迪普云安全解决方案DP+xCloud解决方案主打胶片20130827

DPxCloud解决方案——迪普科技云数据中心解决方案部门：产品行销部日期：2013年7月密级：内部公开云数据中心的演进虚拟化获取弹性传统数据中心私有云私有混合云应用部署时间长资源利用率低缺乏灵活与弹性应用可快速部署资源利用率较高整体缺乏弹性应用可快速迁移资源利用率高整体具有弹性应用1应用2应用n应用1应用2应用n公有云私有云私有云私有云2、虚拟化›虚机的感知与隔离›虚机迁移与大二层组网2、多租户›租户的虚拟网络环境›租户应用间隔离与互通3、安全防护与等保合规›云DC基础架构安全›租户自身安全防护需求要点：3核心核心网络安全应用交付虚拟化VSAVSAVSAVSAVSAVSA广域网4云数据中心安全网络架构设计虚拟化组网虚机感知大二层组网多租户环境虚拟租户网租户间隔离安全体系架构基础架构安全租户安全防护虚拟化组网：虚机感知(VEPA)802.1QbhVN-LINKVN-TAGV.S.解决方案的思路将虚机间的流量通过标签加以区分，再通过物理交换机进行交换从而实现虚机感知802.1Qbg采用QinQ的变体，使用VLAN标签802.1BR定义了新的标签物理交换机只有得到虚拟化软件支持，以上才会实现！可感知物理服务器无法感知虚拟机租户1租户2SecondaryVLAN10,1120，21PrimaryVLAN101102基于现有虚拟化软件能力的虚机感知特性对虚机加以区分并将流量引入物理交换机将虚机配置在不同的SecondaryVLAN中，实现虚机隔离。同一租户的虚机放置在同一个PrimaryVLAN之中。在物理交换机上启用ARPProxy，实现同一PrimaryVLAN内的虚机互访。物理交换机VLAN101VLAN102ARPProxyVLAN20VLAN10VLAN11VLAN21N：1虚拟化技术迪普科技VSM虚拟化技术虚拟化组网：Intra-DC大二层组网台以下的服务器接入等价多路径技术TRILL（多链路透明互联）SPB（最短路径桥接）改造二层控制协议实现等价多路径适合10000台以上的服务器接入迪普科技VSM多合一虚拟化技术（VirtualSwitchingMatrix，虚拟交换机矩阵）是一种控制平面虚拟化技术，可将多个机框虚拟成为一个。转发平面控制平面业务平面主引擎备引擎VSM虚拟化虚拟化组网：Inter-DC大二层组网（VLL/VPLS）3MACinIP/UDP1、裸光纤›性能高、组网简单›成本高、距离受限2、二层VPN›技术成熟、互通性好›复杂、未考虑广播问题3、MACinIP/UDP›简单、解决广播问题›技术不成熟、不互通迪普科技VE-DCI技术：VirtualEthernet–DataCenterInterconnect跨数据中心的二层互联虚机无缝跨数据中心迁移通过任播技术实现三层网关的优选和自动切换虚拟化组网：Inter-DC大二层组网应用迁移前，用户直接访问DC-A2.应用迁移后，用户原连接依然通过DC-A访问3.GLB发布新地址，用户的新建连接直接访问DC-B用户通过全局/本地负载均衡技术实现虚机迁移中的路径优化全局负载均衡发布迁移信息本地负载均衡配置对外地址，接受客户请求VPN112多租户环境：虚拟租户网VLAN101VLAN102192.168.111.0/24192.168.112.0/24租户管理自己的虚机的同时，也存在管理虚机间逻辑网络的需求，不同租户自定义的网络可能存在地址重叠。不同租户部署在不同的VPN之中不同业务都部署在不同VLAN中不同的业务之间通过虚拟网关进行互通VPN2VLAN201VLAN202192.168.111.0/24192.168.112.0/24租户1租户2云数据中心多租户环境：租户间隔离与互通通过VLAN/VRF实现虚拟租户网，区分和隔离不同的租户租户间互访需要通过安全设备进行控制VRFVRFVRF虚机感知与隔离同一租户业务隔离(VLAN)租户隔离(VRF)跨租户访问控制安全体系架构：基础架构安全各个安全域边界部署多业务安全网关，安全策略统一部署，构建基础架构的安全核心。普通业务资源池VIP业务资源池托管业务区广域网网络运维区运营业务区安全核心FWIPSUAGFWIPSUAG安全体系架构：租户安全防护租户安全策略：租户可自行定义和部署自己的安全策略−通过虚拟化技术，为租户提供虚拟业务设备（VSA）。租户通过VSA部署自己的安全策略。所提供的业务能力包括防火墙、IPS、流量控制、审计以及应用交付等。−VSA可同时作为虚拟路由网关使用增值安全业务：提供流量清洗、WAF、漏洞扫描等WAF群集漏洞扫描群集异常流量清洗异常流量监测16安全体系架构：业务资源池迪普科技N:M虚拟化技术，可以将多个业务设备/板卡资源整合，并在此基础上按需建立VSA，从而建立业务资源池。ResourcePoolVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAN:MVirtualization业务网关业务网关业务网关业务网关ServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-X17方案设计：单数据中心设计FWIPSUAGADXFWIPSUAGADX设计要点虚机感知：支持业界标准的同时，可实现现有条件下的虚机流量牵引。租户隔离：为租户建立虚拟租户网，并实现租户间隔离。安全虚拟化：建立安全资源池，为租户提供可自定义的安全防护。方案优势可实施：方案设计充分考虑了目前的技术现状，具有良好的可实施性。简化管理：一体化方案设计，能做到在一个界面下完成全部配置管理工作。灵活可靠：虚拟化技术保证组网灵活的同时，确保网络的可靠性。广域网VE-DCI方案设计：双活云数据中心设计扩展网络全局负载均衡本地负载均衡全局负载均衡本地负载均衡设计要点VE-DCI：跨广域的二层互联、双主模式实现网关分离。路径优化：虚机迁移时的路径优化。方案优势互通性好：确保与第三方设备的互通性高可靠性：双主模式保证本地网关转发的同时，可实现快速故障切换。方案设计：云数据中心出口设计防火墙链路带宽优化智能安全接入智能攻击防范根据租户需要，灵活分配出口链路带宽链路资源优化出口智能选路，降低访问延迟，提升用户体验依据不同用户采用不同的接入和访问控制策略针对各种攻击进行防范，可识别隧道内的攻击VSM欢迎访问公司网站：