步推动几个其他用例。下面将讨论VMwa

22、re 客户当前在生产部署中的几个主要用例。微分段目前，NSX 平台的主要用例就是微分段，微分段显著改变了数据中心边界内的网络安全性。如果威胁进入了网络内部，NSX 可以遏制并阻止它横向扩散至其他服务器，这大大缩小了威胁的攻击面，从而降低了业务风险。客户使用微分段解决了一直未能通过传统防火墙从操作上真正解决的一个重大难题，而且成本仅为原来的三分之一左右。微分段可以针对虚拟化网络中的工作负载实施控制和实现可见性。安全性与每个工作负载紧密关联。在每个虚拟机的虚拟网卡级别都会强制执行防火墙规则。实际上，这将为每个工作负载创建一个单独的“微信任区域”。NSX 可以自动根据虚拟化的相关环境（而不仅仅是物理

23、拓扑）分配相应的安全组和策略。它还可以根据不断变化的环境（包括诸如恶意软件或漏洞评估解决方案这类第三方环境）动态改变安全组和策略。NSX 采用一些全新的方式来将虚拟机分组和应用安全策略。例如，它可以根据应用程序类型、网络构造和/或基础架构拓扑来确保工作负载的安全。安全策略不再局限于单个分布式虚拟交换机或端口组。集中编排安全策略，改善了规则散乱的情况并确保准确一致地应用安全策略。此外，置备、移动或删除某个虚拟机后，也会相应地添加、移动或删除其防火墙规则。这些更改自动进行，无需人工干预。这种新的自动化水平显著降低了管理整个工作负载安全策略的操作复杂性和费用。借助 NSX，可以通过内核虚拟化管理程序

24、提供微分段。每个虚拟化管理程序可以提供 20 Gbps 的防火墙吞吐量。防火墙的分布式特性铸就了可快速扩展的体系结构。当数据中心内添加了额外的主机时，防火墙容量也会自动增加。通过与Palo Alto Networks、Intel Security、Trend Micro 和数十个其他VMware NSX 合作伙伴进行API 级集成， 可以实现高级安全性功能，如威胁防御和恶意软件保护。灾难恢复企业可以在现有灾难恢复(DR) 解决方案的基础上使用NSX 作为一种补充措施。NSX 可帮助企业将恢复时间目标(RTO) 缩短 80% 以上，最大程度减少停机时间并降低业务成本。企业使用NSX 复制整个网络

25、及其安全环境。他们定期生成网络构造及其应用程序和服务的快照，并在恢复站点中维护快照。IT 无需更改IP 地址，因为虚拟网络构造并不受基础硬件和拓扑的约束。灾难恢复站点等同于主站点，没有任何功能或性能上的取舍。副本位于待机模式下的恢复站点上，一旦发生灾难，通过按钮即可激活。对源网络所做的任何更改都会自动复制到恢复站点上的副本中。自助研发云企业可以选择使用NSX 做为基础平台来实施自助研发云和其他基础架构即服务(IaaS) 计划。借助NSX，置备网络基础架构不再是影响业务发展速度和上市时间的瓶颈。使用NSX，可以在同一物理基础架构上置备数千个隔离网络，以分别用于开发、测试和转储环境。NSX 消除了

26、在获取、安装和配置传统网络基础架构时必不可少的一些手动任务和周期时间。它采用同步方式来部署网络及其工作负载，将其做为一个已经过全面审核的自助事务。应用程序可在开发、测试、转储和生产环境中快速迁移，且不会更改其IP 地址。云计算应用程序可移植性和数据中心迁移NSX 使应用程序和服务摆脱了物理网络基础架构的束缚，使网络变得像虚拟机一样可移植。借助NSX，可以在连接到虚拟机的同一软件交换机中对网络进行虚拟化。迁移工作负载时（如使用 VMware vSphere vMotion）， 网络和安全服务会自动随其一起迁移。企业可以使用NSX 将应用程序从一台主机无缝迁移到另一台主机，或从一个数据中心无缝迁移

27、到另一个数据中心。实际用例包括迁移应用程序以便利用其他位置的容量、遵从数据驻留法规、迁移到新数据中心或执行物理基础架构的维护/更新。过去，在迁移应用程序时，物理网络拓扑和地址空间需要IT 更改IP 地址。某些情况下，IP 地址被硬编码在了应用程序中，这就需要更改代码并执行回归测试，从而导致更高昂的成本。借助NSX，企业可以自由地快速迁移应用程序，而无需更改其IP 地址。这些便利举措可显著降低运维开销并提高IT 敏捷性及响应能力。IT 自动化和编排NSX 为网络提供了一种类似于虚拟机的运行模式。借助NSX，IT 大大简化了网络服务的置备过程，置备时间从数周缩减到了数秒。他们消除了在获取、安装和配

