超融合數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)方案

1、超融合數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)方案匯報(bào)議程實(shí)踐+革新數(shù)據(jù)中心架構(gòu)發(fā)展趨勢(shì)超融合數(shù)據(jù)中心方案建議成功案例數(shù)據(jù)中心SDN應(yīng)用場(chǎng)景分享數(shù)據(jù)中心發(fā)展趨勢(shì)-面向未來(lái)的數(shù)據(jù)中心演進(jìn)數(shù)據(jù)網(wǎng)、存儲(chǔ)網(wǎng)絡(luò)融合虛擬化大二層網(wǎng)絡(luò)雙活數(shù)據(jù)中心建設(shè)數(shù)據(jù)大集中數(shù)據(jù)網(wǎng)、存儲(chǔ)網(wǎng)絡(luò)隔離多中心建設(shè)超融合與虛擬化云計(jì)算大集中云計(jì)算DC資源池虛擬化分布式計(jì)算智能化、自動(dòng)化管理DCCampusLABDCCampusLABDCCampusLAB數(shù)據(jù)中心發(fā)展多年來(lái)我們一直圍繞關(guān)注解決哪些方面?性能和容量架構(gòu)復(fù)雜性彈性擴(kuò)展虛擬化容災(zāi)和恢復(fù)綠色節(jié)能數(shù)據(jù)中心發(fā)展過(guò)程中我們忽略了那些地方或者還有哪些需要去建設(shè)和思考？超融合網(wǎng)絡(luò)架構(gòu)服務(wù)安全資源池云計(jì)算大

2、數(shù)據(jù)如何構(gòu)建超融合與虛擬化相結(jié)合的數(shù)據(jù)中心矩陣Hyper Converged Data Center Fabric 超融合數(shù)據(jù)中心方案建議什么是超融合數(shù)據(jù)中心矩陣-融合了什么？物理機(jī)箱虛擬化、服務(wù)器虛擬化、FC存儲(chǔ)、IP存儲(chǔ)、FCOE、虛擬機(jī)感知為什么需要超融合數(shù)據(jù)中心矩陣？滿(mǎn)足性能、彈性擴(kuò)展、安全性、云計(jì)算、大數(shù)據(jù)、簡(jiǎn)化管理、節(jié)約成本超融合數(shù)據(jù)中心矩陣能給我們帶來(lái)哪些好處？傳統(tǒng)數(shù)據(jù)中心架構(gòu)與超融合數(shù)據(jù)中心矩陣對(duì)比核心層匯聚層接入層SAN服務(wù)器刀片服務(wù)器VMware 虛擬機(jī)大型存儲(chǔ)設(shè)備FC通道連接SAN網(wǎng)IP存儲(chǔ)NAS、iSCSI傳統(tǒng)的分層網(wǎng)絡(luò)架構(gòu)1、網(wǎng)絡(luò)層次結(jié)構(gòu)復(fù)雜，鏈路效率利用率低；2、管

3、理設(shè)備多、雜(獨(dú)立管理和監(jiān)控對(duì)于LAN和SAN設(shè)備)；3、不具備自動(dòng)QOS對(duì)于以太網(wǎng)和IP存儲(chǔ)流量；4、VM虛擬機(jī)流量無(wú)感知和聯(lián)動(dòng)動(dòng)作；5、服務(wù)器之間的東西流量無(wú)任何優(yōu)化；6、組網(wǎng)結(jié)構(gòu)不靈活、互聯(lián)鏈路繁多(NICHBA)。大型存儲(chǔ)設(shè)備FC通道-4/8/16GBIP存儲(chǔ)NAS、iSCSI以太網(wǎng)服務(wù)器以太網(wǎng)服務(wù)器存儲(chǔ)服務(wù)器以太網(wǎng)鏈路10GBFC光纖通道16GBFCOE鏈路10GB核心層接入層超融合數(shù)據(jù)中心矩陣1、簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，提高鏈路利用率(ISL Trunking Frame)；2、所有鏈路轉(zhuǎn)發(fā)流量基于幀模式，L1/L2/L3多路徑轉(zhuǎn)發(fā)；3、自動(dòng)QOS識(shí)別以太網(wǎng)流量、IP存儲(chǔ)流量、FC存儲(chǔ)流量；

