Unikalne funkcjonalności VMware NSX – Część 1: Natywne szyfrowanie ruchu Ethernet.

Dodane 15/02/2017
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Piotr Jabłoński, Senior Systems Engineer, VMware

Nikt nie chciałby, aby ktoś niepowołany mógł zmienić nasze dane, zrobić ich kopię lub je podsłuchać. Dotyczy to zwłaszcza danych przesyłanych między ośrodkami obliczeniowymi. Nie każdy ma własne światłowody, a nawet jeśli, to i tak nie gwarantuje to uniknięcia wycieku danych. Zdarza się, że przy łączeniu data center ze sobą pozostaje skorzystanie z usługi operatora lub innego zewnętrznego usługodawcy. Co w takim przypadku? Spróbujmy szyfrowania.

Jakie jest stan obecny na rynku? Czy rozwiązania SDN mogą nas jakoś w tym temacie wspomóc?

Domyślnie ruch w warstwie 2 nie jest szyfrowany, niezależnie, czy stosujemy VLAN-y, MPLS, czy VXLAN. Wymusza to użycie dodatkowych szyfratorów. Można wykorzystać MACsec do szyfrowania ruchu w warstwie 2. Wadą rozwiązania jest konieczność posiadania bezpośredniego łącza między ośrodkami lub zastosowanie port-based EoMPLS. Zawęża to mocno zastosowanie takiego szyfrowania poprzez sieci rozległe. Innym sposobem jest przesłanie ramki Ethernet w L2TPv3 i zaszyfrowanie jej jako ruchu IP. Niestety z uwagi na wsparcie protokołów EoIP oraz ich wydajność może się skończyć na zbudowaniu enkapsulacji Ethernet over MPLS over GRE over IPSec lub na zastosowaniu zewnętrznych szyfratorów. Zwiększy to koszt rozwiązania.

Co unikalnego oferuje nam VMware NSX? Wraz z rozwiązaniem otrzymujemy natywne szyfrowanie ruchu Ethernet w warstwie 2 bez konieczności używania zewnętrznych szyfratorów lub dodatkowych tuneli. Można łączyć ze sobą nie tylko sieci VXLAN, ale również VLAN-y z VXLAN oraz innymi sieciami VLAN. Zapewnia to automatycznie bridging między siecią klasyczną działającą w oparciu o VLAN-y, a nową infrastrukturą z segmentami VXLAN.

Przykład połączenia jest pokazany na poniższym rysunku.

Urządzenia fizyczne widzą ruch L2VPN, jako zwykły ruch IP. Z kolei maszyny wirtualne lub maszyny fizyczne podpięte do VLAN-ów widzą odszyfrowany ruch bez zmian nagłówków Ethernet. Nie ma konieczności wymiany posiadanych urządzeń. Co ciekawe węzły brzegowe NSX Edge terminujące połączenia L2VPN mogą jednocześnie pełnić funkcję bramy domyślnej dla ruchu wyjściowego na zewnątrz np. do sieci Internet.

NSX wspiera również klienta SSLVPN z przydziałem pul IP, wyznaczeniem dostępu do zasobów, uwierzytelnieniem oraz monitoringiem. Umożliwia to uzyskanie dostępu bezpośrednio do wyznaczonych zasobów sieciowych z zewnątrz Data Center dla użytkowników usług i aplikacji oraz administratorów sieci. Klienta SSL można wystawić dla użytkowników poprzez stronę www.

W Polsce aktualnie wdrażany jest projekt NSX, gdzie Centra Przetwarzania Danych (CPD) połączone są poprzez sieć strony trzeciej. Dzięki zastosowaniu L2VPN możliwe stało się tanie i elastyczne zabezpieczenie integralności danych. Według mojej wiedzy, żadne inne rozwiązanie SDN na rynku poza NSX nie ma natywnego szyfrowania ruchu Ethernet. Jeżeli to nie jest już prawda lub masz pytania do wspomnianej technologii napisz komentarz pod tym wpisem. Z chęcią odpowiem.

————————————–

Zobacz inne posty Piotra Jabłońskiego >


Kategoria: SDDC

Tagi: , , ,

Podobne artykuły

Dodane 16/11/2016 przez blogsadmin

Jak wdrożyć VMware NSX w istniejącym środowisku?

Emil Gągała, EMEA SDDC Network Virtualization & Security Pre-Sales Architect, VMware VMware NSX to rozwiązanie typu SDN (Software Defined Networking), którego podstawową funkcją jest wirtualizacji sieci oraz zabezpieczenie środowisk wirtualnych. Udostępnia typowe elementy sieciowe takie jak przełączniki, routery, load balancery, firewalle i VPN, doskonale znane ze świata fizycznego, dla środowiska maszyn wirtualnych. Przy czym wszystkie […]

4 minuty czytania
Dodane 29/01/2018 przez blogsadmin

Ambasadorzy CTO VMware wybrani

Ponad 400 nominacji i tylko 36 miejsc – Rada Doradcza CTOA (CTO Ambassador) wybrała najbardziej utalentowanych i doświadczonych specjalistów IT, którzy dołączą do grona Ambasadorów CTO VMware. W ich gronie po raz pierwszy znalazł się Polak – Piotr Jabłoński –  starszy inżynier systemów w VMware Polska. Przez program CTO Ambassador, firma podkreśla jak ważna w  funkcjonowaniu […]

1 minuty czytania
Dodane 09/01/2017 przez blogsadmin

Czym VMware vSAN 6.5 zaskoczył nas w 2016 roku?

Przemysław Tomaszewski, Systems Engineer, VMware Na tegorocznej konferencji VMworld Europe 2016 miała miejce zapowiedź najnowszego VMware vSAN. Nowy vSAN to wersja 6.5, a skoro nowa wersja to i nowe jej funkcjonalności. Dzisiaj skupimy się właśnie na tychże nowościach, które według mnie po raz kolejny poszerzają możliwości zastosowania vSAN w produkcyjnych warunkach i powodują, że vSAN […]

4 minuty czytania

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published.

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy