SDN VMware NSX网络原理与实践（sdn网络虚拟化）

在上一篇文章中，我初步概述了NSX 分布式防火墙，它是通过在ESXi 主机的虚拟机内核中启用VIB 内核模块来实现的。它的部署方式与NSX 分布式逻辑路由器类似，但独立存在。 部署后，您可以通过NSX Manager 将其公开给每个ESXi 主机（NSX Controller 不参与控制NSX 分布式防火墙），以保护第2-4 层的虚拟机通信流量。该交通主要是东部。 -当然是西、北、南。

如图6.12 所示，在VTEP 封装或取消封装流量之前，在vNIC 侧执行NSX 分布式防火墙规则。分布式防火墙策略独立于连接方法（虚拟机连接到VLAN 还是VXLAN）和虚拟机的位置。无需考虑逻辑交换机或逻辑路由器策略。保护并保护您的机器。 即使虚拟机位于同一第2 层网络中，NSX 分布式防火墙也可以强制执行安全策略。这对于传统的防火墙部署来说很难实现，因为防火墙内的所有策略都基于IP 地址和第2 层到第2 层通信。流量与IP地址无关，只与MAC地址有关。因此，这些二层安全策略通常只能部署在二层交换机（例如PVLAN）的端口上。

这个问题也是网络实现“Layer 2”后遗留的问题。 NSX 分布式防火墙允许您根据虚拟机名称或一组虚拟机的组名称实施安全策略，而无需担心虚拟机的IP 地址。需要保护的虚拟机始终跟随并匹配通过vMotion 在数据中心内移动的位置。无需重置您的安全策略。要配置NSX 分布式防火墙，您必须登录到与vCenter 关联的NSX Manager。配置策略后，NSX Manager 可以将安全规则推送到ESXi 主机的内核模块（使用TCP 端口5671），并在虚拟机内核模块的vNIC 端启用安全规则以保护虚拟机。 NSX Manager 还可以直接通过REST API 进行配置。

NSX 分布式防火墙在虚拟机内核模块中的vNIC 上提供基于管理程序的防火墙功能。部署后，数据路径必须经过分布式防火墙处理后才能相互通信。防火墙部署是分布式的，独立于逻辑交换和路由，使数据路径更易于优化和扩展。部署分布式防火墙策略时，防火墙进程会检查离开虚拟机的出站流量和到达虚拟机的入站流量，无论防火墙策略如何，都会阻止通信并提供安全保护。

在NSX Manager 中配置分布式防火墙策略时，您有两个选项可供选择：“以太网”和“常规”。这对应于前面介绍的两种策略创建方法。以太网选项用于创建第2 层安全规则并允许使用过滤器。源和目标MAC 地址以及第2 层协议，例如CDP（思科发现协议，思科设备发现协议）、ARP、RAPP 和LLDP。它主要用于创建第3 层和第4 层安全规则。基于IP或端口（SSH、HTTP等）的传统安全规则保护不同网段上的虚拟机或东西向流量。部署NSX 分布式防火墙的数据中心可提供以下价值：

支持现有网络和应用。

灵活便捷的安全对象管理。

安全管理和一致的应用部署。

我们将通过一个示例，解释如何使用基于微分段的NSX 分布式防火墙在数据中心部署3 层应用程序安全策略，以及如何实现这些价值。内部安全是通过在数据中心内按需部署NSX 分布式防火墙来实现的，允许您按部门或区域、或者按应用程序边界或应用程序级别划分隔离。 NSX 微分段技术支持安全组成员之间的逻辑隔离和基于虚拟机的隔离。如图6.13 所示，数据中心内有许多部门（例如财务[FIN] 和人力资源[HR]）共享同一逻辑网络。

网络总体设计如下：逻辑交换机共有3个（分别连接Web层、应用层、数据库层），通过分布式逻辑路由器直连。逻辑路由器上定义了所有网段的IP地址网关，并连接到所有逻辑交换机。逻辑路由器通过NSX Edge 与外部物理网络通信。 连接到外部物理网络的最终用户可以访问Web 层中逻辑交换机的Web 网段（该Web 网段通过逻辑路由器与NSX Edge 之间的动态路由协议和NAT 配置对外公开）。

这里，财务和人力资源部门各有两台虚拟机作为Web 服务器，一台虚拟机作为应用服务器，一台虚拟机作为数据库服务器。 NSX网络虚拟化平台提供的分布式防火墙使用微分段技术，这种设计功能可以将应用程序同一级别的虚拟机连接到同一逻辑交换机，而不是依赖于它们的位置。他们所属的部门。这样，即使您的财务和人力资源工作负载连接到不同的逻辑网络，您也可以实现相同级别的安全性。最终，NSX 分布式防火墙的优势在于网络拓扑不再成为安全策略部署的障碍。 NSX 分布式防火墙适用于任何拓扑，并且NSX 分布式防火墙部署独立于您的网络拓扑，因此可以轻松在网络拓扑中的任何位置实施相同级别的工作流安全控制。传统部署中，防火墙以旁路方式连接到核心交换机。不仅所有工作流程都要绕过核心交换机和防火墙，而且流量路径没有优化，一次只能配置一个网段。非常复杂和麻烦