4、4、VM虛擬機(jī)流量自動(dòng)感知，交換機(jī)端口配置和MAC隨虛擬機(jī)遷移；5、服務(wù)器之間的東西流量一跳即達(dá)，超低網(wǎng)絡(luò)延遲；6、VCS實(shí)現(xiàn)物理機(jī)箱虛擬機(jī)從而實(shí)現(xiàn)基于單個(gè)IP地址進(jìn)行矩陣管理；7、節(jié)約鏈路資源，F(xiàn)COE網(wǎng)卡；8、基于TRiLL技術(shù)，零配置、自動(dòng)化部署，支持任意拓?fù)浣Y(jié)構(gòu)互聯(lián)。傳統(tǒng)數(shù)據(jù)中心與超融合數(shù)據(jù)中心構(gòu)建成本案例假設(shè)某客戶(hù)有100臺(tái)服務(wù)器和兩套不同廠商存儲(chǔ)部件與數(shù)量預(yù)估傳統(tǒng)數(shù)據(jù)中心超融合數(shù)據(jù)中心以太網(wǎng)交換機(jī)核心+接入6臺(tái)6臺(tái)FC-SAN交換機(jī)2臺(tái)0臺(tái)管理設(shè)備數(shù)量3臺(tái)以太網(wǎng)矩陣+FC交換機(jī)1臺(tái)以太網(wǎng)和FC交換機(jī)融合管理設(shè)備品牌2以太網(wǎng)交換機(jī)品牌FC-SAN交換機(jī)廠商1單臺(tái)服務(wù)布線成本4根鏈路兩

5、根鏈路IP SwitchIP SwitchIP SwitchIP Switch ServerIP SwitchFC SwitchLANSAN1G IP8G FCNICHBAVMVMVMVM現(xiàn)有網(wǎng)絡(luò)架構(gòu)的缺點(diǎn)虛擬化 每個(gè)服務(wù)器需要更多的帶寬 分離的網(wǎng)絡(luò) 更多的網(wǎng)絡(luò)需要管理最后 更多的電纜，網(wǎng)卡，交換機(jī)NICNICNICHBAHBAHBA傳統(tǒng)數(shù)據(jù)中心架構(gòu)一個(gè)具體的問(wèn)題探討 ServerIP SwitchIP SwitchIP SwitchIP SwitchIP SwitchFC SwitchLANSAN1G IP8G FC超融合矩陣的好處管理統(tǒng)一管理，減少線纜減少構(gòu)架的投資 減少50%構(gòu)架投資 減

6、少電力的消耗銅纜Twinax = 便宜的萬(wàn)兆 1/10光纖10G的價(jià)格 1/10光纖10G的電力消耗減少管理設(shè)備的數(shù)量 IP+SAN一家廠商提供技術(shù)支持 VCS組網(wǎng)解決集中管理一臺(tái)設(shè)備超融合數(shù)據(jù)中心矩陣VCSCNAVMVMVMVMNICNICNICNICHBAHBAHBAHBA10G IP + FC (FCoE)Twinax SFP+現(xiàn)有網(wǎng)絡(luò)架構(gòu)的缺點(diǎn)虛擬化 每個(gè)服務(wù)器需要更多的帶寬 分離的網(wǎng)絡(luò) 更多的網(wǎng)絡(luò)需要管理最后 更多的電纜，網(wǎng)卡，交換機(jī)超融合數(shù)據(jù)中心架構(gòu)解決方法一超融合數(shù)據(jù)中心架構(gòu)解決方法二 已有服務(wù)器IP SwitchIP SwitchIP SwitchIP SwitchIP Swi

7、tchFC SwitchLANSAN1G IP10GIP8G FC16G FC超融合矩陣的好處管理統(tǒng)一管理，減少線纜減少構(gòu)架的投資 減少50%構(gòu)架投資 減少電力的消耗銅纜Twinax = 便宜的萬(wàn)兆 1/10光纖10G的價(jià)格 1/10光纖10G的電力消耗減少管理設(shè)備的數(shù)量 IP+SAN一家廠商提供技術(shù)支持 VCS組網(wǎng)解決集中管理一臺(tái)設(shè)備投資保護(hù)現(xiàn)有的服務(wù)器不改變接入方式新增服務(wù)器采用FCOE方式接入超融合數(shù)據(jù)中心矩陣VCSVMVMVMVMNICNICNICNICHBAHBAHBAHBA10G IP + FC (FCoE)Twinax SFP+ 新增服務(wù)器CNAVMVMVMVMVDX6740Ad

8、d FCOE LicenseVDX6740Add FCOE LicenseVDX6740Add FCOE LicenseVDX6740Add FCOE License5M multimodefiberSFP+10GSFP+10GSFP+10GSFP+10GSFP+10GSFP+10GSFP+10GSFP+10G1.5KMSingle-mode fiber5M multimodefiberServerFC-PORE-8GHBAFC-PORE-8GHBAFC-PORE-8GHBAFC-PORE-8GHBAStorage-2ServerNIC-10GNIC-10GFCOE10GFCOE10GStor

