vmware方案t1.3-虚拟网络与安全

虚拟网络与安全文档历史日期修订版作者邮件说明参与者2014/3/15Ver.0.1蔡为欣

初稿（框架）CONFIDENTIAL2目标现状挑战方案价值虚拟网络与安全设计总体目标虚拟化是一种集约化的基础架构解决方案，因此在与虚拟相关的所有设计中，需要做到投资与应用效果的最优平衡。网络架构与安全策略直接影响到信息系统的可靠性，因此任何时候对于信息系统所有者都需要对自身的网络与安全情况了如指掌并尽在掌握。网络架构的变更快速灵活，对应用影响尽可能小。安全策略更新快徢，实现功能多，对设备负载影响小。CONFIDENTIAL4目标虚拟网络与安全设计网络功能目标作为承载信息系统对外提供服务以及内部各功能模块之间数据交互的唯一通路，网络架构与数据交互的效率直接影响系统应用的效果，因此网络架构的设计必须避免传输瓶颈，达到或超过信息系统的数据交互要求。（QoS）所有数据都需要通过网络架构进行流转，因此网络架构的可靠对与应用信息的可用性至关重要，必须保证网络的可靠性，任何时候都能负担起数据交互的任务。（HA）安全功能目标作为所有数据的交互的通道，必须使通道对外隔离，保证数据传输时的安全性，保证应用系统的信息安全。（VPN

&

VLAN）数据在传输过程中必须能够保证数据所有者的权益，数据在转发过程中须要能能够根据策略进行控制，保证数据的可控性。（VLAN

&安全策略）CONFIDENTIAL5目标传统网络分层现状安全防护/外网接入汇聚/核心交换/路由接入层接入服务器划分二层VLAN终结VLAN转向三层DHCP区分流量并完成Tag端口速度控制汇聚接入设备进行三层路由转发实现由策略流量控制QoSDHCP网络安全策略流量控制QoS安全接入VPN负载均衡网络日志记录与审计DHCP新IT的兴起CONFIDENTIAL7挑战大型机T/SPC/服务器C/S互联网B/S云T/C云时代网络架构的变化CONFIDENTIAL8挑战安全防护/外网接入汇聚/核心交换/路由接入层接入服务器划分二层VLAN终结VLAN转向三层区分流量并完成Tag端口速度控制汇聚接入设备进行三层路由转发实现由策略流量控制QoS网络安全策略流量控制QoS安全接入VPN负载均衡网络日志记录与审计虚拟化层计算资源池网络资源池内存资源池存储资源池网络策略现在如何实现？安全策略现在如何实现？网络策略与安全策略的应用效果是否会发生变化？虚拟化层内部的网络设计与安全策略如何配置？如何在集约化的建设原则下实现更高速的网络架构和更安全的安全策略？新时代的物理网络设备如何选择？网络策略与安全策略如何在虚拟网络中实现方案CONFIDENTIAL9虚拟化层计算资源池网络资源池内存资源池存储资源池网络策略交换功能模块路由功能模块负载均衡模块DHCP模块NAT模块VPN功能模块（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目标IP地址的策略基于源端口的策略基于目标端口的策略基于网络协议的策略基于资源池的区域划分基于虚拟应用（vApp）的区域划分基于安全组的区域划分基于端口组的区域划分基于区域的策略网络策略与安全策略应用效果如何？方案CONFIDENTIAL网络策略交换功能模块路由功能模块负载均衡模块DHCP模块NAT模块VPN功能模块（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目标IP地址的策略基于源端口的策略基于目标端口的策略基于网络协议的策略网络策略交换功能模块路由功能模块负载均衡模块DHCP模块NAT模块VPN功能模块（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目标IP地址的策略基于源端口的策略基于目标端口的策略基于网络协议的策略基于资源池的区域划分基于虚拟应用（vApp）的区域划分基于安全组的区域划分基于端口组的区域划分基于区域的策略传统网络虚拟网络网络策略与安全策略的应用效果主要考虑二个方面：功能的全面性区域划分灵活性虚拟网络的划分（1/2）方案根据不同条件对虚拟机进行分组，并根据不同组别配置独立的网络区域每个网络区域中包含所有传统网络的网络层与功能模块能够集中化配置与管理所有网络层与功能模块的网络策略虚拟网络的划分（2/2）CONFIDENTIAL12资源池1资源池2资源池3虚拟网络A虚拟网络B虚拟网络C虚拟网络下各组件的高可靠性虚拟化提供的称级切换主备高可用CONFIDENTIAL13主备随业务需求而变的服务能力超大型2vCPU64-bit8GvRAM大型2vCPU,32-bit1GvRAM精简型1vCPU,32-bit256MBvRAM方案配置方式不改变原有操作习惯CONFIDENTIAL14方案虚拟化资源池虚拟资源池虚拟网络安全策略的配置方案虚拟网络区域B区域A边界安全防火墙区域安全根据不同条件进行区域划分区域间实现安全策略控制访问主机安全通过特殊接口接入主机安全功能三级安全架构具有三级安全防护较传统方案更具安全性安全策略配置符合原有配置习惯CONFIDENTIAL16方案如何在集约化原则下实现网络架构与安全策略方案关于集约化找到投资与回报的平衡点花该花的钱，办该办成的事网络架构的考虑设计网络流量的走向，将负载均分至所有设备上了解网络流量的大小，寻找最合适的设备根据SLA要求为网络设计最简架构安全策略的考虑需要的安全等级管理最小粒度策略的实现效率物理网络设备的选择方案源目标网络设备每条数据转发的路径都需要带宽一致，以避免传输瓶颈以物理服务器最大输出带宽的总合，选择网络连接设备的性能除交换策略，尽可能少地将网络与安全策略配置在物理设备中建立最短网络路径CONFIDENTIAL19方案虚拟化层虚拟网络物理网络应用网络策略，建立流量的最短路径合理安排网络负载，减少硬件投资减少物理安全设备策略复杂性，节约投资虚拟化层虚拟网络虚拟网络的演进CONFIDENTIAL20vSehereHYPER-VvSphereUni1Core

RouteUni2Uni3XENVmwarevSphereSVDCCluster1Uni1AppUni2AppUni3AppCore

RouteVirtual

Network

&

SecurityVmwarevSphereSVDCCluster1Uni1vAppCore

RouteVirtual

Network

&

SecurityUni1vAppUni2vApp传统网络实现虚拟网络虚拟网络与安全案例vSpherevSpherevSphere某用户云计算网络架构CONFIDENTIAL21案例组织网络1（直连外部网络）组织网络2（带有安全网关的内部网络）组织网络3（内部网络）区域3（内部）区域网络区域3（内外交互）区域1边界安全网关虚拟设备

边界安全网关虚拟设备区域2（外部）区域网络区域网络组织Alpha外部网络

CONFIDENTIAL22价值基于虚拟网络与安全功能组件的高可用性，提升网络整体可靠性根据业务需求，随需而变的策略