迪普云安全解決方案DP+xCloud解決方案主打膠片20130827

DPxCloud解決方案——迪普科技云數(shù)據(jù)中心解決方案部門：產(chǎn)品行銷部日期：2013年7月密級：內(nèi)部公開云數(shù)據(jù)中心的演進(jìn)1虛擬化獲取彈性傳統(tǒng)數(shù)據(jù)中心私有云私有混合云應(yīng)用部署時間長資源利用率低缺乏靈活與彈性應(yīng)用可快速部署資源利用率較高整體缺乏彈性應(yīng)用可快速遷移資源利用率高整體具有彈性應(yīng)用1應(yīng)用2應(yīng)用n應(yīng)用1應(yīng)用2應(yīng)用n公有云私有云私有云私有云2云數(shù)據(jù)中心的建設(shè)目標(biāo)與需求要點(diǎn)向租戶提供資源彈性租戶單位虛擬私有云租戶單位廣域網(wǎng)虛擬私有云虛擬私有云公有云私有DC租戶單位1、虛擬化虛機(jī)的感知與隔離虛機(jī)遷移與大二層組網(wǎng)2、多租戶租戶的虛擬網(wǎng)絡(luò)環(huán)境租戶應(yīng)用間隔離與互通3、安全防護(hù)與等保合規(guī)云DC基礎(chǔ)架構(gòu)安全租戶自身安全防護(hù)需求要點(diǎn)：3云數(shù)據(jù)中心框架存儲系統(tǒng)ServerFarm網(wǎng)管中心FC/FCoE/EthernetSwtichAcessSwtichAcessSwtich核心核心網(wǎng)絡(luò)安全應(yīng)用交付虛擬化VSAVSAVSAVSAVSAVSA廣域網(wǎng)4云數(shù)據(jù)中心安全網(wǎng)絡(luò)架構(gòu)設(shè)計虛擬化組網(wǎng)虛機(jī)感知大二層組網(wǎng)多租戶環(huán)境虛擬租戶網(wǎng)租戶間隔離安全體系架構(gòu)基礎(chǔ)架構(gòu)安全租戶安全防護(hù)虛擬化組網(wǎng)：虛機(jī)感知5802.1BR802.1Qbg(VEPA)802.1QbhVN-LINKVN-TAGV.S.解決方案的思路將虛機(jī)間的流量通過標(biāo)簽加以區(qū)分，再通過物理交換機(jī)進(jìn)行交換從而實(shí)現(xiàn)虛機(jī)感知802.1Qbg采用QinQ的變體，使用VLAN標(biāo)簽802.1BR定義了新的標(biāo)簽物理交換機(jī)只有得到虛擬化軟件支持，以上才會實(shí)現(xiàn)！可感知物理服務(wù)器無法感知虛擬機(jī)租戶1租戶2SecondaryVLAN10,1120，21PrimaryVLAN101102基于現(xiàn)有虛擬化軟件能力的虛機(jī)感知6基于虛擬交換機(jī)的VLAN/PVLAN特性對虛機(jī)加以區(qū)分并將流量引入物理交換機(jī)將虛機(jī)配置在不同的SecondaryVLAN中，實(shí)現(xiàn)虛機(jī)隔離。同一租戶的虛機(jī)放置在同一個PrimaryVLAN之中。在物理交換機(jī)上啟用ARPProxy，實(shí)現(xiàn)同一PrimaryVLAN內(nèi)的虛機(jī)互訪。物理交換機(jī)VLAN101VLAN102ARPProxyVLAN20VLAN10VLAN11VLAN21N：1虛擬化技術(shù)迪普科技VSM虛擬化技術(shù)虛擬化組網(wǎng)：Intra-DC大二層組網(wǎng)7通過跨設(shè)備鏈路聚合實(shí)現(xiàn)大二層適合10000臺以下的服務(wù)器接入等價多路徑技術(shù)TRILL（多鏈路透明互聯(lián)）SPB（最短路徑橋接）改造二層控制協(xié)議實(shí)現(xiàn)等價多路徑適合10000臺以上的服務(wù)器接入迪普科技VSM多合一虛擬化技術(shù)8VSM（VirtualSwitchingMatrix，虛擬交換機(jī)矩陣）是一種控制平面虛擬化技術(shù)，可將多個機(jī)框虛擬成為一個。轉(zhuǎn)發(fā)平面控制平面業(yè)務(wù)平面主引擎?zhèn)湟鎂SM虛擬化虛擬化組網(wǎng)：Inter-DC大二層組網(wǎng)9廣域網(wǎng)二層互聯(lián)方案VE-DCILAN擴(kuò)展網(wǎng)絡(luò)1裸光纖2二層VPN（VLL/VPLS）3MACinIP/UDP1、裸光纖性能高、組網(wǎng)簡單成本高、距離受限2、二層VPN技術(shù)成熟、互通性好復(fù)雜、未考慮廣播問題3、MACinIP/UDP簡單、解決廣播問題技術(shù)不成熟、不互通迪普科技VE-DCI技術(shù)10數(shù)據(jù)中心A數(shù)據(jù)中心B廣域網(wǎng)VE-DCI本地網(wǎng)關(guān)本地網(wǎng)關(guān)VE-DCI：VirtualEthernet–DataCenterInterconnect跨數(shù)據(jù)中心的二層互聯(lián)虛機(jī)無縫跨數(shù)據(jù)中心遷移通過任播技術(shù)實(shí)現(xiàn)三層網(wǎng)關(guān)的

優(yōu)選和自動切換虛擬化組網(wǎng)：Inter-DC大二層組網(wǎng)11數(shù)據(jù)中心A數(shù)據(jù)中心B廣域網(wǎng)VE-DCI本地負(fù)載均衡本地負(fù)載均衡全局負(fù)載均衡全局負(fù)載均衡123應(yīng)用遷移前，用戶直接訪問DC-A應(yīng)用遷移后，用戶原連接依然通過DC-A訪問GLB發(fā)布新地址，用戶的新建連接直接訪問DC-B用戶通過全局/本地負(fù)載均衡技術(shù)實(shí)現(xiàn)虛機(jī)遷移中的路徑優(yōu)化全局負(fù)載均衡發(fā)布遷移信息本地負(fù)載均衡配置對外地址，接受客戶請求VPN112多租戶環(huán)境：虛擬租戶網(wǎng)VLAN101VLAN102/24/24租戶管理自己的虛機(jī)的同時，也存在管理虛機(jī)間邏輯網(wǎng)絡(luò)的需求，不同租戶自定義的網(wǎng)絡(luò)可能存在地址重疊。不同租戶部署在不同的VPN之中不同業(yè)務(wù)都部署在不同VLAN中不同的業(yè)務(wù)之間通過虛擬網(wǎng)關(guān)進(jìn)行互通VPN2VLAN201VLAN202/24/24租戶1租戶2云數(shù)據(jù)中心多租戶環(huán)境：租戶間隔離與互通13通過VLAN/VRF實(shí)現(xiàn)虛擬租戶網(wǎng)，區(qū)分和隔離不同的租戶租戶間互訪需要通過安全設(shè)備進(jìn)行控制VRFVRFVRF虛機(jī)感知與隔離同一租戶業(yè)務(wù)隔離(VLAN)租戶隔離(VRF)跨租戶訪問控制安全體系架構(gòu)：基礎(chǔ)架構(gòu)安全14各個安全域邊界部署多業(yè)務(wù)安全網(wǎng)關(guān)，安全策略統(tǒng)一部署，構(gòu)建基礎(chǔ)架構(gòu)的安全核心。普通業(yè)務(wù)資源池VIP業(yè)務(wù)資源池托管業(yè)務(wù)區(qū)廣域網(wǎng)網(wǎng)絡(luò)運(yùn)維區(qū)運(yùn)營業(yè)務(wù)區(qū)安全核心FWIPSUAGFWIPSUAG安全體系架構(gòu)：租戶安全防護(hù)15租戶安全策略：租戶可自行定義和部署自己的安全策略通過虛擬化技術(shù)，為租戶提供虛擬業(yè)務(wù)設(shè)備（VSA）。租戶通過VSA部署自己的安全策略。所提供的業(yè)務(wù)能力包括防火墻、IPS、流量控制、審計以及應(yīng)用交付等。VSA可同時作為虛擬路由網(wǎng)關(guān)使用增值安全業(yè)務(wù)：提供流量清洗、WAF、漏洞掃描等WAF群集漏洞掃描群集異常流量清洗異常流量監(jiān)測16安全體系架構(gòu)：業(yè)務(wù)資源池迪普科技N:M虛擬化技術(shù)，可以將多個業(yè)務(wù)設(shè)備/板卡資源整合，并在此基礎(chǔ)上按需建立VSA，從而建立業(yè)務(wù)資源池。ResourcePoolVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAN:MVirtualization業(yè)務(wù)網(wǎng)關(guān)業(yè)務(wù)網(wǎng)關(guān)業(yè)務(wù)網(wǎng)關(guān)業(yè)務(wù)網(wǎng)關(guān)ServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-X17方案設(shè)計：單數(shù)據(jù)中心設(shè)計FWIPSUAGADXFWIPSUAGADX設(shè)計要點(diǎn)虛機(jī)感知：支持業(yè)界標(biāo)準(zhǔn)的同時，可實(shí)現(xiàn)現(xiàn)有條件下的虛機(jī)流量牽引。租戶隔離：為租戶建立虛擬租戶網(wǎng)，并實(shí)現(xiàn)租戶間隔離。安全虛擬化：建立安全資源池，為租戶提供可自定義的安全防護(hù)。方案優(yōu)勢可實(shí)施：方案設(shè)計充分考慮了目前的技術(shù)現(xiàn)狀，具有良好的可實(shí)施性。簡化管理：一體化方案設(shè)計，能做到在一個界面下完成全部配置管理工作。靈活可靠：虛擬化技術(shù)保證組網(wǎng)靈活的同時，確保網(wǎng)絡(luò)的可靠性。廣域網(wǎng)VE-DCI方案設(shè)計：雙活云數(shù)據(jù)中心設(shè)計18數(shù)據(jù)中心A數(shù)據(jù)中心BSAN擴(kuò)展網(wǎng)絡(luò)LAN擴(kuò)展網(wǎng)絡(luò)全局負(fù)載均衡本地負(fù)載均衡全局負(fù)載均衡本地負(fù)載均衡設(shè)計要點(diǎn)VE-DCI：跨廣域的二層互聯(lián)、雙主模式實(shí)現(xiàn)網(wǎng)關(guān)分離。路徑優(yōu)化：虛機(jī)遷移時的路徑優(yōu)化。方案優(yōu)勢互通性好：確保與第三方設(shè)備的互通性高可靠性：雙主模式保證本地網(wǎng)關(guān)轉(zhuǎn)發(fā)的同時，可實(shí)現(xiàn)快速故障