Embed Size (px)
Citation preview
InterCloud
PrivatePrivateCloudCloud
HybridCloud
VirtualizationVirtualization
PublicPublicCloudCloud
• Потребность в сетевых сервисах для виртуализированных нагрузок
• Основа виртуализированных сервисов – vPath
• Виртуализированные сервисы Cisco– vWAAS– NAM– CSR 1000V– VSG– ASA 1000V
Содержание
Инфраструктурафизическая виртуальная облачная
Физические нагрузки Виртуальные нагрузки Облачные нагрузки
• 1 приложение/сервер• Статичность• Ручное выделение
ресурсов
• N приложений/сервер• Мобильность• Динамическое выделение
ресурсов
• N арендаторов/сервер• Эластичность• Автоматическое
масштабирование
HYPERVISORVDC-1 VDC-2
Инфраструктурафизическая виртуальная облачная
Физические нагрузки Виртуальные нагрузки Облачные нагрузки
• 1 приложение/сервер• Статичность• Ручное выделение
ресурсов
• N приложений/сервер• Мобильность• Динамическое выделение
ресурсов
• N арендаторов/сервер• Эластичность• Автоматическое
масштабирование
HYPERVISORVDC-1 VDC-2
Требуется универсальная сетевая инфраструктура для …
Приложения: производительность, масштабируемость и безопасность
Процессы: управление и политики
Virtual Access Layer
Access Layer
Data Center Core
Традиционное место сервисов в ЦОД
Data Center Services Layer
Data Center Aggregation
VM VM
VM VM
VM VM
VM VM
VM VM
VM VM
Балансировщики нагрузкиМежсетевые экраныСистемы предотвращения вторженийАнализаторы трафикаКриптоакселераторы
Защита периметраОптимизаторы трафика приложений
Повсеместно:ACLQoSCoPPPort Security
Как внедрить сервис для виртуализированных приложений?
Гипервизор
Физическое устройство
Виртуальные контексты
VLANs
AppServer
DatabaseServer
WebServer
Направить трафик с помощью VLAN на внешнее сервисное устройство
Virtual Service Nodes
VSN
Гипервизор
AppServer
DatabaseServer
WebServer
Внедрить в гипервизор сервисное устройство Virtual Service Node (VSN)
• Виртуальная машина на каждом хосте, использующая APIгипервизора для перехвата трафика
Варианты реализации Virtual Service Node
Гипервизор
VM VM VSN
• Виртуальная машина на несколько хостов, использующая распределенный коммутатор для перехвата трафика
Гипервизор
VM VM VM
Гипервизор
VM VM VM
Гипервизор
VM VM VSN
vSwitch
vSwitchvSwitchГипервизор
VM VM VSN
Гипервизор
VM VM VSN
• Функция Nexus 1000V– Встроен в Virtual Ethernet Module и не требует инсталляции/активации
• Интеллектуальное перенаправление трафика виртуальных машин– На втором и третьем уровне– Поддержка до трех сервисов в цепи передачи трафика– Загрузка политики в виртуальный коммутатор
• Поддержка модели «коммерческий ЦОД»• Основа для реализации виртуализированных сервисов Cisco
vPath
Nexus 1000V
vPath
• Настроить сервисное устройство
• Настроить цепочку сервисов
• Присоединить сервисы к профилю порта
Настройка vPath/Virtual Service Node для чередующихся сервисов
VSM-MSK(config)# vservice node svc_node type ?asa ASA Nodevsg VSG Nodevwaas VWAAS Node
VSM-MSK(config)# vservice path svc_pathVSM-MSK(config-vservice-path)# node svc_vwaas order 10
VSM-MSK(config)# port-profile vm_dataVSM-MSK(config-port-prof)# vservice path svc_path
Nexus 1000V
vPath
• Или присоединить один сервис к профилю
Настройка vPath/Virtual Service Node для одного сервиса
VSM-MSK(config-port-prof)# vservice node <node name> {profile <profile name>}
Nexus 1000V
vPath
Virtual ApplianceVirtual Appliance Nexus 1100Nexus 1100
VSM NAM VSGVSM
VEM-1 VEM-2vPath vPath
vSphere Hyper-V
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module
vPath: Virtual Service Data-path
VSG: Virtual Security Gateway
vWAAS: Virtual WAAS
ASA1000V: Adaptive Security Appliance
CSR1000V: Cloud Services Router
Virtual BladesVirtual Supervisor Module (VSM)Network Analysis Module (NAM)Virtual Security Gateway (VSG)Datacenter Network Manager (DCNM)
