虛擬網(wǎng)絡(luò)與安全文檔歷史日期修訂版作者郵件說明參與者2014/3/15Ver.0.1蔡為欣

初稿（框架）CONFIDENTIAL2目標(biāo)現(xiàn)狀挑戰(zhàn)方案價值虛擬網(wǎng)絡(luò)與安全設(shè)計總體目標(biāo)虛擬化是一種集約化的基礎(chǔ)架構(gòu)解決方案，因此在與虛擬相關(guān)的所有設(shè)計中，需要做到投資與應(yīng)用效果的最優(yōu)平衡。網(wǎng)絡(luò)架構(gòu)與安全策略直接影響到信息系統(tǒng)的可靠性，因此任何時候?qū)τ谛畔⑾到y(tǒng)所有者都需要對自身的網(wǎng)絡(luò)與安全情況了如指掌并盡在掌握。網(wǎng)絡(luò)架構(gòu)的變更快速靈活，對應(yīng)用影響盡可能小。安全策略更新快徢，實現(xiàn)功能多，對設(shè)備負(fù)載影響小。CONFIDENTIAL4目標(biāo)虛擬網(wǎng)絡(luò)與安全設(shè)計網(wǎng)絡(luò)功能目標(biāo)作為承載信息系統(tǒng)對外提供服務(wù)以及內(nèi)部各功能模塊之間數(shù)據(jù)交互的唯一通路，網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)交互的效率直接影響系統(tǒng)應(yīng)用的效果，因此網(wǎng)絡(luò)架構(gòu)的設(shè)計必須避免傳輸瓶頸，達(dá)到或超過信息系統(tǒng)的數(shù)據(jù)交互要求。（QoS）所有數(shù)據(jù)都需要通過網(wǎng)絡(luò)架構(gòu)進(jìn)行流轉(zhuǎn)，因此網(wǎng)絡(luò)架構(gòu)的可靠對與應(yīng)用信息的可用性至關(guān)重要，必須保證網(wǎng)絡(luò)的可靠性，任何時候都能負(fù)擔(dān)起數(shù)據(jù)交互的任務(wù)。（HA）安全功能目標(biāo)作為所有數(shù)據(jù)的交互的通道，必須使通道對外隔離，保證數(shù)據(jù)傳輸時的安全性，保證應(yīng)用系統(tǒng)的信息安全。（VPN

&

VLAN）數(shù)據(jù)在傳輸過程中必須能夠保證數(shù)據(jù)所有者的權(quán)益，數(shù)據(jù)在轉(zhuǎn)發(fā)過程中須要能能夠根據(jù)策略進(jìn)行控制，保證數(shù)據(jù)的可控性。（VLAN

