www.hillstonenet.com.cn1 www.hillstonenet.com.cn

数据中心的演化和安全挑战

蒋东毅研发副总裁，山石网络

2014/5/16

www.hillstonenet.com.cn2

议程1

2

3

数据中心的演化

当前数据中心网络的局限性

灵活弹性的云化数据中心设计

4云化数据中心带来的安全挑战

5山石 vEFA 全并行架构的解决方案

6山石下一代智能防火墙

www.hillstonenet.com.cn3

大型主机 C/S 架构 多层分布式架构 SOA 架构 大数据的应用

数据中心的演进

应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进

CPU 性能越来越高，体积越来越小，密集度增高

虚拟化技术的引入，逻辑和物理机的分离

服务器虚拟化 存储虚拟化 网络虚拟化

复杂性增加 共享、按需、动

态的模式 自动化部署，敏

捷性 一体化运营

ISB

ESB

DW

Portal

www.hillstonenet.com.cn4

目前数据中心网络三层架构：接入、汇聚、核心

www.hillstonenet.com.cn5

当前数据中心的流量

南北向流量 : 进出数据中心的流量东西向流量 : 数据中心内部的流量东西向流量是南北向流量的数十倍以上

www.hillstonenet.com.cn6

网络隔离和安全• 二层使用 VLAN 实现隔离• 三层使用 VRF 实现隔离• 三层到三层的安全由部署在汇聚和核心的防火墙提供

www.hillstonenet.com.cn7

当前数据中心网络设计的局限性

这种设计不能满足基于资源池的云化数据中心的需求，实现动态、灵活的资源

池配置，满足业务敏捷性要求 :

• 性能的扩展能力有限 – 三层网络架构设计更利于南北向流量，但并不适用于越来越占据主导地位的东西向流量

– 数量巨大的虚拟机（ VM) 网络端口（ vNIC ），导致网络设备 MAC 激增引起网络风暴

• 效率低下– 物理链路使用生成树协议 (STP) 转发数据，导致链路利用率低下

• 虚拟机迁移受限– 网络扁平化受限于 4K VLAN 数量，无法实现规模化

– 大量独立的交换和路由设备，增加了操作和维护的复杂性 .

www.hillstonenet.com.cn8

云化数据中心设计CISCO FabricPath and DFA• L2 、 L3 （二、三层网）的边界消失 , 网络扁平化• L2 、 L3 的标记都将终结（ terminate ）在接入层边界，基于 MAC/IP 的寻址变为

基于交换机 ID 的传输• 数据包在接入交换机内封装了新的包头，植入目的交换机的 ID 并转发• 目的交换机收到报文后，基于目的 MAC/IP 完成最后一跳

www.hillstonenet.com.cn9

云化数据中心设计Juniper QFabric• 数据中心大量的交换 / 路由等物理设备收敛到一个单一的巨型逻辑设备• 控制平面 : Qfabric 控制器• 数据平面交换矩阵 : Qfabric 内部互联• 数据平面接口模块 : Qfabric 接入节点• 支持 1600万 L2 network

www.hillstonenet.com.cn10

云化数据中心设计VMware NSX• 构建在叠加网络 (Overlay Network) 技术之上 , 如 VxLAN, NVGRE 等 .• 数据中心交换矩阵静态配置，通过 IP 单播和多播提供物理机 IP 到 IP 的链接• 在 Hypervisor 内部的 Edge 决定下一跳并且将数据包被封装在 VxLAN隧道里转发• VxLAN 隧道最终节点 (VTEP) 网关桥接叠加网络和物理网络

