遼寧移動NSX網(wǎng)絡(luò)與安全解決方案交流劉承罡

cliugenda現(xiàn)有云數(shù)據(jù)中心在網(wǎng)絡(luò)側(cè)面臨的問題NSX網(wǎng)絡(luò)虛擬化方案網(wǎng)絡(luò)簡介NSX網(wǎng)絡(luò)虛擬化現(xiàn)狀分析與組網(wǎng)建議（結(jié)合遼寧移動）遼寧移動NSX網(wǎng)絡(luò)虛擬化應(yīng)用場景設(shè)計NFVonvSphere一、網(wǎng)絡(luò)割裂導(dǎo)致資源池利用率降低3二、網(wǎng)絡(luò)設(shè)計復(fù)雜，割接工作量大接入層匯聚層PGVLANUplinkTeaming集群1集群NESXi

ESXi

ESXi

ESXi

vSphereDistributedSwitch定義DVPortGroupsDefinedbasedontraffictypeTeaming–Resiliency,CapacityVLAN–TrafficIsolationNIOCShares–B/WmgmtEnd-EndQoS-802.1p物理網(wǎng)卡功能分區(qū)AggregatemultiplepNics監(jiān)控與排障NetFlow–UnderstandtrafficPortMirroring–Troubleshooting物理網(wǎng)絡(luò)設(shè)計802.1Q,STP,EthernetChannelBladeI/OModuleDesignVLANloadbalancing,L3GWredundancyfastconvergenceMulti-ChassisLACP,L2MPQoS,Security，subscriptionratio…難以保證網(wǎng)絡(luò)配置的一致性！4CONFIDENTIAL5三、安全域廣VS難以運維DataCenterPerimeterDataCenterPerimeter在數(shù)據(jù)中心內(nèi)部很少或沒有東西向安全控制InternetInternet安全控制不足基于IP的安全策略難以運維四、業(yè)務(wù)響應(yīng)緩慢，容易導(dǎo)致誤操作業(yè)務(wù)開發(fā)人員:我已經(jīng)部署了一套兩層的Web應(yīng)用系統(tǒng)網(wǎng)絡(luò)管理員:我應(yīng)該如何配置網(wǎng)絡(luò)拓?fù)?InternetWebApp7123456896五、傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)部署緩慢ComputeNetworkDCServicesDBDBAppAppWebWebCorpnet/Internet7服務(wù)部署緩慢可擴展性受限移動性受限依賴于硬件運維管理復(fù)雜數(shù)據(jù)中心的業(yè)務(wù)流量模型發(fā)生改變L2L38六、核心鏈路和節(jié)點帶寬被大量發(fā)夾流量消耗70%L2L39計算虛擬抽象層七、難以實現(xiàn)網(wǎng)絡(luò)L2-L7層自動化物理基礎(chǔ)架構(gòu)管理平面分散大部分沒有開放API接口難以實現(xiàn)端到端的網(wǎng)絡(luò)自動化虛擬數(shù)據(jù)中心從第一個問題：大二層說起為了支持資源池中以業(yè)務(wù)為單位的,跨越一定地理位置的靈活組網(wǎng)物理二層直接直連:但是大規(guī)模下如何解決STP出現(xiàn)問題后快速收斂?IRF/VSS:Cluster技術(shù),通過把所有的交換和二層隔離能力在核心層實現(xiàn),并通過N虛1提高核心層的性能,需要更換硬件,擴展性也是問題TRILL:在二層通過ECMP解決快速收斂的問題,同樣需要特定硬件以及成熟型等問題OpenFlow:通過Controller下發(fā)二層流表的方式控制交換,沒有廣播的問題,二層的隔離由Controller靈活隔離,需要更換硬件Overlay技術(shù),在計算邊緣側(cè)構(gòu)建隧道+隧道標(biāo)簽的方式通過三層的方式控制廣播實現(xiàn)二層隔離,通信由contoller控制僅僅實現(xiàn)的二層的擴展和隔離就足夠了嗎?還必須實現(xiàn)靈活的組網(wǎng)和自服務(wù),降低整體網(wǎng)絡(luò)的復(fù)雜性最好能保證現(xiàn)有的網(wǎng)絡(luò)拓?fù)洳蛔兓?，平滑過渡硬件無關(guān)性O(shè)penflow可以在流表中加入3-7層的Ruler+ActionOverlay技術(shù)則是在隧道的邊界構(gòu)建2-7層的網(wǎng)關(guān)服務(wù)技術(shù)方向的正確性是持續(xù)成功的重要保障！Overlay技術(shù)是服務(wù)器虛擬化的“絕佳伴侶”和必然方向SDNcontrolcontrolOverlayvsVirtualizationlayercontrol12SDN-

