Ако погледате конфигурацију било ког заштитног зида, онда ћемо највероватније видети лист са гомилом ИП адреса, портова, протокола и подмрежа. Овако се класично имплементирају безбедносне политике мреже за приступ корисника ресурсима. У почетку покушавају да одрже ред у конфигурацији, али онда запослени почињу да се селе из одељења у одељење, сервери се умножавају и мењају своје улоге, појављује се приступ различитим пројектима тамо где им обично није дозвољен, а појављују се стотине непознатих козјих путева.
Поред неких правила, ако имате среће, постоје коментари „Васја ме је замолио да урадим ово“ или „Ово је пролаз у ДМЗ“. Администратор мреже одустаје и све постаје потпуно нејасно. Онда је неко одлучио да обрише Васјину конфигурацију и САП се срушио, јер је Васја једном тражио овај приступ за покретање борбеног САП-а.
Данас ћу говорити о ВМваре НСКС решењу, које помаже да се прецизно примењују мрежне комуникације и безбедносне политике без забуне у конфигурацијама заштитног зида. Показаћу вам које су се нове функције појавиле у поређењу са оним што је ВМваре раније имао у овом делу.
ВМВаре НСКС је платформа за виртуелизацију и безбедност за мрежне услуге. НСКС решава проблеме рутирања, пребацивања, балансирања оптерећења, заштитног зида и може да уради многе друге занимљиве ствари.
НСКС је наследник ВМваре-овог сопственог вЦлоуд мрежног и безбедносног производа (вЦНС) и купљеног Ницира НВП-а.
Од вЦНС-а до НСКС-а
Раније је клијент имао засебну вЦНС вСхиелд Едге виртуелну машину у облаку изграђеном на ВМваре вЦлоуд. Деловао је као гранични пролаз, где је било могуће конфигурисати многе мрежне функције: НАТ, ДХЦП, заштитни зид, ВПН, балансатор оптерећења, итд. вСхиелд Едге је ограничио интеракцију виртуелне машине са спољним светом према правилима наведеним у Заштитни зид и НАТ. Унутар мреже, виртуелне машине су слободно комуницирале једна са другом унутар подмрежа. Ако заиста желите да поделите и освојите саобраћај, можете направити посебну мрежу за поједине делове апликација (различите виртуелне машине) и поставити одговарајућа правила за њихову мрежну интеракцију у заштитном зиду. Али ово је дуго, тешко и незанимљиво, посебно када имате неколико десетина виртуелних машина.
У НСКС, ВМваре је имплементирао концепт микро-сегментације користећи дистрибуирани заштитни зид уграђен у језгро хипервизора. Он специфицира политике безбедности и мрежне интеракције не само за ИП и МАЦ адресе, већ и за друге објекте: виртуелне машине, апликације. Ако је НСКС распоређен у оквиру организације, ови објекти могу бити корисник или група корисника из Ацтиве Дирецтори-а. Сваки такав објекат претвара се у микросегмент у сопственој безбедносној петљи, у потребној подмрежи, са својом удобном ДМЗ :).
Раније је постојао само један безбедносни периметар за цео скуп ресурса, заштићен ивичним прекидачем, али са НСКС-ом можете заштитити засебну виртуелну машину од непотребних интеракција, чак и унутар исте мреже.
Политике безбедности и умрежавања се прилагођавају ако се ентитет пресели на другу мрежу. На пример, ако преместимо машину са базом података у други сегмент мреже или чак у други повезани виртуелни центар података, онда ће правила написана за ову виртуелну машину наставити да важе без обзира на њену нову локацију. Сервер апликација ће и даље моћи да комуницира са базом података.
Сам мрежни пролаз, вЦНС вСхиелд Едге, замењен је НСКС Едге. Има све џентлменске карактеристике старог Едге-а, плус неколико нових корисних функција. О њима ћемо даље.
Шта је ново са НСКС Едге?
Функционалност НСКС Едге зависи од
Ватрени зид. Можете да изаберете ИП адресе, мреже, интерфејсе мрежног пролаза и виртуелне машине као објекте на које ће се применити правила.
ДХЦП. Поред конфигурисања опсега ИП адреса које ће се аутоматски издавати виртуелним машинама на овој мрежи, НСКС Едге сада има следеће функције: Везивање и релеј.
У картици Биндингс Можете да повежете МАЦ адресу виртуелне машине са ИП адресом ако вам треба да се ИП адреса не мења. Главна ствар је да ова ИП адреса није укључена у ДХЦП базен.
У картици релеј релеј ДХЦП порука је конфигурисан на ДХЦП сервере који се налазе ван ваше организације у вЦлоуд Дирецтору, укључујући ДХЦП сервере физичке инфраструктуре.
Роутинг. вСхиелд Едге је могао да конфигурише само статичко рутирање. Овде се појавило динамичко рутирање са подршком за ОСПФ и БГП протоколе. ЕЦМП (Ацтиве-ацтиве) подешавања су такође постала доступна, што значи активно-активно пребацивање на физичке рутере.
Подешавање ОСПФ-а
Подешавање БГП-а
Још једна нова ствар је подешавање преноса рута између различитих протокола,
прерасподела рута.
Л4/Л7 Балансер оптерећења. Кс-Форвардед-Фор је уведен за ХТТПс заглавље. Сви су плакали без њега. На пример, имате веб локацију на којој балансирате. Без прослеђивања овог заглавља све функционише, али у статистици веб сервера нисте видели ИП посетилаца, већ ИП балансера. Сада је све у реду.