www.hillstonenet.com.cn11

三家供应商方案的利与弊CISCO FabricPath/DFA

• 保护现有的客户投资 , 但是• 破坏了分层网络结构所带来的优势

Juniper QFabric• 保留了分层网络设计的优势• 需要建设全新的数据

Mware NSX• 静态的数据中心交换矩阵配置 , 当网络中的

一个子网拓扑结构变化时，基本不需对交换矩阵重新配置

• 从管理的角度看，由于 VTEP(s) 数量巨大，管理的可扩展性存在问题

www.hillstonenet.com.cn12

云化数据中心的安全挑战

网络的物理边界消失• 由于网络和资源全虚拟化和分布化，网络与资源的物理边界消失，使安全和服务部

署十分困难

效率和性能• 如果设计不合理，网络的流量可能在实际网络上多次往返，造成倍增的延时和流量 浪费

动态和灵活性• 虚拟机迁移要求动态感知的安全服务• 持续不断的据中心变化要求安全服务动态调整，以提供对用户 SLA 的保证

管理复杂• 随着租户的增长和资源的增加，数据中心管理本身就是复杂的事情，安全更加增加

了这个复杂性

www.hillstonenet.com.cn13

当前的方案和局限性高性能硬件安全设备

南北向流量• 数据中心网关位

置 东西向流量

• 单臂部署• 租户 VM 流量转

发到设备

弹性受硬件设备限制 数据中心的网络瓶颈，延时加大

虚拟化软件安全设备

同时服务于南北向和东西向流量

VM级设备服务于单用户

计算资源浪费 动态流量处理性能低

下 多设备管理复杂

In-Hypervisor 安全设备

虚拟操作系统厂商在Hypervisor 层安全模块

因为 Hypervisor稳定性要求，功能简单

www.hillstonenet.com.cn14

山石分布式安全架构硬件基于分布式、弹性安全服务 (EFA) 架构

SCM

Switch Fabric

IOM IOM IOM

SCM SSM SSM SSM

Interface Interface Interface

HillStone X7180 360G FW

要点 :• 建立在全分布式防火墙架构的专利技术之上• 性能和容量能够随着 CPU 的数量增加而线性增长• 规模可以从数十到数百个 CPU

www.hillstonenet.com.cn15

虚拟分布式、弹性安全架构 (vEFA)

• 扩展已有的分布式架构到云安全解决方案• 完全可扩展的分布式体系架构• 利用云中计算与网络资源的全软件解决方案，无任何专用硬件• 管理简单，人机交互与单一设备管理完全相同• 基于 VSYS （虚拟安全系统）对每个租户提供安全服务

Cloud Orchestration

Cloud Orchestration

www.hillstonenet.com.cn16

vEFA 重朔数据中心的安全边界

• vEFA 不但重朔数据中心安全边界

• 而且将边界推向服务器边缘

• 数据中心安全边界随虚拟化而消失

www.hillstonenet.com.cn17

vEFA 的优势

高度动态和灵活性

不需要硬件设备 天然适应云化数据中

心架构 随系统的规模扩展而

增加支付 为新的租户增加虚拟

系统扩展安全

管理简单且灵活

单一的虚拟安全设备负责整个数据中心的安全服务

虚拟机迁移无需更改安全策略配置

高性能和可伸缩性

按需弹性增加或减少 vIOM 和 vSSM

vIOM 接近租户的虚拟机节省带宽

高可扩展的吞吐量 ：容易扩展到 1Tbps

低延时： vIOM/vSSM 独占 CPU ，避免 VM切换延时

VM VM VM

VEB

VM VM VM

VEB

VM VM VM

VEB

VM VM VM

VEB

TOR TOR

www.hillstonenet.com.cn18

智能化、下一代网络安全解决方案

FirewallUTM NGFW

Intelligent NGFWFirewall

山石网络是 iNGFW 的原创者、领导者

Gartner “Enterprise Network Firewalls Magic Quadrant”

www.hillstonenet.com.cn19

山石全面网络安全架构 : 智能防火墙

主机服务器网络行为建模 ,预测和异常分

析NGFW/

WAF/AD 检测 ,阻挡

全周期检测 : 大数据 Malware

检测

证据收集

管理员智能

异常及威胁确认

样本上传学习，动态策略加载

大数据分析 , 云计算 , 云沙箱

知识库

www.hillstonenet.com.cn20

www.hillstonenet.com.cn如有问题，请联系我们服务热线： 400-828-6655

www.hillstonenet.com.cn

非常感谢！