数据中心的演化和安全挑战.pdfVIP

数据中心的演化和安全挑战 蒋东毅 研发副总裁，山石网络 2014/5/16 议程 数据中心的演化 当前数据中心网络的局限性 灵活弹性的云化数据中心设计 云化数据中心带来的安全挑战 山石vEFA全并行架构的解决方案 山石下一代智能防火墙 数据中心的演进 应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进 ✓ 大型主机 ✓ CPU性能越来越 ✓ 服务器虚拟化 ✓ 复杂性增加 ✓ C/S架构 高，体积越来越 ✓ 存储虚拟化 ✓ 共享、按需、动态 ✓ 多层分布式架构 小，密集度增高 ✓ 网络虚拟化 的模式 ✓ SOA架构 ✓ 虚拟化技术的引 ✓ 自动化部署，敏捷 ✓ 大数据的应用 入，逻辑和物理机 性 的分离 ✓ 一体化运营 目前数据中心网络 三层架构：接入、汇聚、核心 当前数据中心的流量 东南北向流量东西向流量是南北向流量的数十倍以上西向流量: : 进数据中心内部的流量出数据中心的流量 网络隔离和安全 • 二层使用VLAN实现隔离 • 三层使用VRF实现隔离 • 三层到三层的安全由部署在汇聚和核心的防火墙提供 当前数据中心网络设计的局限性 这种设计不能满足基于资源池的云化数据中心的需求，实现动态、灵活的资 源池配置，满足业务敏捷性要求: • 性能的扩展能力有限 – 三层网络架构设计更利于南北向流量，但并不适用于越来越占据主 导地位的东西向流 量 – 数量巨大的虚拟机（VM)网络端口（vNIC），导致网络设备MAC激增引起网络风暴 • 效率低下 – 物理链路使用生成树协议 (STP)转发数据，导致链路利用率低下 • 虚拟机迁移受限 – 网络扁平化受限于4K VLAN数量，无法实现规模化 – 大量独立的交换和路由设备，增加了操作和维护的复杂性. 云化数据中心设计 CISCO FabricPath and DFA • L2、L3 （二、三层网）的边界消失, 网络扁平化 • L2 、L3 的标记都将终结 （terminate）在接入层边界，基于MAC/IP的寻址变为基于交换机 ID的传输 • 数据包在接入交换机内封装了新的包头，植入目的交换机的ID并转发 • 目的交换机收到报文后，基于目的MAC/IP完成最后一跳 云化数据中心设计 Juniper QFabric • 数据中心大量的交换/路由等物理设备收敛到一个单一的巨型逻辑设备 • 控制平面: Qfabric控制器 • 数据平面交换矩阵: Qfabric内部互联 • 数据平面接口模块: Qfabric 接入节点 • 支持1600万 L2 network 云化数据中心设计 VMware NSX • 构建在叠加网络(Overlay Network)技术之上, 如VxLAN, NVGRE等. • 数据中心交换矩阵静态配置，通过IP单播和多播提供物理机IP到IP的链接 • 在Hypervisor内部的Edge决定下一跳并且将数据包被封装在VxLAN隧道里转发