28、置传统网络硬件时必不可少的许多人工操作和周期时间。NSX 具有强大的编排功能，能够通过编程方式随虚拟机同步分发网络服务。对于包含网络拓扑和服务的预定义模板，企业可以使用NSX 实现标准化的模板并对其进行维护。例如，网络工程师创建了一个适用于多层应用程序的模板以用于开发。随后，采用自助服务方式，只需数秒，该环境就可以置备给另一个应用程序开发人员。这同样适用于跨多个应用程序和服务且具有一致的配置和安全性的 QA、转储和生产环境。NSX 的自动化功能可降低运维费用、缩短上市时间以及提高IT 服务交付速度。此外，NSX 通过整合所有虚拟与物理网络连接的配置状态和检测数据，大大简化了操作。管理员能够全面

29、掌握整个网络基础架构操作层面的信息。这可以简化流量管理、监控、故障排除和修复等一系列事务。基础架构优化和更新企业可以使用NSX 无中断地桥接数据中心，让一切变得简单。NSX 可与传统的多层树类型体系结构结合使用， 且适用于新一代体系结构。最终，您就可以拥有一个具有相同逻辑网络、安全性和管理模型的通用平台。企业可以使用NSX 实现各种优化和整合方案。例如，兼并和收购后整合信息系统、在多租户云的各租户之间最大限度实现硬件共享、访问具有未使用的计算容量的孤岛。如果依靠现有的网络供应商，企业恐怕仍然不得不每隔几年就淘汰一次装置并替换为日益昂贵的硬件。幸运的是，这种途径将不再是您唯一的选择。NSX 可以

30、提供更具吸引力的经济效益和选择。现在，对于何时以及如何更新网络基础架构，企业拥有充分的灵活性。借助NSX，只需通过现有物理网络基础架构即可部署 SDDC。业务价值功能优势：快速、敏捷、安全、可靠最大限度降低数据泄露的风险和影响领先企业使用NSX 支持的微分段来最大限度降低数据泄露造成的攻击面和成本。他们利用微分段来隔离每个工作负载以及各自的安全策略，限制威胁并阻止其横向移动。启用微分段后，威胁将无法渗入其他应用程序，也不会导致数据外泄。微分段有助于避免或最大限度降低数据泄露带来的成本，包括聘请取证专家和开展内部调查相关的成本、因客户变更或获取率降低而导致客户流失所带来的成本以及提供免费的信用或

31、身份监控订阅、客户通信和外包热线支持等许多其他成本。如前所述，仅仅是一次数据泄露事件就可能会招致数百万甚至上亿美元的成本。提高 IT 服务交付和上市速度正如VMware 服务器虚拟化改变了计算的操作模式 VMware NSX 改变了网络连接。企业可以使用NSX 为网络置备实现与虚拟机计算相同的敏捷性、速度和可控性。在VMware 的帮助下，只需数秒，企业就可以为云原生应用程序或传统应用程序置备全面的计算、存储和网络服务。借助NSX，应用程序团队能够以完全自助方式进行置备。获取硬件和设置网络时无需再等待数天或数周之久。此外，NSX 的自动化和编排功能可消除出现手动配置错误的风险。NSX 能够显著

32、缩短将应用程序和服务投放到市场所需的工程时间，加快收益实现。这一新的速度和敏捷性水平可推动快速创新并带来竞争优势。简化网络流量在数据中心内部，现代应用程序生成的服务器到服务器流量不断增加。客户可以使用 NSX 来降低超额预订的核心上东西方向的流量负载。在虚拟网络中，虚拟机相互之间可通过 vSwitch 或聚合结构进行通信。这就可以显著降低东西方向的流量跃点，并能避免复杂流量模式所带来的U 字型流动(hair-pinning) 和核心链路超额预定。借助NSX，企业就不必投入大量硬件成本来构建过多的核心容量。提高服务可用性云级别数据中心极少出现中断故障。这并非因为这些数据中心具有价格昂贵的冗余高可

33、用性。真正原因在于， 它们在网络的任意点之间为架构启用了等价多路径(ECMP) 路由，而非分层硬件群集的集合。简化的分支-主干架构使各个链路或设备变得无关紧要。网络可以同时承受多个设备故障，而不会导致中断。企业借助NSX 实现这些体系结构，可获得与云级服务提供商（如Facebook、Google 和Amazon）相同的高可用性。改善协商和购买杠杆效应许多NSX 企业客户仍在使用现有的一些网络硬件。但在更新这些硬件时，会牵扯协商和购买博弈。使用NSX， 可以在虚拟化层内部实现价值更高的网络功能和特性。物理基础架构已商品化。与现有供应商商讨网络硬件更新时，企业可以基于这种市场动态压低价格。优化网络