9、age-1FC-PORE-8GHBAFC-PORE-8GHBADATACENTER-1DATACENTER-21.5KMSingle-mode fiber小規(guī)模-跨數(shù)據(jù)中心超融合網(wǎng)絡(luò)矩陣基礎(chǔ)架構(gòu)示意圖融合:FC/FCOE/NIC/IP-STORAGE 10G-SFP+-單模10G-SFP+-多模1G/10G-SFP+-多模10G-SFP+-多模-FCOE4/8/16G FC光纖通道機(jī)架服務(wù)器FCOEVM_1(負(fù)載均衡器)VM_2VM_3VM_4(虛擬路由器)VM_5VM_6VM_7(負(fù)載均衡器)VM_8VM_9虛擬交換機(jī)-虛擬機(jī)管理平臺(tái)機(jī)架服務(wù)器NIC+HBA刀片服務(wù)器FC存儲(chǔ)設(shè)備IP存儲(chǔ)設(shè)備

10、VDX6740VDX6740VDX6740VDX6740機(jī)架服務(wù)器FCOEVM_1(負(fù)載均衡器)VM_2VM_3VM_4(虛擬路由器)VM_5VM_6VM_7(負(fù)載均衡器)VM_8VM_9虛擬交換機(jī)-虛擬機(jī)管理平臺(tái)機(jī)架服務(wù)器NIC+HBA刀片服務(wù)器FC存儲(chǔ)設(shè)備IP存儲(chǔ)設(shè)備VDX6740VDX6740VDX6740VDX6740中小型規(guī)模-跨數(shù)據(jù)中心超融合網(wǎng)絡(luò)矩陣基礎(chǔ)架構(gòu)示意圖融合:FC/FCOE/NIC/IP-STORAGE 12KM距離-裸光纖技術(shù)融合:FC/FCOE/NIC/IP-STORAGE兩個(gè)數(shù)據(jù)中心形成一個(gè)矩陣虛擬化部署路由+防火墻、負(fù)載均衡存儲(chǔ)同步復(fù)制數(shù)據(jù)接入層接入層VDX674

11、0VDX6940-36QVDX6940-36Q國(guó)外廠商服務(wù)器國(guó)產(chǎn)廠商服務(wù)器超融合數(shù)據(jù)中心矩陣接入平臺(tái)融合企業(yè)數(shù)據(jù)中心內(nèi)部的以太網(wǎng)和FC-SAN網(wǎng)絡(luò)VDX6740國(guó)內(nèi)外主流存儲(chǔ)廠商虛擬化廠商FC/IP存儲(chǔ)設(shè)備FC通道-4/8/16GB以太網(wǎng)通道-10GB堡壘機(jī)刀片服務(wù)器應(yīng)用負(fù)載均衡器核心層接入層接入層FC/IP存儲(chǔ)設(shè)備FC通道-4/8/16GB以太網(wǎng)通道-10GB堡壘機(jī)刀片服務(wù)器應(yīng)用負(fù)載均衡器核心層接入層接入層二層透?jìng)鞫油競(jìng)鱒DX6740VDX6740VDX8770VDX8770中大型規(guī)模-跨數(shù)據(jù)中心超融合網(wǎng)絡(luò)矩陣基礎(chǔ)架構(gòu)示意圖融合:FC/FCOE/NIC/IP-STORAGE FC存儲(chǔ)設(shè)備I

12、P存儲(chǔ)設(shè)備FC存儲(chǔ)設(shè)備IP存儲(chǔ)設(shè)備存儲(chǔ)同步復(fù)制數(shù)據(jù)超融合數(shù)據(jù)中心矩陣VCS 跨數(shù)據(jù)中心二層透?jìng)?VFE基于VXLAN技術(shù)不需要中間鏈路組播支持、不需要借助外置控制器超融合數(shù)據(jù)中心矩陣VCS 針對(duì)IP存儲(chǔ)自動(dòng)化QOS來(lái)自SAN技術(shù)的基因All the nodes in the fabric will auto prioritize NAS Storage traffic over other traffic types (NFS, SMB/CIFS)Eliminates complexity of manual QoS setting for each switchAbility to moni

13、tor IP Storage traffic through ACL CountersFunctionality:Specify the IP Address of the NAS Head All the traffic destined to and originated from NAS Head will be prioritized in the FabricSingle command configurationCompute RacksStorage RacksiSCSIFCoENASLossless Priority: FCoE, iSCSI TrafficMedium Pri

14、ority: NAS Traffic Other Priorities: Best Effort TrafficBrocade and VMwarePOINTS OF INTEGRATION 2015 BROCADE COMMUNICATIONS SYSTEMS, INC. 19NSX IntegrationvRealize IntegrationSummary & FuturesvCenter IntegrationvCenter IntegrationSIMPLIFIED PROVISIONING AND OPERATIONS 2015 BROCADE COMMUNICATIONS SYS

