网络虚拟化在金融的应用和案例分享

王培久资深系统工程师网络虚拟化-VMwareNSX

在金融的应用和案例分享议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结CONFIDENTIAL2云计算大数据应用的虚拟化安全合规性24x7业务连续性业务

敏捷性SDN节能环保新一代数据中心发展的业务和技术驱动企业IT向云架构转型逻辑计算存储网络?资源池化提高资源利用率简化运维动态迁移自动均衡资源物理逻辑计算与存储虚拟化专用硬件和品牌厂商绑定CAPEXOPEX高网络对上层应用封闭手工配置和管理应用部署周期长应用和网络紧耦合云计算驱动下

数据中心的过去、现在和将来阶段四:灵活的计算+灵活的网络NOW任何网络硬件平台灵活网络服务：防火墙、路由、LB等基于应用灵活快速地定义网络

阶段一:传统的计算+传统的网络1995阶段二:灵活的计算+传统的网络2001阶段三:灵活的计算+大二层网络2010计算虚拟化对数据中心网络的真正挑战是什么？CONFIDENTIAL6Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x敏捷性：应用可以按需定义特定应用的网络切片和逻辑拓扑结构，实现数据中心应用的快速灵活部署Anyapplicationanywhere不受二层网络STP、二层广播风暴、MAC地址表和VLAN数量的限制，实现anyapplicationanywhere东西向路由优化利用分布式路由技术实现虚拟化环境中Web/APP/DB层的东西向流量的优化，而不是所有南北和东西向流量都送到汇聚层交换机处理精细化网络服务基于虚拟机颗粒度和应用颗粒度的精细化安全控制基于虚拟机层面的服务均衡和SSL加密等自动化向上提供标准API接口，实现网络资源和服务的自动化部署传统网络存在的不足CONFIDENTIAL阶段一:传统的计算+传统的网络1995阶段二:灵活的计算+传统的网络2001传统网络架构存在的不足缺乏业务快速部署能力传统竖井式架构，业务区严格隔离，不支持业务的灵活快速部署更不支持基于多租户多应用的网络切片功能灵活性不足由于二层技术的限制各业务区尽量把二层域限制得越小越好，无法支持跨业务区的vmotion等功能，业务的灵活性大大受限缺乏虚拟资源安全和管理的监控手段对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有效的虚拟机之间的安全管理和监控的手段不支持网络资源的自动化部署所有网络的配置都是通过命令行手动完成，配置和运维管理非常复杂，导致当各种虚拟资源位置变化时，管理员不堪重负资源利用率低各业务区网络为各业务区专用，不支持一个物理网络为多租户/多应用服务CONFIDENTIAL阶段三:灵活的计算+大二层网络2010大二层网络架构带来的好处灵活性高借助大二层技术，虚拟资源可以跨业务区部署，同时支持vmotion等功能，业务的灵活性大大提高大二层网络架构存在的不足过渡技术应用案例非常少，从数据中心发展看已经成为过渡技术，各厂商目前都在Vmware主导的VXLAN上寻求更好的解决方案缺乏虚拟资源安全和管理的监控手段对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有效的虚拟机之间的安全管理和监控的手段不支持网络资源的自动化部署所有网络的配置都是通过命令行手动完成，配置和运维管理非常复杂，导致当各种虚拟资源位置变化时，管理员不堪重负技术本身存在局限性无论是IETFTRILL还是思科的FabricPath都没有解决二层网的三个根本问题：Flooding、MAC表项扩展和VLAN扩展大二层网络带来的好处和存在的不足NOW

软件定义的虚拟化网络CONFIDENTIAL9阶段四:灵活的计算+灵活的网络NOW任何网络硬件平台灵活网络服务：防火墙、路由、LB等基于应用灵活快速地定义网络

敏捷性：应用可以按需定义特定应用的网络切片和逻辑拓扑结构，实现数据中心应用的快速灵活部署Anyapplicationanywhere不受二层网络STP、二层广播风暴、MAC地址表和VLAN数量的限制，实现anyapplicationanywhere东西向路由优化利用分布式路由技术实现虚拟化环境中Web/APP/DB层的东西向流量的优化，而不是所有南北和东西向流量都送到汇聚层交换机处理精细化网络服务基于虚拟机颗粒度和应用颗粒度的精细化安全控制基于虚拟机层面的服务均衡和SSL加密等自动化向上提供标准API接口，实现网络资源和服务的自动化部署议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结CONFIDENTIAL10

云平台新业务请求软件定义的虚拟化网络总体架构11vCenterOperations

MgmtvCloudAutomationCenter

IaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenter

SiteRecovery

ManagervSphereCloud

ServiceProvidersHyper-

visorsCMSNSX

IaaS

PaaS

DaaS支撑任意的应用(无需修改)虚拟网络VMwareNSX网络虚拟化平台逻辑交换网络任意网络硬件架构云管理平台（vCAC,OpenStack,Cloudstack）逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层NSX软件定义的虚拟化网络组成要素L2L3VirtualNetworkL2OpenvSwitchNSXGatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitchvSwitchvSwitchHWSWControllerClusterAPIVLANNSXManagerHWPartnerVTEPDeviceCMPVLANVLANLayer3IPNetwork软件定义的虚拟化网络工作原理

ExternalNetworks

简单,易复制，自动化地实现多租户云网络

软件定义的虚拟化网络-敏捷性根据应用需求利用vxlan技术按需定义应用的网络切片和逻辑拓扑结构(Web/App/DB)实现数据中心应用的快速灵活部署VLAN1–10.x.x.xVLAN2–172.16.x.xVLAN2–192.168.x.x

VirtualNetworkVirtualLayer2–88.33.x.x(whatever)软件定义的虚拟化网络-真正的Anyapplicationanywhere利用VXLAN解决数据中心网络存在的三大问题：Anyapplicationanywhere大二层架构下存在的：MAC地址表、VLAN和二层Flooding三大问题数据复制支持unicast、hybrid和multicast模式解决目前vxlan没有controlplane带来的flooding问题DataCenterPerimeter传统的边界防火墙已经被证实为不足够安全,而用传统方式实现micro-segmentation基本上不可行对内部流量不管控InternetInternet安全性不充分管理上不可能DataCenterPerimeter软件定义的虚拟化网络-分布式防火墙Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM网络端口No“ChokePoint”,nomorehairpin分布式处理,线速过滤,水平扩展安全策略管理简化bycontextpolicyrulevNIClevel管控,安全与网络无关

集中管控

软件定义的虚拟化网络-分布式防火墙Micro-Segmentation软件定义的虚拟化网络-分布式路由软件定义的虚拟化网络-分布式防火墙CONFIDENTIAL20软件定义的虚拟化网络-自动化通过标准的RESTAPI向上支持多种企业云管理平台（VcloudDirector,vCAC,OpenStack,Cloudstack）实现网络虚拟化资源的自动部署软件定义的虚拟化网络-集中化运维和监控议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结CONFIDENTIAL22NSXCustomersEORPODTORPOD服务器机房三层交换核心EORPODTORPOD服务器机房某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控缺乏虚拟机颗粒的安全管理和监控手段尽管南向安全可以通过汇聚层防火墙控制但虚拟化应用规模越来越大，缺乏有效的东西向流量安全控制手段，同时希望虚拟机vmotion时，安全策略随动，不需要任何变更行业监管的要求，需要监控特定虚拟化环境中特定虚机的进出流量同时希望虚机可以跨机房和三层网络随意VmotionNSX:VxlanEORPODTORPOD服务器机房三层交换核心EORPODTORPOD服务器机房NSXControllerNSXManagervCenterServer某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控利用NSX分布式虚拟防火墙功能，实现虚拟机环境的精细化安全管理，同时实现虚拟机vmotion时，安全策略随动，不需要任何变更支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求借助vxlan技术实现跨机房和三层网络随意Vmotion某商业银行:利用NSX构建新一代金融互联网渠道客户需求：随着金融互联化的快速发展，越来越多业务子系统向网银区迁移，同时大量的新业务也不断快速推出，现有网银出口架构在以下几个方面存在诸多问题：扩展性不足现有架构无法满足创新型互联网应用不断推出的要求：移动应用、手机APP、地图、网上商城、大数据等部署不灵活原有架构下DMZ区主要集中在某一机房，跨楼层或跨机房部署相对困难，同时更无法支持虚拟资源跨机房的灵活调度互联网DMZ区普遍采用虚拟机方式，缺乏针对虚机的安全控制和精细化管理不支持应用快速和自动化部署敏捷自动化安全L3

