Piotr Jabłoński, Senior Systems Engineer, VMware

Nikt nie chciałby, aby ktoś niepowołany mógł zmienić nasze dane, zrobić ich kopię lub je podsłuchać. Dotyczy to zwłaszcza danych przesyłanych między ośrodkami obliczeniowymi. Nie każdy ma własne światłowody, a nawet jeśli, to i tak nie gwarantuje to uniknięcia wycieku danych. Zdarza się, że przy łączeniu data center ze sobą pozostaje skorzystanie z usługi operatora lub innego zewnętrznego usługodawcy. Co w takim przypadku? Spróbujmy szyfrowania.

Jakie jest stan obecny na rynku? Czy rozwiązania SDN mogą nas jakoś w tym temacie wspomóc?

Domyślnie ruch w warstwie 2 nie jest szyfrowany, niezależnie, czy stosujemy VLAN-y, MPLS, czy VXLAN. Wymusza to użycie dodatkowych szyfratorów. Można wykorzystać MACsec do szyfrowania ruchu w warstwie 2. Wadą rozwiązania jest konieczność posiadania bezpośredniego łącza między ośrodkami lub zastosowanie port-based EoMPLS. Zawęża to mocno zastosowanie takiego szyfrowania poprzez sieci rozległe. Innym sposobem jest przesłanie ramki Ethernet w L2TPv3 i zaszyfrowanie jej jako ruchu IP. Niestety z uwagi na wsparcie protokołów EoIP oraz ich wydajność może się skończyć na zbudowaniu enkapsulacji Ethernet over MPLS over GRE over IPSec lub na zastosowaniu zewnętrznych szyfratorów. Zwiększy to koszt rozwiązania.

Co unikalnego oferuje nam VMware NSX? Wraz z rozwiązaniem otrzymujemy natywne szyfrowanie ruchu Ethernet w warstwie 2 bez konieczności używania zewnętrznych szyfratorów lub dodatkowych tuneli. Można łączyć ze sobą nie tylko sieci VXLAN, ale również VLAN-y z VXLAN oraz innymi sieciami VLAN. Zapewnia to automatycznie bridging między siecią klasyczną działającą w oparciu o VLAN-y, a nową infrastrukturą z segmentami VXLAN.

Przykład połączenia jest pokazany na poniższym rysunku.

Urządzenia fizyczne widzą ruch L2VPN, jako zwykły ruch IP. Z kolei maszyny wirtualne lub maszyny fizyczne podpięte do VLAN-ów widzą odszyfrowany ruch bez zmian nagłówków Ethernet. Nie ma konieczności wymiany posiadanych urządzeń. Co ciekawe węzły brzegowe NSX Edge terminujące połączenia L2VPN mogą jednocześnie pełnić funkcję bramy domyślnej dla ruchu wyjściowego na zewnątrz np. do sieci Internet.

NSX wspiera również klienta SSLVPN z przydziałem pul IP, wyznaczeniem dostępu do zasobów, uwierzytelnieniem oraz monitoringiem. Umożliwia to uzyskanie dostępu bezpośrednio do wyznaczonych zasobów sieciowych z zewnątrz Data Center dla użytkowników usług i aplikacji oraz administratorów sieci. Klienta SSL można wystawić dla użytkowników poprzez stronę www.

W Polsce aktualnie wdrażany jest projekt NSX, gdzie Centra Przetwarzania Danych (CPD) połączone są poprzez sieć strony trzeciej. Dzięki zastosowaniu L2VPN możliwe stało się tanie i elastyczne zabezpieczenie integralności danych. Według mojej wiedzy, żadne inne rozwiązanie SDN na rynku poza NSX nie ma natywnego szyfrowania ruchu Ethernet. Jeżeli to nie jest już prawda lub masz pytania do wspomnianej technologii napisz komentarz pod tym wpisem. Z chęcią odpowiem.

————————————–

Zobacz inne posty Piotra Jabłońskiego >

Kategoria: SDDC

Tagi: Enthernet, Piotr Jablonski, SDDC, vmware nsx