34、工程师的工作正如虚拟化改变和简化了服务器管理员的工作那样，现在，虚拟化也正在同样改变和简化网络工程师的工作。网络工程师非常亲睐NSX，因为他们可以省下更多时间来重点研究可提高业务利润的战略方案。已部署 NSX 的团队现在可以将更多时间用于网络设计层面的重要注意事项。网络管理员正在设计新一代网络结构和实施软件定义的数据中心，而非进行普通的策略变更管理。他们将重点关注提高网络弹性、可扩展性和可管理性的方法。培养SDDC 和网络虚拟化专业人才，让网络管理员和架构师具备必要的专业技能和知识，助您现在和未来取得成功。经济效益：节省大量资金开销/运维成本节省微分段资金开销对于许多企业而言，传统上部署防火墙

35、来控制数据中心内东西方向上不断增加的流量的成本普遍过高。此外， 设置和管理复杂的防火墙规则列表需要投入诸多设备和大量人力，也导致此方法在操作上不可行。使用VMware NSX，除了使微分段更简单、更安全，还显著降低了此特定用例的资金开销和运维成本。单从资金开销来看，NSX 可在购买物理防火墙进行微分段方面为企业节省超过 70% 的费用。下表分析了典型企业使用微分段改进对数据中心内服务器到服务器流量控制时可节省的资金开销。IT 自动化降低运维成本让我们看一下企业如何使用NSX 大幅降低运维开销。NSX 可显著减少网络任务（包括置备、更改/调整、缩放和故障排除/修复）相关的人工操作，缩短周期时间。

36、周期时间包括因申请、批准、协调、提交、物流和停机时间段等导致的延迟。网络虚拟化和简化的分支/主干架构可显著降低完成网络任务所需的精力和时间。通常，使用 NSX 时，工作时间可从数小时缩短到数分钟，周期时间可从数天缩短到数分钟。如果将开发、测试、转储和生产环境中置备和管理物理网络所需的全部手动任务考虑在内，实际上NSX 可自动执行这些任务，您将会看到，每个环节都存在降低运维开销的机会。正如以下运维成本分析所示，NSX 可显著加快网络初始置备到生产的速度。使用传统硬件为新应用程序置备网络时，关联的周期时间长达 23 天，企业不得不漫漫等待。而使用 NSX，这一时间缩减到了数分钟，缩减率几乎为 10

37、0%；如此显著的时间节省必将为上市赢得先机。类似地，为新应用程序置备网络需要占用一个工作人员14 个小时，即大约两个工作日。NSX 将这一时间缩短到了 2 小时以下，大幅缩减 87%。节省服务器资产利用率资金开销企业也可以使用NSX 访问数据中心内具有未使用的计算容量的孤岛。在传统拓扑中，每个网络群集具有各自的计算容量。IT 通常会过度置备计算容量，因为获取其他集群中可用容量所需的网络重新配置时间过长且容易出错。根据诸多测量，60% 以上的网络总计算容量处于休眠状态，这造成了资源的极大浪费。企业可使用NSX 桥接两个或更多网络群集并将工作负载部署到此未使用的容量。因此，与购买新物理服务器相比，

38、使用现有服务器容量可节省 88% 以上费用。以下资金开销分析显示了企业每年通过利用 NSX 使用更多现有计算容量可节省的服务器费用：高性价比带来资金开销节省一些使用NSX 的企业已放弃具有第 2 层固定模块的传统三层设计（接入/汇聚/核心），现在使用的是基于第3 层架构并针对东西方流量进行了优化的二层（分支/主干）设计。在这些架构中，NSX 负责处理第 2 层邻接、逻辑交换和路由。许多企业正在将其专有硬件替换为成本更低的基础架构，这些基础架构可通过多种渠道获得而且性价比极佳。与现成装置相比，部署带Linux 操作系统的裸机交换机的企业可节省约 66% 的资金开销。提示：优先虚拟化VMware 建议企业在需要增加网络容量时先进行虚拟化。企业发现，通过虚拟化工作负载可将所需的物理端口数量降低 60% 以上，从而节省大量资金开销。延长的硬件生命周期带来资金开销节省借助NSX，企业可以从现有网络基础架构中获得明显更多的价值。NSX 可以减轻日益加大的东西方向流量给网络核心带来的负载压力，延长其使用期限，而且不必增加成本不菲的容量。此外，使用NSX，基础网络硬件可以充当简单的IP 转发底板。在现有网络装置的会计折旧周期结束时，企业不必替换它们，而是可以选择使用更长的时间。通过此方法，企业仅需要为硬件增加更多容量或在硬件出现故障时替换单个硬