L2PODAL2

L3PODBL3

L2PODYL2

L3PODZOSPF

ECMP

基础架构层面的标准化可复制和快速部署采用基于POD的标准架构网络资源的可复制和快速部署采用NSX架构按需要快速复制应用网络和相关的网络服务VXLAN实现DMZ区到数据中心任何位置的按需扩展配置管理有NSX通过图形界面统一完成采用分布式防火墙技术实现虚机层面的安全管理和策略的随动为了NSX将和企业云平台集成，实现应用的自动化部署某商业银行:利用NSX构建新一代金融互联网渠道CONFIDENTIAL28某商业银行:利用NSX实现业务系统网络P2V的迁移硬件环境业务网络层次：核心层：Cisco

N7000核心路由器两台，AA方式提供核心路由。汇聚层：H3C

F5000多层防火墙两台，互为主备方式提供3层接入和防火墙功能。H3C

12508交换机两台，堆叠方式提供2层接入。现有架构下服务器资源以基于x86的物理服务器和小型机为主客户在未来两年内要完成90%业务系统P2V的迁移3层网关H3C

F5KH3C

12508CiscoN7K现有环境下客户面临的问题：现有物理机环境下设备采购和运维成本过高应用部署周期长（1-2个以上）资源利用率低P2V迁移客户重点关注的问题：虚机层面的安全控制和管理监控虚机层面东西向的路由优化虚机跨三层的vmtion现有物理环境和虚机环境的无缝迁移CONFIDENTIAL29某商业银行:利用NSX实现业务系统网络P2V的迁移P2V改造后物理架构P2V改造后逻辑架构CONFIDENTIAL30物理连线部分承载目前管理业务区使用的不进行网关变更的VLAN。老网关新建环境流量L2-Bridge迁移规划Edge