15、TEMS, INC. 20vCenterAssetsProfileHostVLANVMQoSVswitchDVswitchPoint the Fabric to vCenter(s)vCenter asset info propagated to FabricVLANs created in vCenter are automatically created on all Fabric switchesVLANS provisioned only on edge ports as required by hosts/VMsSupport for vMotion with automatic n

16、etwork configuration for VLAN on new switch port and removal of VLAN from old switch portVMware NSX IntegrationVXLAN OVERLAY 2015 BROCADE COMMUNICATIONS SYSTEMS, INC. 21VTEPNSXHW VTEPInternetVXLANVXLAN GatewayBrocade IP Analytics PackMaximize virtual network availability with physical network analyt

17、ics 2015 BROCADE COMMUNICATIONS SYSTEMS, INC. 22VMwarevRealizeOperationsVMwareSubscriber AnalyticsApplication AnalyticsNetwork AnalyticsDevice Smartphone AnalyticsSDN EnginePort HealthSwitch Status PolicyFRU HealthSecurity ViolationsSwitch ResourceTraffic PerformanceVMwarevCloud Automation CentervSp

18、hereNetwork Virtualization and Security (NSX)Intelligent Network OperationsDelivers comprehensive IP analytics to support cloud environmentsUnified Virtual & Physical NetworkingProvides deeper insights and visibility into the network for better application and VM performanceSimplified Policy Automat

19、ionPre-defined topologies, queries and alerts simplify monitoring and health, risk and efficiency metrics add context to analyticsBrocade VDX6740-48交換機(jī)，添加FCOE許可華為存儲(chǔ)-配置支持FCOE網(wǎng)卡曙光刀片服務(wù)器配置4GB FC網(wǎng)卡兩臺(tái)windows服務(wù)器一臺(tái)windows7虛擬機(jī)硬盤(pán)掛載到華為存儲(chǔ)一臺(tái)windows7虛擬機(jī)硬盤(pán)掛載到本地存儲(chǔ)FC接口互聯(lián)4G速率以太網(wǎng)接口互聯(lián)10G速率FOCE從windows7服務(wù)器往華為存儲(chǔ)寫(xiě)入/讀取數(shù)據(jù)速率

20、大概在161M/S超融合數(shù)據(jù)中心矩陣VCS 滿(mǎn)足FC&FCOE&IP存儲(chǔ)&以太網(wǎng)互聯(lián)互通超融合數(shù)據(jù)中心矩陣VCS 滿(mǎn)足FC&FCOE&IP存儲(chǔ)&以太網(wǎng)互聯(lián)互通超融合數(shù)據(jù)中心矩陣VCS 典型TOP-RACK交換機(jī)競(jìng)爭(zhēng)分析CISCO 5548、5596交換機(jī)支持FC光纖通道接口需要單獨(dú)配置板卡和軟件激活許可無(wú)論H3C還是CSICO在FC接口支持上均落后博科VDX交換機(jī)，因?yàn)樗麄兊腇C接口目前只支持8GB，博科交換機(jī)可以支持16GB更重要的是博科在SAN網(wǎng)絡(luò)的經(jīng)驗(yàn)要領(lǐng)先與所有廠商。Cisco Nexus 5600 Platform 10-Gbps Switches Data Sheet整機(jī)最大支持2

21、4個(gè)FC接口只能是最后24個(gè)口，博科支持32個(gè)并且是任意接口http:/c/en/us/products/collateral/switches/nexus-5000-series-switches/datasheet-c78-730760.html超融合數(shù)據(jù)中心矩陣VCS 典型TOP-RACK交換機(jī)競(jìng)爭(zhēng)分析超融合數(shù)據(jù)中心矩陣VCS 典型部署模式三層部署-無(wú)生成樹(shù)大二層部署-無(wú)生成樹(shù)多矩陣部署IP CLOS 部署(無(wú)Fabric)超融合數(shù)據(jù)中心矩陣VCS 產(chǎn)品組合可擴(kuò)展性 葉子 樹(shù)干1G/10G/10GBase-T Optimized w/ 40G uplinks VDX 6740 系列VDX

22、 6940 系列VDX 8770 系列10G/40G Optimized w/ 100G uplinks 10G/10GBase-T/40G/100G optimized modular system VDX 6940-72Q VDX 6940-36QVDX 6940-144SVDX 6740VDX 6740TVDX 6740T-1G雙電源負(fù)載均衡；一個(gè)FCOE許可激活32個(gè)FC接口，支持多路徑轉(zhuǎn)發(fā)，支持4/8/16G FC接口，支持自動(dòng)QOS識(shí)別技術(shù)；具備4個(gè)40G以太網(wǎng)上聯(lián)接口。后面板8 Flex Ports(FC/FCoE/Ethernet)48X10GbE SFP+(FCOE/Ethe