OpenFlowHop-by-Hop愿望很美好,現(xiàn)實很殘酷:對硬件的改造性能和擴展性的問題SDN-

OverlayController:業(yè)務(wù)VM物理MAC+IPVTEPIPStatisticalDataMAC+IPVTEPIPStatisticalDataMAC+IPVTEPIPStatisticalData封裝/解封裝的性能問題Troubleshooting問題Overlay技術(shù)漸漸成為主流,爭奪變成兩個Controller

高性能

強大的橫向擴展能力

易于部署和維護

有比較強的troubleshooting和operation的能力

業(yè)界的標(biāo)準(zhǔn)EndPoint

高效的利用現(xiàn)有的平臺

成本低/易于維護/升級和部署

封裝解封裝的能力

如何混合組網(wǎng)硬件TOR的方式實現(xiàn)EndPoint?vSwitchtoToR在虛擬化層配置,將已經(jīng)加入VSW的VM重新配置和選擇:(802.1Qbg/VEPAor802.1Qbh/VN-TAG)中的一種?每個虛擬機層面做配置,配置復(fù)雜虛擬機密度大的情況下

大量的發(fā)夾,犧牲了服務(wù)器本地交換的能力虛擬化后密度變大,對TOR交換機的交換能力是個挑戰(zhàn),并且分布式的有狀態(tài)服務(wù)在硬件上實現(xiàn)服務(wù)增強,成本較高,如何識別資源池等云對象功能/成本/效率方面如何權(quán)衡自動化配置通用性不好由TOR交換機的廠商來實現(xiàn)自動化的配置傳統(tǒng)的3-7層的服務(wù)誰來提供?

傳統(tǒng)硬件接入隧道網(wǎng)絡(luò)來實現(xiàn)?通過虛擬化的方式來實現(xiàn)overlay以及相關(guān)服務(wù)是順勢而為!1.DecouplePhysicalVirtual2.Reproduce3.AutomateNetwork

OperationsCloud

Operations硬件無關(guān)性通過虛擬化帶來的運維和自動化優(yōu)勢不改變現(xiàn)有網(wǎng)絡(luò)VirtualPhysicalAgenda現(xiàn)有云數(shù)據(jù)中心在網(wǎng)絡(luò)側(cè)面臨的7個問題NSX網(wǎng)絡(luò)虛擬化方案網(wǎng)絡(luò)簡介NSX網(wǎng)絡(luò)虛擬化現(xiàn)狀分析與組網(wǎng)建議（結(jié)合遼寧移動）遼寧移動NSX網(wǎng)絡(luò)虛擬化應(yīng)用場景設(shè)計NFVonvSphereVMware的SDN之路！SDN!=NetworkVirtualization

只有網(wǎng)絡(luò)虛擬化才能做到

虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的完全松耦合，真正做到SDN的硬件無關(guān)性

靈活的自定義組網(wǎng)，解決硬件網(wǎng)絡(luò)在規(guī)模和敏捷度上的不足其他的優(yōu)勢還有：以分布式的能力,構(gòu)建規(guī)模化的Controller集群扁平化的網(wǎng)絡(luò)轉(zhuǎn)發(fā)路徑提供數(shù)據(jù)中心內(nèi)L2~L7的功能在軟件上的自定義能力

通用x86芯片與軟件融合的最佳化的實現(xiàn)

