论文部分内容阅读
摘要近年来,随着云计算、虚拟化技术的引入和网络安全防护要求的持续提升,原有的网络安全域划分和安全防护能力已不能适应业务发展的需要,需要通过本次业务支撑网资源池改造专项工作,实现软硬分离、硬件通用化、功能软件化、网络扁平化、新功能可快速部署、基础资源虚拟化、资源可动态平滑扩展等能力。拟讨论业务支撑云资源池安全域改造方案,主要实现云计算资源池的安全改造。
关键词资源池虚拟化安全域;改造
针对省内大数据虚拟化资源池、4A及SMP资源池、客服及BOMC资源池和开发测试资源池的网络改造需求主要包括:1)划分不同安全域,各域之间补充部署独立的接入设备和安全防护设备;2)东西向流量做到相应的安全防护;3)对不符合集中分组要求的已运行虚拟资源,评估业务影响后,组织进行必要的资源迁移。
1建设方案
1.1整体架构
建设架构如图1所示。
基于现网资源,采用新增和替换设备的方式构建8楼资源池二层数据中心网络,使用虚拟网络分组技术在资源池内划分独立的逻辑子域,新建NFV安全资源池,域间安全隔离采用物理或者逻辑上进行域间安全防护;在互联网接口子域内部新增三类独立子域,进行分类隔离防护;开发测试子域新增敏感数据脱敏检查设备,开发测试子域与生产系统之间新增防绕行检测设备。
1.2具体改造方案
由于现网络设备和架构无法对虚拟化资源池资源、物理资源和逻辑子域实施基本粒度的访问控制策略,故在八楼资源池新增2台核心交换,替换现网2台华为S9312为数据中心级交换机,采用虚拟化技术,简化网络结构、方便设备维护并提供安全保障。新增交换机支持VxLAN功能,实现不同VxLAN之间的三层互通,及VxLAN与VLAN之间的三层互通。
替换后的接入交换机做为VxLAN二层网关,实现相同VxLAN之间的二层互通,通过10GE链路上联至新增核心交换机,服务器通过10GE链路上联至接入交换机。新增核心交换机做为VxLAN三层网关。
八楼资源池虚拟化平台部署vSwitch,每台物理主机需部署一个vSwitch做为虚拟机的接入交换机,vSwitch结合VxLAN网络做二层网关,对Ⅷ做逻辑划分,实现报文封装解封装。
八楼安全管理子域内新增NFV的安全资源池(支持X86架构)。采用虚拟防火墙功能实现东西向流量的逻辑安全防护。
改造后,资源池内部划分成核心资源子域、接入资源子域和安全管理子域。现网测试区划分至接入资源子域,4A和SMP系统划分至安全管理子域中,其他业务系统划分成核心资源子域。采用VxLAN实现各子域间的安全防护和访问管控。
改造后各子域流量访问如下描述:1)现网改造后核心资源子域和接入资源子域南北向流量通过现网出口物理防火墙进行流量的控制与防护;2)改造后域间流量必须通过安全管理子域的调度实现预间访问,采用VxLAN和安全资源池内的虚拟防火墙进行安全隔离或防护;3)改造后同一域内不同VxLAN业务流隔离方式有2种,根据不同业务配置不同的策略,第一种是通过VxLAN三层网关实现业务隔离,第二种是域内流经过VxLAN三层网关和安全资源池内的虚拟防火墙进行安全隔离或防护。
整个网络分为underlay网络和overlay网络,把各域分配到不同的overlay网络,承载不同域业务,从逻辑网络层面划分安全域。域间流量控制通过SDN流量调度,采用虚拟网络分组技术实现安全防护,保障业务安全隔离。
2网络规划方案
2.1IP地址规划
1)IP地址分配基本分为以下两大类。网络地址:包括网络互联地址(点对点链路或其他链路地址)、网络设备本身地址(三层设备LOOPBACK地址和二层设备管理地址);业务地址:包括内部私网地址、对外服务公网IP地址,如虚拟主机地址、物理主机地址、存储设备地址等。
2)地址分配原则。地址按照地址聚合原则分片分配,尽量做到地址高效聚合,减少路由表规模。
3)内私网IP地址分配原则。根据不同的安全等级划分到不同的資源池,不同的资源池分配不同的IP地址段;考虑到业务发展需要同一资源池内的IP地址分配时需要使用VSLM和CIDR技术用于扩展和节约IP地址使用。
