迪普云安全解决方案DP+xCloud解决方案主打胶片20130827

DPxCloud解决方案——迪普科技云数据中心解决方案部门：产品行销部日期：2013年7月密级：内部公开云数据中心的演进1虚拟化获取弹性传统数据中心私有云私有混合云应用部署时间长资源利用率低缺乏灵活与弹性应用可快速部署资源利用率较高整体缺乏弹性应用可快速迁移资源利用率高整体具有弹性应用1应用2应用n应用1应用2应用n公有云私有云私有云私有云2云数据中心的建设目标与需求要点向租户提供资源弹性租户单位虚拟私有云租户单位广域网虚拟私有云虚拟私有云公有云私有DC租户单位1、虚拟化虚机的感知与隔离虚机迁移与大二层组网2、多租户租户的虚拟网络环境租户应用间隔离与互通3、安全防护与等保合规云DC基础架构安全租户自身安全防护需求要点：3云数据中心框架存储系统ServerFarm网管中心FC/FCoE/EthernetSwtichAcessSwtichAcessSwtich核心核心网络安全应用交付虚拟化VSAVSAVSAVSAVSAVSA广域网4云数据中心安全网络架构设计虚拟化组网虚机感知大二层组网多租户环境虚拟租户网租户间隔离安全体系架构基础架构安全租户安全防护虚拟化组网：虚机感知5802.1BR802.1Qbg(VEPA)802.1QbhVN-LINKVN-TAGV.S.解决方案的思路将虚机间的流量通过标签加以区分，再通过物理交换机进行交换从而实现虚机感知802.1Qbg采用QinQ的变体，使用VLAN标签802.1BR定义了新的标签物理交换机只有得到虚拟化软件支持，以上才会实现！可感知物理服务器无法感知虚拟机租户1租户2SecondaryVLAN10,1120，21PrimaryVLAN101102基于现有虚拟化软件能力的虚机感知6基于虚拟交换机的VLAN/PVLAN特性对虚机加以区分并将流量引入物理交换机将虚机配置在不同的SecondaryVLAN中，实现虚机隔离。同一租户的虚机放置在同一个PrimaryVLAN之中。在物理交换机上启用ARPProxy，实现同一PrimaryVLAN内的虚机互访。物理交换机VLAN101VLAN102ARPProxyVLAN20VLAN10VLAN11VLAN21N：1虚拟化技术迪普科技VSM虚拟化技术虚拟化组网：Intra-DC大二层组网7通过跨设备链路聚合实现大二层适合10000台以下的服务器接入等价多路径技术TRILL（多链路透明互联）SPB（最短路径桥接）改造二层控制协议实现等价多路径适合10000台以上的服务器接入迪普科技VSM多合一虚拟化技术8VSM（VirtualSwitchingMatrix，虚拟交换机矩阵）是一种控制平面虚拟化技术，可将多个机框虚拟成为一个。转发平面控制平面业务平面主引擎备引擎VSM虚拟化虚拟化组网：Inter-DC大二层组网9广域网二层互联方案VE-DCILAN扩展网络1裸光纤2二层VPN（VLL/VPLS）3MACinIP/UDP1、裸光纤性能高、组网简单成本高、距离受限2、二层VPN技术成熟、互通性好复杂、未考虑广播问题3、MACinIP/UDP简单、解决广播问题技术不成熟、不互通迪普科技VE-DCI技术10数据中心A数据中心B广域网VE-DCI本地网关本地网关VE-DCI：VirtualEthernet–DataCenterInterconnect跨数据中心的二层互联虚机无缝跨数据中心迁移通过任播技术实现三层网关的

优选和自动切换虚拟化组网：Inter-DC大二层组网11数据中心A数据中心B广域网VE-DCI本地负载均衡本地负载均衡全局负载均衡全局负载均衡123应用迁移前，用户直接访问DC-A应用迁移后，用户原连接依然通过DC-A访问GLB发布新地址，用户的新建连接直接访问DC-B用户通过全局/本地负载均衡技术实现虚机迁移中的路径优化全局负载均衡发布迁移信息本地负载均衡配置对外地址，接受客户请求VPN112多租户环境：虚拟租户网VLAN101VLAN102/24/24租户管理自己的虚机的同时，也存在管理虚机间逻辑网络的需求，不同租户自定义的网络可能存在地址重叠。不同租户部署在不同的VPN之中不同业务都部署在不同VLAN中不同的业务之间通过虚拟网关进行互通VPN2VLAN201VLAN202/24/24租户1租户2云数据中心多租户环境：租户间隔离与互通13通过VLAN/VRF实现虚拟租户网，区分和隔离不同的租户租户间互访需要通过安全设备进行控制VRFVRFVRF虚机感知与隔离同一租户业务隔离(VLAN)租户隔离(VRF)跨租户访问控制安全体系架构：基础架构安全14各个安全域边界部署多业务安全网关，安全策略统一部署，构建基础架构的安全核心。普通业务资源池VIP业务资源池托管业务区广域网网络运维区运营业务区安全核心FWIPSUAGFWIPSUAG安全体系架构：租户安全防护15租户安全策略：租户可自行定义和部署自己的安全策略通过虚拟化技术，为租户提供虚拟业务设备（VSA）。租户通过VSA部署自己的安全策略。所提供的业务能力包括防火墙、IPS、流量控制、审计以及应用交付等。VSA可同时作为虚拟路由网关使用增值安全业务：提供流量清洗、WAF、漏洞扫描等WAF群集漏洞扫描群集异常流量清洗异常流量监测16安全体系架构：业务资源池迪普科技N:M虚拟化技术，可以将多个业务设备/板卡资源整合，并在此基础上按需建立VSA，从而建立业务资源池。ResourcePoolVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAN:MVirtualization业务网关业务网关业务网关业务网关ServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-X17方案设计：单数据中心设计FWIPSUAGADXFWIPSUAGADX设计要点虚机感知：支持业界标准的同时，可实现现有条件下的虚机流量牵引。租户隔离：为租户建立虚拟租户网，并实现租户间隔离。安全虚拟化：建立安全资源池，为租户提供可自定义的安全防护。方案优势可实施：方案设计充分考虑了目前的技术现状，具有良好的可实施性。简化管理：一体化方案设计，能做到在一个界面下完成全部配置管理工作。灵活可靠：虚拟化技术保证组网灵活的同时，确保网络的可靠性。广域网VE-DCI方案设计：双活云数据中心设计18数据中心A数据中心BSAN扩展网络LAN扩展网络全局负载均衡本地负载均衡全局负载均衡本地负载均衡设计要点VE-DCI：跨广域的二层互联、双主模式实现网关分离。路径优化：虚机迁移时的路径优化。方案优势互通性好：确保与第三方设备的互通性高可靠性：双主模式保证本地网关转发的同时，可实现快速故障