vWAAS VSGASA1000V
vPath• Перенаправление трафика• Кэширование политик
Экосистема Cisco Nexus 1000V
Citrix NetScaler VPX
ImpervaSecureSphere
WAF
CSR1000V
Оптимизация трафика
• Виртуализированное дополнение линейки Cisco WAAS• Привычные средства управления• Оптимизация трафика виртуальных машин
– Поддержка vPath• Традиционная оптимизация трафика
– Поддержка WCCP• Хранение кэша DRE на дисковом массиве
Cisco Virtual WAAS
Частное облако• Традиционное расположение – периметр филиала или ЦОД• Постепенная миграция с физического на виртуальное
устройство
vWAAS
WAN or Internet
WCCP/AppNav
VMware ESXi Server
1
2
VMware ESXi Server Nexus 1000V vPATH
VMware ESXi
VMware ESXi Server Nexus 1000V vPATH
vPATH
Частное облако, виртуальное частное облако, публичное облако• Дискретная оптимизация вплоть до виртуальной машины• Предоставление ресурсов по требованию
Дистрибутив в формате Open Virtualization Format (OVF) Поддержка vMotion и Storage vMotion
Distributed Power Management
Distributed Resource Scheduler (DRS)Перехват трафика с помощью vPath
(config)# port-profile vWAAS
(config-port-prof)# switchport mode access
(config-port-prof)# switchport access vlan 102
(config-port-prof)# vmware port-group vWAAS
(config-port-prof)# no shut
(config-port-prof)# state enabled
(config-port-prof)# vmware max-ports 12
vWAAS
Power Off
VMware ESXi VMware ESXi
VMware ESXi VMware ESXi
VMware ESXi VMware ESXi
vWAAS
Мониторинг производительности виртуальных машин
• Виртуальная машина для устройства Nexus 1100• Анализ трафика и статистика по интерфейсам
каждой виртуальной машины• Анализ времени отклика• Захват и декодирование пакетов• История статистики
Мониторинг трафика виртуальных машин
Cisco Prime NAM для Nexus 1100 Series
Cisco Nexus 1100 Series ApplianceNexus 1000V
ERSPANNetFlow
Продолжение корпоративной сети в облако провайдера
Облако
VPC/ vDC
VPC/ vDC
Осутствие поддержки корпоративных сетевых сервисов в облаке
Филиал
Филиал
ЦОД
INTERNET/ INTERNET/ MPLS WANMPLS WAN
Филиал
БезопасностьБезопасность
• Разные политики VPN-подключений
• Ограниченная надежность соединения
ИнтеграцияИнтеграция
• Разные IP-подсети
• Различные инструменты управления
• Ограниченный перечень сетевых сервисов
МасштабируемостьМасштабируемость
• Ограничения в количестве VLAN
• Неоптимальный маршрут трафика
Облако
VPC/ vDC
VPC/ vDC
Расширение корпоративной сети в облако провайдераCisco Cloud Services Router 1000V
Филиал
Филиал
ЦОД
INTERNET/ INTERNET/ MPLS WANMPLS WAN
Филиал
БезопасностьБезопасность
• Унифицированные политики
• Масштабируемые и надежные подключения VPN
ИнтеграцияИнтеграция
• Единая сеть организации
• Знакомые инструменты управления
• Требуемые организации сетевые сервисы
МасштабируемостьМасштабируемость
• Снижение зависимости от VLAN
• Оптимизация трафика филиалов
Гипервизор
vSwitch
VPC/vDCOS
App
OS
App
CSR 1000V
RPFP
• Cisco IOS XE Cloud Edition– Набор функций Cisco IOS XE
• Шлюз для виртуального частного облака, ЦОД– Оптимизирован под использование одним арендатором
• Прозрачен для инфраструктуры– Серверы, коммутаторы, маршрутизаторы
• Оптимизирован для управления– CSR 1000V RESTful API– Cisco Prime NCS– Cisco IOS CLI и SNMP
*В настоящее время продукт находится на стадии контролируемого внедрения
Маршрутизатор облачных сред Cisco Cloud Services Router 1000v
Шлюз арендатора в многопользовательском облаке
ЦОД
CSR 1000V
Филиал
Организация А
Филиал Арендатор А
CSR 1000V
Физическая инфраструктура
Виртуальная инфраструктура
ЦОД провайдера
Маршрутизатор MPLS CE
VPC/ vDCVPC/ vDC
MPLSEBGP
ЦОД провайдера
Копоративные сетевые сервисы в облаке
CSR CSR 1000V1000V
CSR CSR 1000V1000V
VPC/ vDCVPC/ vDC
vWAASvWAAS
HSRP
WAAS
WAAS
WAASЦОДЦОД
Филиал