4)对外服务公网IP地址分配原则。由于公网IP地址需求会少于内部私网IP地址需求,公网IP地址分配原则建议采用类似城域网IP地址分配原则:(1)根据不同的业务系统分配不同的IP地址段;(2)同一中心的相同业务系统分配相同的IP地址段;(3)考虑到业务发展和扩展性,建议每段IP地址充分预留。
例如:对外服务的云计算根据用户和业务统一规划IP地址,包括业务地址、设备管理地址、设备互连地址、管理平台地址等。
在内部使用私有IP地址,根据VLAN和业务分配地址段,并进行一定比例的预留,以便于扩展。对于有外网访问需求的业务,在防火墙上进行IP地址转换,提供公网IP地址池。
2.2 VxLAN规划
云平台根据用户业务类型统一规划VxLAN,物理机及虚拟机VxLAN规划如下。
针对物理主机的VxLAN规划相对简单。将承担同样角色的主机划归到一个VxLAN内即可,如10台主机都是WEB服务器,那么将这10台主机划在一个VxLAN内,通过负载均衡设备实现业务响应的轮循即可。
由于虚拟机的出现目前通用的方案是由虚拟交换机打VxLANtag,这样到达邻接交换机的数据流对应不同虚拟机就由不同的VxLAN号了,根据VLAN号临接交换机则可以进行针对性的网络策略配置。同一中心内大的原则就是相同业务部署相同VxLAN。将位于两中心的物理服务器规划在同一VxLAN内,则可以实现虚拟机的跨中心迁移了。
2.3 SDN控制平台规划
标准x86平台部署和VxLAN云主控部署,支持集群设计最大32台,具备高可靠和可用性。能够管理5个VxLAN硬件网关,部署100个服务链节点;实现混合overlay部署(vSwitch虚拟化平台部署和硬件部署),vSwitch管理64颗CPU,能与苏研虚拟化平台友好对接,提供物理主机和Ⅷ虚机同时接入overlay网络。
3结论
通过支撑网资源池的改造,划分不同安全域,各域之间补充部署独立的接入设备和安全防护设备;对东西向流量做到相应的安全防护;对不符合集中分组要求的已运行虚拟资源,组织进行必要的资源迁移。
关键词资源池虚拟化安全域;改造
针对省内大数据虚拟化资源池、4A及SMP资源池、客服及BOMC资源池和开发测试资源池的网络改造需求主要包括:1)划分不同安全域,各域之间补充部署独立的接入设备和安全防护设备;2)东西向流量做到相应的安全防护;3)对不符合集中分组要求的已运行虚拟资源,评估业务影响后,组织进行必要的资源迁移。
1建设方案
1.1整体架构
建设架构如图1所示。
基于现网资源,采用新增和替换设备的方式构建8楼资源池二层数据中心网络,使用虚拟网络分组技术在资源池内划分独立的逻辑子域,新建NFV安全资源池,域间安全隔离采用物理或者逻辑上进行域间安全防护;在互联网接口子域内部新增三类独立子域,进行分类隔离防护;开发测试子域新增敏感数据脱敏检查设备,开发测试子域与生产系统之间新增防绕行检测设备。
1.2具体改造方案
由于现网络设备和架构无法对虚拟化资源池资源、物理资源和逻辑子域实施基本粒度的访问控制策略,故在八楼资源池新增2台核心交换,替换现网2台华为S9312为数据中心级交换机,采用虚拟化技术,简化网络结构、方便设备维护并提供安全保障。新增交换机支持VxLAN功能,实现不同VxLAN之间的三层互通,及VxLAN与VLAN之间的三层互通。
替换后的接入交换机做为VxLAN二层网关,实现相同VxLAN之间的二层互通,通过10GE链路上联至新增核心交换机,服务器通过10GE链路上联至接入交换机。新增核心交换机做为VxLAN三层网关。
八楼资源池虚拟化平台部署vSwitch,每台物理主机需部署一个vSwitch做为虚拟机的接入交换机,vSwitch结合VxLAN网络做二层网关,对Ⅷ做逻辑划分,实现报文封装解封装。
