模型思科防火墙

Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件银行云平台异构SDN网络管理实现Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN对于金融云计算平台的意义网络架构是机构开展金融云基础平台建设最为核心关键的因素,其主要体现如下方面;双模IT中网络是唯一必须兼容两种IT模式的平滑互通的基础资源为兼顾新技术、新架构、新模式于既有的传统信息技术体系结合,双模IT将是金融机构IT发展的主要形态处于两种IT模式下的金融应用无必须共享服务器和存储的要求,但必须在网络层面实现互联互通.
金融合规性与安全性在IT基础设施中主要体现在数据中心网络多区域隔离应用间的强访问控制外部防护攻击均以软件定义网络为代表的新技术应用是云平台发展的必然趋势基于云计算、大数据与区块链等新技术的金融创新应用产生了新的数据网络交换模型软件定义网络技术效果与之契合金融数据中心网络的强自动化与合规性的行业要求尤为契合Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台上的挑战业务应用变革式创新发展的业务挑战面向互联网方式的金融创新应用网络资源的开通从周为单位提升到分钟级别,支撑应用快速投产.
以云计算为代表的新技术应用的技术挑战资源的漂移迁移能力云的多租户特性要求在共享的物理网络设备下提供可独立解耦的网络地址路由空间云弹性伸缩则要求网络有更高地弹性扩展能力巨大的云平台规模,也要求云网络服务也必须具备足够的网络容量与健壮性.
金融IT成本与效率优化新要求的成本挑战新常态下金融机构的运营压力要求IT架构可实现更高效与低成本从纯商业"产品"解决方案向"自主"网络方案演进金融数据中心网络技术应用更趋于开放要求网络运维人员从单纯的人工维护解放出来,进入高效的自动化方式.
Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台上的设计目标未来金融数据中心网络应用的"五高"要求:高敏捷:实现业务快速上线,面对应用的变化达到资源的按需变更,通过新技术应用打破因重安全而舍效率的困局,在云计算新环境下安全与高效并重;高弹性:一是内部弹性强化,打破竖井式架构中网络区域成为限制资源共享的壁垒,实现网络资源池整合与灵活共享与隔离,二是外部弹性兼容,支持新老架构并存,从而使原有网络可以平滑过渡到新架构;高可管理:一是实现管理的体系的简化,支持多品牌的融合管理,二是实现管理自动化与智能化,使日常运维从大量人工维护的高工作量解放出来;高可用:网络架构持续稳定影响金融数据中心全局服务能力,网络架构需要基于稳定可靠的技术构建,使网络服务具备7*24小时业务连续性服务的能力;高性能:面对秒杀等新业务场景等的极限服务能力,实现时延和带宽等关键指标的跨越式提升,同时注重资源的高效利用,用尽可能少的资源实现最大的性能服务.
Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件金融机构从业务到基础架构透视图Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台设计模型管理控制模型网络分区模型分区互联模型防火墙和负载均衡模型两地三中心模型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台设计模型管理控制模型网络分区模型分区互联模型防火墙和负载均衡模型两地三中心模型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台设计模型管理控制模型网络分区模型分区互联模型防火墙和负载均衡模型两地三中心模型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台设计模型管理控制模型网络分区模型分区互联模型防火墙和负载均衡模型两地三中心模型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN在金融云计算平台设计模型管理控制模型网络分区模型分区互联模型防火墙和负载均衡模型两地三中心模型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件SDN的选型[注2][注1]上海银行选型Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件上海银行面临的问题分类厂商设备类型设备型号及版本SDN云网分区思科ACI控制器APIC2.
1.
3SpineN9K-C9396PXLeafN9K-C9336PQ华为ACACAC2.
0SpineCE6851-48F6QLeafCE6850-48P4Q核心路由设备华为三层交换机CE6850-48P4Q防火墙思科ASAASA5512华为USGUSG6650负载均衡F5BIGIPBIG-LTM-1600如何通过统一控制器实现异构SDN控制器(华为&思科)的统一管理,消除差异实现高效运维如何管理被SDN控制器排斥在外的其他设备(F5)如何实现隔离分区的逻辑统一如何实现一网多租户能力Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何通过统一控制器实现异构SDN控制器(华为&思科)的统一管理,消除差异实现高效运维Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何通过统一控制器实现异构SDN控制器(华为&思科)的统一管理,消除差异实现高效运维思科ACI华为ACOpenStack版本LibertySDN控制器版本APIC2.