因此，在传统部署中，同一部门内的所有服务器只能放置在同一子网中，以简化配置。然而，这种类型的部署本质上安全性很低，并且容易受到攻击。黑客只需要这样做。入侵部门内任意服务器只需一台服务器或终端PC即可入侵部门内同一VLAN下的所有其他设备。 此设计理念允许您使用NSX 的服务编辑器功能将具有相似角色的虚拟机组分类到同一组织中。 Service Composer 有一个重要功能，称为安全组(SG)。安全组允许您动态或静态地将对象添加到充当分布式防火墙策略规则的源和目标的“容器”。 现在查看图6.14，了解安全组是如何创建的以及虚拟机如何加入相关安全组。

财务组织的Web 服务器必须放置在名为SG-FIN-WEB 的安全组中。要构建此安全组，您可以使用基于虚拟机名称或安全标签的信息自动将实例分配到相关安全组。如果虚拟机名称包含单词Fin-web，则自动分配。如果虚拟机名称包含HR-web 一词，它也会自动分配到SG-FIN-WEB 安全组。 如果用户想要手动分配安全组，也可以手动将Fin-web-01和fin-web-02添加到SG-FIN-WEB中。

此设计创建了六个安全组，其中三个用于财务，三个用于人力资源。将虚拟机分配给适当的容器是部署微分段的基础。一旦完成这些任务，部署流量策略就非常容易了。 各个层次之间的网络流量侧的安全策略必须按照多种规则来执行。如图6.15所示，允许从Internet到Web服务器的HTTP和HTTPS流量，并丢弃从Web层到应用层的所有其他流量（南北流量）、TCP端口1234流量和SSH流量。马苏。允许，所有剩余流量都会被丢弃（东西向流量）。从应用程序层到数据库层，允许MySLQ 流量，并丢弃所有其他流量（东西向流量）。

在每一层中，来自同一层内同一组织的服务器可以互相ping 通。例如，Fin-web-01可以ping通Fin-web-02，但Fin-web-01无法ping通HR-web-01和HR-web-02。财务部门的服务器和人力资源部门的服务器之间不应有任何流量，并且完全禁止这两个组织之间的通信。这些策略如图6.16 所示。

根据这些规则，您可以开始部署基于微分段技术的NSX 分布式防火墙策略。首先，您需要将分布式防火墙的默认策略从允许更改为阻止。这是因为您需要添加其他安全策略并最终使用默认模型。模型中的所有网络流量（参见表6.2）。

至此，NSX 分布式防火墙策略定义已完成。只需配置策略并将其应用到NSX 网络虚拟化平台，即可在企业中的不同部门实现精细的安全保护。 与讨论分布式路由类似，我们先讨论分布式防火墙的实现，然后分析分布式防火墙的流量模型。对于传统防火墙部署，同一主机上的Web 和应用程序服务器之间的第3 层通信需要六跳才能进行连接。这是因为以旁路模式连接到核心交换机的物理防火墙需要两跳来处理进出流量。这比通过第3 层交换机的传统四跳连接（如上所述）多了两跳。与分布式路由类似，分布式防火墙也运行在ESXi 主机的虚拟机管理程序上，因此在NSX 环境中，同一主机内的Web 服务器和应用程序服务器之间的3 层通信也是直接连接（0 跳）。如图6.17所示。

对于不同主机之间的三层通信，类似于第5章的讨论，防火墙必须处理的流量连接也可以简化为两跳，如图6.18所示。

6.2.5 NSX 分布式防火墙微分段技术的实现

除了在企业内不同部门之间实现安全防护之外，NSX分布式防火墙的另一个重要应用场景是虚拟桌面（Virtual Desktop Infrastructure，VDI）环境。 近年来，虚拟桌面越来越多地被领先企业采用，它们部署桌面虚拟化来提高客户端计算的安全性并增加企业移动性。虚拟桌面解决方案集中管理桌面和应用程序，保护静态数据，保护应用程序免受未经授权的访问，并提供更有效的方式来修补、维护和升级映像。 与传统桌面相比，虚拟桌面允许您将基于Windows操作系统的虚拟机加载到数据中心的服务器上，而不是为企业中的每个用户配置运行Windows操作系统的PC。通过图像投影协议，您可以将后台服务器上运行的桌面暴露给用户的瘦客户端或PC，用户可以像访问本地安装的传统桌面一样访问他们的虚拟桌面。图6.19 显示了VMware 的VDI 解决方案Horizon View 的架构图。

#SDN 以上有关VMware NSX组网原则与实践的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。