八楼安全管理子域内新增NFV的安全资源池(支持X86架构)。采用虚拟防火墙功能实现东西向流量的逻辑安全防护。
改造后,资源池内部划分成核心资源子域、接入资源子域和安全管理子域。现网测试区划分至接入资源子域,4A和SMP系统划分至安全管理子域中,其他业务系统划分成核心资源子域。采用VxLAN实现各子域间的安全防护和访问管控。
改造后各子域流量访问如下描述:1)现网改造后核心资源子域和接入资源子域南北向流量通过现网出口物理防火墙进行流量的控制与防护;2)改造后域间流量必须通过安全管理子域的调度实现预间访问,采用VxLAN和安全资源池内的虚拟防火墙进行安全隔离或防护;3)改造后同一域内不同VxLAN业务流隔离方式有2种,根据不同业务配置不同的策略,第一种是通过VxLAN三层网关实现业务隔离,第二种是域内流经过VxLAN三层网关和安全资源池内的虚拟防火墙进行安全隔离或防护。
整个网络分为underlay网络和overlay网络,把各域分配到不同的overlay网络,承载不同域业务,从逻辑网络层面划分安全域。域间流量控制通过SDN流量调度,采用虚拟网络分组技术实现安全防护,保障业务安全隔离。
2网络规划方案
2.1IP地址规划
1)IP地址分配基本分为以下两大类。网络地址:包括网络互联地址(点对点链路或其他链路地址)、网络设备本身地址(三层设备LOOPBACK地址和二层设备管理地址);业务地址:包括内部私网地址、对外服务公网IP地址,如虚拟主机地址、物理主机地址、存储设备地址等。
2)地址分配原则。地址按照地址聚合原则分片分配,尽量做到地址高效聚合,减少路由表规模。
3)内私网IP地址分配原则。根据不同的安全等级划分到不同的資源池,不同的资源池分配不同的IP地址段;考虑到业务发展需要同一资源池内的IP地址分配时需要使用VSLM和CIDR技术用于扩展和节约IP地址使用。
4)对外服务公网IP地址分配原则。由于公网IP地址需求会少于内部私网IP地址需求,公网IP地址分配原则建议采用类似城域网IP地址分配原则:(1)根据不同的业务系统分配不同的IP地址段;(2)同一中心的相同业务系统分配相同的IP地址段;(3)考虑到业务发展和扩展性,建议每段IP地址充分预留。
例如:对外服务的云计算根据用户和业务统一规划IP地址,包括业务地址、设备管理地址、设备互连地址、管理平台地址等。
在内部使用私有IP地址,根据VLAN和业务分配地址段,并进行一定比例的预留,以便于扩展。对于有外网访问需求的业务,在防火墙上进行IP地址转换,提供公网IP地址池。
2.2 VxLAN规划
云平台根据用户业务类型统一规划VxLAN,物理机及虚拟机VxLAN规划如下。
针对物理主机的VxLAN规划相对简单。将承担同样角色的主机划归到一个VxLAN内即可,如10台主机都是WEB服务器,那么将这10台主机划在一个VxLAN内,通过负载均衡设备实现业务响应的轮循即可。
由于虚拟机的出现目前通用的方案是由虚拟交换机打VxLANtag,这样到达邻接交换机的数据流对应不同虚拟机就由不同的VxLAN号了,根据VLAN号临接交换机则可以进行针对性的网络策略配置。同一中心内大的原则就是相同业务部署相同VxLAN。将位于两中心的物理服务器规划在同一VxLAN内,则可以实现虚拟机的跨中心迁移了。
2.3 SDN控制平台规划
标准x86平台部署和VxLAN云主控部署,支持集群设计最大32台,具备高可靠和可用性。能够管理5个VxLAN硬件网关,部署100个服务链节点;实现混合overlay部署(vSwitch虚拟化平台部署和硬件部署),vSwitch管理64颗CPU,能与苏研虚拟化平台友好对接,提供物理主机和Ⅷ虚机同时接入overlay网络。
3结论
通过支撑网资源池的改造,划分不同安全域,各域之间补充部署独立的接入设备和安全防护设备;对东西向流量做到相应的安全防护;对不符合集中分组要求的已运行虚拟资源,组织进行必要的资源迁移。