NSX从入门到精通(1):NSX介绍-系统工程师篇

觉得有必要来一个从入门到精通,从第一次接触NSX到现在已经有三年时间,还记得我第一次自觉学习NSX的时候,竟然翻到了一年前听NSX讲堂的笔记,那些内容足够深足够细,然而我都不记得了,原因就是在于没有体系的从基础来了解这个产品。不了解一个产品的背景,单纯了解产品的卖点和知识点是做不好产品的。因此,第一篇,简单介绍下NSX。

首先,假定我的听众有两种类型,一种是做过服务器虚拟化的系统工程师,知道vSphere是什么;另一种,是网络攻城师,知道路由交换防火墙这些东西。如果是第一种,接着看就行,如果是第二种,可以补充看看网工篇,里面会与虚拟化网络的一些介绍

For 系统工程师:

如果你自己装过vSphere,应该了解过vSphere的虚拟交换机,也可能接触过物理交换机。在虚拟化中,无论是虚拟交换机还是物理交换机,其作用几乎只是做了“通道”,此通道从虚拟机的虚拟网卡-->vSphere主机的虚拟交换机-->主机的物理网卡-->物理交换机-->核心交换机-->客户的其他网络,vSphere vSwitch配置非常简单,两三步就可以创建好,对应的物理网络要求也很简单,一个服务器多个网卡统统接到交换机,所有端口配置为Trunk即可。

我们再看看真实世界的物理交换机,有哪些常见功能:

1、交换:同网段数据包的转发

2、生成树: 受限于以太网的设计“缺陷”。如果两个交换机A和B,中间接两条链路,配置一模一样,A上接了一个客户端C,C发了一个广播包给A,A会将此报文发给B,此时B的操作是在其所有其他端口上再转发此报文,也就是数据包又会发回给A。这个过程叫环路。生成树是来避免交换环路的,其工作原理是屏蔽掉多余的链路,让一个报文只有一条路可以走。

3、端口聚合:把两个物理接口组成一个逻辑的接口去用,逻辑接口带宽是物理接口速率之和。这样在某些时候可以避免使用生成树。

端口聚合又分静态聚合和动态聚合(LACP),每种聚合都有流量负载的算法,每个厂商对静态聚合和动态聚合的支持不一定统一。

4、VLAN:VLAN相当于把一个物理交换机拆成了多个交换机使用。如果没有VLAN,假如A和B两个团队共用一个交换机,那么A发的广播包B可以收到,B发的A也可以收到,这样很不安全。VLAN就可以将A与B简单隔离起来。VLAN是需要每个设备都配置的。

5、设备堆叠:为了简化管理,可以将多个交换机逻辑堆叠在一起,相当于将两个独立的大脑合并成为一个大脑,这样管理方便,两台交换机之间也不用担心环路问题。比较重要的是,做了堆叠,两两设备互联时架构可以变得很简单。

以上是交换机必备的基础技能,有没有觉得已经挺复杂了,网络工程师很多时候面对的就是这些,这还不算安全。

6、MAC 地址绑定(Port Security):目的是将物理端口和所接终端的MAC地址绑定起来,防止别人私接设备。但是破解此问题很简单,使用工具改下私接PC的MAC就可以正常入网了。

7、SpoofGuard :利用 DHCP + ARP inspection等手段,实现 IP 地址到 MAC 地址的绑定。主要是防止用户私改IP。

8、ACL:访问控制策略,主要用于控制接口上能通讯的报文,17年勒索软件爆发,很多企业都在交换机所有接用户的接口上加了ACL来封堵某端口。

9、Private VLAN(或者Protected Port):可以让同VLAN的多个终端之间不能通,但是到外部网络通,做到横向隔离

其他高级功能:

10、Strom Control:用于限制接口上的广播包,组播包,通常可以用来防止恶意的广播报文攻击。

11、SPAN:将一个端口的流量镜像到流量监控设备,用于分析流量

以上大概是所有物理交换机常见的功能,实际在虚拟化中,vSwitch 能实现的有:1、3、4、11

不需要的有:2、5、6

需要但没有的:7、8、9、10

实际上,7、8、9、10都是与安全相关的需求,在有了虚拟化之后,一台服务器的一个接口会承载很多虚拟机,因此外部交换机的安全特性不能用于虚拟化,这块一直是空白!!

现在NSX就可以解决以上提到的遗留问题,而且是以一种优雅的方式:

对于8和9,NSX的微分段功能就能做到任意虚拟机到任意位置的访问控制。

策略配置就像下图一样简单:

而如果要用交换机做这样的配置,需要在每个接口下写至少这么多命令:

对于7,NSX 自带Spoofguard功能,不需要借助任何其他功能,直接开启绑定就行。

对于10,NSX什么都不用配,装上就可以做到广播抑制。

基本上,NSX的基本安全功能就是如此简单,在这个基础上,可以延展出很多场景,和其他很多产品结合,这个我们以后再说。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180508G1G37G00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券