專注于數(shù)據(jù)中心的應(yīng)用場景NSX架構(gòu)與組件AnimatedSlide自服務(wù)&自動化自服務(wù)平臺vCloudAutomationCenter,OpenStack,Custom數(shù)據(jù)平面NSXEdgeESXiHypervisorKernelModulesDistributedServices高性能&分布式的數(shù)據(jù)平面轉(zhuǎn)發(fā)能力的橫向擴展管理平面NSXManager統(tǒng)一的配置PortallRESTAPI支持控制平面NSXController邏輯網(wǎng)絡(luò)管理標(biāo)準(zhǔn)的控制協(xié)議OVSDB控制平面和數(shù)據(jù)平面分離FirewallDistributedLogicalRouterLogicalSwitch邏輯網(wǎng)絡(luò)物理網(wǎng)絡(luò)……API(OVSDB)Tunnels(VXLAN)PhysicalWorkloadsVMControllerClusterHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchVMVMLogicalnetwork(VNI)NSX網(wǎng)絡(luò)虛擬化架構(gòu)圖DBVMMACSPHYMACSIP通道承載網(wǎng)NSX支持的第三方NSXGateway交換機Arista7150switches,nextgenerationTridentIIbasedfixedconfigurationswitches,andnextgeneration7500switchesCumulusNetworkingsoftwarerunningonhardwareappliancesthatareBroadcomTridentIIbasedDellS-seriesmanagedswitchesincludingnextgenerationS6000BrocadeVDXswitchesincludingbutnotlimitedtoVDX6740fixedconfigurationswitchesJuniperMXseriesroutersEXandQ-FabricSwitchesHPV5930NSX網(wǎng)絡(luò)虛擬化方案網(wǎng)絡(luò)簡介數(shù)據(jù)中心的現(xiàn)有網(wǎng)絡(luò)架構(gòu)InternetExistingPhysicalNetwork計算資源InternetExistingPhysicalNetwork虛擬化之后InternetExistingPhysicalNetwork網(wǎng)絡(luò)虛擬化和SDNInternetNSXExistingPhysicalNetwork虛擬網(wǎng)絡(luò)NSXvSwitchHypervisorExistingPhysicalNetworkVirtualNetworkNSXvSwitchHypervisorVMUserSpaceVMVM虛擬網(wǎng)絡(luò)NSXvSwitchHypervisorExistingPhysicalNetworkVirtualNetworkNSXvSwitchHypervisorVMUserSpaceVMVM不間斷地部署NSXvSwitchHypervisorVMVMExistingPhysicalNetworkVirtualNetworkNSXvSwitchHypervisorVMUserSpaceVMVM動態(tài)提供NSXvSwitchHypervisorVMVMVMExistingPhysicalNetworkVirtualNetworkCloudMgtPlatformNSXvSwitchHypervisorVMUserSpaceVMVMClusterControllerDistributedNetworkServicesDistributedNetworkServices底層物理網(wǎng)絡(luò)連接PhysicalHostNSXvSwitchVMVMVMNSXvSwitchVMUserSpaceVMVMHypervisorUserSpaceHypervisorExistingPhysicalNetworkVirtualNetworkClusterControllerCloudMgtPlatformSimplifiedIPBackplaneNoVLANs,NoACLs,NoFirewallRules與物理機的連接VLANPhysicalHostNSXvSwitchVMVMVMNSXvSwitchVMUserSpaceVMVMHypervisorUserSpaceHypervisorVirtualNetworkPhysicalWorkloadL2BridgingService