&安全策略）CONFIDENTIAL5目標(biāo)傳統(tǒng)網(wǎng)絡(luò)分層現(xiàn)狀安全防護(hù)/外網(wǎng)接入?yún)R聚/核心交換/路由接入層接入服務(wù)器劃分二層VLAN終結(jié)VLAN轉(zhuǎn)向三層DHCP區(qū)分流量并完成Tag端口速度控制匯聚接入設(shè)備進(jìn)行三層路由轉(zhuǎn)發(fā)實現(xiàn)由策略流量控制QoSDHCP網(wǎng)絡(luò)安全策略流量控制QoS安全接入VPN負(fù)載均衡網(wǎng)絡(luò)日志記錄與審計DHCP新IT的興起CONFIDENTIAL7挑戰(zhàn)大型機T/SPC/服務(wù)器C/S互聯(lián)網(wǎng)B/S云T/C云時代網(wǎng)絡(luò)架構(gòu)的變化CONFIDENTIAL8挑戰(zhàn)安全防護(hù)/外網(wǎng)接入?yún)R聚/核心交換/路由接入層接入服務(wù)器劃分二層VLAN終結(jié)VLAN轉(zhuǎn)向三層區(qū)分流量并完成Tag端口速度控制匯聚接入設(shè)備進(jìn)行三層路由轉(zhuǎn)發(fā)實現(xiàn)由策略流量控制QoS網(wǎng)絡(luò)安全策略流量控制QoS安全接入VPN負(fù)載均衡網(wǎng)絡(luò)日志記錄與審計虛擬化層計算資源池網(wǎng)絡(luò)資源池內(nèi)存資源池存儲資源池網(wǎng)絡(luò)策略現(xiàn)在如何實現(xiàn)？安全策略現(xiàn)在如何實現(xiàn)？網(wǎng)絡(luò)策略與安全策略的應(yīng)用效果是否會發(fā)生變化？虛擬化層內(nèi)部的網(wǎng)絡(luò)設(shè)計與安全策略如何配置？如何在集約化的建設(shè)原則下實現(xiàn)更高速的網(wǎng)絡(luò)架構(gòu)和更安全的安全策略？新時代的物理網(wǎng)絡(luò)設(shè)備如何選擇？網(wǎng)絡(luò)策略與安全策略如何在虛擬網(wǎng)絡(luò)中實現(xiàn)方案CONFIDENTIAL9虛擬化層計算資源池網(wǎng)絡(luò)資源池內(nèi)存資源池存儲資源池網(wǎng)絡(luò)策略交換功能模塊路由功能模塊負(fù)載均衡模塊DHCP模塊NAT模塊VPN功能模塊（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目標(biāo)IP地址的策略基于源端口的策略基于目標(biāo)端口的策略基于網(wǎng)絡(luò)協(xié)議的策略基于資源池的區(qū)域劃分基于虛擬應(yīng)用（vApp）的區(qū)域劃分基于安全組的區(qū)域劃分基于端口組的區(qū)域劃分基于區(qū)域的策略網(wǎng)絡(luò)策略與安全策略應(yīng)用效果如何？方案CONFIDENTIAL網(wǎng)絡(luò)策略交換功能模塊路由功能模塊負(fù)載均衡模塊DHCP模塊NAT模塊VPN功能模塊（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目標(biāo)IP地址的策略基于源端口的策略基于目標(biāo)端口的策略基于網(wǎng)絡(luò)協(xié)議的策略網(wǎng)絡(luò)策略交換功能模塊路由功能模塊負(fù)載均衡模塊DHCP模塊NAT模塊VPN功能模塊（IPSec

VPN

&

SSL

VPN）安全策略基于源IP地址的策略基于目標(biāo)IP地址的策略基于源端口的策略基于目標(biāo)端口的策略基于網(wǎng)絡(luò)協(xié)議的策略基于資源池的區(qū)域劃分基于虛擬應(yīng)用（vApp）的區(qū)域劃分基于安全組的區(qū)域劃分基于端口組的區(qū)域劃分基于區(qū)域的策略傳統(tǒng)網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)網(wǎng)絡(luò)策略與安全策略的應(yīng)用效果主要考慮二個方面：功能的全面性區(qū)域劃分靈活性虛擬網(wǎng)絡(luò)的劃分（1/2）方案根據(jù)不同條件對虛擬機進(jìn)行分組，并根據(jù)不同組別配置獨立的網(wǎng)絡(luò)區(qū)域每個網(wǎng)絡(luò)區(qū)域中包含所有傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)層與功能模塊能夠集中化配置與管理所有網(wǎng)絡(luò)層與功能模塊的網(wǎng)絡(luò)策略虛擬網(wǎng)絡(luò)的劃分（2/2）CONFIDENTIAL12資源池1資源池2資源池3虛擬網(wǎng)絡(luò)A虛擬網(wǎng)絡(luò)B虛擬網(wǎng)絡(luò)C虛擬網(wǎng)絡(luò)下各組件的高可靠性虛擬化提供的稱級切換主備高可用CONFIDENTIAL13主備隨業(yè)務(wù)需求而變的服務(wù)能力超大型2vCPU64-bit8GvRAM大型2vCPU,32-bit1GvRAM精簡型1vCPU,32-bit256MBvRAM方案配置方式不改變原有操作習(xí)慣CONFIDENTIAL14方案虛擬化資源池虛擬資源池虛擬網(wǎng)絡(luò)安全策略的配置方案虛擬網(wǎng)絡(luò)區(qū)域B區(qū)域A邊界安全防火墻區(qū)域安全根據(jù)不同條件進(jìn)行區(qū)域劃分區(qū)域間實現(xiàn)安全策略控制訪問主機安全通過特殊接口接入主機安全功能三級安全架構(gòu)具有三級安全防護(hù)較傳統(tǒng)方案更具安全性安全策略配置符合原有配置習(xí)慣CONFIDENTIAL16方案如何在集約化原則下實現(xiàn)網(wǎng)絡(luò)架構(gòu)與安全策略方案關(guān)于集約化找到投資與回報的平衡點花該花的錢，辦該辦成的事網(wǎng)絡(luò)架構(gòu)的考慮設(shè)計網(wǎng)絡(luò)流量的走向，將負(fù)載均分至所有設(shè)備上了解網(wǎng)絡(luò)流量的大小，尋找最合適的設(shè)備根據(jù)SLA要求為網(wǎng)絡(luò)設(shè)計最簡架構(gòu)安全策略的考慮需要的安全等級管理最小粒度策略的實現(xiàn)效率物理網(wǎng)絡(luò)設(shè)備的選擇方案源目標(biāo)網(wǎng)絡(luò)設(shè)備每條數(shù)據(jù)轉(zhuǎn)發(fā)的路徑都需要帶寬一致，以避免傳輸瓶頸以物理服務(wù)器最大輸出帶寬的總合，選擇網(wǎng)絡(luò)連接設(shè)備的性能除交換策略，盡可能少地將網(wǎng)絡(luò)與安全策略配置在物理設(shè)備中建立最短網(wǎng)絡(luò)路徑CONFIDENTIAL19方案虛擬化層虛擬網(wǎng)絡(luò)物理網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)策略，建立流量的最短路徑合理安排網(wǎng)絡(luò)負(fù)載，減少硬件投資減少物理安全設(shè)備策略復(fù)雜性，節(jié)約投資虛擬化層虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)的演進(jìn)CONFIDENTIAL20vSehereHYPER-VvSphereUni1Core

RouteUni2Uni3XENVmwarevSphereSVDCCluster1Uni1AppUni2AppUni3AppCore

RouteVirtual

Network

&

SecurityVmwarevSphereSVDCCluster1Uni1vAppCore

RouteVirtual

Network

&

SecurityUni1vAppUni2vApp傳統(tǒng)網(wǎng)絡(luò)實現(xiàn)虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)與安全案例vSpherevSpherevSphere某用戶云計算網(wǎng)絡(luò)架構(gòu)CONFIDENTIAL21案例組織網(wǎng)絡(luò)1（直連外部網(wǎng)絡(luò)）組織網(wǎng)絡(luò)2（帶有安全網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)）組織網(wǎng)絡(luò)3（內(nèi)部網(wǎng)絡(luò)）區(qū)域3（內(nèi)部）區(qū)域網(wǎng)絡(luò)區(qū)域3（內(nèi)外交互）區(qū)域1邊界安全網(wǎng)關(guān)虛擬設(shè)備

邊界安全網(wǎng)關(guān)虛擬設(shè)備區(qū)域2（外部）區(qū)域網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)組織Alpha外部網(wǎng)絡(luò)

CONFIDENTIAL22價值基于虛擬網(wǎng)絡(luò)與安全功能組件的高可用性，提升網(wǎng)絡(luò)整體可靠性根據(jù)業(yè)務(wù)需求，隨需而變的策略