ЦОД провайдера
Филиал
Безопасность виртуализированного ЦОД
Nexus 1000VDistributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VMVM
VM
vPath
Группирование виртуальных машин на основе общих свойств
Защита нескольких хостов с виртуальными машинами
Использование свойств виртуальных машин для построения правил
защитыОтказоустойчивость
Прозрачное добавление виртуальных машин
Перемещение политик вслед за виртуальными машинами
Шлюз безопасности Cisco Virtual Security Gateway
Cisco VSG. Перенаправление трафика виртуальных машин
Nexus 1000VDistributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VMVM
VM
vPath
Log/AuditПервый пакет в сессии
VSG
11 Проверка пакета согласно политике
22
33
44
Результат политики в кеше
Cisco VSG. Повышение производительности
Nexus 1000VDistributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VMVM
VM
vPath
Последующие пакеты к сессии
Результат политики в кеше определяет дальнейшие действия Nexus 1000v
Log/Audit
VSG
• Защита периметра виртуального частного ЦОД– Использование в публичном и частном облаке
• Тесная интеграция с Nexus 1000v– Перехват трафика с помощью vPath– Поддержка сегментации сети VXLAN
• Интеграция с VSG– Перенос типовой модели традиционного ЦОД в облачную среду
• Свободный рост количества и мощности виртуальных машин – Горизонтальная масштабируемость ASA 1000V
Виртуальный межсетевой экран Cisco ASA 1000V
• ACL• Protocol Inspection• Site-to-site IPSec VPN• Failover (A-S)• IP audit• NAT• TCP Intercept• Two interfaces• Routed Mode• SSH, Telnet, NTP, DHCP, DNS, Syslog
Функциональный набор Cisco ASA1000V
Поддерживаемые функции Неподдерживаемые функции
• Identity firewall• Botnet traffic filter• Multiple Context• NetFlow• PPPoE• QoS• Transparent Mode• Unified Communications• URL Filtering• Remote Access VPN• WCCP
• Масштабируемая производительность• Защита физического периметра ЦОД• Различные модели внедрения
Всеохватывающая безопасность для любых видов нагрузок
Cisco ASA5585-X
Cisco Catalyst® 6500 Series ASA Services
Module
Физические устройства
Cisco VSG Cisco ASA 1000VCloud Firewall
Виртуальные устройства
• Проверенный код в формате виртуальной машины
• Политики на уровне групп виртуальных машин
• Управление множеством устройств на основе ролей
• Настройка устройств в соответствии с политиками
• Поддержка дерева оргструктур и делегирование полномочий по управлению
• Интеграция в корпоративные системы управления
Cisco Virtual Network Management Center.Инструмент обеспечения традиционной модели управления в ЦОД
Администраторсерверов
Администраторсети
Администраторбезопасности
VMware VMware vCentervCenter
Cisco Cisco VNMCVNMC
Cisco Cisco NexusNexus1000V1000V
Администратор серверовvCenter
Администратор сетиNexus 1000V
Администратор безопасностиVNMC
• Создает кластер • Настраивает VSM • Создает дерево оргструктур• Определяет конфигурации устройств• Определяет экземпляры VSG/ASA1000V и связывает с ними
конфигурации устройств
• Создает шаблон описания порта port-profile
• Определяет зоны безопасности• Создает политики безопасности на основе зон и атрибутов• Создает шаблоны безопасности security-profile• Назначает политики безопасности шаблонам безопасности
• Связывает шаблон безопасности security-profile с шаблоном порта port-profile
• Создает VM• Назначает Port Group
виртуальному vNIC
Разделение обязанностей в виртуализированном ЦОД
vNIC
VM
VSM ASA 1000V/VSG
port-profile web-server
security profile policy set
policyrule
Tenant 1
Root
Администратор безопасности может проверить сетевого администратора
… и администратора серверов
Примеры дизайнов сети с использованием виртуализированных сервисов
• VSG фильтрует трафик между виртуальными машинами, относящимся к разным профилям безопасности