GW新部署规划Edge

ClusterCompute

ClusterVTEP迁移环境流量物理连线原有物理环境新建x86环境Cisco

N7KF5K1250812510M9K某商业银行:利用NSX实现业务系统网络P2V的迁移议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结CONFIDENTIAL31HypervisorX86HostsLineratePerhostPhysicalorVirtual10KLogicalSwitches硬件软件硬件软件云管理平台LineratePerhostNoTromboning1,000LogicalRoutersPerdomainLineratePerhostKernelIntegrated25,000CPS2millionSessionsScale-OutLineratethroughput1MCPS10MConcurrentFW,LB,VPNNSX的价值1101001,000Hosts30Gbps300Gbps3Tbps30TbpsThePowerofaDistributedSystem分布式交换分布式路由分布式防火墙网关服务VMwareNSXSoftware虚机网络现有的网络架构交换路由防火墙LB,VPN网关服务30TerabitspersecondVMwareNSXAPIHypervisorX86HostsHardwareSoftware投资运维成本HardwareSoftware转发效率敏捷与速度NSX的价值1101001,000Hosts30Gbps300Gbps3Tbps30TerabitspersecondThePowerofaDistributedSystem现有网络架构简洁的IP转发网络NoVLAN,NoACL,NoFirewallRules业务敏捷，创造价值投资保护，降低成本简化运维，提升效率分布式交换分布式路由分布式防火墙网关服务VMwareNSXSoftware谢谢！年度工作总结汇报ANNUALWORKREPORTSUMMARY信托业务发展与创新研究上海国际信托投资有限公司王信举目录信托业务发展现状研究01信托业务创新研究——两项导致信托业务突破性发展的重大革新02信托业务创新案例分析03信托业务发展现状研究一般理解政策与法律环境发展现状一般特点发展桎梏信托的一般理解以信为本以诚治业诚即真诚、诚实，信即守承诺、讲信用，讲诚信就是要守诺、践约、无欺。如果有人要问英国人在法学领域取得的最伟大、最独特的成就是什么，那就是历经数百年发展起来的信托理念…这不是因为信托体现了基本的道德原则，而是因为它的灵活性，它是一种具有极大弹性和普遍性的制度。——英国法学家梅特兰信托的应用范围可与人类的想像力相媲美。——美国信托法权威斯科特信托的一般理解贯通货币市场、资本市场和产业投资的独特优势最好的非IPO投资银行业务平台信托制度框架下突出的财产管理功能和资金融通功能政策与法律环境法律框架逐步完善《信托法》（2001.10）——信托法律制度体系的基本法《信托投资公司管理办法》（2002.6）——信托投资公司的经营管理规范《信托投资公司资金信托业务管理暂行办法》（2002.7）——信托主体业务的规范分类监管办法即将出台，诸多单项条例即将出台——信托证券专用帐户、信托公司及业务信息披露、房地产信托、信托公司治理指引、内控指引和信托核算等政策与法律环境监管思路逐步明晰信托公司分类监管原则、属地监管原则协调规划，统一监管尚需加强发展现状目前重新登记后的信托公司共59家，截至6月底，信托从业人员4600人近三年来，集合资金信托计划1053个，大部分获得了成功，信托公司接受管理的信托财产总额已近2000亿元人民币。84%的信托财产为资金信托，财产信托业务开始呈现良好的发展态势。——银监会非银部主任高传捷，中国长沙信托论坛(2004.10）一般特点由单一信托到集合信托由资金信托向财产信托过渡运用范围由单一领域到多领域运用工具由单一向多种工具相结合发展桎梏信托登记信托税收信托会计信托业务创新研究两项导致信托业务突破性发展的重大革新信托内部信用增级信托制度框架下的所有权解析内部信用增级外部信用增级由第三方提供信用担保，提供者包括政府、专业保险公司、金融机构、大型企业的财务公司等，增级工具主要有：政府承诺函、保险、企业担保、现金抵押帐户和信用证等。信托内部信用增级利用基础资产产生的部分现金流来实现,可避免利用外部信用增级工具较容易受信用增级提供者信用等级下降风险的影响的风险。增级工具主要有：构建优先/次级结构、利差帐户和超额抵押等。优先/次级结构就是根据一定的原则和需求，将信托或资产支撑的证券产品的收益权分为不同信用品质的档级，不同档级的受益权承担风险、享有利益及利益分配或退出的顺序有区别。内部信用增级——构建优先/次级结构遵照风险和收益相匹配的原则，通过组合策略，向选择不同风险-收益结构特征的投资者分配不同现金流的结构化设计，能保证不同层次受益权对应的现金流汇总能够复原为项目整体的现金流，摆脱了项目本身性质以及外部信用担保的制约，而仅仅依赖于项目自身权利和义务的重新分配就能在最大程度上保障优先收益的实现。可保障那些偏好于稳定收益的投资者能够在总体收益状况不是太好的情况下也能获得较稳定收益，同时使风险偏好型投资者在总体收益情况较差时自愿让渡财产以补贴保本型投资者，而在总体收益较好时获得独享较高收益的权利。信托制度框架下的所有权解析英美法系和大陆法系所有权制度的基本涵义中国信托法律框架下的所有权概念简析信托业务创新案例研究某国企国有股权退出信托解决方案华融资产管理公司不良资产证券化项目某酒店式公寓收购项目信托解决方案某国企改革信托解决方案项目情况根据有关部门对某大型国有企业进行资产重组的指示，经方案慎重比选，该企业欲将其下属某子公司通过信托方式转让，转让资金作为重组基金，从而实现国有资产在该公司的退出。经研究，决定发起集合资金信托计划，用于受让该企业持有的下属公司的股权。信托计划分别向优先投资者、普通投资者和战略投资者募集，并重组董事会和监事会，选聘经营者，同时在信托计划项下设立特别委员会（由部分普通投资者和战略投资者根据投资规模的大小派员参加的投资人代表大会组织）以应对公司经营过程中出现的重大以外问题。

某国企改革信托解决方案简要分析本项目的最大特点是创造性地运用了信托法律框架下的所有权的可分拆性和内部信用增级来探索国有企业改革之路。同时，该项目通过改组董事会和监事会，选聘经营者（职业经理人），对经营者进行业绩考核，并在信托计划项下设计特别委员会，以应对公司经营过程中出现的意外及重大事项的决策，创造性地将信托框架下的公司治理结构予以完善，同时满足了市场上各类投资者的收益及风险预期。华融不良资产证券化项目项目情况2003年6月,华融资产管理公司将涉及全国22个省市256户企业的132.5亿元人民币债权资产组成一个资产包，委托给中信信托设立财产信托，期限为3年，优先级受益权的预计收益率为4.17%。信托设立后，华融将全部信托受益权分为优先级受益权和次级受益权，其中10亿元优先受益权主要转让给机构投资者。华融拥有全部次级受益权，收益超过4.17%的部分全部归华融所有。中诚信国际评级公司预测，华融公司132.5亿元资产包未来处置产生的A