网络虚拟化在金融的应用与案例分享.ppt

* * * 传统的边界防火墙已经被证实为不足够安全, 而用传统方式实现 micro-segmentation 基本上不可行 对内部流量不管控 Internet Internet 安全性不充分 管理上不可能 软件定义的虚拟化网络-分布式防火墙Micro-Segmentation VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Benefits… 安全策略直接部署到 VM网络端口 No “Choke Point”, no more hair pin 分布式处理, 线速过滤, 水平扩展 安全策略管理简化by context policy rule vNIC level 管控, 安全与网络无关 集中管控 软件定义的虚拟化网络-分布式防火墙Micro-Segmentation 软件定义的虚拟化网络-分布式路由 软件定义的虚拟化网络-分布式防火墙 CONFIDENTIAL * 软件定义的虚拟化网络-自动化 通过标准的REST API 向上支持多种企业云管理平台 （Vcloud Director,vCAC,OpenStack,Cloudstack） 实现网络虚拟化资源的自动部署 软件定义的虚拟化网络-集中化运维和监控 议程 数据中心云计算对网络的要求 网络虚拟化总体架构 案例分析 总结 CONFIDENTIAL * NSX Customers EOR POD TOR POD 服务器机房 三层交换核心 EOR POD TOR POD 服务器机房 某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控 缺乏虚拟机颗粒的安全管理和监控手段 尽管南向安全可以通过汇聚层防火墙控制 但虚拟化应用规模越来越大，缺乏有效的 东西向流量安全控制手段，同时希望虚拟机vmotion时，安全策略随动，不需要任何变更 行业监管的要求，需要监控特定虚拟化环境 中特定虚机的进出流量 同时希望虚机可以跨机房和三层网络随意 Vmotion NSX:Vxlan EOR POD TOR POD 服务器机房 三层交换核心 EOR POD TOR POD 服务器机房 NSX Controller NSX Manager vCenter Server 某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控 利用NSX分布式虚拟防火墙功能，实现虚拟机环境的精细化 安全管理，同时实现虚拟机vmotion时，安全策略随动，不需要任何变更 支持基于特点应用或虚机的span和rspan功能实现流量的实时监控 满足行业监管的要求 借助vxlan技术实现跨机房和三层网络随意Vmotion 某商业银行:利用NSX构建新一代金融互联网渠道 客户需求： 随着金融互联化的快速发展，越来越多业务子系统向网银区迁移，同时大量的新业务也不断快速推出，现有网银出口架构在以下几个方面存在诸多问题： 扩展性不足 现有架构无法满足创新型互联网应用不断推出的要求：移动应用、手机APP、地图、网上商城、大数据等 部署不灵活 原有架构下DMZ区主要集中在某一机房，跨楼层或跨机房部署相对困难，同时更无法支持虚拟资源跨机房的灵活调度 互联网DMZ区普遍采用虚拟机方式，缺乏针对虚机的安全控制和精细化管理 不支持应用快速和自动化部署 敏捷 自动化 安全 L3L2 POD A L2L3 POD B L3L2 POD Y L2L3 POD Z OSPF ECMP 基础架构层面的标准化可复制和快速部署 采用基于POD的标准架构 网络资源的可复制和快速部署 采用NSX架构按需要快速复制应用网络和 相关的网络服务 VXLAN实现DMZ区到数据中心任何位置的按需扩展 配置管理有NSX通过图形界面统一完成 采用分布式防火墙技术实现虚机层面的安全管理和策略的随动 为了NSX将和企业云平台集成，实现应用的 自动化部署 某商业银行:利用NSX构建新一代金融互联网渠道 CONFIDENTIAL * 某商业银行:利用NSX实现业务系统网络P2V的迁移 硬件环境 业务网络层次： 核心层： Cisco N7000核心路由器两台，AA方式提供核心路由。 汇聚层： H3C F5000多层防火墙两台，互为主备方式提供3层接入和防火墙功能。 H3C 12508交换机两台，堆叠方式提供2层接入。 现有架构下服务器资源以基于x86的物理服务器和小型机为主 客户在未来两年内要