23、rnet)8 Flex Ports(FC/FCoE/Ethernet)16Flex Ports(FC/FCoE/Ethernet)4X40GbE QSFP+1 RUTrunk Group 1Trunk Group 2Trunk Group 3Trunk Group 4Trunk Group 3ATrunk Group 4ATrunk Groups超融合數(shù)據(jù)中心矩陣VCS 典型TOP-RACK交換機(jī)前面板超融合數(shù)據(jù)中心矩陣VCS VDX6740交換機(jī)-低延遲-高性能-超融合超融合數(shù)據(jù)中心矩陣VCS 模塊化核心交換機(jī)板卡 48x10G SFP+ 48x1G SFP/SFP-Cu (fiber/cu

24、)High Performance Line Rate 12x40G QSFP+ 48x10G Copper RJ-45 High Density 27x40G QSFP+High Performance 6x100G CFP21G10G40G100GLeaf DeploymentLeaf / Spine DeploymentSpine / Core Deployment2x100G CFP2 with POD Licensing超融合矩陣架構(gòu)優(yōu)勢(shì)分析-為什么需要超融合數(shù)據(jù)中心？建設(shè)目標(biāo)-超融合數(shù)據(jù)中心1.當(dāng)前傳統(tǒng)數(shù)據(jù)中心組網(wǎng)架構(gòu)問(wèn)題總結(jié)現(xiàn)有SAN設(shè)備不支持長(zhǎng)距離連接；現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜(IP以

25、太網(wǎng)和SAN網(wǎng)絡(luò)分離架構(gòu))；現(xiàn)有網(wǎng)絡(luò)架構(gòu)組網(wǎng)綜合布線成本較高且復(fù)雜；現(xiàn)有網(wǎng)絡(luò)架構(gòu)冗余度和可靠性不高；現(xiàn)有網(wǎng)絡(luò)架構(gòu)中互聯(lián)鏈路利用率過(guò)低；現(xiàn)有網(wǎng)絡(luò)架構(gòu)中環(huán)路風(fēng)險(xiǎn)較大。2.新一代超融合數(shù)據(jù)中心架構(gòu)目標(biāo)全面提升網(wǎng)絡(luò)架構(gòu)融合性(FC/FCOE/IP存儲(chǔ)/傳統(tǒng)以太網(wǎng))；全面提升網(wǎng)絡(luò)架構(gòu)冗余度和可靠性；全面提升網(wǎng)絡(luò)性能和轉(zhuǎn)發(fā)能力滿(mǎn)足當(dāng)前及未來(lái)業(yè)務(wù)擴(kuò)展的需要；全面簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)體系，減少管理設(shè)備數(shù)量同時(shí)減輕運(yùn)維管理壓力；全面簡(jiǎn)化網(wǎng)絡(luò)綜合布線結(jié)構(gòu)，節(jié)約成本；全面整合以太網(wǎng)和SAN網(wǎng)絡(luò)分離的架構(gòu)；全面滿(mǎn)足未來(lái)40G和100G互聯(lián)帶寬的擴(kuò)展需要；全面融合虛擬化(VMWARE)環(huán)境的虛擬機(jī)管理；全面提高網(wǎng)絡(luò)鏈路利用率同

26、時(shí)消除網(wǎng)絡(luò)環(huán)路。成功案例同行業(yè)案例介紹中國(guó)高校985-211代表性客戶(hù)典型客戶(hù)案例-南京某高校超融合數(shù)據(jù)中心典型客戶(hù)案例-武漢某高校超融合數(shù)據(jù)中心典型客戶(hù)案例-蘇州某高校超融合數(shù)據(jù)中心校園網(wǎng)出口視頻、專(zhuān)線、設(shè)備管理業(yè)務(wù)流量教育網(wǎng)資源徐匯校區(qū)奉賢校區(qū)L3L3骨干路由器-1骨干路由器-2骨干路由器-1骨干路由器-2業(yè)務(wù)邊界路由器防火墻/NAT匯聚交換機(jī)匯聚交換機(jī)園區(qū)網(wǎng)數(shù)據(jù)中心交換機(jī)二層透?jìng)?FCOE服務(wù)器/存儲(chǔ)接入L2三層網(wǎng)關(guān)終結(jié)業(yè)務(wù)邊界路由器數(shù)據(jù)中心交換機(jī)二層透?jìng)?FCOE服務(wù)器/存儲(chǔ)接入SDN控制器典型客戶(hù)案例-上海某高校超融合數(shù)據(jù)中心數(shù)據(jù)中心SDN應(yīng)用場(chǎng)景有哪些？數(shù)據(jù)中心SDN軟件定義網(wǎng)絡(luò)應(yīng)