0AC2.
0暴露给OpenStack的网络模式只有一种选项:OpFlex模式有三种选项:VLAN、VXLAN和GRE底层网络模式VLAN、VXLAN和GREVLAN、VXLAN和GREVLAN/VNI/TunnelID分配方式通过SDN控制器分配通过OpenStack分配控制节点配置-安装厂商APICAPI并激活-替换原生二层ML2驱动为厂商ML2驱动-添加厂商L3驱动-安装厂商ACAPI并激活-替换原生二层ML2驱动为厂商ML2驱动-添加厂商L3驱动网络节点配置-安装原生DHCP服务,但DHCP驱动替换成厂商的-停止原生OVS代理,替换成厂商提供的OVS代理-安装厂商提供NeutronOpFlex代理-停止原生L3代理-停止原生metadata代理-安装原生DHCP服务,不停止-安装原生OVS代理,不停止-无其他厂商定制代理需要安装-停止原生L3代理-原生metadata代理不停止计算节点配置-安装厂商提供的OVS代理,停止原生OVS代理-安装厂商提供NeutronOpFlex代理-安装原生OVS代理-无其他厂商定制代理需要安装DHCP驱动厂商提供OpenStack原生驱动DHCP本地代理实现未实现Metadata本地代理实现未实现分布式SNAT实现未实现分布式网关实现未实现策略下发逻辑计算节点和网络节点上的NeutronOpFlex代理会同步Neutron中的虚拟网络资源,生成Endpoint文件,通知agent-ovs读取,agent-ovs通过OpFlex协议到leaf节点上查询对应EPG的信息,然后通过OPENFLOW协议对OVS完成流表的下发.
复用OpenStack策略下发逻辑Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何管理被SDN控制器排斥在外的其他设备A模式B模式OpenStack直接驱动通过思科SDN控制器(APIC)进行管理通过华为SDN控制器(AC)进行管理思科ASA防火墙***华为USG防火墙**√F5负载均衡√**Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何管理被SDN控制器排斥在外的其他设备#OpenStack抽象资源F5对应资源备注1LoadbalancerPartitionRouterdomainVlanSnatpoolSelfipPartition和routerdomain用来进行资源的隔离2ListenerVirtualserverProfile3PoolPoolF5创建Pool时会更新virtualserver的session-persistence,将pool挂载到virtualserver上4MemberNodeF5生成node时会更新pool中的member5HealthmonitorHealthmonitorF5中对应生成healthmonitor时会更新pool中的healthmonitor#OpenStack抽象资源思科ASA防火墙对应资源备注1FirewallSecuritycontextOpenStack中firewall的创建在ASA中对应生成securitycontext,同时生成internal和external的三层子接口并加入securitycontext来做租户隔离.
2PolicyAccesslist3RuleAccessentry通过OpenStackLBaaS驱动F5开发ASA驱动,通过OpenStackFWaaS驱动思科防火墙Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何实现隔离分区的逻辑统一和互通自主研发的区域互联(RegionInterconnect)SDN控制器:1)根据租户变动情况动态创建配置VRF及其相关配置2)实现在不同SDN云网分区资源动态变化情况下,路由地址动态发布,以便保持动态变换的网络资源的连通性Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何实现隔离分区的逻辑统一和互通Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何实现一网多租户能力Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件解决方案如何实现一网多租户能力Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件待优化问题三层模型双出口暴露更多防火墙能力,如支持IP范围的定义、ALG功能、动态开放端口等负载均衡模型,丰富Listener支持类型、支持会话保持方法较少、支持负载均衡算法较少、支持健康检查方法较少增加对IPS、DDOS网络安全、链路负载均衡等管理Copyright201599CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件总结欢迎到九州云索取《金融云技术白皮书》(118页)www.
99cloud.
netCopyright201699CloudInc.
Allrightsreserved.
九州云版权所有STRICTLYCONFIDENTIAL机密文件北京|上海|广州|重庆|福州|无锡|宁波|湖州