VM,ToR,x86ApplianceClusterController網(wǎng)絡(luò)虛擬化帶來的路徑優(yōu)化NSX分布式路由:組件關(guān)系圖35NSXEdge(Actingasnexthoprouter)/24/24DLRExternalNetworkDLRControlVMDataPathControlControllerClusterControlNSXMgr從邏輯路由器實例（VM）上配置動態(tài)路由協(xié)議1在邏輯路由器實例和NSXEdge（北向路由器）之間建立動態(tài)路由的鄰接關(guān)系3從NSXEdge上學(xué)到的路由信被推送到Controller以便繼續(xù)分發(fā)4Controller把路由信息分發(fā)到ESXi主機5ESXi主機的路由模塊負(fù)責(zé)處理接下來數(shù)據(jù)平面的數(shù)據(jù)轉(zhuǎn)發(fā)613456NSXController把邏輯路由器上的配置信息以及LIF配置推送到ESXi主機上22PeeringOSPF,BGPPeeringOSPF,BGP/24東西向路由原理項目1172.16.10.0/24項目2172.16.20.0/24項目3/24分布式東西向路由:VDR把東西向路由信息下發(fā)到主機上南北向路由會走VDR，通過VDR走到上聯(lián)的北向路由器上三層點到點南北向路由器VXLANVXLANVLANVLAN:VMVM二層隧道東西向路由原理項目1172.16.10.0/24項目2172.16.20.0/24項目3/24分布式東西向路由:VDR把東西向路由信息下發(fā)到主機上南北向路由會走VDR，通過VDR走到上聯(lián)的北向路由器上三層點到點南北向路由器VXLANVXLANVXLANVMVM二層隧道在網(wǎng)絡(luò)覆蓋的主機上（TransportZone）分布式路由的LogicalInterface：Host1分布式路由的LogicalInterface：Host2網(wǎng)絡(luò)虛擬化帶來的路徑優(yōu)化

－

防火墻SSHClientNSXDFWvSphereTCP/5671TCP/443TCP/22TCP/443vSphereClientNSX

ManagervCenterServerAPIESXi

HostRESTAPIClientTCP/22通過vSphereWebClient連接VC創(chuàng)建安全規(guī)則

[管理平面]1VC把安全規(guī)則下發(fā)給NSXManager[DFW控制平面].NSXManager保留所有規(guī)則2安全規(guī)則最終下發(fā)給ESXi主機

[DFW數(shù)據(jù)平面]3TCP/443VXLANDRDFWSwitch

SecurityNSX分布式防火墻–系統(tǒng)架構(gòu)

41CONFIDENTIALNSX網(wǎng)絡(luò)虛擬化方案

組網(wǎng)建議核心交換機：三層接入交換機：三層邊界路由器、防火墻云平臺網(wǎng)絡(luò)設(shè)計1.0

以項目為中心的網(wǎng)絡(luò)設(shè)計

二層網(wǎng)絡(luò)的向下延伸：VLAN的設(shè)定從物理的接入交換機下延到虛擬交換機VLAN終結(jié)在每個項目的接入交換機上核心交換機：三層接入交換機：三層邊界路由器、防火墻云平臺網(wǎng)絡(luò)設(shè)計1.0:東西向數(shù)據(jù)流典型架構(gòu)1:按照業(yè)務(wù)域進行的網(wǎng)絡(luò)隔離（遼寧移動云資源池一期）iLoKVM業(yè)務(wù)區(qū)域業(yè)務(wù)區(qū)域OSSMSS匯聚核心交換出口區(qū)周邊網(wǎng)絡(luò)接入設(shè)備管理CMNETIntranet核心交換機：三層接入交換機：二層邊界路由器、防火墻云平臺網(wǎng)絡(luò)設(shè)計2.0物理的接入交換機直接二層接入核心，所有的業(yè)務(wù)VLAN終結(jié)在核心交換機

實現(xiàn)整個數(shù)據(jù)中心的資源調(diào)度二層二層二層二層核心交換機：三層接入交換機：二層邊界路由器、防火墻云平臺網(wǎng)絡(luò)設(shè)計2.0：數(shù)據(jù)流二層二層二層二層典型架構(gòu)2：通過VRF，將直連路由虛擬成分段路由（寧夏移動IDC）通過VRF把核心交換機虛擬出很多虛擬路由器，網(wǎng)關(guān)配置在VRF上東西向隔離VRF:配置復(fù)雜，配置靜態(tài)路由，然東西向通信強行走虛擬防火墻問題：配置復(fù)雜，每新增一個項目（業(yè)務(wù)平臺），需要新虛擬一個VRF，配置東西向路由、安全域，無論是性能、效率還是維護的復(fù)雜度在大規(guī)模環(huán)境下都無法接受額外的路由迂回核心交換機：三層接入交換機：二層邊界路由器、防火墻二層二層二層二層典型架構(gòu)3：通過一虛多的虛擬防火墻技術(shù)，網(wǎng)關(guān)配置在防火墻上(遼寧移動融合資源池)網(wǎng)關(guān)配置在防火墻上，性能是最大的問題額外的路由迂回核心交換機：三層接入交換機：二層邊界路由器、防火墻云平臺網(wǎng)絡(luò)設(shè)計2.5：通過DFW優(yōu)化數(shù)據(jù)流二層二層二層二層虛擬交換機：虛擬防火墻IP地址管理+ACL優(yōu)勢：業(yè)務(wù)的IP地址：從原來的VLAN上的IP，變成了虛擬網(wǎng)絡(luò)里面的VXLAN的IP，通過劃分了更多的更小的二層實現(xiàn)IP地址的再分配，他們之間的ACL控制通過分布式防火墻（DFW）進行控制，基于資源池、安全組來進行控制只要不接入同一個虛擬路由器（Edge），虛擬網(wǎng)絡(luò)里的地址是可以重疊的管理IP、vMotionIP和可能存在的存儲IP地址，還采用傳統(tǒng)的VLAN方案+ACL方案，但是種類和地址段的增加都大大降低了DFW中常見的兩種ACL訪問規(guī)則寫法：方案1（單獨vCenter）：Allow資源池A(資源池A,Ｂ，Ｃ，Ｄ)；Allow資源池Aoutsideof(虛擬數(shù)據(jù)中心)……最后加上：BlockAny方案2（多個Center）：Allow資源池A(資源池A,Ｂ，Ｃ，Ｄ)；Allow資源池A(網(wǎng)關(guān)的所有地址)；…最后加上：BlockAny核心交換機：三層（新增UplinkVLAN)接入交換機：二層(新增：Uplink+隧道VLAN)ManagementNetwork（不變）：在接入層和核心層trunkvMotionNetwork

（不變）：在接入層和核心層trunk原有業(yè)務(wù)VLAN（保持不變）：在各個接入+核心交換機上設(shè)定并Trunk網(wǎng)絡(luò)虛擬化承載VLAN（新增）:新增在測試的接入交換機上新增一個負(fù)責(zé)南北向的通信的VLAN在核心交換機（新增）：在核心交換機+測試使用的接入交換機上對于從vShield升級到NSX，原vShield東西向防火墻規(guī)則可以全部遷移到DFW上邊界路由器、防火墻在云平臺網(wǎng)絡(luò)設(shè)計2.x進行網(wǎng)絡(luò)虛擬化改造（無需變更物理拓?fù)洌┒佣佣佣泳W(wǎng)絡(luò)虛擬化虛擬網(wǎng)關(guān)設(shè)備云平臺網(wǎng)絡(luò)設(shè)計3.0（物理網(wǎng)絡(luò)全三層互聯(lián)、虛擬網(wǎng)絡(luò)二層彈性互聯(lián)）計算機架：所有的生產(chǎn)業(yè)務(wù)系統(tǒng)的VM管理機架:vCenter等管理節(jié)點以及可選的iSCSI/存儲Edge機架：所有提供南北向服務(wù)的VM，唯一部署兩套TOR的機架廣域網(wǎng)

互聯(lián)網(wǎng)計算機架1管理機架Edge機架ToR計算機架2計算機架NToRToRToRToR物理網(wǎng)絡(luò)：TOR交換機簡單性設(shè)計每個TOR交換機的配置完全相同，包括VLAN/NTP/SNMP等等3+1個VLAN配置并終結(jié)在TOR上，并提供默認(rèn)網(wǎng)關(guān)VXLAN隧道網(wǎng)絡(luò)vMotion管理VLANiSCSI(可選）TOR交換機物理網(wǎng)絡(luò)：簡單性設(shè)計TOR交換機和核心交換機之間通過三層互聯(lián)（OSPF），每個TOR交換機在數(shù)據(jù)中心內(nèi)部對外發(fā)布3+1個唯一網(wǎng)段；每個TOR交換機和核心交換機之間至少配置一條鏈路核心交換機之間不互聯(lián)，每個TOR交換機通過其他TOR交換機發(fā)布的網(wǎng)段計算ECMP核心交換機橫向擴展核心交換機物理網(wǎng)絡(luò)：可擴展設(shè)計&高帶寬收斂比可以根據(jù)每個機架提供，三類機架收斂比不同不同的項目機架收斂比可以不同，提高架構(gòu)的可擴展性只需要增加TOR和核心之間的連線，即可提高機架帶寬降低收斂比可以橫向擴展核心交換機，提高機架帶寬，降低收斂比TOR交換機物理網(wǎng)絡(luò)：核心層冗余性設(shè)計通過動態(tài)路由保證核心層的冗余性設(shè)計TOR層冗余性設(shè)計：二層LACP+三層VRRP3+1種業(yè)務(wù)場景場景一：使用分布式防火墻核心交換機：三層：直接直連路由，不需要配置東西向的任何安全策略接入交換機：二層二層二層二層二層虛擬交換機：虛擬防火墻場景一：使用分布式防火墻優(yōu)勢：無需對現(xiàn)有網(wǎng)絡(luò)進行任何調(diào)整，包括MTU、VLAN和網(wǎng)關(guān)配置等不需要進行業(yè)務(wù)流量的遷移，可以實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的零中斷在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上增加二/三層安全隔離、IP管理、分布式安全防火墻和流量監(jiān)控等能力限制：無法部署邏輯交換機從而實現(xiàn)業(yè)務(wù)流量的細(xì)粒度的二層安全隔離無法使用東西向路由功能，東西向流量造成匯聚鏈路和網(wǎng)關(guān)的瓶頸網(wǎng)絡(luò)部署速度受物理設(shè)備限制，無法實現(xiàn)網(wǎng)絡(luò)服務(wù)的靈活便捷若需要使用負(fù)載均衡或IPSECVPN等功能，需要物理設(shè)備支持實現(xiàn)場景二：分布式防火墻+東西向分布式路由器+南北向路由DCN/163AR/CE項目1項目2項目3分布式東西向防火墻分布式東西向路由物理南北向路由VXLANVXLANL3:OSPF場景二：分布式防火墻+東西向分布式路由器+南北向路由優(yōu)勢：在同一物理網(wǎng)絡(luò)的基礎(chǔ)上可以承載超過4096個（最多一千六百萬個VXLAN）虛擬二層網(wǎng)絡(luò)，從而可以實現(xiàn)基于業(yè)務(wù)單元的業(yè)務(wù)流量隔離，安全隔離的顆粒度更小增加三層?xùn)|西向路由功能，優(yōu)化業(yè)務(wù)流量，減少網(wǎng)絡(luò)瓶頸通過VXLAN-VLAN二層橋接功能，解決一個項目既有物理機又有VM或者NSXVM的問題在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上增加二/三層安全隔離、IP管理、安全防火墻和流量監(jiān)控等能力VXLAN適用于東西向流量，即數(shù)據(jù)中心內(nèi)部交互的流量限制：需要調(diào)整物理承載網(wǎng)絡(luò)MTU若需要使用負(fù)載均衡或IPSECVPN等功能，需要物理設(shè)備支持實現(xiàn)核心交換機：三層接入交換機：二層邊界路由器、防火墻場景2的數(shù)據(jù)流優(yōu)化二層二層二層二層虛擬交換機：虛擬防火墻DCN/163AR/CE項目1項目2項目3分布式東西向防火墻分布式東西向路由OSPF虛擬南北向路由-DCN/163VXLANVXLANVXLAN項目n項目n+1項目n+2分布式東西向防火墻分布式東西向路由OSPF虛擬南北向路由-DCN/163VXLANVXLANVXLAN場景三：布式防火墻+東西向分布式路由+南北向路由+南北向4-7層服務(wù)場景三：布式防火墻+東西向分布式路由+南北向路由+南北向4-7層服務(wù)優(yōu)勢：在同一物理網(wǎng)絡(luò)的基礎(chǔ)上可以承載超過4096個（最多一千六百萬個VXLAN）虛擬二層網(wǎng)絡(luò)，從而可以實現(xiàn)基于業(yè)務(wù)單元的業(yè)務(wù)流量隔離，安全隔離的顆粒度更小可以實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的快速靈活部署，通過RESTAPI，更可以實現(xiàn)與管理平臺的整合，從而實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)部署的自動化增加三層?xùn)|西向路由功能，優(yōu)化業(yè)務(wù)流量，減少網(wǎng)絡(luò)瓶頸在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上增加二/三層安全隔離、IP管理、安全防火墻和流量監(jiān)控等能力增加NAT等高級功能基于租戶或者項目提供，提供4-7層的服務(wù)比如負(fù)載均衡和IPSECVPN等功能，無須物理網(wǎng)絡(luò)支持限制：需要調(diào)整網(wǎng)絡(luò)MTU和網(wǎng)關(guān)設(shè)備的配置場景四：配合IPV6的現(xiàn)場項目優(yōu)勢：承載網(wǎng)絡(luò)利舊使用現(xiàn)有的IPV4設(shè)備，在虛擬網(wǎng)絡(luò)中承載IPV6網(wǎng)絡(luò)IPV4/IPV6混合組網(wǎng)解決舊的IPV4的物理網(wǎng)絡(luò)設(shè)備對IPV6的防火墻訪問控制的問題NSXvSwitchHypervisorVMVMExistingPhysicalNetwork:IPV4VirtualNetwork：IPV6NSXvSwitchHypervisorVMUserSpaceVMVM網(wǎng)絡(luò)QOS控制創(chuàng)建網(wǎng)絡(luò)資源池（Share方式的相對值或者Limit方式的絕對值）：VMware推薦采用Share的方式實現(xiàn)Best-Effortservice的網(wǎng)絡(luò)服務(wù)將網(wǎng)絡(luò)資源池和端口組進行關(guān)聯(lián)，實現(xiàn)端口組的QOS控制：如果需要和網(wǎng)絡(luò)網(wǎng)絡(luò)聯(lián)動實現(xiàn)QOS