27、用場(chǎng)景分享趨勢(shì)與需求：圍繞著數(shù)據(jù)中心的發(fā)展，當(dāng)前還有哪些地方需要提高和鞏固加強(qiáng)？數(shù)據(jù)中心安全云服務(wù)互聯(lián)網(wǎng)出口安全資源池大數(shù)據(jù)分析用戶(hù)數(shù)據(jù)篩選網(wǎng)絡(luò)可視化用戶(hù)行為分析數(shù)據(jù)中心安全云服務(wù)互聯(lián)網(wǎng)出口安全資源池問(wèn)題應(yīng)接不暇！郵件安全防APT攻擊網(wǎng)絡(luò)掃描器Cloud Service網(wǎng)絡(luò)防病毒DDoS ProtectionSecurity CloudInternet數(shù)據(jù)中心/互聯(lián)網(wǎng)出口安全服務(wù)設(shè)備多臺(tái)設(shè)備串接，可靠性？故障排查復(fù)雜，誰(shuí)來(lái)做？流量經(jīng)過(guò)多次轉(zhuǎn)發(fā)，大延遲？Vendor 1Vendor 2Vendor 3Vendor 4Internet ConnectionMalware IntelligenceD

28、NS AlertEndpoint AlertAV AlertSMTP AlertAV AlertWeb AlertWeb AlertSMTP AlertDNS AlertAV AlertDNS AlertWeb AlertEndpoint Alert應(yīng)急響應(yīng)變慢設(shè)備故障后，更換困難新產(chǎn)品、新功能測(cè)試?yán)щy有限的可視化程度多用戶(hù)、多權(quán)限、安全管理性能疊加困難，往往面臨性能瓶頸內(nèi)網(wǎng)或VM之間交互流量難以處理當(dāng)前高校數(shù)據(jù)中心及園區(qū)網(wǎng)安全建設(shè)問(wèn)題應(yīng)接不暇防火墻負(fù)載均衡IPS/IDSWAF漏洞掃描防火墻行為管理防病毒DMZ服務(wù)器區(qū)域園區(qū)網(wǎng)有線/無(wú)線用戶(hù)DNS AlertEndpoint AlertAV A

29、lertSMTP AlertAV AlertWeb AlertWeb AlertSMTP AlertDNS AlertAV AlertDNS AlertWeb AlertEndpoint Alert交換機(jī)交換機(jī)設(shè)備故障鏈路故障延遲過(guò)高性能瓶頸當(dāng)前高校數(shù)據(jù)中心及園區(qū)網(wǎng)安全建設(shè)問(wèn)題表現(xiàn)防火墻-1負(fù)載均衡IPS/IDSWAF漏洞掃描防火墻-2行為管理防病毒如何利用SDN解決方案構(gòu)建安全資源池提供安全云服務(wù)互聯(lián)網(wǎng)園區(qū)網(wǎng)對(duì)外發(fā)布業(yè)務(wù)序號(hào)服務(wù)鏈名稱(chēng)服務(wù)對(duì)象構(gòu)建安全服務(wù)鏈組合-針對(duì)不同用戶(hù)和服務(wù)內(nèi)容1教職工/學(xué)生上網(wǎng)服務(wù)老師學(xué)生行為管理IPS/IDS防火墻-1防病毒2對(duì)外發(fā)布服務(wù)DMZ服務(wù)器IPS/IDS防

30、火墻-1負(fù)載均衡漏洞掃描WAF3數(shù)據(jù)中心服務(wù)內(nèi)部數(shù)據(jù)中心IPS/IDS防火墻-1負(fù)載均衡漏洞方面防火墻-2通過(guò)SDN網(wǎng)絡(luò)進(jìn)行應(yīng)用流量分流；特定流量送給特定的服務(wù)設(shè)備進(jìn)行處理；獨(dú)特效果：高可靠性隨時(shí)切換高性能多數(shù)流量經(jīng)過(guò)一次處理，低延遲性能疊加處理性能無(wú)縫擴(kuò)展故障排查準(zhǔn)確定位，便利處理功能驗(yàn)證隨時(shí)測(cè)試新產(chǎn)品和新功能設(shè)備故障后在線更換，割接流量設(shè)備聯(lián)動(dòng)聯(lián)動(dòng)與探測(cè)健康檢查更好的流量可視化功能基于用戶(hù)和端口的權(quán)限管理真正實(shí)現(xiàn)內(nèi)網(wǎng)的安全流量處理e.g., OpenFlow APISDN控制器安全服務(wù)供應(yīng)商ADCFWIPS防火墻負(fù)載均衡IPS/IDS流控管理漏洞掃描SDN智能設(shè)備傳統(tǒng)模式葫蘆串安全服務(wù)資源