• Интерфейсы VSG находятся в сети, отдельной от сети виртуальных машин• Каждый VSG принадлежит одной организации• Правила безопасности основаны на атрибутах сетевых и виртуальных машин
Модель внедрения Cisco VSG
VM VM VM VM VM VM
VSG
Служебная сеть
Сеть VM организации
Port Group 1
Port Profile 1Security Profile:
web-server
Port Profile 1Security Profile:
web-server
Port Group 2
Port Profile 2Security Profile:
db-server
Port Profile 2Security Profile:
db-server
• ASA 1000V имеет только два интерфейса– inside, outside
• Сегментация защищаемых ресурсов достигается применением профилей безопасности– присоединяются к
интерфейсу inside• Один экземпляр ASA1000V
защищает периметр одной организации
Модель внедрения Cisco ASA1000V
Nexus 1000
Nexus 1000V
VM VM VM VM VMVM
Port Group 1 Port Group 2
Port Profile 1Edge Security Profile:
web-server
Port Profile 1Edge Security Profile:
web-server
Port Profile 2Edge Security Profile:
db-server
Port Profile 2Edge Security Profile:
db-server
ASA 1000VASA
1000VVMVM Port Profile 3Port Profile 3
Port Group 3
inside
outside
Модель внедрения Cisco ASA1000V Interface security-profile 2security-profile db-servernameif dbno ip address
Nexus 1000
Nexus 1000V
VM VM VM VM VMVM
Port Group 1 Port Group 2
Port Profile 1Edge Security Profile:
web-server
Port Profile 1Edge Security Profile:
web-server
Port Profile 2Edge Security Profile:
db-server
Port Profile 2Edge Security Profile:
db-server
ASA 1000VASA
1000VVMVM Port Profile 3Port Profile 3
Port Group 3
inside
outside
Interface security-profile 1security-profile web-servernameif webno ip addresssecurity-level 100
Interface GigabitEthernet0/0nameif insideip address 192.168.0.1security-level 100service-interface security-profile all inside
Interface GigabitEthernet0/1nameif outsideip address 201.24.56.11security-level 0
Использование ASA1000V и VSG• Общий VLAN на две зоны• VSG обеспечивает защиту• Общий граничный МСЭ ASA1000V
Использование двух экземпляров ASA1000V• По одному граничному МСЭ на зону• Внутри VLAN не используются средства
фильтрации
Пример реализации ДМЗ
Inside DMZInterface Inside
Interface DMZ
Port-profile Inside
(VLAN 200)
Port-profile DMZ
(VLAN 400)
Port-profile Inside
(VLAN 200)
Port-profile DMZ
(VLAN 200)
Interface Ouside
Interface Ouside
VM VM VM VM VM VM VM VM
Защита приложений трехуровневой архитектуры
WebWebServerServerWebWeb
ServerServer
AppAppServerServerAppApp
ServerServer
DBDBserverserverDBDB
serverserver
Открыть порты 80 (HTTP)и 443 (HTTPS) веб-
серверов
Открыть на серверах приложений только
порт 22 (SSH)
Запретить весь остальной трафик
Разрешить доступ к серверам приложений только веб-
серверам через HTTP/HTTPS
Разрешить доступ к серверам баз данных только серверам
приложений
Оганизация A
Web-Zone App-Zone DB-Zone
Зоны безопасности на VSG
WAN Router
SwitchesServers
Организация АОрганизация АASA ASA
1000V1000VCSR CSR 1000V1000V
Департамент БДепартамент БДепартамент АДепартамент А
Nexus 1000VNexus 1000V
vPathvPath
Virtual Infrastructure
vWAASvWAAS
AppNavAppNav
VSGVSGVSGVSG
ЦОД поставщика облачных услуг
ГипервизорГипервизор
Физическая среда Виртуальная среда
• Сетевые сервисы:– традиционные с привычными механизмами встраивания в поток данных– виртуализированные, но использующие механизмы традиционных сервисов
для встраивания в поток данных– виртуализированные и использующие характерные для среды виртуализации
механизмы получения трафика• Виртуальные машины нужно и можно обеспечить сетевыми сервисами• Cisco Nexus 1000V vPath является основой для реализации
виртуализированных сервисов в ЦОД• Виртуализированные сервисы сохраняют модель эксплуатации ЦОД
В заключение
Спасибо!Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!
