多点数据中心联网安全VXLANEVPN和云安全

转置数据中心物理需求

马斯洛层次需求说明人需要满足基本生理需求-食物、水、温暖、休息-以追求更高水平增长数据中心网络化满足实体基础建设需求是建设更高层次能力-安全-条件

满足数据中心物理需求可以通过概念实现灾难避免da)和灾难恢复DR系统

• 灾难避免可建在冗余数据中心配置上,即每个数据中心都是自己的网络故障域名,也称网络故障域名可用区.
• 多可用区间构建冗余区域.
• 多大区冗余数据中心为灾难恢复打下基础

可用区使用VXLANBGPEVN现代数据中心网络布局互连技术多点中能安全扩展数据中心内部和之间的操作区域划分.区域可由连接和地理分布预设数据中心和公共云组成有兴趣了解DA和DR概念更多细节时,请看CiscoLive会议录制多克隆ACI和NX-OS辅助数据中心编译.

通过DA和DR实现基本可用性后,我们可以调查数据中心安全性马斯洛体系金字塔时需要

安全安全:第二基本需要

数据库网站和关键业务流程可用区和区间连通性一旦超出预置或合用中心范围,数据即有可能暴露威胁因为在可用区和大区间数据传递 通常不得不横跨公共基础设施驱动这种传输需求的原因是要求拥有由冗余数据中心支持的高可用应用数据通过互连离开数据中心时,安全措施必须确保这些传输的保密性与完整性,以减少威胁风险检验协议 安全数据中心互连

DC互连分量从IPSec到MACSec

大约十年前MACSec或802.1AE成为高速数据中心互连处理保密和完整性的首选方法取代IPSc, 因为它原生嵌入数据中心交换机sicon启动线率加密最小加延或增加包尺寸管理虽然这些优势比IPSec提高,但MACSec缺陷产生,因为它只能在两个相邻设备间部署DarkFiber或xWDM数据库中心使用时,这不是问题但这种完全透明安全服务往往费用太高或无法提供在这些情况中,选择重回耗资较多的IPSec方法

MACSec与保密性、完整性和可用性要求并发云安全.CloudSec使用方式MACSEUDP类似RFC3948描述的运方式ESPUDP除通过IP网络传输MACSec加密数据的细节外,CloudSec还携带UDP加密头和网络虚拟化使用案例加密有效载荷

以MACSec对VXLAN或VXLAN对IPSE安全时,这些方法只是堆积封装并引起更高资源耗用云安全系统高效安全运输封装VXLAN

VXlan安全EVPN多点使用云安全

VXLANEVPN多点数据中心网络提供可缩放互连性解决方案云安全提供传输加密信号键交换安全EVPN提供完全解析需要的最后块

安全EVPN,如IETF草稿所记录 "draft-sajassi-bess-secure-evpn描述调用EVPN地址-多协议BGPMP-BGP安全EVPN提供类似于互联网密钥交换2版(IKEV2)的隐私、完整性和认证水平BGP提供点对多点控制平面信号加密密钥和策略交换能力多点边界网关创建双向安全协会有固定方法信号安全协会的创建,同IPSec中的IKE一样,这些方法一般以点对点信号为基础,要求运算符配置双向关联

VXLAN EVPN多点环境创建能力全网通信模式需要预设安全协会云安全加密使用BGP和点对多信号方法效率提高,因为安全联想留双向

VXlan安全EVPN多点使用云安全提供最新数据中心互连互连性保密性、完整性和可用性VXLAN EVPN多点CiscoNexus9000带NXOS多年以来

VXLAN安全EVPN多点部署设计边界网关可云安全硬件可提供加密服务同级通信,同时继续提供多点功能而不加密非ClodSec BGWsEVPN多点安全解决方案的一部分,可配置策略允许强制加密并使用“必须安全式”选项,而向后兼容非加密功能网站则存在松散模式

VXLAN安全EVPN多点使用云安全系统见cisconexus9300-FX2所有其他多点BGW能力CiscoNexus9000s运行CiscoNX-OS9.3(5)时能够互操作

CiscoDCNM配置、管理并操作多功能

Cisco数据中心网络管理员从11.4(1)版开始支持安全EVPN多点使用云安全认证加密策略可设置为DCNM编译程序工作流中,这样必备配置设置应用到BGWs,而BGWs则属于多功能域DCNM后向兼容非ClodSec能力BGWs,可按一键嵌入DCNM网络管理控制台EVPN安全多点连接点离点数

看视频上配置CiscoDCNM云安全单元11.4(1)

学习更多CiscoDCNM