31、池用戶(hù)發(fā)起/接受如何利用SDN解決方案構(gòu)建安全資源池提供安全云服務(wù)SDN解決方案安全服務(wù)鏈管理-如何實(shí)現(xiàn)簡(jiǎn)單、高效、智能的安全資源池，提供便捷的網(wǎng)絡(luò)安全SDN-APP(安全服務(wù)鏈管理系統(tǒng))統(tǒng)一視圖監(jiān)控安全資源池SDN-APP(安全服務(wù)鏈管理系統(tǒng))創(chuàng)建和管理安全資源SDN-APP(安全服務(wù)鏈管理系統(tǒng))建立安全服務(wù)鏈SDN-APP(安全服務(wù)鏈管理系統(tǒng))創(chuàng)建安全服務(wù)策略第一步第二步第三步網(wǎng)絡(luò)可視化用戶(hù)行為分析當(dāng)前園區(qū)網(wǎng)用戶(hù)行為不可控帶來(lái)的挑戰(zhàn)和表現(xiàn)總結(jié)功能過(guò)于集中BASE設(shè)備減負(fù)用戶(hù)行為不可控用戶(hù)惡意攻擊行為痛點(diǎn)表現(xiàn)解決方案痛點(diǎn)主要表現(xiàn)：1、BASE設(shè)備CPU高2、用戶(hù)DHCP獲取失敗3、用戶(hù)Rad

32、ius認(rèn)證失敗4、帶寬管理問(wèn)題5、流量可視化分析問(wèn)題6、BASE冗余問(wèn)題7、BASE設(shè)備端口成本昂貴8、配置管理復(fù)雜性痛點(diǎn)主要表現(xiàn)：1、用戶(hù)行為不可控2、用戶(hù)流量分析不完善3、設(shè)備功能未發(fā)揮(匯聚)4、上行鏈路冗余問(wèn)題5、網(wǎng)絡(luò)故障定位時(shí)間過(guò)長(zhǎng)痛點(diǎn)主要表現(xiàn)：1、用戶(hù)惡意網(wǎng)絡(luò)攻擊；2、用戶(hù)行為分析與控制；博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)流量可視化網(wǎng)絡(luò)流量可視化-基于SDN-Brocade Visibility Manager解決方案博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)流量可視化應(yīng)用流量排名博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)流量可視化DHCP攻擊防護(hù)A

33、RP攻擊防護(hù)會(huì)話(huà)分析DNS攻擊防護(hù)博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)流量可視化網(wǎng)絡(luò)流量可視化-基于SDN-Brocade Visibility Manager解決方案用戶(hù)終結(jié)一卡通用戶(hù)終結(jié)一卡通匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)內(nèi)層防火墻內(nèi)層防火墻外層防火墻外層防火墻DMZ交換機(jī)DMZ交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)SDN應(yīng)用流控分析管理平臺(tái)流量清洗平臺(tái)SDN控制器流表與拓?fù)涔芾肀毕駻PI接口OPENFLOW業(yè)務(wù)流量鏡像南向接口Brocade SDN控制器南向接口OPENFLOW方式流表下發(fā)ICX SDN智能交換機(jī)MGT-IP：9/25telnet:admi

34、n/passwordMGT-IP：6/25http:/MGT-IP:9001admim/adminBrocade 流量分析平臺(tái)MGT-IP：7/25https:/MGT-IP:8089Administrator/password第三方流量可視化平臺(tái)MGT-IP：8/25https:/MGT-IP:8089Administrator/password北向接口REST API-流表下發(fā)申請(qǐng)北向接口REST API-流表下發(fā)申請(qǐng)通過(guò)SFLOW采集數(shù)據(jù)發(fā)送到博科流量分析平臺(tái)通過(guò)流量鏡像采集數(shù)據(jù)發(fā)送到流量可視化平臺(tái)園區(qū)網(wǎng)絡(luò)互聯(lián)網(wǎng)/園區(qū)網(wǎng)控制器北向接口REST API訪問(wèn)路徑6:8181/restconf

35、/modules防火墻A防火墻B前端探針博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-流量可視化網(wǎng)絡(luò)流量可視化-基于SDN-Brocade Visibility Manager解決方案大數(shù)據(jù)分析用戶(hù)數(shù)據(jù)篩選與清洗核心交換機(jī)核心交換機(jī)TOR-RACK交換機(jī)TOR-RACK交換機(jī)TOR-RACK交換機(jī)TOR-RACK交換機(jī)內(nèi)層防火墻內(nèi)層防火墻外層防火墻外層防火墻DMZ交換機(jī)DMZ交換機(jī)VM_1VM_2VM_3VM_4VM_5VM_6VM_7VM_8VM_9Tool 1Tool 2Tool 3Tool 4用戶(hù)訪問(wèn)層交換機(jī)端口鏡像交換機(jī)端口鏡像傳統(tǒng)流量鏡像采集方式缺點(diǎn)：1、不管你要不要我都給你；2、無(wú)