Такође на картици Правила апликације сада можете додати скрипте које ће директно контролисати балансирање саобраћаја.
ВПН. Поред ИПСец ВПН-а, НСКС Едге подржава:
- Л2 ВПН, који вам омогућава да растежете мреже између географски распршених локација. Такав ВПН је потребан, на пример, како би при преласку на другу локацију виртуелна машина остала у истој подмрежи и задржала своју ИП адресу.
- ССЛ ВПН Плус, који корисницима омогућава даљинско повезивање на корпоративну мрежу. На нивоу вСпхере постојала је таква функција, али за вЦлоуд Дирецтор ово је иновација.
ССЛ сертификати. Сертификати се сада могу инсталирати на НСКС Едге. Ово опет долази до питања коме је био потребан балансер без сертификата за хттпс.
Груписање објеката. У овој картици су наведене групе објеката за које ће се примењивати одређена правила мрежне интеракције, на пример, правила заштитног зида.
Ови објекти могу бити ИП и МАЦ адресе.
Ту је и листа услуга (комбинација протокол-порт) и апликација које се могу користити приликом креирања правила заштитног зида. Само администратор вЦД портала може да додаје нове услуге и апликације.
Статистика. Статистика везе: саобраћај који пролази кроз гатеваи, заштитни зид и балансер.
Статус и статистика за сваки ИПСЕЦ ВПН и Л2 ВПН тунел.
Логгинг. На картици Едге Сеттингс можете подесити сервер за снимање дневника. Евидентирање ради за ДНАТ/СНАТ, ДХЦП, заштитни зид, рутирање, балансер, ИПсец ВПН, ССЛ ВПН Плус.
Следећи типови упозорења су доступни за сваки објекат/услугу:
—Дебуг
— Упозорење
-Критичан
- Грешка
-Упозорење
- Објава
— Инфо
НСКС Едге Дименсионс
У зависности од задатака који се решавају и обима ВМваре-а
НСКС Едге
(компактан)
НСКС Едге
(велика)
НСКС Едге
(четвороструко велики)
НСКС Едге
(Кс-велики)
вЦПУ
1
2
4
6
Меморија
512МВ
КСНУМКСГБ
КСНУМКСГБ
КСНУМКСГБ
Диск
512МВ
512МВ
512МВ
КСНУМКСГБ + КСНУМКСГБ
Именовање
Једно
апликација, тест
Центар за податке
Мала
или просечно
Центар за податке
Лоадед
ватрени зид
Балансирање
оптерећења на нивоу Л7
Испод у табели су оперативне метрике мрежних услуга у зависности од величине НСКС Едге-а.
НСКС Едге
(компактан)
НСКС Едге
(велика)
НСКС Едге
(четвороструко велики)
НСКС Едге
(Кс-велики)
Интерфејси
10
10
10
10
Подинтерфејси (транк)
200
200
200
200
НАТ Рулес
2,048
4,096
4,096
8,192
АРП Ентриес
До преписивања
1,024
2,048
2,048
2,048
ФВ правила
2000
2000
2000
2000
ФВ Перформанце
КСНУМКСГбпс
КСНУМКСГбпс
КСНУМКСГбпс
КСНУМКСГбпс
ДХЦП базени
20,000
20,000
20,000
20,000
ЕЦМП путање
8
8
8
8
Статичке руте
2,048
2,048
2,048
2,048
ЛБ Поолс
64
64
64
1,024
ЛБ виртуелни сервери
64
64
64
1,024
ЛБ Сервер/Поол
32
32
32
32
ЛБ здравствене провере
320
320
320
3,072
Правила примене ЛБ
4,096
4,096
4,096
4,096
Л2ВПН Цлиентс Хуб за говор
5
5
5
5
Л2ВПН мреже по клијенту/серверу
200
200
200
200
ИПСец тунели
512
1,600
4,096
6,000
ССЛВПН тунели
50
100
100
1,000
ССЛВПН приватне мреже
16
16
16
16
Цонцуррент Сессионс
64,000
1,000,000
1,000,000
1,000,000
Сесије/секунда
8,000
50,000
50,000
50,000
ЛБ Тхроугхпут Л7 Проки)
КСНУМКСГбпс
КСНУМКСГбпс
КСНУМКСГбпс
ЛБ пропусни режим Л4)
КСНУМКСГбпс
КСНУМКСГбпс
КСНУМКСГбпс
ЛБ конекције/е (Л7 прокси)
46,000
50,000
50,000
ЛБ истовремене везе (Л7 прокси)
8,000
60,000
60,000
ЛБ конекције/е (Л4 режим)
50,000
50,000
50,000
ЛБ истовремене везе (Л4 режим)
600,000
1,000,000
1,000,000
БГП руте
20,000
50,000
250,000
250,000
БГП Неигхбоурс
10
20
100
100
БГП руте су поново дистрибуиране
Без лимита
Без лимита
Без лимита
Без лимита
ОСПФ руте
20,000
50,000
100,000
100,000
Максимално 750 уноса ОСПФ ЛСА Тип-1
20,000
50,000
100,000
100,000
ОСПФ Адјаценциес
10
20
40
40
ОСПФ руте су поново дистрибуиране
2000
5000
20,000
20,000
Тотал Роутес
20,000
50,000
250,000
250,000
→
Табела показује да је препоручљиво организовати балансирање на НСКС Едге за продуктивне сценарије само почевши од Велике величине.
То је све што имам за данас. У наредним деловима ћу детаљно проћи кроз како да конфигуришем сваку НСКС Едге мрежну услугу.
Извор: ввв.хабр.цом