服務(wù)等級

DSCP標(biāo)記在

VMwarevSphere5.5版中，服務(wù)等級和DSCP標(biāo)記均受支持，用戶可以基于流量類型或數(shù)據(jù)包分類方法標(biāo)記流量。當(dāng)虛擬機連接到基于VXLAN的邏輯交換機或網(wǎng)絡(luò)時，來自內(nèi)部數(shù)據(jù)包標(biāo)頭的QoS值將被復(fù)制到VXLAN封裝的標(biāo)頭。這使外部物理網(wǎng)絡(luò)能夠基于外部標(biāo)頭中的標(biāo)記設(shè)定流量的優(yōu)先級。Pilot實施步驟甲方準(zhǔn)備：核心交換機增加一個和虛擬網(wǎng)絡(luò)三層互通的VLAN核心交換機配置一段路由指向虛擬網(wǎng)絡(luò)的邊界網(wǎng)關(guān)接入交換機配置一個VLAN用來作為虛擬網(wǎng)絡(luò)的承載VLAN4臺以上的適合虛擬化的物理服務(wù)器VMware準(zhǔn)備：虛擬化環(huán)境部署：基礎(chǔ)環(huán)境搭建虛擬網(wǎng)絡(luò)環(huán)境部署：分布式路由、東西向防火墻虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)南北互通：南北向路由4-7層的服務(wù)部署（可選）NSX給云資源池帶來的優(yōu)勢！一、提高服務(wù)器集群的利用率在沒有使用網(wǎng)絡(luò)虛擬化前，資源池整體利用率只有60%在使用網(wǎng)絡(luò)虛擬化后，資源池利用率大大提升到90%73廣域網(wǎng)