36、法靈活的實(shí)現(xiàn)一對(duì)多；3、性能瓶頸；4、各平臺(tái)支持的鏡像會(huì)話(huà)數(shù)限制；5、CPU資源消耗較大；6、時(shí)效性不夠。當(dāng)前傳統(tǒng)方式用戶(hù)對(duì)于大數(shù)據(jù)分析的數(shù)據(jù)來(lái)源與篩選帶來(lái)的困擾和缺點(diǎn)Network Taps互聯(lián)網(wǎng)數(shù)據(jù)中心/園區(qū)網(wǎng)網(wǎng)絡(luò)設(shè)備數(shù)據(jù)倉(cāng)庫(kù) 過(guò)載、空間壓力、重復(fù)流量 浪費(fèi)系統(tǒng)容量(沒(méi)必要的流量)入侵檢測(cè)系統(tǒng) 未充分利用自身能力 提供了最低限度保護(hù)網(wǎng)絡(luò)性能監(jiān)控平臺(tái) 可見(jiàn)度不夠 重復(fù)的數(shù)據(jù)數(shù)據(jù)包/內(nèi)容分析平臺(tái) 日常拍錯(cuò)效率低下 敏感數(shù)據(jù)遮蔽 SSL數(shù)據(jù)無(wú)法查看 可見(jiàn)性較差鏡像鏡像鏡像當(dāng)前傳統(tǒng)方式用戶(hù)對(duì)于大數(shù)據(jù)分析的數(shù)據(jù)來(lái)源與篩選帶來(lái)的困擾和缺點(diǎn)鏡像內(nèi)部系統(tǒng)及網(wǎng)絡(luò)工具Network Taps互聯(lián)網(wǎng)數(shù)據(jù)中心及園

37、區(qū)網(wǎng)網(wǎng)絡(luò)設(shè)備流量鏡像流量鏡像NetworkPacket Broker博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)智能分流精細(xì)化管理流量-基于SDN-Packet broker Flow Mapping流量鏡像流量鏡像過(guò)濾數(shù)據(jù)倉(cāng)庫(kù) 記錄更少 利用率更好 數(shù)據(jù)更精確入侵檢測(cè)系統(tǒng) 最佳能見(jiàn)度 提供完整的保護(hù)網(wǎng)絡(luò)性能監(jiān)控平臺(tái) 完整的可見(jiàn)度數(shù)據(jù)包/內(nèi)容分析平臺(tái) 隨時(shí)待命 可見(jiàn)性好 靈活、安全、便捷內(nèi)部系統(tǒng)及網(wǎng)絡(luò)工具Tool 3 (IDS)Tool 4 (CEM)Tool 5 (CEM)Tool 7 (Recorder)Tool 1 (VOIP)入站端口出站端口僅僅特定流量被送往各個(gè)工具，這大幅降低

38、了出站流量，顯著提高工具利用率SDN設(shè)備是入站/出站流量中轉(zhuǎn)分配站流表操作允許隨時(shí)增加和刪除，對(duì)實(shí)際操作十分有方便。結(jié)合出站流表過(guò)濾規(guī)則，能更進(jìn)一步定位流量。VOIPIDSCEMWEB匹配流表匹配流表匹配流表匹配流表可配置的硬件過(guò)濾可自定義規(guī)則4-7層流量過(guò)濾Tool 2 (VOIP)負(fù)載均衡過(guò)濾+復(fù)制SDN智能設(shè)備后端系統(tǒng)前端網(wǎng)絡(luò)應(yīng)用性能分析大數(shù)據(jù)分析平臺(tái)信息安全監(jiān)測(cè)博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)智能分流精細(xì)化管理流量-基于SDN-Packet broker Flow MappingICX and MLX流量匯聚Enables pervasive visibilityCo

39、llect network traffic from all relevant network interfaces流量復(fù)制Deploy multiple visibility applicationsCopy network traffic to each analytics solution流量過(guò)濾-2-7層Deliver only relevant traffic to each analytics solutionSelect which packets to deliver to which tools負(fù)載分擔(dān)Enables network to tool interface speed matchingShare aggregated traffic load among analytics probesOrchestration and SDN control is key differentiator 博科提供智能可視化園區(qū)網(wǎng)有線無(wú)線統(tǒng)一解決方案-網(wǎng)絡(luò)智能分流精細(xì)化管理流量-基于SDN-P