NSX网络与安全解决方案简介

普遍性、精确度和动态安全必须融入数据中心的 DNA 中VMware NSX® 网络虚拟化平台可提供诸多突破性益处，微分段便是其中之一。

NSX 可创建一个独立于底层 IP 网络硬件的虚拟网络。

管理员能够以编程方式对复杂网络执行创建、调配、拍摄快照、删除和还原操作，而且这一切都能以软件方式实现。

VMware 将微分段描述为一种“将安全机制植入网络的 DNA 中”的能力。

就好比在分子或细胞级别对植物进行工程设计，使之有能力抵御病虫害。

因为 hypervisor 已在数据中心内广泛分布，所以您可以通过 VMware NSX 在任意位置创建策略来保护任意数据，让安全真正无所不在。

从某种意义上说，物理安全就像戴上手套来防范细菌。

这是外在的、有限的保护措施（如果有人对着您的脸打喷嚏，您可能还是会感冒或染上流感）。

微分段就像是强化数据中心的免疫系统：让“细菌”（即恶意软件）对它无能为力。

或者，如果有漏网之鱼，该系统会在该恶意软件开始扩散之前就将其关闭。

策略绑定到虚拟机，执行效力可向下延伸至虚拟网卡 (NIC)，这种精确度是传统的硬件设备无法比拟的。

您也可以使用灵活的参数来定义安全策略，例如虚拟机名称、工作负载类型和客户操作系统类型。

微分段无比强大且易于添加的七个原因1. 无需更换您目前拥有的设施，亦不会对其造成不利影响VMware NSX 可在任意网络硬件上运行，因此您无需购买或更换任何设备。

此外，NSX 不会给您的计算机和网络基础架构或应用造成中断。

2. 降低不断攀升的硬件成本为处理数据中心内日益增多的工作负载量而部署更多物理设备的成本过于高昂。

仅从资金开销的角度衡量，VMware NSX 可以让企业组织的实际开销节省 68%1。

这一节省比例基于以下估算，即 IT 管理员要实现接近微分段的控制力需要多大的物理防火墙开销。

3. 遏制防火墙规则剧增状况数量激增的防火墙规则是安全管理领域里的一个大问题。

年复一年，管理员积攒了不少不必要的和多余的规则，而且无法使用简单的方法来找出哪些规则是不再需要的。

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似，虚拟网络以编程方式进行调配和管理，与底层硬件无关。

NSX 可以在软件中重现整个网络模型，使任何网络拓扑（从简单的网络到复杂的多层网络），都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务，例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂，通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型，解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务，包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配，并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署，并且可以部署在任何虚拟化管理程序上。

5.1 NSX逻辑路由详解105●基于三层QoS选择流量的优先级；●将本地消息发送至传输层。

这些功能本应都由路由器来提供，而现在我们有了NSX平台，NSX的逻辑路由功能取代了物理路由器，将处于不同逻辑二层子网中的终端连接起来。

负责逻辑路由功能的NSX 组件称为NSX逻辑路由器，它分为分布式逻辑路由器和Edge路由器。

本节将对NSX逻辑路由器功能进行详细阐述，读者也可以与之前章节讲解的NSX分布式逻辑交换机进行对比，看看它们在处理流量转发的过程中，有什么区别。

5.1.1 NSX逻辑路由概览NSX逻辑路由器可以很容易将本该属于不同独立网络中的设备、终端连接起来，而通过将越来越多的独立网络连接到一起，网络规模将变得更大（参考运营商网络）。

由于NSX 网络虚拟化平台可以在这种超大规模的网络上实现一套独立的逻辑网络，因此NSX平台非常适合应用在超大规模数据中心或运营商网络中。

在NSX Manager中可以使用简化的UI来配置逻辑路由器，这非常便于配置和维护，在这里可以使用动态路由协议对NSX逻辑路由进行发现和宣告的操作，当然也可以使用静态路由。

控制平面仍然运行在NSX Controller集群中，而数据平面交给ESXi主机的Hypervisor来处理。

换言之，在虚拟化平台内部就可以进行各种路由操作，包括路由算法、邻居发现、路径选择、收敛等，而无需离开虚拟化环境，在物理网络平台中进行处理。

有了NSX逻辑路由功能，就可以方便地在逻辑的三层网络中，为路由选择最佳路径。

此外，NSX逻辑路由还能更好地实现多租户环境，比如在虚拟网络中，不同的VNI中就算有相同的IP地址，也可以部署两个不同的分布式路由器实例，一个连接租户A，一个连接租户B，保证网络不会发生任何冲突。

NSX Manager首先配置了一个路由服务。

在配置过程中，NSX Manager部署了一个控制逻辑路由的虚拟机（DLR Control VM）。

它是NSX Controller的一个组件，支持OSPF与BGP协议，负责NSX-V控制平面中的路由工作，专门用来处理分布式路由。

部署NSX网络和安全1.网络规划：首先需要对网络进行规划，确定需要部署NSX的区域和规模。

在规划过程中需要考虑网络的拓扑结构、IP地址分配方案、路由策略等。

此外，还需要评估当前的网络设备和组件是否支持NSX的部署。

2.部署NSX Manager：NSX Manager是NSX的核心组件，负责管理和配置NSX网络和安全功能。

在部署NSX Manager之前，需要确保已满足其硬件和软件要求。

部署NSX Manager可以通过虚拟机在vSphere环境中进行，也可以使用物理硬件进行部署。

3.部署NSX Controller：NSX Controller是NSX的另一个核心组件，负责提供控制平面功能。

在部署NSX Controller之前，需要确定所需的控制器数量，通常建议至少部署三个控制器以提供冗余和高可用性。

部署NSX Controller可以通过虚拟机进行，也可以使用物理硬件进行部署。

4.部署NSX Edge：NSX Edge是NSX的边缘路由器，提供网络边缘的路由和安全功能。

在部署NSX Edge之前，需要规划和设计边缘路由器的功能和配置，包括外部网络连接、NAT配置、VPN配置等。

部署NSX Edge可以通过虚拟机进行，也可以使用物理硬件进行部署。

5.创建逻辑交换机和端口组：逻辑交换机是NSX中的虚拟交换机，用于连接虚拟机和其他网络设备。

在部署NSX之前，需要创建逻辑交换机，并将物理网络中的端口组与逻辑交换机关联起来，以实现虚拟机和物理网络之间的通信。

6.配置网络和安全策略：一旦部署了NSX网络和安全组件，就可以开始配置网络和安全策略。

这包括配置防火墙规则、负载均衡、虚拟私有网络、IP地址分配和路由等。

配置过程还可以使用NSX提供的网络和安全服务，如分布式防火墙、虚拟隧道等。

7.测试和验证：在部署NSX网络和安全之后，需要进行测试和验证，确保网络和安全功能正常运行。

测试可以包括网络连通性测试、防火墙策略测试、负载均衡测试等。