互聯(lián)網(wǎng)ComputeRacksInfraRacksEdgeRacks網(wǎng)絡(luò)虛擬化模塊Controller

軟件虛擬化網(wǎng)絡(luò)邊界AnimatedSlide二、簡化數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計L2L3L2L2租戶A租戶BL2L2L2租戶CL2L2L274DMZDBStorageTraditionalDataCenterArchitecturesandSecureLayeringAppInternetStorageNetworkDatabaseNetworkApplicationNetworkDMZL2L3L2L2L2InternetL3L3L3VirtualNetworkEnvironmentPhysicalInfrastructureGeneralizedResourcePoolofPhysicalCapacity業(yè)務(wù)網(wǎng)絡(luò)拓?fù)鋸倪壿嫺拍畹教摂M化實現(xiàn)SDDC/NSX內(nèi)嵌細(xì)分段安全能力可基于對象配置安全策略無需改變現(xiàn)有物理網(wǎng)絡(luò)架構(gòu)無需購買新硬件無需重新配置網(wǎng)絡(luò)無需改變周邊防火墻配置充分運用平臺自動化能力和整體性能自動化部署,策略跟隨虛機遷移,策略隨虛機刪除而自動刪除分布式執(zhí)行20Gbps/80kcps每臺虛擬化主機可嵌入高級安全服務(wù)DataCenterPerimeterInternet三、細(xì)分段&自動化的安全InternetHypervisorPhysicalHostVMVMVMvSwitchHypervisorPhysicalHostvSwitchVMVMVM安全策略南北向防火墻VM云管理平臺安全策略自動跟隨大不同，性能大大提升！AutomatedPolicyMgt&Operations,DistributedEnforcementKernel-basedPerformance,DistributedScale-outCapacity(20Gbps/host)HypervisorHostVMVMVMTraditionalFirewallRuleMgt&OperationsVirtualFirewalls(1–3Gbps)虛擬防火墻物理防火墻分布式防火墻HostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisor下一代網(wǎng)絡(luò)接入控制：自動修復(fù)被感染虛機安全組=隔離區(qū)VM-Desktop3VM-Desktop2VM-Desktop1安全組=桌面掃描病毒，標(biāo)記被感染虛機(安全廠家A,安全策略1)自動把被標(biāo)示‘AntiVirus.virusFound’的虛機放入隔離區(qū)(VMware)隔離區(qū)被防火墻保護，并使用不同的安全（掃描/修復(fù)）策略(安全廠家A,安全策略2;VMware)在修復(fù)病毒后移除虛機標(biāo)記(安全廠家A,安全策略2)自動把虛機從隔離區(qū)移除(VMware)安全廠家A安全策略1安全廠家A安全策略279四&五、統(tǒng)一圖形化界面，服務(wù)快速部署80六、NSX可優(yōu)化數(shù)據(jù)中心的業(yè)務(wù)流量VXLAN

L2L381分布式的優(yōu)勢，業(yè)務(wù)流量點到點82分布式的優(yōu)勢，業(yè)務(wù)流量點到點83七、實現(xiàn)L2-7層網(wǎng)絡(luò)服務(wù)的全面自動化物理基礎(chǔ)架構(gòu)計算虛擬抽象層網(wǎng)絡(luò)虛擬抽象層虛擬數(shù)據(jù)中心統(tǒng)一管理界面開放的RESTAPI實現(xiàn)端到端的網(wǎng)絡(luò)服務(wù)自動化NSX網(wǎng)絡(luò)虛擬化平臺主要優(yōu)勢小結(jié)節(jié)省成本靈活性自動化簡易運維

創(chuàng)造價值自定義快速響應(yīng)服務(wù)質(zhì)量85NFV(網(wǎng)絡(luò)功能虛擬化）NFVArchitecture(Source:ETSI)vSphereVMware+

PartnersNSXvCenter,vCtrOpsMgrVirtualApp(vApp)87DPDKinvSphereESXi上的幾種實現(xiàn)方式88VMwareESXivSwitchVirtualMachineLinuxKernelDPDKAppIXGBEVMwareESXivSwitchVirtualMachineLinuxKernelUnmodifiedAppVMXNET3VMwareESXivSwitchVirtualMachineLinux

KernelDPDKAppVMXNET3VirtualMachineLinux

KernelDPDKAppIXGBEVFDirectPathI/OSR-IOVESXi5.5packet-rateswithDPDKL3ForwardingPerformanceonVMwareESXi5.5CanoePassRomleyEP(IVTL1@2.3GHz)-8pCPUs/socketIntel?ServerBoardS2600CPIntel?Niantic10GbEEthernetControllerIntelVT-dIOTLBLimitationClosegapinfuturevSpherereleasewithVT-dSupe