Unikalne funkcjonalności VMware NSX – Część 1: Natywne szyfrowanie ruchu Ethernet.

Dodane 15/02/2017 by blogsadmin
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Piotr Jabłoński, Senior Systems Engineer, VMware

Nikt nie chciałby, aby ktoś niepowołany mógł zmienić nasze dane, zrobić ich kopię lub je podsłuchać. Dotyczy to zwłaszcza danych przesyłanych między ośrodkami obliczeniowymi. Nie każdy ma własne światłowody, a nawet jeśli, to i tak nie gwarantuje to uniknięcia wycieku danych. Zdarza się, że przy łączeniu data center ze sobą pozostaje skorzystanie z usługi operatora lub innego zewnętrznego usługodawcy. Co w takim przypadku? Spróbujmy szyfrowania.

Jakie jest stan obecny na rynku? Czy rozwiązania SDN mogą nas jakoś w tym temacie wspomóc?

Domyślnie ruch w warstwie 2 nie jest szyfrowany, niezależnie, czy stosujemy VLAN-y, MPLS, czy VXLAN. Wymusza to użycie dodatkowych szyfratorów. Można wykorzystać MACsec do szyfrowania ruchu w warstwie 2. Wadą rozwiązania jest konieczność posiadania bezpośredniego łącza między ośrodkami lub zastosowanie port-based EoMPLS. Zawęża to mocno zastosowanie takiego szyfrowania poprzez sieci rozległe. Innym sposobem jest przesłanie ramki Ethernet w L2TPv3 i zaszyfrowanie jej jako ruchu IP. Niestety z uwagi na wsparcie protokołów EoIP oraz ich wydajność może się skończyć na zbudowaniu enkapsulacji Ethernet over MPLS over GRE over IPSec lub na zastosowaniu zewnętrznych szyfratorów. Zwiększy to koszt rozwiązania.

Co unikalnego oferuje nam VMware NSX? Wraz z rozwiązaniem otrzymujemy natywne szyfrowanie ruchu Ethernet w warstwie 2 bez konieczności używania zewnętrznych szyfratorów lub dodatkowych tuneli. Można łączyć ze sobą nie tylko sieci VXLAN, ale również VLAN-y z VXLAN oraz innymi sieciami VLAN. Zapewnia to automatycznie bridging między siecią klasyczną działającą w oparciu o VLAN-y, a nową infrastrukturą z segmentami VXLAN.

Przykład połączenia jest pokazany na poniższym rysunku.

Urządzenia fizyczne widzą ruch L2VPN, jako zwykły ruch IP. Z kolei maszyny wirtualne lub maszyny fizyczne podpięte do VLAN-ów widzą odszyfrowany ruch bez zmian nagłówków Ethernet. Nie ma konieczności wymiany posiadanych urządzeń. Co ciekawe węzły brzegowe NSX Edge terminujące połączenia L2VPN mogą jednocześnie pełnić funkcję bramy domyślnej dla ruchu wyjściowego na zewnątrz np. do sieci Internet.

NSX wspiera również klienta SSLVPN z przydziałem pul IP, wyznaczeniem dostępu do zasobów, uwierzytelnieniem oraz monitoringiem. Umożliwia to uzyskanie dostępu bezpośrednio do wyznaczonych zasobów sieciowych z zewnątrz Data Center dla użytkowników usług i aplikacji oraz administratorów sieci. Klienta SSL można wystawić dla użytkowników poprzez stronę www.

W Polsce aktualnie wdrażany jest projekt NSX, gdzie Centra Przetwarzania Danych (CPD) połączone są poprzez sieć strony trzeciej. Dzięki zastosowaniu L2VPN możliwe stało się tanie i elastyczne zabezpieczenie integralności danych. Według mojej wiedzy, żadne inne rozwiązanie SDN na rynku poza NSX nie ma natywnego szyfrowania ruchu Ethernet. Jeżeli to nie jest już prawda lub masz pytania do wspomnianej technologii napisz komentarz pod tym wpisem. Z chęcią odpowiem.

————————————–

Zobacz inne posty Piotra Jabłońskiego >


Kategoria: Aktualności

Tagi: , , ,

Podobne artykuły

Dodane 17/04/2019 przez VMwarePOL

Innowacyjne zabezpieczenia sieciowe wspierają rozwój giganta ubezpieczeniowego

Przejęcie jest zwykle postrzegane jako czynnik wspierający rozwój firmy. Może ono jednak również stanowić inspirację do innych, fundamentalnych zmian. Co by się stało gdyby przejęcie potraktować jako szansę na całkowitą zmianę biznesowych priorytetów i kształt prowadzonej działalności? Helvetia to jedna z wiodących firm ubezpieczeniowych w Szwajcarii. W 2014 r. przejęła konkurującą firmę Nationale Suisse, co pozwoliło […]

Dodane 27/02/2019 przez VMwarePOL

Hiperkonwergencja i “pudełkowe” data center rosną w siłę

Według IDC wartość rynku rozwiązań konwergentnych wyniosła 3,5 mld dolarów – o ponad 9 proc. więcej niż rok wcześniej. Największy wzrost zaliczyły jednak rozwiązania hiperkonwergentne. Trend ten napędzają inwestycje w cyfrową transformację biznesu, która potrzebuje prostych i sprawnych narzędzi.

Dodane 14/03/2019 przez VMwarePOL

Zapora nowej generacji. Poznajcie VMware Service-defined Firewall

Już od 20 lat VMware znajduje się w forpoczcie cyfrowej transformacji i wyznacza trendy dla innowacyjnego biznesu. Wspieraliśmy przedsiębiorców, gdy tworzyli aplikacje na jednym, góra dwóch serwerach. Jesteśmy z nimi, gdy tworzą wieloskładnikowe środowisko aplikacyjne w oparciu o maszyny wirtualne. Będziemy także, gdy biznes zdecyduje się na budowę zdecentralizowanych ekosystemów opartych na chmurach obliczeniowych. Przede […]

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy