Kung imong tan-awon ang config sa bisan unsang firewall, nan lagmit makakita kami usa ka sheet nga adunay daghang mga IP address, pantalan, protocol ug subnet. Ingon niini kung giunsa ang mga palisiya sa seguridad sa network alang sa pag-access sa tiggamit sa mga kahinguhaan nga klasikal nga gipatuman. Sa sinugdan sila naningkamot sa pagmentinar sa kahusay sa config, apan unya ang mga empleyado magsugod sa pagbalhin gikan sa departamento ngadto sa departamento, ang mga tigtagad modaghan ug mag-usab sa ilang mga tahas, ang pag-access alang sa lain-laing mga proyekto makita diin sila kasagaran dili tugutan, ug gatusan ka wala mailhi nga mga agianan sa kanding ang mitungha.
Sunod sa pipila ka mga lagda, kung swerte ka, adunay mga komento nga "Gihangyo ako ni Vasya nga buhaton kini" o "Kini usa ka agianan sa DMZ." Ang administrador sa network mihunong, ug ang tanan nahimong dili klaro. Dayon adunay usa nga nakahukom sa paghawan sa config ni Vasya, ug ang SAP nahagsa, tungod kay si Vasya sa makausa nangayo niini nga pag-access sa pagpadagan sa combat SAP.
Karon maghisgot ako bahin sa solusyon sa VMware NSX, nga makatabang sa tukma nga paggamit sa komunikasyon sa network ug mga palisiya sa seguridad nga walaβy kalibog sa mga config sa firewall. Ipakita ko kanimo kung unsang mga bag-ong dagway ang nagpakita kung itandi sa kung unsa ang naa sa VMware kaniadto sa kini nga bahin.
Ang VMWare NSX usa ka virtualization ug platform sa seguridad alang sa mga serbisyo sa network. Gisulbad sa NSX ang mga problema sa pag-ruta, pagbalhin, pagbalanse sa load, firewall ug makahimo sa daghang uban pang makapaikag nga mga butang.
Ang NSX mao ang manununod sa kaugalingong vCloud Networking and Security (vCNS) nga produkto sa VMware ug ang nakuha nga Nicira NVP.
Gikan sa vCNS hangtod sa NSX
Kaniadto, ang usa ka kliyente adunay lahi nga vCNS vShield Edge virtual machine sa usa ka panganod nga gitukod sa VMware vCloud. Naglihok kini isip usa ka ganghaan sa utlanan, diin posible nga ma-configure ang daghang mga function sa network: NAT, DHCP, Firewall, VPN, load balancer, ug uban pa vShield Edge limitado ang interaksyon sa virtual machine uban sa gawas nga kalibutan sumala sa mga lagda nga gitakda sa Firewall ug NAT. Sulod sa network, ang mga virtual machine gawasnon nga nakigkomunikar sa usag usa sulod sa mga subnet. Kung gusto gyud nimo nga bahinon ug buntogon ang trapiko, mahimo ka maghimo usa ka lahi nga network alang sa indibidwal nga mga bahin sa mga aplikasyon (lainlain nga mga virtual machine) ug itakda ang angay nga mga lagda alang sa ilang interaksyon sa network sa firewall. Apan kini taas, lisud ug dili makapaikag, labi na kung adunay ka daghang dosena nga mga virtual machine.
Sa NSX, gipatuman sa VMware ang konsepto sa micro-segmentation gamit ang distributed firewall nga gitukod sa hypervisor kernel. Gipiho niini ang seguridad ug mga palisiya sa interaksyon sa network dili lamang alang sa mga adres sa IP ug MAC, apan alang usab sa ubang mga butang: mga virtual machine, aplikasyon. Kung ang NSX gi-deploy sulod sa usa ka organisasyon, kini nga mga butang mahimong usa ka user o grupo sa mga tiggamit gikan sa Active Directory. Ang matag ingon nga butang nahimo nga usa ka microsegment sa kaugalingon nga security loop, sa gikinahanglan nga subnet, nga adunay kaugalingon nga komportable nga DMZ :).
Kaniadto, adunay usa ra ka perimeter sa seguridad alang sa tibuuk nga pool sa mga kahinguhaan, gipanalipdan sa usa ka switch sa ngilit, apan sa NSX mahimo nimong mapanalipdan ang usa ka bulag nga virtual machine gikan sa wala kinahanglana nga mga interaksyon, bisan sa sulod sa parehas nga network.
Ang mga polisiya sa seguridad ug networking mopahiangay kon ang usa ka entidad mobalhin sa laing network. Pananglitan, kung atong ibalhin ang usa ka makina nga adunay database ngadto sa lain nga bahin sa network o bisan sa lain nga konektado nga virtual data center, nan ang mga lagda nga gisulat alang niini nga virtual machine magpadayon sa paggamit bisan unsa pa ang bag-ong lokasyon niini. Ang server sa aplikasyon makahimo gihapon sa pagpakigsulti sa database.
Ang edge gateway mismo, vCNS vShield Edge, gipulihan sa NSX Edge. Kini adunay tanan nga mga gentleman nga bahin sa daan nga Edge, lakip ang pipila ka bag-ong mapuslanon nga mga bahin. Atong hisgotan ang dugang bahin kanila.
Unsa ang bag-o sa NSX Edge?
Ang pagpaandar sa NSX Edge nagdepende sa NSX. Adunay lima niini: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Ang tanan nga bag-o ug makapaikag makita lamang sugod sa Advanced. Naglakip sa usa ka bag-ong interface, nga, hangtod ang vCloud hingpit nga mobalhin sa HTML5 (VMware nagsaad sa ting-init 2019), magbukas sa usa ka bag-ong tab.
firewall. Makapili ka og mga IP address, network, gateway interface, ug virtual machine isip mga butang diin ang mga lagda magamit.
DHCP. Dugang pa sa pag-configure sa han-ay sa mga IP adres nga awtomatiko nga ma-isyu sa mga virtual machine sa kini nga network, ang NSX Edge karon adunay mga musunod nga gimbuhaton: igahigut ΠΈ relay.
Sa tab Mga pagbugkos Mahimo nimong ibugkos ang MAC address sa usa ka virtual machine sa usa ka IP address kung kinahanglan nimo ang IP address nga dili mausab. Ang nag-unang butang mao nga kini nga IP address wala gilakip sa DHCP Pool.
Sa tab relay Ang relay sa mga mensahe sa DHCP gi-configure sa mga DHCP server nga nahimutang sa gawas sa imong organisasyon sa vCloud Director, lakip ang mga DHCP server sa pisikal nga imprastraktura.
Pagruta. Ang vShield Edge mahimo ra nga ma-configure ang static nga ruta. Ang dinamikong ruta nga adunay suporta alang sa OSPF ug BGP protocol nagpakita dinhi. Ang mga setting sa ECMP (Active-active) nahimo usab nga magamit, nga nagpasabut nga aktibo nga aktibo nga failover sa mga pisikal nga router.
Pag-set up sa OSPF
Pag-set up sa BGP
Laing bag-ong butang mao ang pagpahimutang sa pagbalhin sa mga ruta tali sa lainlaing mga protocol,
pag-apod-apod sa ruta.
L4/L7 Load Balancer. Ang X-Forwarded-For gipaila alang sa HTTPs header. Naghilak ang tanan nga wala siya. Pananglitan, ikaw adunay usa ka website nga imong gibalanse. Kung wala ipasa kini nga header, ang tanan molihok, apan sa mga istatistika sa web server dili nimo nakita ang IP sa mga bisita, apan ang IP sa balanse. Karon husto na ang tanan.
Usab sa tab nga Mga Lagda sa Aplikasyon mahimo nimong idugang ang mga script nga direktang magkontrol sa pagbalanse sa trapiko.
vpn. Dugang sa IPSec VPN, ang NSX Edge nagsuporta:
- L2 VPN, nga nagtugot kanimo sa pag-inat sa mga network tali sa mga site nga nagkatibulaag sa geograpiya. Ang ingon nga VPN gikinahanglan, pananglitan, aron kung mobalhin sa laing site, ang virtual machine magpabilin sa samang subnet ug magpabilin ang IP address niini.
- SSL VPN Plus, nga nagtugot sa mga tiggamit sa pagkonektar sa layo sa usa ka corporate network. Sa lebel sa vSphere adunay ingon nga function, apan alang sa vCloud Director kini usa ka kabag-ohan.
Mga sertipiko sa SSL. Mahimo nang ma-install ang mga sertipiko sa NSX Edge. Kini usab moabut sa pangutana kung kinsa ang nanginahanglan usa ka balanse nga walaβy sertipiko alang sa https.
Paggrupo sa mga butang. Niini nga tab, gipiho ang mga grupo sa mga butang diin ang pipila ka mga lagda sa interaksyon sa network magamit, pananglitan, mga lagda sa firewall.
Kini nga mga butang mahimong IP ug MAC adres.
Adunay usab usa ka lista sa mga serbisyo (kombinasyon sa protocol-port) ug mga aplikasyon nga magamit kung maghimo mga lagda sa firewall. Ang vCD portal administrator lamang ang makadugang ug bag-ong mga serbisyo ug aplikasyon.
Estadistika. Estadistika sa koneksyon: trapiko nga moagi sa gateway, firewall ug balancer.
Status ug estadistika alang sa matag IPSEC VPN ug L2 VPN tunnel.
Pag-log. Sa tab sa Edge Settings, mahimo nimong itakda ang server alang sa pagrekord sa mga log. Ang pag-log nagtrabaho alang sa DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Ang mosunod nga mga matang sa mga alert anaa alang sa matag butang/serbisyo:
βPag-debug
β Alerto
βKritikal
- Sayop
βPaandam
β Matikdi
β Impormasyon
Mga Dimensyon sa NSX Edge
Depende sa mga buluhaton nga masulbad ug ang gidaghanon sa VMware paghimo NSX Edge sa mosunod nga mga gidak-on:
NSX Edge
(Compact)
NSX Edge
(Dagko)
NSX Edge
(Quad-Large)
NSX Edge
(X-Dagko)
vCPU
1
2
4
6
ulohon
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
Pagpili
Sa usa ka
aplikasyon, pagsulay
sentro sa datos
Usa ka gamay
o kasagaran
sentro sa datos
Gikarga
firewall
Pagbalanse
load sa lebel L7
Sa ubos sa lamesa mao ang operating metrics sa network services depende sa gidak-on sa NSX Edge.
NSX Edge
(Compact)
NSX Edge
(Dagko)
NSX Edge
(Quad-Large)
NSX Edge
(X-Dagko)
interface
10
10
10
10
Mga Sub Interface (Trunk)
200
200
200
200
Mga Lagda sa NAT
2,048
4,096
4,096
8,192
Mga Entries sa ARP
Hangtod sa Pag-overwrite
1,024
2,048
2,048
2,048
Mga lagda sa FW
2000
2000
2000
2000
Pagganap sa FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Mga Pool sa DHCP
20,000
20,000
20,000
20,000
Mga Dalan sa ECMP
8
8
8
8
Static nga mga Ruta
2,048
2,048
2,048
2,048
Mga LB Pool
64
64
64
1,024
LB Virtual nga mga Server
64
64
64
1,024
LB Server/Pool
32
32
32
32
Mga Pagsusi sa Panglawas sa LB
320
320
320
3,072
Mga Lagda sa Aplikasyon sa LB
4,096
4,096
4,096
4,096
Hub sa mga Kliyente sa L2VPN nga Makigsulti
5
5
5
5
L2VPN Networks kada Kliyente/Server
200
200
200
200
IPSec Tunnels
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
SSLVPN Pribado nga Networks
16
16
16
16
Kadungan nga mga Sesyon
64,000
1,000,000
1,000,000
1,000,000
Mga Sesyon/Ikaduha
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
Mga Koneksyon sa LB (L7 Proxy)
46,000
50,000
50,000
LB Kadungan nga Koneksyon (L7 Proxy)
8,000
60,000
60,000
LB Koneksyon/s (L4 Mode)
50,000
50,000
50,000
LB Kadungan nga Koneksyon (L4 Mode)
600,000
1,000,000
1,000,000
Mga Ruta sa BGP
20,000
50,000
250,000
250,000
Mga silingan sa BGP
10
20
100
100
Mga Ruta sa BGP Giapod-apod
Wala'y Limitasyon
Wala'y Limitasyon
Wala'y Limitasyon
Wala'y Limitasyon
Mga Ruta sa OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
Mga Ruta sa OSPF Giapod-apod
2000
5000
20,000
20,000
Kinatibuk-ang mga Ruta
20,000
50,000
250,000
250,000
β
Gipakita sa lamesa nga girekomenda nga organisahon ang pagbalanse sa NSX Edge alang sa mga produktibo nga mga senaryo nga nagsugod lamang sa Dako nga gidak-on.
Mao ra ang naa nako karon. Sa mosunud nga mga bahin akong susihon sa detalye kung giunsa ang pag-configure sa matag serbisyo sa network sa NSX Edge.
Source: www.habr.com